Получение лицензии ФСТЭК на осуществление мероприятий и оказание услуг по технической защите конфиденциальной информации - Форум по вопросам информационной безопасности

Алексей, Новые технологии | 22151

Обучите специалиста, все равно придется. А потом задайте ему эти вопросы (или напишите их на бумаге и вручите их ему, отправляя на обучение).

В Положении о лицензировании деятельности по технической защите конфиденциальной информации говорится:

4. Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:
г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

В связи с этим вопрос, а если у кандидата в лицензиаты нет АС, обрабатывающей КИ и соответственно средств защиты для такой АС.
К примеру, кандидат собирается защищать информацию у сторонних организаций.
К примеру, холдинг, куча дочек, есть общее сервисное подразделение (отдельное юр.лицо) в задачу которого входит и обеспечение ИБ всех дочек. А вот своей АС нет, ну не нужно им, или КИ в такой АС нет.

То как быть в такой ситуации?

Попробую привести перечень измерительного оборудования:
Для выявления утечек по акустическим каналам:
Генератор шума акустического диапазона. Выходной сигнал-«белый шум» с нормальной плотностью распределения вероятности в диапазоне частот 175-5600Гц. Г2-37, «Шорох», Г2-47. Поверка не требуется
Генератор Н/Ч. Диапазон частот 175-5600Гц, амплитуда выходного сигнала не менее 5В Г3-36А, Г3-48,Г3-53… Поверка не требуется
Усилитель мощности. Диапазон частот 175-5600Гц, выходная мощность не менее 10Вт. Любой хороший акустический усилитель мощности. Поверка не требуется
Акустический излучатель. Диапазон частот 175-5600Гц, неравномерность АЧХ не более +-6дБ, уровень звукового сигнала на расстоянии 1м не менее 85дБ. Любая качественная акустическая система. Поверка не требуется
Измеритель шума и вибраций. Диапазон частот 175-5600Гц, пределы измерений 25…120дБ, класс точности не ниже второго. ВШВ-002, ВШВ-003, ВШВ-005. Требуется поверка. Должно быть внесено в гос. Реестр как тип средства измкркний.
Измерительные микрофоны. Диапазон частот 175-5600Гц, неравномерность АЧХ не более +-2дБ (обычно входит в комплект измерителя шума и вибраций). Требуется поверка.
Вибродатчики (акселорометры). Диапазон частот 175-5600Гц, чувствительность не хуже 1мВ.мс-2 (обычно входит в комплект измерителя шума и вибраций). Требуется поверка.
Полосовые актавные фильтры. Диапазон частот 175-5600Гц, соответствующие ГОСТ 17168-82 (обычно входит в комплект измерителя шума и вибраций). Требуется поверка.
Селективный нановольтметр. Диапазон частот 157-5600Гц, погрещность измерений не более 15%. Unipan-232, Unipan-233, Unipan-237. Требуется поверка. Должно быть внесено в гос. Реестр как тип средства измерений
Все это оборудование может быть заменено комплексом "Спрут"

Оброудование для выявления ПЭМИН
Селективный микровольтметр. Диапазон частот 9кГц-1ГГц, погрешность (предельная чувствительность) не хуже 1дБмкВ. Полосы пропускания 9и120кГц, детекторы пиковый и квазипиковый, погрешность калибровки не более 2дБ. Можно использовать спектроанализатор. Требуется поверка. Должно быть внесено в гос. Реестр как тип средства измерений
Комплект измерительных антенн. Магнитные антенны (диапазон частот 9кГц-30Мгц). Электрические антенны (диапазон частот 9кГ-1ГГц). АИ 5.1,
АИР 2.3.. Требуется калибровка (калибрровка производится с комплектом кабелей и штативов)
Генератор сигналов высокочастотный. Диапазон 9кГц-1ГГц. Обычно диапазон перекрывается несколькими генераторами. Поверка не требуетсяИзмерительный пробник (или токосъёмник). Диапазон частот 9кГц-300МГц. ТИ2-3
ТИ2-2. Требуется калибровка
Осциллограф. Полоса пропускания до 5МГц. . Калибровка не требуется
Все это можно заменить комплексом Навигатор или Легенда

И последнее перечень необходимых программ:
Комплект программ для создания тестовых режимов. -монитор
-клавиатура
-принтер
-LAN
ПО Анализатор уязвимостей. . Ревизор-ХР
Или НКВД2.2+НКВД2.3. Обязательно наличие защитного знака ФСТЭК и действующей (не просроченной) лицензии от изготовителя.
ПО. Программа контроля уничтожения остаточной информации на НЖМД. . «Терьер-х». Обязательно наличие защитного знака ФСТЭК и действующей (не просроченной) лицензии от изготовителя
ПО. Программа фиксации и контроля состояний програмного комплекса. . «Фикс-х». Обязательно наличие защитного знака ФСТЭК и действующей (не просроченной) лицензии от изготовителя
ПО. Анализатор уязвимостей (для сети). Например Nesus. Если необходимо произвести контроль защищённости сети. Сертифицированных ФСТЭК программ пока нет, в принципе «свободно распространяемое ПО»

Выше в постах большой список оборудования, необходимый для лицензиата ФСТЭК. В основном это оборудования по части защиты утечек по ПЭМИН и акустическим каналам.
Но во многих ИСПДн утечка по этим каналам не актуальная, т.е. фактически защита и не требуется.
В различных форумах было много обсуждений на тему, нужна ли лицензия ФСТЭК "для собственных нужд". Тем более это сейчас очень актуальный вопрос для операторов ПДн.
Правильно ли я понимаю, что для защиты ПДн в своей сети (если я не хочу приглашать стороннего лицензиата) мне все равно придется приобретать (арендовать) все это не нужное железо даже в том случае, если я предоставлю во ФСТЭК модель угроз, где ПЭМИН и акустика не актуальны.

Доброе время суток.
Для "Игорь"
Уж берётесь советовать, так делайте это профессионально. Или не стоит трудится...
1. Для акустических измерений выходная мощност УНЧ (и колонки, естественно) нужна не менее 30-50 Вт. Иначе чуть дверь посерьёзнее или стенка - ничего не измерите.
2. При акустических измерениях селективный вольтметр никому и никогда не был нужен. Нужен только шумомер/вибромер.
3. НЧ "селективник" нужен для АЭП. И изделие "Спрут" его никогда не заменит, поскольку не является средством измерения малых электрических напряжений (по сертификату). Заменить вольтметр Unipan может анализатор НЧ UPL (R&S) или специализированные комплексы "Гриф-АЭ-1001", "Талис-НЧ", "Талис-НЧ-Лайт", в какой-то мере "Аист". Но уж никак не "Спрут".
4. Диапазон рабочий микрофонов нужен более широкий (почитайте "Главную книгу" и/или МВТР часть 1)
5. Диапазон частот исследований по ПЭМИН переврали, увы. Тип антенн - тоже (АИР3-2, АИ-5-0), как и диапазон электрических антенн!
6. Специализированные системы контроля ПЭМИН - существуют ещё АРК Д1, "Сигурд", "Зарница". Сравнивать не буду - обвинят в пристрастности ;-)
7. Оборудования для контроля АЭП (НЧ и ВЧ) не указали вовсе.
8. Оборудования для контроля ВЧН/ВЧО не указали.
Берётесь делать (советовать) - делайте хорошо. Или не беритесь.
Чак

> Анализатор уязвимостей (для сети). Например Nesus. Если необходимо произвести контроль защищённости сети. Сертифицированных ФСТЭК программ пока нет, в принципе «свободно распространяемое ПО»

Прислоединяюсь к Chechako :)

Сертифицированные ФСТЭК средства анализа защищенности (то, что вы назвали "анализаторами уязвимостей"). Но для получения лицензии ФСТЭК они не требуются.

Ну вот, от возмущения даже строчку не дописал :)

Сертифицированные ФСТЭК средства анализа защищенности есть, и слава богу, что для получения лицензий они не нужны. А то моя работа превратилась бы в профанацию.

"слава богу, что для получения лицензий они не нужны"

А от кудо такая уверенность? Недавно лицензию получали, или есть утвержденный регламент что нужно что нет при получении лицензии, или письмо из отдела лицензирования?

Скепсис про профонацию разделяю!