Дружин Олег Вячеславович Заместитель начальника Управления телекоммуникационных систем Управление делами Президента Российской Федерации Предприятие по поставкам продукции Как обеспечить выполнение требований государства по защите информации
Президент Российской Федерации Управление делами Президента Российской Федерации Правительство РФ Администрация Президента РФ Федеральное собрание РФ Аппарат Правительства РФ Аппараты полномочных представителей Президента РФ в федеральных округах Государственная Дума РФСовет Федерации РФ Центральная избирательная комиссия Счетная палата РФ Конституционный Суд РФВерховный Суд РФ Высший арбитражный Суд РФ Федеральное Государственное унитарное предприятие Предприятие по поставкам продукции Управления делами Президента Российской Федерации Управление телекоммуникационных систем Структура материально-технического обеспечения федеральных государственных органов (В соответствии с Указом Президента Российской Федерации от г. 1444)
Нормативно-правовая база Российской Федерации по защите информации
«Доктрина информационной безопасности Российской Федерации» Пр-1895 от г. Федеральные законы 149-ФЗ от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации» 152-ФЗ от 27 июля 2006 г. «О персональных данных» 16-ФЗ от 9 февраля 2007 г. «О транспортной безопасности» 98-ФЗ от 29 июля 2004 г. «О коммерческой тайне» 126-ФЗ от 7 июля 2003 г. «О связи» (с изменениями от 23 декабря 2003 г., 22 августа, 2 ноября 2004 г., 9 мая 2005 г.) 218-ФЗ от 30 декабря 2004 г. «О кредитных историях» другие (более 80 законов в той или иной мере касаются вопросов защиты тайны, в них упоминаются более 30 видов информации ограниченного доступа (тайн))
Указы Президента Российской Федерации 188 от 6 марта 1997 г. «Об утверждении перечня сведений конфиденциального характера» 1111 от 23 сентября 2005 г. «О внесении изменений в перечень сведений конфиденциального характера, утвержденный Указом Президента Российской Федерации от 6 марта 1997 г. 188» Постановления Правительства Российской Федерации N 781 от 17 ноября 2007 года «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Руководящие документы и другие нормативные акты федеральных органов исполнительной власти, уполномоченных в области обеспечения безопасности и в области противодействия техническим разведкам и технической защиты информации «СТР-К» - Специальные требования и рекомендации по технической защите конфиденциальной информации. регламенты, профили защиты, РД ФСТЭК и др.
Федеральный закон от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и о защите информации» Статья 16. Пункт 5 Требования о защите информации, содержащиеся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.
Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Статья 19. Пункт 1 Оператор при обработке персональных данных обязан принимать необходимые организационных и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Пункт 2Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. Пункт 3Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляется федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
Федеральный закон от 7 июля 2003 г. N 126-ФЗ «О связи» (с изменениями от 23 декабря 2003 г., 22 августа, 2 ноября 2004 г., 9 мая 2005 г.) Статья 53. Базы данных об абонентах операторов связи 1. Сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются конфиденциальной информацией и подлежат защите в соответствии с законодательством Российской Федерации. К сведениям об абонентах относятся фамилия, имя, отчество или псевдоним абонента- гражданина, наименование (фирменное наименование) абонента - юридического лица, фамилия, имя, отчество руководителя и работников этого юридического лица, а также адрес абонента или адрес установки оконечного оборудования, абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.
Федеральный закон Российской Федерации от 9 февраля 2007 г. N 16-ФЗ «О транспортной безопасности» Статья 11. Информационное обеспечение в области транспортной безопасности 1. В целях осуществления мер по обеспечению транспортной безопасности федеральным органом исполнительной власти, осуществляющим функции по выработке государственной политики и нормативно-правовому регулированию в сфере информационных технологий и связи, создается единая государственная информационная система обеспечения транспортной безопасности, являющаяся собственностью Российской Федерации. 2. Информационная система, указанная в части 1 настоящей статьи, состоит в том числе из автоматизированных централизованных баз персональных данных о пассажирах. 3. Автоматизированные централизованные базы персональных данных о пассажирах формируются на основании информации, предоставленной: 1) субъектами транспортной инфраструктуры и перевозчиками; 2) федеральными органами исполнительной власти; 3) иностранными государствами и организациями в рамках международного сотрудничества по вопросам обеспечения транспортной безопасности. 4. Информационные ресурсы единой государственной информационной системы обеспечения транспортной безопасности являются информацией ограниченного доступа.
Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Статья 21. Пункт 3 В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. …
Распоряжение Правительства Российской Федерации от 15 августа 2007 г р « Об утверждении Плана подготовки проектов нормативных актов, необходимых для реализации Федерального закона «О персональных данных»». Распоряжение Правительства Российской Федерации от 27 июля 2007 г р «Об утверждении Плана подготовки проектов актов, необходимых для реализации Федерального закона "Об информации, информационных технологиях и о защите информации»».
Постановление Правительства Российской Федерации от 17 ноября 2007 года N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Статья 2 Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
Постановление Правительства Российской Федерации от 17 ноября 2007 года N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Статья 3 Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий. Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора. Статья 4 Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем.
Постановление Правительства Российской Федерации от 17 ноября 2007 года N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Статья 10. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.
Постановление Правительства Российской Федерации от 17 ноября 2007 года N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Статья 11. При обработке персональных данных в информационной системе должно быть обеспечено: а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; б) своевременное обнаружение фактов несанкционированного доступа к персональным данным; в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование; г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; д) постоянный контроль за обеспечением уровня защищенности персональных данных.
«СТР-К» – «Специальные требования и рекомендации по технической защите конфиденциальной информации» Пункт «Для управления, контроля защищенности ЛВС и управления системных ресурсов в ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой, передаваемой) в ЛВС, должны использоваться соответствующие сертифицированные по требованиям безопасности информации средства защиты».
Для выполнения требований государства по защите информации необходима реализация комплекса организационно-технических мероприятий, одним из важнейших компонентов которого является комплекса организационно-технических мероприятий, одним из важнейших компонентов которого является применение программного обеспечения, сертифицированного по требованиям безопасности РОСС RU БИ00 Для выполнения требований государства по защите информации необходима реализация комплекса организационно-технических мероприятий, одним из важнейших компонентов которого является комплекса организационно-технических мероприятий, одним из важнейших компонентов которого является применение программного обеспечения, сертифицированного по требованиям безопасности РОСС RU БИ00
Реализация программы сертификации программных продуктов для обработки информации ограниченного доступа (включая персональные данные) и их серийного производства
Программа Government Security Program (GSP) предоставляет доступ к исходным кодам продуктов Microsoft организациям, участвующим в государственных проектах по созданию и совершенствованию защищенных информационных систем. Россия является первой страной в мире, подписавшей Соглашение в рамках GSP. Это Соглашение было подписано в 2002 году между компанией Microsoft и Россией. Соглашение действует и по настоящее время.
Представительство компании Майкрософт – осуществляет официальную передачу образцов ПО и обновлений испытательной лаборатории; «Предприятие по поставкам продукции Управления делами Президента Российской Федерации» – является координатором программы сертификации, осуществляет серийный выпуск сертифицированныхфизических носителей программных продуктов; «Предприятие по поставкам продукции Управления делами Президента Российской Федерации» – является координатором программы сертификации, осуществляет серийный выпуск сертифицированных физических носителей программных продуктов; Центр безопасности информации – проводит сертификационные испытания ПО и обновлений; ФСТЭК России – по результатам сертификационных испытаний проводит сертификацию ПО и обновлений. Организационная структура сертификации
ФГУП«Предприятие по поставкам продукции Управления делами Президента Российской Федерации » - осуществляет выпуск сертифицированных физических носителей программных продуктов: - Проверка соответствия параметров каждого комплекта физических носителей сертифицируемого программного обеспечения сертифицированным параметрам эталонных образцов ПО; - Выдача заключения на каждый проверенный комплект физических носителей ПО (при получении соответствия); - Маркировка каждого комплекта проверенных физических носителей ПО голографической меткой соответствия ФСТЭК России и нанесение индивидуального штрих-кода. Система менеджмента качества разработки, производства, обслуживания и ремонта соответствует требованиям ГОСТ Р ИСО и стандартов СРПП ВТ (ГОСТ РВ ).
Клиентская операционная система: Microsoft Windows Vista Microsoft Windows XP Professional Серверные операционные системы: Microsoft Windows 2003 Server Standard Edition Microsoft Windows 2003 Server Standard Edition Release 2 Microsoft Windows 2003 Server Enterprise Edition Microsoft Windows 2003 Server Enterprise Edition Release 2 Системы управления базами данных: Microsoft SQL Server 2000 Standard Edition и Enterprise Edition Microsoft SQL Server 2005 Standard Edition и Enterprise Edition Офисные приложения: Офисный программный комплекс Microsoft Office 2003 Professional Межсетевой экран: Программный комплекс Microsoft Internet Security and Acceleration Server 2006 Standard Edition Семейство антивирусных продуктов Microsoft Forefront (закончены сертификационные испытания): для рабочих станций Forefront Client для почтовых серверов Forefront для Exchange Server для серверов документооборота Forefront для SharePoint Server Сертифицированная ФСТЭК России платформа программных средств Microsoft
Программные продукты сертифицированы как программные средства общего назначения со встроенными средствами защиты от несанкционированного доступа к конфиденциальной информации. Каждый сертифицированный программный продукт имеет оценочный уровень доверия ОУД 1 (усиленный) в соответствии с РД Безопасность информационных технологий. Критерии оценки безопасности информационных технологий, утвержденным Гостехкомиссией в 2002 г. Выданные сертификаты подтверждают, что сертифицированные продукты могут использоваться для построения АС до класса защищенности 1Г включительно, т.е. это ПО обеспечивает возможность обработки конфиденциальной информации, включая персональные данные.
Сертифицированная платформа Microsoft В ближайшее время будет проведена сертификация и организовано серийное производство сертифицированных версий следующих продуктов: Офисный пакет приложений Microsoft Office 2007 Серверная операционная система Windows Server 2008 Система управления базами данных Microsoft SQL Server 2008 Сервер управления бизнес процессами Microsoft BizTalk Server 2006 Сервер почтовых сообщений Microsoft Exchange Server 2007 Сервер документооборота Microsoft Office System SharePoint Server 2007 Сервер управления конфигурацией сети Microsoft System Center Configuration Manager 2007 Сервер управления операциями Microsoft System Center Operation Manager 2007
Образцы сертифицированных экземпляров Microsoft Windows XP Professional и Microsoft Office Профессиональный выпуск Русская версия
Управление телекоммуникационных систем ФГУП «Предприятие по поставкам продукции Управления делами Президента Российской Федерации» тел: (495) факс: (495)