среда, 18 апреля 2012 г.

Лицензирование. ФСТЭК информирует

ФСТЭК опубликовала требования к соискателям лицензий на ТЗКИ и производство СЗИ, разъясняющие положения нового 79 ПП по лицензированию:
Перечень оборудования, необходимого для лицензии на ТЗКИ
Перечень стандартов и РД, необходимых для получения лицензии на ТЗКИ
Перечень стандартов и РД, необходимых для получения лицензии на производство СЗИ 
 Перечни утверждены соответствующими приказами и теперь уже не являются просто "списком с сайта".
Из нововведений (положительных или не очень) - разделение документации и оборудования с привязкой к конкретному виду работ. Теперь смело можно сказать, что для получения лицензии на внедрение СЗИ от НСД, не потребуется закупать или брать в аренду анализаторы спектра и прочее. Ведь в основном именно дорогостоящее оборудование по измерению ПЭМИН так пугало обывателей. Сейчас всё стало чётко - не планируется деятельность - нет затрат, что есть хорошо. Конечно этот принцип действовал и ранее, но нигде официально прописан не был, что создавало благодатную почву для арендодателей. В дебрях нормативки по ИБ и сейчас нелегко разобраться неподкованному человеку, поэтому мне кажется аренда никуда не денется. 
Документы так же обновились, так что дозаказывайте, если планируете получить лицензию. Жаль только полных перечней ДСП РД и ГОСТов до сих пор никто не опубликовал. Вот и получается диалог по телефону:
- Мне бы заказать ДСП ГОСТы для получения лицензии на ТЗКИ
- Пожалуйста, а какие Вам нужны?
- А какие нужны для лицензии?
- Все по разному заказывают, решайте сами
Только из чего выбирать - не понятно. Благо сейчас проблема решилась, но только для тех, кому нужен минимум по лицензиям. 
Странно, но базовая модель угроз (полная версия) в состав ДСП документов не вошла, видимо упустили из виду.
Приведу полный перечень документов ДСП, необходимых для получения лицензии на ТЗКИ (документы нужны не все, в зависимости от планируемых видов деятельности):

1) Временная методика оценки защищенности основных технических средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации, Гостехкомиссия России, 2002.
2) Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации, Гостехкомиссия России, 2002.
3) Временная методика оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам, Гостехкомиссия России, 2002.
4) Временная методика оценки помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований во вспомогательных технических средствах и системах, Гостехкомиссия России, 2002.
5) Нормативно-методический документ. «Специальные требования и рекомендации по технической защите конфиденциальной информации». Утвержден приказом Гостехкомиссии России от 30 августа 2002 г. № 282.
6) Требования к системам обнаружения вторжений. Утверждены приказом ФСТЭК России от 6 декабря 2011 г. № 638.
7) Сборник методических документов по технической защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в волоконно-оптических системах передачи.   Утвержден приказом ФСТЭК России от 15 марта 2012 г. № 27дсп
8) ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения. 
9) ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования.
10) ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство.
11) ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
upd: последние 2 ГОСТа доступны для скачивания с официального сайта Росстандарта и непонятно почему отнесены к ДСП документам 
upd`: после более детального изучения перечней, отмечу, что в случае желания соискателя производить аттестационные испытания средств и систем информатизации, всё равно придётся закупаться анализатором спектра, антеннами, пробниками и осциллографом. Если хотите только устанавливать СЗИ - достаточно будет Териера и Xspider`a, а это копейки.
 

2 комментария:

Николай Сеничев комментирует...

Ссылки уже не работают. Опять гриф ДСП наложили?

Trotsky комментирует...

Cам сайт не работает пока :)