Статьи (страница 38)

Постановлением Правительства РФ № 333 о лицензировании работы с гостайной определено, что продление лицензии ФСБ производится в том же порядке, что и её получение. То есть, лицензиат по прошествии трёх лет обязан собрать тот же пакет документов, направить его на проверку в ФСБ, пройти специальную экспертизу на соответствие лицензионным требованиям по защите государственной тайны на предприятии, и тогда лицензия ФСБ будет продлена ещё на 5 лет.

Нюансы продления лицензии ФСБ на гостайну

Самый частый вопрос: какие документы нужно подать, чтобы продлить лицензию. Судя по смыслу Постановления № 333 — те же, что и при первоначальном лицензировании. Многие считают, что достаточно предъявить тот же пакет документов, иногда даже заботливо хранят полную его копию. И забывают, что за время работы в фирме могли произойти кадровые, технические и организационные изменения, которые должны быть отражены в документах и учтены при подготовке к продлению лицензии.

Чтобы не было неожиданностей, готовьтесь к продлению лицензии ФСБ за 5–6 месяцев до окончания её срока. Это время может пригодиться, если откроются недочёты, устранение которых требует длительного согласования или оформления (например, переоформление допуска директора, заключение договора с другим РСП, замена сотрудников и т. д.)

Подробнее…

Работа в сфере информационной безопасности в России популярна и престижна, однако при этом наблюдается серьёзная нехватка грамотных кадров. Институтские знания выпускника устаревают почти сразу после выхода из стен вуза — получается специалист по информационной безопасности без практического опыта. Чтобы адекватно противодействовать попыткам хищения и порчи информации, молодой специалист должен продолжать учиться, быть в курсе последних новостей и новинок в сфере технической защиты информации, иметь доступ к актуальной информации по противодействию хакерским атакам. Где найти такого сотрудника, который будет постоянно и по своей инициативе оттачивать навыки и учиться?

Новые стандарты по специальности

В качестве «мотивации» крупные госкорпорации и государственные органы решили сделать такое совершенствование обязательным.

Уже идёт работа по созданию профессиональных стандартов для IT-специалистов и работников служб информационной безопасности, которые позволят собрать воедино требования к квалификации работников, специализирующихся в области борьбы с киберпреступностью. Госорганы, а также государственные учреждения и организации, должны соблюдать эти стандарты в обязательном порядке: с момента их введения нельзя устроиться на работу в сфере информационной безопасности, не имея соответствующего сертификата.

Подробнее…

Существует несколько разновидностей аудита информационных систем организации. Чаще прочих заказывают активный аудит, также известный как инструментальный анализ защищённости. По сути он представляет собой моделирование хакерских атак, работу взломщика «в полевых условиях» — именно так можно выяснить на практике, насколько хорошо информационная система защищена от проникновения извне. Многие предпочитают заказывать такую проверку перед аттестацией для получения лицензии ФСТЭК на ТЗКИ или лицензий ФСБ, требующих надёжной защиты технических каналов связи.

Для большей надёжности результатов проверяющему не представляют внутреннюю информацию о сетевой защите, — он работает, как работал бы реальный хакер только на основании того, что можно найти в публичных источниках. Количество и разнообразие моделируемых атак зависит от программного обеспечения, находящегося в распоряжении проверяющего, и его собственного знания IT-технологий.

Методы активного аудита информационных систем

Существует две разновидности этого типа аудита — так называемые внешний и внутренний. Проверяющий в ходе внешнего аудита информационной безопасности применяет методы, имитирующие действия хакера, работающего извне:

• собирает все сведения об информационных системах компании, какие можно добыть из публичных источников;

Подробнее…

Государственная аттестация руководителя по гостайне — один из этапов подготовки к получению лицензии ФСБ, однако в некоторых случаях — необязательный. В ходе данной процедуры директор компании-соискателя подтверждает компетентность и способность должным образом обеспечить защиту государственной тайны в своей организации.

Кто осуществляет аттестацию руководителя на гостайну

Аттестацию организуют госорганы, ведающие лицензированием (в данном случае — ФСБ России), а также министерства и ведомства РФ, руководители которых вправе относить к гостайне информацию, касающуюся работы подконтрольных организаций и предприятий.

О необходимости аттестации выносится предписание. Ведомства и министерства, а также лицензирующие органы могут разрабатывать собственные положения об аттестации руководителей, учитывающие специфику работы ведомственных организаций и защиты на них секретной информации.

Подробнее…

Для работы с информацией конфиденциального характера и подготовки к оформлению лицензии на ТЗКИ подойдёт только программное обеспечение, прошедшее сертификацию ФСТЭК. Заявку на её прохождение может подать как изготовитель данного ПО, так и продавец, и поставщик, а также лицо, уполномоченное изготовителем. В нашей стране за выдачу таких сертификатов отвечают несколько ведомств, но основными из них являются ФСТЭК и ФСБ.

Если программное обеспечение для гарантии безопасности информации использует протоколы шифрования, значит, сертификация будет проходить под контролем ФСБ. Необходимо учесть, что на территории РФ разрешены к применению только шифровальные алгоритмы отечественной разработки. Чтобы узнать, каким именно стандартам должно отвечать ПО для успешного прохождения процедуры, нужно получить особый допуск к документам с грифом «для служебного пользования» — в открытом доступе этих сведений нет.

Сертификацией некриптографических СЗИ заведует ФСТЭК. В отличие от нормативов ФСБ, требования ФСТЭК к проверяемому ПО выложены на официальном сайте, где их можно просмотреть совершенно свободно.

Подробнее…

Спецэкспертиза — последняя проверка организации, претендующей на получение лицензии ФСБ. По итогам экспертизы лицензирующий отдел примет решение либо о выдаче лицензии на гостайну, либо об отказе в таковой.

Кто проводит экспертизу

Постановлением Правительства РФ № 333 предусмотрено, что специальную экспертизу проводит:

• сам лицензирующий орган (лицензионный отдел ФСБ);
• специально уполномоченные ФСБ аттестационные центры или организации, имеющие лицензию на оказание услуг в области защиты гостайны с правом производства специальных экспертиз других организаций и предприятий — при отсутствии возможности у лицензирующего органа и по его поручению.

Что проверяют

В рамках специальной экспертизы для получения лицензии ФСБ на гостайну проверяют соблюдение лицензионных требований. На практике это означает, что проверке подлежат:

Подробнее…

Тем, чья деятельность связана с обеспечением информационной безопасности и защитой данных, наверняка знакома аббревиатура ФСТЭК. Для тех, кто никогда о ней не слышал или ещё не до конца разобрался, в чём её сущность и главные функции — краткая информация о том, что такое ФСТЭК и какие задачи она выполняет.

Это учреждение было основано 5 января 1992 года и в то время называлось Государственной технической комиссией. В 2004 году по президентскому указу комиссия была переименована во ФСТЭК. Расшифровка этой аббревиатуры: «Федеральная служба по техническому и экспортному контролю».

Сейчас это федеральный орган исполнительной власти Российской Федерации, находящийся в подчинении у Министерства обороны. Деятельностью службы управляет непосредственно Президент РФ. Основные функции ФСТЭК заключаются в контроле над обеспечением безопасности информации, имеющей критическую важность для существования и правильного функционирования нашего государства, борьбе с техническими разведками других государств на территории страны, а также контроле экспорта товаров двойного назначения и товаров, ограниченных в международном обороте при внешнеэкономической деятельности.

Подробнее…

В связи с тем, что с 1 декабря 2016 года начали действовать новые требования к сертификации, использованию и продажам межсетевых экранов, стали возникать вопросы, что делать с экранами, имеющими сертификаты старого образца. Особенно этот вопрос интересует тех, кто планирует получение лицензии ФСТЭК на деятельность по защите информации и готовится к аттестации. 27 марта 2017 года ФСТЭК обнародовала информационное сообщение, проясняющее эти вопросы.
В сообщении говорится, что:

• новые межсетевые экраны будут получать сертификаты исключительно нового образца;
• можно запускать в серийное производство и поставлять экраны со старыми сертификатами, если сертификат еще действителен;

Подробнее…

Решили открыть собственное дело, требующее специальных разрешений? Для этого не обязательно создавать новую компанию, можно купить уже имеющуюся с уже оформленными сертификатами и лицензиями. Всё зависит от ситуации и ваших требований к будущему бизнесу. Какой вариант выбрать? Давайте разберёмся.

Создать фирму с нуля

Создание компании — путь более длинный, но и более безопасный. Ведь у только что основанной фирмы не может быть никаких проблем с государственными органами, долгов предыдущих владельцев и т. п. Чистый юридический адрес и оригинальное наименование также способны заметно облегчить жизнь. Кроме того, при оформлении нового юридического лица все данные, связанные с ним (состав учредителей, реквизиты компании и т. д.), останутся абсолютно конфиденциальными.

Подробнее…

Для работы со средствами криптографической защиты информации (СКЗИ) требуется соответствующая лицензия ФСБ. Она выдаётся на неограниченный срок действия, однако вас периодически будут проверять на соответствие лицензионным требованиям, поэтому ещё до подачи документов на получение лицензии ФСБ на криптографию следует знать, что ожидает компанию после её получения.

Список работ, требующих оформления лицензии на криптографию, можно найти в ФЗ № 99 от 04.05.2011 г. «О лицензировании отдельных видов деятельности».

Чаще всего лицензию запрашивают организации, которые:

• перепродают СКЗИ. Такую лицензию получить проще всего;

Подробнее…

Рынок информационных технологий растёт с каждым днём, а значит, всё выше спрос на специалистов, способных обеспечить надёжную защиту данных. Это не только крайне востребованная, но и высокооплачиваемая профессия, однако здесь, как и в любой сфере, работодатели предъявляют к кандидатам определенные требования.

Современный безопасник — кто он?

Итак, чтобы преуспеть в данной области, вам пригодятся такие профессиональные данные:

• умение работать в команде и налаживать отношения. Проекты, в которых вы будете принимать участие, разрабатывая новый продукт, предлагая его публике или внедряя новую технологию — дело командное, а значит, без навыков работы в коллективе не обойтись.
• открытость новым веяниям в индустрии и умение извлечь из них максимальную пользу. Информационные технологии и способы технической защиты данных развиваются стремительно, и всё, что вы так старательно вызубривали в университете, на практике легко может оказаться бесполезно. Ещё несколько лет назад информационная безопасность не волновала практически никого.
  Поэтому важно уметь чувствовать, куда дует ветер, и учиться работать в постоянно меняющихся условиях.

Подробнее…

Слово «сертификат» невольно внушает уважение. Поэтому логично предположить, что система Linux с сертификатом ФСТЭК должна быть лучше обычной: работать быстрее, реже падать и т. д. Но так ли это на самом деле?

Что такое сертификат ФСТЭК и как его получить?

Любая операционная система, планируемая для работы с данными ограниченного доступа, должна пройти предварительную экспертизу Федеральной службы по техническому и экспортному контролю. Особенно это касается ОС, планируемых для оснащения объектов информатизации перед оформлением лицензии ФСТЭК на ТЗКИ. Для успешной проверки контролёру передаются исходный код ОС и техническая документация (подробное описание). Полученный Linux сертификат ФСТЭК подтверждает высокую степень защищённости системы и возможность её применения для обработки конфиденциальной информации.

Подробнее…