Embed Size (px)
Citation preview
Лицензирование деятельности в области защиты информации
БУЛАТ ШАМСУТДИНОВ, 2016
CRYPTO-ANARCHIST.BLOGSPOT.COM
Лицензия на техническую защиту конфиденциальной
информации
Лицензия на разработку и
производство средств защиты информации
Лицензия на деятельность, связанную со средствами шифрования
1 2 3
котэ 3 лицензии - 3
Лицензия на техническую защиту конфиденциальной информации 1
Услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам
Услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации
1
Сертификационные испытания на соответствие требованиям по безопасности
Работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации
4
Работы и услуги по проектированию в защищенном исполнении: средств и систем информатизации; помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещений;
Услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации
Требуется для следующих работ*: Лицензия на техническую защиту конфиденциальной
информации (ТЗКИ)
*Постановление Правительства Российской Федерации от 3 февраля 2012 г. N 79 О лицензировании деятельности по технической защите конфиденциальной информации
5
6
Услуги по мониторингу информационной безопасности средств и систем информатизации
2
3
3
Что такое «технический канал утечки»? Кому нужна такая лицензия?
Контроль защищенности информации от утечки по техническим каналам
1
Работы по контролю защищенности от средств технической разведки являются узкоспециализированными. Большинству разработчиков, интеграторов и заказчиков такая лицензия не требуется
Технический канал утечки информации - совокупность объекта технической разведки, физической среды и средства технической разведки, которыми добываются разведывательные данные
Является ли аудит контролем защищенности? Нужна ли аудитору лицензия?
Контроль защищенности информации от НСД 2
В контроль (анализ) защищенности входит*:
• выявление, анализ уязвимостей • контроль установки обновлений ПО • контроль работоспособности, параметров настройки и
правильности функционирования ПО • контроль состава технических средств, ПО и СЗИ • контроль правил генерации и смены паролей пользователей,
заведения и удаления учетных записей пользователей, реализации правил разграничения доступом
*Приказ ФСТЭК 17, 21
В ряде случаев аудитор попадает «под лицензию» (например, при использовании инструментальных средств контроля защищенности). Если аудит не включает перечисленные виды работ то лицензия не требуется.
Сертификационные испытания 3 Услуги по мониторингу информационной безопасности 3
В каких случаях нужны данные виды лицензий?
Согласно Приказам ФСТЭК мониторинг (уровня защищенности) включает*: • контроль за событиями безопасности и действиями
пользователей ; • контроль (анализ) защищенности информации; • анализ и оценка функционирования системы защиты
информации; • периодический анализ изменения угроз безопасности; • документирование процедур и результатов контроля
(мониторинга).
Лицензия нужна аутсорсерсерам ИБ, SOC’ам, а также интеграторам, если сопровождение внедренной системы защиты предусматривает данные виды работ
Аттестационные испытания и аттестация на соответствие требованиям по защите информации
4
В каких случаях и кому нужна такая лицензия?
Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации
Лицензия нужна аттестующим компаниям, а также интеграторам, в случае если система должна соответствовать требованиям по защите ГИС
Аттестация является обязательной для ГИС и производится ДО ее ввода в действие
Проектирование в защищенном исполнении: средств и систем информатизации
5
1) АСЗИ - автоматизированные системы, реализующие информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или нормативных документов по защите информации*
2) ГОСТ по АСЗИ распространяется на автоматизированные системы, в отношении которых законодательством или заказчиком установлены требования по их защите**
Проектировщикам ГИС, ИСПДн, АСУ ТП нужна лицензия на ТЗКИ, поскольку такие системы должны соответствовать требованиям НПА по ИБ
• *ГОСТ Р 53114-2008 • ** ГОСТ Р 51583-2014
Что такое «система в защищенном исполнении»? Кому нужна такая лицензия?
Установка, монтаж, испытания, ремонт средств защиты информации
6
средство защиты информации: Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
Если контрактом предусмотрена установка хотя бы одного антивируса (персонального МЭ, VPN-клиента) - исполнителю нужна лицензия
Что такое «средство защиты информации»?
антивирус, МЭ, и так далее – относятся к СЗИ
Лицензия необходима:
А) если деятельность направлена на получение прибыли Б) если она необходима для достижения целей деятельности, предусмотренных в учредительных документах В) если юридическое лицо обеспечивает защиту информации по поручению обладателя информации конфиденциального характера и (или) заказчика информационной системы*
*информационное сообщение ФСТЭК от 30 мая 2012 г. N 240/22/2222
А если мы для себя делаем, нужна ли лицензия?
Лицензия при работах «для собственных нужд» не нужна
Лицензия на разработку и производство средств защиты информации
2
Разработка средств защиты конфиденциальной информации
Лицензия на разработку средств защиты
информации Нужна для следующих работ:
Производство средств защиты конфиденциальной информации
Постановление Правительства РФ от 03.03.2012 N 171 "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации"
1
2
средство защиты информации: Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
Если в назначении разрабатываемого ПО есть функции защиты информации (например, идентификация и аутентификация пользователей, регистрация событий), то разработчику нужна данная лицензия
1
Производство средств защиты информации 2
Разработка средств защиты информации
Кому нужна такая лицензия?
Лицензия на деятельность по разработке, производству, распространению шифровальных средств
3
Лицензия на деятельность по разработке, производству, распространению шифровальных (криптографических) средств
Требуется для 28 видов работ*
Постановление Правительства РФ от 16 апреля 2012 г. N 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств
Основные: 1. Разработка шифровальных (криптографических) средств. 2. Разработка защищенных с использованием шифровальных (криптографических) средств информационных систем. 5. Модернизация шифровальных (криптографических) средств. 7. Производство (тиражирование) шифровальных (криптографических) средств. 12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств. 13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем. 16. Ремонт шифровальных (криптографических) средств. 17. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных систем.
СКЗИ (в том числе): • средства шифрования - аппаратные, программные и
программно-аппаратные; • средства электронной подписи
Что такое средство криптографической защиты информации? Кому требуется лицензия?
Лицензия нужна: Разработчику - если в разрабатываемой системе есть функции криптозащиты (в том числе, ЭП). Интегратору – если в составе системы защиты применяются средства ЭП, VPN.
Лицензия не требуется • для технического обслуживания, если оно осуществляется для обеспечения собственных нужд • для СКЗИ, которые используют слабые алгоритмы (см. п 3б Положения) • для СКЗИ, которые реализуют функцию аутентификации, включающей в себя все аспекты контроля
доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющих электронную подпись;
• для СКЗИ, которые являются компонентом ОС; • для персональных смарт-карт (интеллектуальных карт); • для приемной аппаратуры для радиовещания, коммерческого телевидения или аналогичной
коммерческой аппаратуры для вещания на ограниченную аудиторию без шифрования цифрового сигнала;
• для оборудования, криптографические возможности которого недоступны пользователю, специально разработанного и ограниченного для: исполнения программного обеспечения в защищенном от
копирования виде; обеспечения доступа к защищенному от копирования содержимому, хранящемуся только на доступном для чтения носителе информации; контроля копирования аудио- и видеоинформации, защищенной авторскими правами;
Всегда ли нужна лицензия на СКЗИ?
Лицензия не требуется • для шифровального (криптографического) оборудования, специально разработанного и
ограниченного применением для банковских или финансовых операций в составе терминалов единичной продажи (банкоматов), POS-терминалов и терминалов оплаты различного вида услуг;
• для портативных или мобильных радиоэлектронных средств гражданского назначения (например, для использования в коммерческих гражданских системах сотовой радиосвязи), которые не способны к сквозному шифрованию (то есть от абонента к абоненту);
• для беспроводного оборудования, осуществляющего шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя (за исключением оборудования, используемого на критически важных объектах);
• для шифровальных (криптографических) средств, используемых для защиты технологических каналов информационно-телекоммуникационных систем и сетей связи, не относящихся к критически важным объектам;
• для товаров, у которых криптографическая функция гарантированно заблокирована производителем.
Всегда ли нужна лицензия на СКЗИ?
ВОПРОСЫ?*
*ну, раз их нет, тогда всем спасибо и пока
