Журнал "Директор по безопасности" Сентябрь 2021 | Page 15

ЕСТЬ РЕШЕНИЕ

Три главных слова : Сертификация , Аттестация , Лицензирование

РЕГУЛЯРНО В ОБЩЕНИИ С ЗАКАЗЧИКАМИ , НЕ ЯВЛЯЮЩИ- МИСЯ ЭКСПЕРТАМИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНО- СТИ либо информационных технологий , выявляется путаница в терминологии . И практически всегда в этом небольшом рейтинге ТОП-3 занимают ТРИ КЛЮЧЕВЫХ ПОНЯТИЯ В ОБЛАСТИ ОЦЕНКИ СООТВЕТ- СТВИЯ ТРЕБОВАНИЯМ ИНФОРМА- ЦИОННОЙ БЕЗОПАСНОСТИ – сертификация , аттестация , лицензирование . Для специалистов по кибербезопасности это , разумеется , будут прописные азы , однако для лиц , не являющихся экспертами , возможно , ситуация несколько прояснится в ходе настоящей статьи . Итак , рассмотрим эти понятия применительно к государственным регулирующим органам РФ в части защиты информации .

АНАСТАСИЯ ГОЛЕВА , АО « РАСЧЕТНЫЕ РЕШЕНИЯ »

Cертификация в области информационной безопасности осуществляется у средств защиты информации – программного обеспечения и программно-аппаратных комплексов . Согласно определению Росстандарта , « Сертификация средств защиты информации ( CЗИ ) – это процесс , направленный на подтверждение соответствия СЗИ нормам и требованиям , действующим на территории России .

Данный процесс относительно средств защиты информации без использования шифрования контролирует ФСТЭК России , а с использованием криптографии – ФСБ .

Процесс сертификации средств защиты конфиденциальной информации описывает Положение о системе сертификации средств защиты информации ( утверждено приказом ФСТЭК России № 55 от 03.04.2018 г .). Правила сертификации средств криптографической защиты информации ( СКЗИ ) описывает документ « Система сертификации средств криптографической защиты информации » от 28.10.1993 г . ( утверждено Приказом Генерального директора ФАПСИ ( ныне ФСБ РФ ).

Аттестация – процесс подтверждения соответствия установленным требованиям по обеспечению информационной безопасности объекта информатизации ( автоматизированной системы ), либо защищаемого помещения , где осуществляются переговоры конфиденциального характера или работа с документацией , имеющей грифы / пометки конфиденциальности .

Первым документом , с которым стоит ознакомиться , изучая вопрос аттестации является ГОСТ РО 0043-003- 2012 ( ДСП ) – грифованный документ , в котором содержатся основные понятия аттестации . Следует понимать , что аттестация может быть как обязательной – во исполнение требований законодательства , так и добровольной – в случае желания лица подтвердить соответствие объекта информатизации установленным требованиям по защите информации .

Существует также дополнительный документ , « Специальные требования и рекомендации по технической защите конфиденциальной информации (« СТР-К )» ( ДСП ) – также документ под грифом , детализирующий требования по защите информации , предъявляющиеся к объектам информатизации . Носит рекомендательный характер для негосударственных и обязательный для государственных автоматизированных систем .

Основным регулирующим органом в области аттестации по технической защите конфиденциальной информации является ФСТЭК РФ , выпустившая Требования о защите информации , не составляющей государственную тайну , содержащейся в государственных информационных системах ( утверждены 11.02.2013 г . Приказом ФСТЭК РФ № 17 ).

Процесс аттестации включает в себя : обследование объекта информатизации , процессов , реализованных в нем , формирование перечня мер и средств , разработку и внедрение .

Лицензирование . Существует понятие лицензируемых видов деятельности . В части обеспечения информационной безопасности при отсутствии работы с государственной тайной эта деятельность направлена на : техническую защиту конфиденциальной информации ( Лицензия ФСТЭК РФ ), разработку и производство средств защиты конфиденциальной информации ( Лицензия ФСТЭК РФ ), осуществление деятельности со средствами криптографической защиты информации ( Лицензия ФСБ РФ ). Существуют также лицензии на деятельность в части государственной тайны .

Регламентирующими документами в части процессов лицензирования являются :

Постановление Правительства РФ № 79 от 03.02.2012 г . « О лицензировании деятельности по технической защите конфиденциальной информации ».

Постановление Правительства РФ № 171 от 03.03.2012 г . « О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации ».

Постановление Правительства РФ № 313 от 16.04.2012 г . « Об утверждении Положения о лицензировании деятельности по разработке , производству , распространению шифровальных ( криптографических ) средств , информационных систем и телекоммуникационных систем , защищенных с использованием шифровальных ( криптографических ) средств , выполнению работ , оказанию услуг в области шифрования информации , техническому обслуживанию шифровальных ( криптографических ) средств , информационных систем и телекоммуникационных систем , защищенных с использованием шифровальных ( криптографических ) средств …».

Подведем итог . В области информационной безопасности :

Сертификации подлежит средство защиты информации – программный продукт или программно-аппаратный комплекс , используемый для обеспечения информационной безопасности .

Аттестации – объект информатизации ( автоматизированная система , отдельное автоматизированное рабочее место , защищаемое помещение ).

Лицензированию подлежат виды деятельности . Лицензия выдается на юридическое лицо .

Аттестация может быть как обязательной – во исполнение требований законодательства , так и добровольной