Поддержка
Продукция
Загрузить
Главная / Поддержка / Вопросы и ответы

Вопросы и ответы

Общие вопросы по аттестации и лицензированию деятельности по защите информации
 Нужна ли оператору ПДн лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации (Лицензия ТЗКИ)?
В Информационном сообщении ФСТЭК России от 30 мая 2012 г. № 240/22/2222 "По вопросу необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации" допускает возможность работы без лицензии на ТЗКИ, если деятельность организации не направлена на получение прибыли от выполнения работ или оказания услуг по технической защите конфиденциальной информации. То есть, Лицензия ТЗКИ оператору ПДн не обязательна, если работы проводятся в рамках внутренней деятельности организации для защиты ПДн, оператором которых она является.
 Кто осуществляет оценку эффективности реализованных мер защиты?
ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ФСТЭК РОССИИ от 15 июля 2013 г. N 240/22/2637 В соответствии с пунктом 4 части 2 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" обеспечение безопасности персональных данных достигается в частности оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных. В соответствии с пунктом 6 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены. Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных. Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения". В части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний".
 Кто имеет право на инсталляцию и настройку сертифицированного ПО?
Процесс инсталляции сертифицированного ПО ничем не отличается от процесса инсталляции лицензионного ПО, и может осуществляться специалистами организации-заказчика или любой другой организацией, являющейся лицензиатом ФСТЭК России. После инсталляции сертифицированное ПО должно быть настроено в соответствии с эксплуатационной документацией (Руководством по безопасности, руководством администратора и т.д.).
Общие вопросы по сертифицированным продуктам Microsoft и их приобретению
 Для какого класса АС, ГИС и ИСПДн можно использовать сертифицированные версии Microsoft?
Для АС: класса 1Г включительно (максимальный класс АС, обрабатывающих конфиденциальную информацию). ИСПДн – 3 и 4 уровня защищенности, для которых отсутствуют угрозы 1 и 2 типа (угрозы связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении). ГИС – 3 и 4 класса защищенности (п. 26 Приказа ФСТЭК России № 17 от 11 февраля 2013 г)
 Что такое сертифицированные версии ПО Microsoft и в чем их отличие от обычных (лицензионных)?
Сертифицированным ПО Microsoft является лицензионное ПО со встроенными механизмами защиты, прошедшими сертификацию в системе сертификации средств защиты информации, что подтверждено сертификатом соответствия ФСТЭК России, а также настроенное и эксплуатируемое в соответствии с сертифицированными параметрами. Сертификацию проходят заявленные Microsoft встроенные средства (механизмы) защиты программного обеспечения, к которым относятся: • аутентификации и идентификации; • контроля доступа; • регистрации и учета; • аудита; • обеспечения целостности; • блокирования запуска вредоносных программ; • обеспечения функций межсетевого экранирования; • и другие. В бинарном коде сертифицированные продукты ни чем не отличаются от стандартного лицензионного программного обеспечения. Отличия состоят в условиях эксплуатации ПО, пакете предоставляемых дополнительных сервисов, сопроводительной документации и сертификационной поддержке, являющейся обязательным условиями действия сертификата.
 Кому можно рекомендовать использовать сертифицированное ПО Microsoft для защиты информации?
Это государственные и коммерческие организации обрабатывающие конфиденциальную информацию в АС классов до 1Г включительно. Все организации обрабатывающие персональные данные до 2-го класса включительно. Практически в каждой организации России основной рабочей IT-средой является Windows. На сегодняшний момент сертифицированы ФСТЭК России все самые распространенные пользовательские и серверные операционные системы, которые могут являться эффективным и экономичным решением для защиты информации. Для построения системы защиты на платформе сертифицированных продуктов Microsoft не требуется изменения технологии обработки информации, использование наложенных средств защиты, специальной подготовки персонала, больших финансовых затрат. Все эти факторы позволяют организациям больше сосредоточиться на решении бизнес-задач, нежели на создании некой "надстройке" безопасности . При этом, сертифицированные продукты Microsoft являются самыми современными и совершенными средствами защиты информации, которым доверяют во всем мире.
Вопросы по решениям, организации и поддержке решений на платформе Microsoft
 У нас большая информационная система, в которой эксплуатируется значительное количество различных версий сертифицированных продуктов Microsoft (Windows XP, 7, Server 2003, 2008, 2008 R2). Как автоматизировать получение и распространение сертифицированных обновлений, применение сертифицированных конфигураций и оптимизировать контроль за сертифицированным ПО Microsoft в сети организации?
Самым оптимальным вариантом в таком случае является использование программы “Net_Check”, позволяющей реализовать централизованную настройку, обновление и контроль всех типов сертифицированных ОС Microsoft Windows в сети организации. Более подробно о программе “Net_Check” Вы сможете узнать по ссылке: http://www.altx-soft.ru/groups/page-268.htm
 Нам необходимо аттестовать АС по требованиям класса 1Г (1Д). Каким требованиям РД в части НСД соответствует сертифицированная операционная система MS Windows Vista, MS Windows Server 2003 и т.д.?
Функциональные характеристик встроенных средств защиты сертифицированного ПО приведены в его Задании по безопасности.
 Как соотносится оценочный уровень доверия ОУД 1 усиленный (Руководящий документ "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (РД ОК)) с классом защищенности 1Г (Руководящий документ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации" (РД АС)), и с требованиями по обеспечению безопасности информационных систем персональных данных (ИСПДн)?

Оценочный уровень доверия РД ОК не имеет аналогов в требованиях РД АС и в методических документах по обеспечению безопасности ИСПДн, и является по отношению к ним дополнительными требованиями к процессу разработки средств защиты информации. Аналогом требований РД АС и методических документов по обеспечению безопасности ИСПДн являются функциональные требования из РД ОК и Заданий по безопасности (ЗБ).

Примеры сопоставления функциональных требований РД ОК, ЗБ требованиям РД АС для класса защищенности 1Г и ИСПДн 3 класса приведены в соответствующих таблицах:
Вопросы по программам Check и конфигурациям безопасности
 Что такое программы "Check" и для чего они необходимы?
Программы семейства "Check" – инструмент администратора (администратора безопасности), который позволяет автоматизировать процесс приведения в соответствие ПО Microsoft условиям действия Сертификатов. Программы “Check” предназначены для автоматической настройки и контроля ПО согласно Руководству по безопасной настройке, автоматизированной установки обновления, фиксации состояния и других операций с сертифицированными версиями продуктов Microsoft. Программы контроля семейства "Check" являются одной из компонент Пакетов сертифицированных версий ПО Microsoft. Программы "Check" обеспечивают:
• сбор данных и формирование отчетов о соответствии установленного продукта сертифицированной версии;
• формирование отчетов об установленных и неустановленных сертифицированных обновлениях безопасности;
• проверку загруженных обновлений на предмет соответствия сертифицированным обновлениям продуктов Microsoft;
• фиксацию и контроль целостности файлов методом контрольного суммирования по уровню 3 (ГОСТ 28147-89) с использованием сертифицированного программного средства "ФИКС-библиотека 1.0", Сертификат ФСТЭК России №677;
• контроль и настройку параметров безопасности в автоматизированном (на основании сертифицированных конфигураций) и ручном (установка значений отдельных параметров безопасности) режимах;
• формирование отчета о соответствии текущей конфигурации параметров безопасности выбранной сертифицированной конфигурации;
• создание произвольных пользовательских конфигураций параметров безопасности с возможностью наследования значений от сертифицированных конфигураций или текущего состояния системы;
• экспорт конфигураций параметров безопасности для обеспечения единых параметров настройки безопасности для группы ПЭВМ.
 Что такое программа "Net_Check" и для чего она необходима?
Net_Check — программное средство для централизованного контроля, настройки и обновления механизмов безопасности сертифицированных версий продуктов Microsoft в сети предприятия. Используется при организации обработки конфиденциальной информации и персональных данных в защищенных системах, построенных на платформе безопасности Microsoft. Программа Net_Check не входит в состав пакетов сертификации ПО Microsoft, является отдельно лицензируемым продуктом и представляет собой дальнейшее развитие локальных Программ настройки и контроля сертифицированных версий продуктов Microsoft (семейство программ "Check") и предназначена для централизованного выполнения следующих действий:
• контроль сертифицированных версий программных продуктов Microsoft;
• контроль и установка сертифицированных обновлений безопасности;
• фиксация и контроль исполняемых файлов и библиотек;
• настройка параметров безопасности в соответствие с сертифицированными конфигурациями;
• формирование отчетов о соответствии контролируемых ЭВМ требованиям к функционированию сертифицированных версий программ.
Более подробно узнать о программе "Net_Check" Вы можете у наших менеджеров отдела продаж, либо на странице: http://www.altx-soft.ru/groups/page-268.htm
 Что такое сертифицированные конфигурации параметров безопасности?
Использование сертифицированных продуктов предполагает их функционирование в определенных конфигурациях, при которых программное обеспечение проходило сертификационные испытания и обеспечивает требуемый уровень безопасности. Перечень параметров и их значения приведены в Руководствах по безопасной настройке сертифицированных версий. Данные конфигурации разработаны на основе результатов сертификационных испытаний и рекомендаций, приведенных в Руководствах по безопасности Microsoft. Конфигурации определяются набором эталонных значений параметров безопасности. Применительно к продуктам Microsoft таких конфигураций, как правило, две:
• конфигурация "Корпоративный клиент" – аналог шаблона параметров безопасности "Enterprise Client", рекомендуемого для большинства защищенных автоматизированных систем;
• конфигурация "Безопасная среда" – аналог шаблона параметров безопасности SSLF (Specialized Security – Limited Functionality), рекомендуемого для создания высокозащищенных систем с ограничением функционала ПО. Для эффективного и удобного применения указанных конфигураций компанией АЛТЭКС-СОФТ разработаны программы контроля и настройки сертифицированных продуктов Мicrosoft (семейство программ "Check").