Питання та відповіді

підтримка

Продукція

Завантажити

Загальні питання по атестації та ліцензування діяльності по захисту інформації

Чи потрібна оператору ПДН ліцензія ФСТЕК Росії на діяльність з технічного захисту конфіденційної інформації (Ліцензія ТЗКІ)?

В Інформаційному повідомленні ФСТЕК Росії від 30 травня 2012 року № 240/22/2222 "З питання необхідності отримання ліцензії ФСТЕК Росії на діяльність з технічного захисту конфіденційної інформації" допускає можливість роботи без ліцензії на ТЗКІ, якщо діяльність організації не спрямована на отримання прибутку від виконання робіт або надання послуг з технічного захисту конфіденційної інформації. Тобто, Ліцензія ТЗКІ оператору ПДН не обов'язкова, якщо роботи проводяться в рамках внутрішньої діяльності організації для захисту ПДН, оператором яких вона є.

Хто здійснює оцінку ефективності реалізованих заходів захисту?

ІНФОРМАЦІЙНЕ ПОВІДОМЛЕННЯ ФСТЕК РОСІЇ від 15 липня 2013 р N 240/22/2637 Відповідно до пункту 4 частини 2 статті 19 Федерального закону від 27 липня 2006 р N 152-ФЗ "Про персональних даних" забезпечення безпеки персональних даних досягається зокрема оцінкою ефективності вжитих заходів щодо забезпечення безпеки персональних даних до введення в експлуатацію інформаційної системи персональних даних. Відповідно до пункту 6 Складу і змісту заходів, затверджених наказом ФСТЕК Росії від 18 лютого 2013 р N 21, оцінка ефективності реалізованих в рамках системи захисту персональних даних заходів щодо забезпечення безпеки персональних даних проводиться оператором самостійно або із залученням на договірній основі юридичних осіб та індивідуальних підприємців, що мають ліцензію на здійснення діяльності з технічного захисту конфіденційної інформації. При цьому Складом і змістом заходів, затверджених наказом ФСТЕК Росії від 18 лютого 2013 р N 21, форма оцінки ефективності, а також форма і зміст документів, що розробляються за результатами (в процесі) оцінки, не встановлені. Таким чином, рішення за формою оцінки ефективності та документів, що розробляються за результатами (в процесі) оцінки ефективності, приймається оператором самостійно і (або) за угодою з особою, що залучаються для проведення оцінки ефективності реалізованих заходів щодо забезпечення безпеки персональних даних. Оцінка ефективності реалізованих заходів може бути проведена в рамках робіт з атестації інформаційної системи персональних даних відповідно до національного стандарту ГОСТ РВ 0043-003-2012 "Захист інформації. Атестація об'єктів інформатизації. Загальні положення". У частині державних інформаційних систем, в яких обробляються персональні дані, оцінка ефективності заходів, що вживаються щодо забезпечення безпеки персональних даних проводиться в рамках обов'язкової атестації державної інформаційної системи за вимогами захисту інформації відповідно до Вимог, затверджених наказом ФСТЕК Росії від 11 лютого 2013 р N 17 , національними стандартами ГОСТ РВ 0043-003-2012 і ГОСТ РВ 0043-004-2013 "Захист інформації. Атестація об'єктів інформатизації. Програма і методики атестаційних спитаній ".

Хто має право на інсталяцію та налаштування сертифікованого ПЗ?

Процес інсталяції сертифікованого ПО нічим не відрізняється від процесу інсталяції ліцензійного ПЗ, і може здійснюватися фахівцями організації-замовника або будь-якою іншою організацією, яка є ліцензіатом ФСТЕК Росії. Після інсталяції сертифіковане ПО має бути налагоджене відповідно до експлуатаційної документації (Керівництвом з безпеки, керівництвом адміністратора і т.д.).

Загальні питання по сертифікованим продуктам Microsoft і їх придбання

Для якого класу АС, ГІС і ІСПДн можна використовувати сертифіковані версії Microsoft?

Для АС: класу 1Г включно (максимальний клас АС, що обробляють конфіденційну інформацію). ІСПДн - 3 і 4 рівня захищеності, для яких відсутні загрози 1 і 2 типу (загрози пов'язані з наявністю недокументованих (декларованих) можливостей в системному і прикладному програмному забезпеченні). ГІС - 3 і 4 класу захищеності (п. 26 Наказу ФСТЕК Росії № 17 від 11 лютого 2013 р)

Що таке сертифіковані версії ПО Microsoft і в чому їхня відмінність від звичайних (ліцензійних)?

Сертифікованим ПО Microsoft є ліцензійне ПЗ з вбудованими механізмами захисту, що пройшли сертифікацію в системі сертифікації засобів захисту інформації, що підтверджено сертифікатом відповідності ФСТЕК Росії, а також налаштоване і експлуатоване відповідно до сертифікованими параметрами. Сертифікацію проходять заявлені Microsoft вбудовані засоби (механізми) захисту програмного забезпечення, до яких відносяться: • аутентифікації і ідентифікації; • контролю доступу; • реєстрації та обліку; • аудиту; • забезпечення цілісності; • блокування запуску шкідливих програм; • забезпечення функцій міжмережевого екранування; • та інші. У бінарному коді сертифіковані продукти нічим не відрізняються від стандартного ліцензійного програмного забезпечення. Відмінності полягають в умовах експлуатації ПО, пакеті додаткових сервісів, супровідної документації та сертифікаційної підтримки, що є обов'язковим умовами дії сертифіката.

Кому можна рекомендувати використовувати сертифіковане ПО Microsoft для захисту інформації?

Це державні і комерційні організації обробні конфіденційну інформацію в АС класів до 1Г включно. Всі організації обробні персональні дані до 2-го класу включно. Практично в кожній організації Росії основною робочою IT-середовищем є Windows. На сьогоднішній момент сертифіковані ФСТЕК Росії все найпоширеніші призначені для користувача і серверні операційні системи, які можуть бути ефективним і економічним рішенням для захисту інформації. Для побудови системи захисту на платформі сертифікованих продуктів Microsoft не потрібно зміни технології обробки інформації, використання накладених засобів захисту, спеціальної підготовки персоналу, великих фінансових витрат. Всі ці фактори дозволяють організаціям більше зосередитися на вирішенні бізнес-завдань, ніж на створення якоїсь "надбудові" безпеки. При цьому, сертифіковані продукти Microsoft є найсучаснішими і досконалими засобами захисту інформації, яким довіряють у всьому світі.

Питання за рішеннями, організації та підтримки рішень на платформі Microsoft

У нас велика інформаційна система, в якій експлуатується значна кількість різних версій сертифікованих продуктів Microsoft (Windows XP, 7, Server 2003, 2008, 2008 R2). Як автоматизувати отримання і поширення сертифікованих оновлень, застосування сертифікованих конфігурацій і оптимізувати контроль за сертифікованим ПО Microsoft в мережі організації?

Найоптимальнішим варіантом в такому випадку є використання програми "Net_Check", що дозволяє реалізувати централізоване налаштування, оновлення та контроль всіх типів сертифікованих ОС Microsoft Windows в мережі організації. Більш детально про програму "Net_Check" Ви зможете дізнатися за посиланням: http://www.altx-soft.ru/groups/page-268.htm

Нам необхідно атестувати АС за вимогами класу 1Г (1Д). Яким вимогам РД в частині НСД відповідає сертифікована операційна система MS Windows Vista, MS Windows Server 2003 і т.д.?

Функціональні характеристик вбудованих засобів захисту сертифікованого ПЗ наведені в його Завданні з безпеки .

Як співвідноситься оціночний рівень довіри Оуд 1 посилений (Керівний документ "Безпека інформаційних технологій. Критерії оцінки безпеки інформаційних технологій" (РД ОК)) з класом захищеності 1Г (Керівний документ "Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Класифікація автоматизованих систем і вимог щодо захисту інформації "(РД АС)), і з вимогами щодо забезпечення безпеки інформаційних систем персональних даних (ІСПДн)?

Оціночний рівень довіри РД ОК не має аналогів у вимогах РД АС і в методичних документах щодо забезпечення безпеки ІСПДн, і є по відношенню до них додатковими вимогами до процесу розробки засобів захисту інформації. Аналогом вимог РД АС і методичних документів щодо забезпечення безпеки ІСПДн є функціональні вимоги з РД ОК і Завдань з безпеки (ЗБ).

Приклади зіставлення функціональних вимог РД ОК, ЗБ вимогам РД АС для класу захищеності 1Г і ІСПДн 3 класу наведені у відповідних таблицях:

Питання за програмами Check і конфігурацій безпеки

Що таке програми "Check" і для чого вони потрібні?

Програми сімейства "Check" - інструмент адміністратора (адміністратора безпеки), який дозволяє автоматизувати процес приведення у відповідність ПО Microsoft умов дії Сертифікатів. Програми "Check" призначені для автоматичної настройки та контролю ПО згідно Керівництву по безпечної налаштування, автоматизованої установки оновлення, фіксації стану та інших операцій з сертифікованими версіями продуктів Microsoft. Програми контролю сімейства "Check" є однією з компонент Пакетів сертифікованих версій ПЗ Microsoft. Програми "Check" забезпечують:
• збір даних і формування звітів про відповідність встановленого продукту сертифікованої версії;
• формування звітів про встановлені і невстановлених сертифікованих оновлення безпеки;
• перевірку завантажених оновлень на предмет відповідності сертифікованим оновлень продуктів Microsoft;
• фіксацію і контроль цілісності файлів методом контрольного підсумовування за рівнем 3 (ГОСТ 28147-89) з використанням сертифікованого програмного засобу "ФІКС-бібліотека 1.0", Сертифікат ФСТЕК Росії №677;
• контроль і налаштування параметрів безпеки в автоматизованому (на підставі сертифікованих конфігурацій) і ручному (установка значень окремих параметрів безпеки) режимах;
• формування звіту про відповідність поточної конфігурації параметрів безпеки обраної сертифікованої конфігурації;
• створення довільних користувальницьких конфігурацій параметрів безпеки з можливістю успадкування значень від сертифікованих конфігурацій або поточного стану системи;
• експорт змін властивостей безпеки для забезпечення єдиних параметрів настройки безпеки для групи ПЕОМ.

Що таке програма "Net_Check" і для чого вона потрібна?

Net_Check - програмний засіб для централізованого контролю, налаштування та оновлення механізмів безпеки сертифікованих версій продуктів Microsoft в мережі підприємства. Використовується при організації обробки конфіденційної інформації та персональних даних в захищених системах, побудованих на платформі безпеки Microsoft. Програма Net_Check не входить до складу пакетів сертифікації ПЗ Microsoft, є окремо ліцензованих продуктом і є подальшим розвитком локальних Програм настройки та контролю сертифікованих версій продуктів Microsoft (сімейство програм "Check") і призначена для централізованого виконання наступних дій:
• контроль сертифікованих версій програмних продуктів Microsoft;
• контроль і установка сертифікованих оновлень безпеки;
• фіксація і контроль виконуваних файлів і бібліотек;
• настройка параметрів безпеки у відповідність із сертифікованими конфігураціями;
• формування звітів про відповідність контрольованих ЕОМ вимогам до функціонування сертифікованих версій програм.
Детальніше дізнатися про програму "Net_Check" Ви можете у наших менеджерів відділу продажів, або на сторінці: http://www.altx-soft.ru/groups/page-268.htm

Що таке сертифіковані зміни властивостей безпеки?

Використання сертифікованих продуктів передбачає їх функціонування в певних конфігураціях, при яких програмне забезпечення проходило сертифікаційні випробування і забезпечує необхідний рівень безпеки. Перелік параметрів і їх значення наведені в Керівництвах по безпечної налаштування сертифікованих версій. Дані конфігурації розроблені на основі результатів сертифікаційних випробувань і рекомендацій, наведених в Керівництвах з безпеки Microsoft. Конфігурації визначаються набором еталонних значень параметрів безпеки. Стосовно до продуктів Microsoft таких конфігурацій, як правило, дві:
• конфігурація "Корпоративний клієнт" - аналог шаблона параметрів безпеки "Enterprise Client", рекомендованого для більшості захищених автоматизованих систем;
• конфігурація "Безпечне середовище" - аналог шаблона параметрів безпеки SSLF (Specialized Security - Limited Functionality), рекомендованого для створення високо захищених систем з обмеженням функціоналу ПЗ. Для ефективного і зручного застосування зазначених змін компанією Алтекс-СОФТ розроблені програми контролю і настройки сертифікованих продуктів Мicrosoft (сімейство програм "Check").