Прошел экстерном экзамен по курсу перепордготовки "Информационная безопасность". Хочу получить диплом, но не вижу где оплатить? Ну и соответственно , как с получением бумажного документа? |
Организационно-правовые аспекты защиты информации
Что такое сертифицированный продукт?
Продукты Майкрософт, сертифицированные во ФСТЭК, с точки зрения программного кода ничем не отличаются от обычных лицензионных легальных продуктов Майкрософт. Программная реализация продуктов Майкрософт позволила получить соответствующие сертификаты ФСТЭК без изменений программного кода. Однако в соответствии с законодательством России сертифицированные продукты ФСТЭК имеют ряд других важных отличий от несертифицированных продуктов. Так как в соответствии с законодательством государство проверяет каждый экземпляр сертифицированного продукта на его идентичность экземпляру, прошедшему сертификацию, с выдачей соответствующих документов, и ведет поэкземплярный учет каждой копии сертифицированного продукта, то :
- Каждый экземпляр сертифицированнго продукта имеет пакет документов государственного образца о том, что данный продукт является сертифицированным, включая голографический знак соответствия ФСТЭК с уникальным номером, которая идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.
Дополнительно к этому каждая организация, купившая сертифицированный продукт, имеет защищенный доступ к персональной для этой организации странице на специализированном сайте, откуда данная организация будет получать сертифицированные обновления.
Продукты Майкрософт, сертифицированные в ФСБ, кроме обычного лицензионного продукта Майкрософт содержат дополнительное программное обеспечение, разработанное российскими организациями для того, чтобы данные продукты Майкрософт могли удовлетворять требованиям, предъявляемым ФСБ к программным продуктам. Дополнительные программые продукты называются " Service Pack Rus для Windows XP ", " Service Pack Rus для Windows Server " и " Service Pack Rus для Удостоверяющего центра" соответственно. Эти дополнительные программные продукты содержат и крипто-сервис провайдеры компании Крипто-Про, которые позволяют зашифровывать информацию и подписывать документы электронной цифровой подписью с использованием российских криптографических алгоритмов.
Таким образом, сертифицированные в ФСБ продукты состоят из:
- Обычного лицензионного продукта Майкрософт, и
- Дополнительного " Service Pack Rus " для этого продукта.
Почему надо использовать сертифицированные продукты
Для ряда организаций использование сертифицированных продуктов является необходимым. К таким организациям относятся государственные организации, негосударственные организации, работающие с так называемой "служебной информацией государственных органов", а также ряд других организаций в соответствии с российским законодательством (например, организации, подпадающие под соответствующие требования "Закона о персональных данных").
Ниже приведены выдержки из законодательных и регулирующих документов, из которых в совокупности следует необходимость применения сертифицированных средств защиты информации:
- В Федеральном законе 149 (ФЗ) ст.14 п.8 сказано о том, что "…технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании"
- В ФЗ 184 "О техническом регулировании" в ст.4 . "федеральные органы исполнительной власти наделены правом издавать в сфере технического регулирования акты обязательного характера, в случаях, установленных статьей 5"
- Статья 5 ФЗ 184 касается, в том числе, и продукции, используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации к информации ограниченного доступа (в том числе "служебная информация госорганов")
- Уполномоченным органом, наделенным правом устанавливать обязательные требования по защите информации, в соотв. со ст.15 ФЗ 149 является ФСТЭК России
- В частности, в нормативном документе СТР-К (Специальные требования по защите конфиденциальной информации) ФСТЭК России утверждается
- п.2.3. "Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования".
- п. 2.16. " Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации средства защиты информации. Порядок сертификации определяется законодательством Российской Федерации".
- п.2.17. "Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии нормативными документами ФСТЭК России и требованиями настоящего документа".
- Закон РФ N 5485-1 от 21 июля 1993 г. ("Закон о государственной тайне") определяет средства защиты информации, как "составную часть информационных систем или продуктов". Из этого следует, что, например, Windows содержит средства защиты информации, хотя само не является таковым средством
В соответствии с приведенными законами соответствующие организации (в частности, государственные) обязаны использовать программные и аппаратные средства с сертифицированными средствами защиты информации.
Предоставление исходных кодов
В 2002 году Майкрософт разработала программу Government Security Program ( GSP ), в рамках которой организациям, участвующим в государственных проектах по совершенствованию защищенных информационных систем, предоставляет доступ к исходным кодам продуктов Майкрософт. Россия является первой страной в мире, подписавшей с Майкрософт Соглашение GSP. Это Соглашение было подписано в 2002 году между Майкрософт и ФГУП НТЦ "Атлас" и согласовано с ФАПСИ. После преобразования ФАПСИ Соглашение было переподписано с ФГУП НТЦ "Атлас" и согласовано с ФСБ. Соглашение действует и по настоящее время. Структура Соглашения позволяет иметь доступ к исходным кодам продуктов Майкрософт не только ФСБ, но и ФСТЭК, Министерству обороны, Министерству атомной промышленности, и другими организациями, работающим в государственных проектах по совершенствованию защищенных информационных систем.
ФГУП НТЦ "Атлас" является Центром по предоставлению доступа к исходным кодам продуктов Майкрософт. В нем организованы специальные помещения, где специалисты проводят анализ исходных кодов не только для целей сертификации продуктов Майкрософт на соответствие российским требования по безопасности информации, но и для решения других государственных задач. Майкрософт активно поддерживает эти работы, постоянно расширяя список доступных для исследования исходных кодов, и предоствляя необходимую технологическую и консультационную поддержку по вопросам функционирования подуктов.
Текущие результаты сертификации
В настоящее время во ФСТЭК (бывшая Гостехкомиссия России) сертифицированы следующие продукты Microsoft:
- клиентская операционная система Windows XP Professional русская версия (включая ОЕМ производство)
- клиентская операционная система Windows Vista ( Business, Enterprise, Ultimate ) русская версия (включая ОЕМ производство)
- серверная операционная система Windows Server 2003 ( Standard Edition и Enterprise Edition ) русские версии
- серверная операционная система Windows Server 2003 R2 ( Standard Edition и Enterprise Edition ) русские версии
- система управления базами данных SQL Server 2000 ( Standard Edition и Enterprise Edition ) английские версии
- система управления базами данных SQL Server 2005 ( Standard Edition и Enterprise Edition ) русские версии
- платформа приложений Office 2003 Professional русская версия, включая встроенную технологию управления цифровыми правами документов IRM, работающую с серверной технологией RMS, встроенную в Windows Server 2003
- платформа приложений Office 2007 Professional русская версия, включая встроенную технологию управления цифровыми правами документов IRM, работающую с серверной технологией RMS, встроенную в Windows Server 2003
- межсетевой экран ISA Server 2006 ( Standard Edition ) русская версия - сертификаты получены как на соответствие Общим Критериям, так и на соответствие Руководящим документам "СВТ. Межсетевые экраны…" - по третьему классу защищенности
- линейка антивирусных продуктов Forefront для серверов и рабочих станций ( Forefront для Exchange Server, Forefront для SharePoint Server, и Forefront Client )
- сервер управления почтовыми сообщениями Exchange Server 2007
- сервер для документооборота Office SharePoint Server 2007
- сервер для управления бизнес-процессами BizTalk Server 2006 R2.
В соответствии с полученными сертификатами ФСТЭК указанные сертифицированные продукты позволяют строить автоматизированные системы до класса защищенности 1Г включительно. В настоящее время в России организовано массовое производство всех сертифицированных версий продуктов Майкрософт. Это позволяет заказчикам приобретать любые количества сертифицированных продуктов. Непрерывная сертификация выходящих ежемесячно новых патчей к продуктам позволяет покупателям иметь сертифицированную версию не только с самыми последними обновлениями системы безопасности, но и соответствующую при этом требованиям законодательства.
В настоящее время в ФСБ сертифицированы следующие продукты Microsoft:
- клиентская операционная система Windows XP Professional русская версия
- серверная операционная система Windows Server 2003Enterprise Edition русская версия
Сертификаты ФСБ удостоверяют, что указанные продукты соответствуют требованиям ФСБ России к защите информации, не содержащей сведений, составляющих государственную тайну, от несанкционированного доступа в автоматизированных информационных системах класса АК2.
В ФСБ также получено положительное заключение экспертной организации по результатам сертификационных испытаний Удостоверяющего центра, входящего в состав Windows Server 2003, на соответствие его уровню КС2 в соответствии с требованиями ФСБ.
Краткие итоги
В лекции были рассмотрены законодательные и правовые основами защиты информации, в т.ч. один из самых актуальных на сегодняшний день регулирующих документов - "Закон о персональных данных". Изучены принципы разработки политики безопасности. Особое внимание уделено инициативе Microsoft по сертификации своих продуктов на соответствие требованиям регулирующих органов в РФ