ФСТЭК и разрешительные документы
ФСТЭК расшифровывается как Федеральная служба по техническому и экспортному контролю. Она входит в состав Министерства обороны РФ и предназначена для защиты государства и его интересов от служб внешних разведок всех недружественных России стран. До 2004 года эта служба имела название Государственная техническая комиссия при Президенте РФ. В состав данной службы входит Государственный испытательный научно-исследовательский институт проблем технической защиты информации.
ФСТЭК на основе существующего Положения об этой организации, в том числе, выполняет функции, которые позволяют говорить о разрешительных документах ФСТЭК. (Данный текст не затрагивает тему непосредственно экспортного контроля и соответственно разрешительные документы ФСТЭК, относящиеся к данному виду деятельности федеральной службы). Это следующие виды деятельности:
- лицензирование ФСТЭК;
- сертификация ФСТЭК;
- проведение экспертиз при оформлении допуска к государственной тайне.
Лицензионные разрешительные документы ФСТЭК
Оформляются федеральной службой на базе Положения о лицензировании, введенного в действие Правительством РФ путем принятия Постановления № 504 от 15 августа2006 г. № 504. Относится этот документ к получению разрешительных документов ФСТЭК в сфере технической защиты конфиденциальной информации, которая включает в себя услуги и мероприятия по защите информации от несанкционированного доступа. Несанкционированный доступ может осуществляться также и по техническим каналам, что также является объектом действия данного Положения. Специальные воздействия на информацию для ее блокировки, искажения или уничтожения также считаются несанкционированным доступом.
Требования, которые предъявляются соискателям лицензии в указанной сфере для оформления разрешительных документов СФТЭК следующие:
- присутствие в штате специалистов с высшим или средним образованием (с наличием повышения квалификации или переподготовки) в области технической защиты информации;
- присутствие специально оборудованных для лицензируемой деятельности помещений и соответствие их техническим нормам и законодательству на законных основаниях;
- наличие оборудования контрольно-измерительного, производственного, испытательного;
- присутствие у всех видов оборудования маркировки, сертификатов и документов, подтверждающих прохождение метрологической поверки (калибровки);
- при применении автоматизированных оборудование информационных систем, которые в базах данных содержат конфиденциальную информацию, средствами защиты информации, аттестованных и сертифицированных по требованиям безопасности информации;
- пользование в целях обработки конфиденциальной информации только лицензионным программным обеспечением при наличии договора с разработчиками;
- наличие требуемой нормативной, правовой, нормативно-методической и методической документации, связанной с технической защитой информации.
Получить разрешительные документы ФСТЭК на защиту информации должны организации, чья деятельность связана с проведением мероприятий и оказанием следующих услуг в области государственной тайны и ее защиты:
- проектирование секретных объектов, контроль защиты информации, являющейся государственной тайной;
- проведение специальных исследований технических средств обработки информации;
- проведение работ по сертификации технических средств защиты и обработки информации;
- по сертификации технических и программных средств контроля защиты информации;
- проведение аттестации средств и систем на соответствие требованиям по защите информации;
- работы по разработке и внедрению средств защиты информации;
- оказание услуг в области защиты государственной тайны или проведение мероприятий в области защиты государственной тайны;
- оказание услуг спецэкспертизы для организаций, желающих получить разрешительные документы ФСТЭК.
Для того чтобы оформить разрешительные документы ФСТЭК, соискателю придется пройти несколько ответственных процедур:
- осуществление подготовки организации к ведению лицензионного вида деятельности;
- переквалификацию персонала и его дистанционное обучение в соответствии с требованиями лицензирования в выбранной сфере деятельности по защите информации;
- экспертный анализ соответствия организации условиям и требованиям получения лицензии ФСТЭК по выбранному виду деятельности;
- экспертный анализ соответствия оргтехники и компьютерной техники требованиям ФСТЭК.
Сертификационные разрешительные документы ФСТЭК
Оформляются на основе Положения о сертификации средств защиты информации , которое утверждено приказом Государственной технической комиссии при Президенте РФ от 27 октября1995 г. № 199 с последующими модификациями. Получение сертификационных разрешительных документов ФСТЭК необходимо в следующих случаях:
- для обеспечения безопасности объектов информатизации в соответствии с требованиями российского законодательства;
- для средств противодействия техническим разведкам;
- для обеспечения безопасности информационных технологий, которые используются для формирования государственных информационных ресурсов;
- для технической защиты информации.
Один из Руководящих документов по формированию семейств профилей защиты, выпущенный Гостехкомиссией РФ в 2003 году, предусматривает 4 класса защищенности изделий информационных технологий (ИТ):
- 1 класс используется при защите информации с наличием грифа «ОСОБОЙ ВАЖНОСТИ»;
- 2 класс используется при защите информации с наличием грифа «СОВЕРШЕННО СЕКРЕТНО»;
- 3 класс используется при защите информации с наличием грифа «СЕКРЕТНО»;
- 4 класс используется при защите конфиденциальной информации.
Из практики. Чтобы программно-аппаратные средства или различное программное обеспечение стали законными в отдельных случаях для использования в качестве системного или сервисного программного обеспечения, требуется оформление специального разрешения Федеральной службы по техническому и экспортному контролю в виде разрешительных документов ФСТЭК.
Так всемирно известная фирма «Сиско Системс» еще в 2008 году прошла сертификацию и получила разрешительные документы ФСТЭК, подтверждающие отсутствие недекларированных возможностей ее аппаратных средств и используемого программного обеспечения.
В последние годы различные семейства программного обеспечения типа «Microsoft Windows 7» и «Microsoft Windows Server 2008» получили соответствующие сертификаты ФСТЭК.
Фирма ESET NOD32 предоставила свои антивирусные продукты для анализа соответствия требованиям ФСТЭК. Данная фирма подтвердила тот факт, что ее антивирусное программное обеспечение может быть использовано на тех вычислительных средствах, где также производится обработка данных, подвергающихся регулированию законом о персональных данных граждан Российской Федерации.
Допуск к государственной тайне
Определяет права доступа граждан и должностных лиц к государственной тайне Федеральная служба безопасности (ФСБ) РФ. Но в некоторых случаях, чтобы были оформлены такие разрешительные документы, требуется экспертиза, включенная в полномочия ФСТЭК. Поэтому Федеральная служба по техническому и экспортному контролю совместно с ФСБ участвует в осуществлении специальных экспертиз по выдаче разрешений организациям к проведению работ, составляющих государственную тайну. ФСТЭК также является участником государственной аттестации, проводимой для руководителей, ответственных за защиту государственной тайны.