Общие организационные мероприятия по защите информации


Основными угрозами информационной безопасности являются:

- Хищение (Копирование);

- Утрата;

- Блокирование (нарушение доступности);

- Уничтожение;

- Модификация (искажение);

- Отрицание подлинности информации;

- Навязывание ложной информации.

Целью нарушителя информационной безопасности является нанесение материального, морального и иного ущерба собственникам информации в результате нарушения конфиденциальности, доступности и целостности информации.

Угрозы информационной безопасности реализуются через каналы утечки информации:

1) Технические каналы утечки речевой информации:

- акустический:

- виброакустический:

- акустоэлектрический:

- оптико-электронный (лазерный):

- параметрический.

2) Технические каналы утечки информации, обрабатываемой техническими средствами передачи информации:

- электромагнитный:

- параметрический:

- электрический:

- виброакустический:

3) Каналы утечки информации при ее передаче по каналам связи:

- электрический:

- электромагнитный:

- индукционный:

Объект информатизации по ГОСТ Р 51275-2006 – это совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

Защита информации заключается в:

1) Обеспечение безопасности информации, составляющей государственную тайну.

2) Обеспечение безопасности информации ограниченного доступа, не составляющей государственную тайну (государственный информационный ресурс).

3) Обеспечение безопасности ПДн в иных информационных системах.

4) Обеспечение безопасности информации в ключевых системах информационной инфраструктуры.

5) Обеспечение безопасности информации в информационных системах общего пользования.

Видами защиты информации по ГОСТ Р 50922-2006 являются правовая, техническая, криптографическая и физическая.

Согласно закону Российской Федерации «О государственной тайне» к средствам технической защиты информации относятся технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

Правовая защита информации - защита информации правовыми методами,

включающая в себя разработку законодательных и нормативных

правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

Техническая защита информации (ТЗИ) - защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных),

подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

Криптографическая защита информации - защита информации с помощью ее криптографического преобразования.

Физическая защита информации - защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.

К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.

Правовая защита информации


Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"

Разработка законопроекта была направлена на достижение следующих целей:

- Устранение имеющихся пробелов и противоречий, в частности понятийного аппарата и механизмов регулирования в соответствии с практикой применения информационных технологий;

- Решение актуальных проблем, которые обозначил опыт предыдущего Закона (определение правового статуса различных категорий информации, регулирование создания и эксплуатации ИС, установление общих правил к использованию ИТКС);

- Создание необходимой правовой основы для реализации конституционных прав граждан, защиты общественных интересов в сфере использования современных информационных технологий;

- Уточнение закрепленных в действующей редакции подходов к регулированию различных категорий информации.

Правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:

1) свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

2) установление ограничений доступа к информации только федеральными законами;

3) открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

4) равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;

5) обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

6) достоверность информации и своевременность ее предоставления;

7) неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;

8) недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Информация - сведения (сообщения, данные) независимо от формы их представления;

Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

Оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных


Статья 16. Защита информации Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"


Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.


ПОЛОЖЕНИЕ «О ГОСУДАРСТВЕННОЙ СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ В РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ ИНОСТРАННЫХ ТЕХНИЧЕСКИХ РАЗВЕДОК И ОТ ЕЕ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ» (утв. Постановлением Совета Министров – Правительства РФ от 15 сентября 1993 г. № 912-51)


Положение определяет структуру государственной системы защиты информации в Российской Федерации, ее задачи и функции, основы организации защиты сведений, отнесенных в установленном порядке к государственной или служебной тайне, от иностранных технических разведок и от ее утечки по техническим каналам (далее именуется – защита информации). Работы по защите информации в органах государственной власти и на предприятиях проводятся на основе актов законодательства Российской Федерации.

Постановлением Правительства РФ от 15 мая 2010 г. № 330 - утверждено «Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, отнесенных к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие «гостайну…».

Документ интересен тем, что:

- касается защиты информации конфиденциального характера, отнесенной к государственному информационному ресурсу, а также защиты персональных данных;

- касается обязательности сертификации средств защиты указанных категорий информационных ресурсов;

- касается нового регулятора по защите персональных данных — Министерства обороны Российской Федерации.

К нормативным документам, регулирующим защиту информации, относятся также:

- Постановление Правительства РФ от 3 ноября 1994 г. N 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности»;

- Постановление Правительства РФ от 3 февраля 2012 г. N 79 "О лицензировании деятельности по технической защите конфиденциальной информации»

- Приказ ФСТЭК России № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Организационные и технические меры защиты информации, реализуемые в информационной системе в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик информационной системы должны обеспечивать:

- идентификацию и аутентификацию субъектов доступа и объектов доступа;

- управление доступом субъектов доступа к объектам доступа;

- ограничение программной среды;

- защиту машинных носителей информации;

- регистрацию событий безопасности;

- антивирусную защиту;

- обнаружение (предотвращение) вторжений;

- контроль (анализ) защищенности информации;

- целостность информационной системы и информации;

- доступность информации;

- защиту среды виртуализации;

- защиту технических средств;

- защиту информационной системы, ее средств, систем связи и передачи данных.


Специальные требования и рекомендации по технической защите информации (СТР-К)


Требования и рекомендации настоящего документа распространяются на защиту:

- конфиденциальной информации - информации с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне и персональным данным, содержащейся в государственных (муниципальных) информационных ресурсах, накопленной за счет государственного (муниципального) бюджета и являющейся собственностью государства (к ней может быть отнесена информация, составляющая служебную тайну и другие виды тайн в соответствии с законодательством Российской Федерации, а также сведения конфиденциального характера в соответствии с "Перечнем сведений конфиденциального характера", утвержденного Указом Президента Российской Федерации от 06.03.97 №188), защита которой осуществляется в интересах государства (далее - служебная тайна);

- информации о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющей идентифицировать его личность (персональные данные).

Защите подлежит речевая информация и информация, обрабатываемая техническими средствами, а также представленные в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно – оптической основе (СТР-К, 2002 г.).

Документ также определяет объекты защиты информации (4) и каналы утечки информации и источники угроз безопасности информации.

Организация работ по созданию и эксплуатации ОИ и их СЗИ определяется в разрабатываемом «Положении о порядке организации и проведения работ по защите конфиденциальной информации» или в Приложении к «Руководству по защите информации от утечки по техническим каналам на объекте»


При ведении переговоров и использовании технических средств для обработки и передачи информации возможны следующие каналы утечки и источники угроз безопасности информации:


- акустическое излучение информативного речевого сигнала;

- электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям, выходящими за пределы КЗ;

- виброакустические сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений;

- несанкционированный доступ и несанкционированные действия по отношению к информации в автоматизированных системах, в том числе с использованием информационных сетей общего пользования;

- воздействие на технические или программные средства информационных систем в целях нарушения конфиденциальности, целостности и доступности информации, работоспособности технических средств, средств защиты информации посредством специально внедренных программных средств;

- побочные электромагнитные излучения информативного сигнала от технических средств, обрабатывающих конфиденциальную информацию, и линий передачи этой информации;

- наводки информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания и линии связи, выходящие за пределы КЗ;

- радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах (элементах) технических средств;

- радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств перехвата речевой информации "закладок", модулированные информативным сигналом;

- радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;

- прослушивание ведущихся телефонных и радиопереговоров;

- просмотр информации с экранов дисплеев и других средств ее отображения, бумажных и иных носителей информации, в том числе с помощью оптических средств;

- хищение технических средств с хранящейся в них информацией или отдельных носителей информации.


Рекомендуемые стадии создания СЗИ:


- Предпроектная (включает обследование ОИ, разработку аналитического обоснования создания СЗИ и технического (ЧТЗ) на ее создание (3.8-3.15);

- Проектирования (разработки проектов), включающая разработку СЗИ в составе ОИ(3.16-3.18);

- Ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию ОИ на соответствие требованиям безопасности информации (3.19-3.26).

Техническая защита информации (ТЗИ) - защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных),

подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

В целом можно выделить такие технические каналы утечки и воздействия на информацию при обработке ее техническими средствами:

- уничтожение, блокирование информации вследствие стихийных бедствий;

- перехват информации за счет побочных электромагнитных наводок на проводные линии охранно-пожарной сигнализации;

- перехват информации за счет побочных электромагнитных излучений (ПЭМИ);

- перехват информации за счет побочных электромагнитных наводок на проводные линии электропитания и связи;

- перехват информации за счет побочных электромагнитных наводок на линии заземления;

- перехват информации за счет побочных электромагнитных наводок на трубопроводы систем отопления;

- непреднамеренные действия и ошибки персонала;

- преднамеренные действия недобросовестного сотрудника;

- сбои и поломки аппаратуры;

- хищение носителей информации;

- перехват информации вследствие выхода из строя средств защиты;

- уничтожение, блокирование, нарушение достоверности информации за счет вирусных воздействий;

- перехват, уничтожение, блокирование, нарушение достоверности информации за счет несанкционированного доступа (НСД) к информации.


Общие организационные мероприятия по защите информации


1. Выделяем информацию, которая может представлять ценность для нашей организации:

- информация управленческого характера;

- плановые документы;

- финансы;

- данные по видам деятельности;

- сведения о вышестоящих организациях;

- информация о сотрудниках организации;

- контракты;

- информация о людям, пользующихся услугами организации ;

- торги, аукционы;

- информация технологического характера и т.д.


Технические мероприятия по защите информации


1. Для устойчивого функционирования сети рекомендуется применять компьютеры одного класса, в идеале одной конфигурации.

2. На всех компьютерах применять парольную защиту.

3. Всем сотрудникам, имеющим автоматизированное рабочее место (компьютер) выдать электронные ключи идентификации.

4. Экраны мониторов компьютеров, на которых обрабатывается конфиденциальная информация (в том числе бухгалтерская) оснастить поляризационными экранами.

5. Устанавливать только лицензионные программные продукты.

6. Осуществлять периодическое техническое обслуживание оргтехники.

7. Закрепить за каждой единицей оргтехники ответственного пользователя.

8. Завести технические карточки на каждую единицу оргтехники.

9. Установить программные средства контроля за состоянием компьютеров.

10. Установить антивирусную защиту.

11. Приобрести и использовать блоки бесперебойного питания.

12. Выполнять периодическое резервное копирование.

13. Установить программные средства аудита за функционированием сети.

14. Передачу всей информации осуществить только в зашифрованном виде.

15. Установить программы защиты электронной почты.

16. Установить аппаратную защиту жестких дисков компьютеров, обрабатывающих конфиденциальную информацию, с возможностью ее мгновенного уничтожения в случае опасности.

17. Определить, что уничтожение конфиденциальной информации на магнитных носителях должно осуществляться специальными программами, гарантирующими дальнейшее невосстановление информации.

18. На компьютерах, обрабатывающих конфиденциальную информацию установить программное обеспечение, стирающее данные в файле подкачки.


Средства защиты информации от утечки по техническим каналам


1. Используемые информационные технологии в информационной системе:

- защищенные ОС – RedHat Enterprise Linux, QNX, MCBC 3.0.

- системы обнаружения вторжений и компьютерных атак – ФОРПОСТ, ProventiaNetwork.

- шлюзы безопасности – CSP VPNGate, CSP RVPN.

2. Средства защиты речевой информации – Барон, ЛГШ-402(403), SEL SP-21B1 Баррикада, Шорох-2, Соната-АВ, Шторм-105 и т.д.

3. Средства защиты информации, представленной в виде информативных электрических сигналов, физических полей – Гном-3, ГШ-1000, ГШ-1000К, ГШ-2500, Октава-РС1, Гром-ЗИ-4Б, МП-2, МП-3, МП-5, ЛФС-10-Ф.

4. Средства защиты носителей информации на бумажной, магнитной, магнитооптической и иной основе – eToken PRO64k, eToken NG-OTP, SecretDisk

5. Защита от программно-технических воздействий на технические средства обработки персональных данных:

- антивирусные средства, программное обеспечение, сертифицированное на отсутствие незадекларированных возможностей.

6. Средства защиты информации от несанкционированного доступа – Блокхост-сеть, Аккорд-Рубеж, Аккорд –NT/2000, Secret Net 5.0, Соболь, Dallas Lock 7.0, Лабиринт-М, Страж-NT.

7. Шифровальные (криптографические) средства защиты информации.

8. Межсетевые экраны – Cisco, Z-2, WatchGuard, Firebox.

План мероприятий по технической защите конфиденциальной информации включает в себя:

- организационные мероприятия по защите информации ограниченного доступа;

- мероприятия по защите персональных данных;

- технические мероприятия по защите информации ограниченного доступа;

- внутренние проверки и контроль.

Согласно Положению «О ГОСУДАРСТВЕННОЙ СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ В РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ ИНОСТРАННЫХ ТЕХНИЧЕСКИХ РАЗВЕДОК И ОТ ЕЕ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ», утверждённому Постановлением Совета Министров – Правительства РФ от 15 сентября 1993 г. № 912-51, Предотвращение перехвата техническими средствами информации, передаваемой по каналам связи, достигается применением криптографических и иных методов и средств защиты, а также проведением организационно-технических и режимных мероприятий.

Криптографическая защита информации – это защита информации с помощью ее криптографического преобразования.

Канал связи - совокупность технических устройств, обеспечивающих передачу сигнала от источника к получателю.

Линия связи – совокупность средств связи и канала связи, посредством которых осуществляется передача информации от источника к приемнику.

Передача информации - физический процесс, посредством которого осуществляется перемещение информации в пространстве. Данный процесс характеризуется наличием следующих компонентов: источник информации, приёмник информации, носитель информации, среда передачи.

Криптография (от др.-греч. κρυπτός — скрытый и γράφω — пишу) — наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним), целостности данных (невозможности незаметного изменения информации), аутентификации (проверки подлинности авторства или иных свойств объекта), а также невозможности отказа от авторства.

Шифрование бывает симметричным (с использованием одного ключа) и ассиметричным (с использованием пары ключей – открытого и личного).

Инфраструктура открытых ключей представляет собой комплексную систему, сервисы которой реализуются и предоставляются с использованием технологии открытых ключей.

Цель PKI состоит в управлении ключами и сертификатами, посредством которого корпорация может поддерживать надежную сетевую среду. PKI позволяет использовать сервисы шифрования и выработки цифровой подписи согласованно с широким кругом приложений, функционирующих в среде открытых ключей.

Основными компонентами эффективной PKI являются:

- удостоверяющий центр;

- регистрационный центр;

- репозиторий сертификатов;

- архив сертификатов;

- конечные субъекты (пользователи).

В составе PKI должны функционировать подсистемы выпуска и аннулирования сертификатов, создания резервных копий и восстановления ключей, выполнения криптографических операций, управления жизненным циклом сертификатов и ключей.

Клиентское программное обеспечение пользователей должно взаимодействовать со всеми этими подсистемами безопасным, согласованным и надежным способом.

Удостоверяющий центр - главный управляющий компонент PKI - выполняет следующие основные функции:

- формирует собственный секретный ключ; если является головным УЦ, то издает и подписывает свой сертификат, называемый самоизданным или самоподписанным;

- выпускает (то есть создает и подписывает) сертификаты открытых ключей подчиненных удостоверяющих центров и конечных субъектов PKI; может выпускать кросс-сертификаты, если связан отношениями доверия с другими PKI;

- поддерживает реестр сертификатов (базу всех изданных сертификатов) и формирует списки САС с регулярностью, определенной регламентом УЦ;

- публикует информацию о статусе сертификатов и списков САС.


Организация и проведение мероприятий по защите информации при создании сегмента государственной информационной системы


(на примере ИС «Электронный бюджет»)

Финансовый орган субъекта РФ и МО, орган, осуществляющий полномочия учредителя:

Шаг 1

– Получение квалифицированных сертификатов ЭП для пользователей в аккредитованном УЦ (при отсутствии)

Шаг 2

- Заявка на подключение: ФИО, СНИЛС, полномочия пользователя.

- Доверенность на получение СКЗИ.

- Сертификат ЭП пользователя.

- Запрос на выдачу специальных программных средств (СКЗИ)

УФК:

Шаг 3

- Проверка заявки на подключение, в том числе на соответствие данным ЕГРЮЛ.

- Регистрация сведений об организации.

- Регистрация учетной записи пользователя.

- Привязка сертификата ЭП к учетной записи пользователя.

- Назначение полномочий пользователю.

Шаг 4

Предоставление специальных программных средств (СКЗИ): Выдача дистрибутивов СКЗИ и лицензионных ключей ответственному сотруднику, на которого оформлена доверенность на получение СКЗИ.

Финансовый орган субъекта РФ и МО, орган, осуществляющий полномочия учредителя:

Шаг 5

- Обеспечение соответствия АРМ пользователя требованиям.

- Установка и настройка специальных программных средств.

- Оформление Акта установки СКЗИ (приложение № 22 к Регламенту УЦ) в 2-х экз.

- Распечатка формуляра СКЗИ и заполнение в части раздела «Сведения о закрепления изделия при эксплуатации».

- Вход в «Личный кабинет» с использованием сертификата ЭП и доступ к функциям в соответствии с полномочиями.


Схема представления документов



Требования по обеспечению информационной безопасности


В целях защиты программного и аппаратного обеспечения необходимо обеспечить:

- Применение средств защиты информации;

- Реализация комплекса организационно-технических и административных мероприятий, связанных с обеспечением правильности функционирования технических средств обработки и передачи информации;

- Установка правил для обслуживающего персонала, допущенного к работе с информацией ограниченного доступа.

Детальное описание требований по обеспечению информационной безопасности приведено в приложении к письму Минфина России. Реализацию данных требований обеспечивает администратор информационной безопасности организации.

Организация работ по защите от НСД

Требования по размещению технических средств

Требования по установке общесистемного и специального ПО

Требования по защите от НСД при эксплуатации АРМ пользователей

Средства защиты от НСД

Требования по обеспечению защиты от воздействия вредоносного кода

Средства по обеспечению защиты от воздействия вредоносного кода

Средства межсетевого экранирования

Средства обнаружения вторжений

Требования по обращению со средствами криптографической защиты информации.

Лицензия ФСТЭК России - разрешение, выдаваемое на оказание услуг, касающиеся технической защиты любых сведений ограниченного доступа, в том числе конфиденциальной информации Документ, регламентирующий и одобряющий производство или научную разработку СЗИ, способных в полной мере обеспечить защиту информации.

Основные и наиболее часто востребованные лицензии ФСТЭК:

- на деятельность по технической защите конфиденциальной информации (1);

- на деятельность по разработке и производству средств защиты конфиденциальной информации (1);

- на осуществление мероприятий или оказание услуг в области защиты государственной тайны (4).


Деятельность по технической защите конфиденциальной информации


Деятельность по технической защите конфиденциальной информации это:

1. Контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
- средствах и системах информатизации;
- технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
- помещениях со средствами (системами), подлежащими защите;
- помещениях, предназначенных для ведения конфиденциальных переговоров (защищаемых помещениях).

2. Контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации.

3. Сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).

4. Аттестационные испытания и аттестация на соответствие требованиям по защите информации:
- средств и систем информатизации;
- помещений со средствами (системами) информатизации, подлежащими защите;
- защищаемых помещений;

5. Проектирование в защищенном исполнении:
- средств и систем информатизации;
- помещений со средствами (системами) информатизации, подлежащими защите;
- защищаемых помещений.

6. Установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).


Деятельность по разработке и производству средств защиты конфиденциальной информации


Деятельность по разработке и производству средств защиты конфиденциальной информации это:

1. Разработка средств защиты конфиденциальной информации, в том числе:

- технических средств защиты информации;

- защищенность технических средств обработки информации;

- технических средств контроля эффективности мер защиты информации;

- программных (программно-технических) средств защиты информации;

- защищенных программных (программно-технических) средств обработки информации;

- программных (программно-технических) средств контроля защищенности информации.

2. Производство средств защиты конфиденциальной информации, в том числе:

- технических средств защиты информации;

- защищенных технических средств обработки информации;

- технических средств контроля эффективности мер защиты информации;

- программных (программно-технических) средств защиты информации;

- защищенных программных (программно-технических) средств обработки информации;

- программных (программно-технических) средств контроля защищенности информации.


Осуществление мероприятий или оказание услуг в области защиты государственной тайны*


- в части технической защиты информации;
- в части противодействия иностранным техническим разведкам;
- в части проведения специальных экспертиз организаций – соискателей лицензий ФСТЭК России;
- на проведение работ, связанных с созданием средств защиты информации*.


* Для данных лицензий необходимо иметь действующую лицензию ФСБ на осуществление работ с использованием сведений, составляющих государственную тайну.

Вся необходимая информация о порядке предоставления лицензий на деятельность по технической защите конфиденциальной информации и на деятельность по разработке и производству средств защиты конфиденциальной информации размещена на официальном сайте ФСТЭК России www.fstec.ru в разделе «Лицензирование» (информационное сообщение ФСТЭК России от 26 марта 2015 г. № 240/13/1139).

Консультирование (информирование) по вопросам предоставления, переоформления, продления срока действия, приостановления, возобновления или аннулирования лицензии на деятельность по технической защиты конфиденциальной информации в устной форме осуществляется по вторникам и четвергам с 10.00 до 12.00 (время местное) по всем Управлениям в федеральных округах