Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 4 5 ... 7 След.
Ответить
RSS
Получение лицензий ФСТЭК на разработку СЗКИ и на ТЗКИ с нуля, Алгоритм и тонкости.
Здравствуйте!
Наша компания планирует получить указанные лицензии в следующем порядке: Л. на разработку СЗКИ ---> сертифицируем разработанное ПО ---> Л. на ТЗКИ.
Вопросы:
1. Для обеих лицензий необходимо 2 разных защищаемы помещения, или можно использовать одно и то же? То же касается АРМ.
2. Можно ли выделить отдельное помещение, поставить туда 1 АРМ и аттестовать? Или нужно какое-то определённое кол-во АРМ?
3. АРМ должно(-ны) быть аттестовано как АС или как ИСПДн? (Деятельность планируется по защите ПДн.)
4. Требование по специалистам в штате - есть ли конкретика про одобрение курсов по повышению квалификации ФСТЭКом и про кол-во часов?
5. ПП №532 п.3.в: "выполнение требований конструкторской, программной и технологической документации, единой системы измерений, системы разработки и запуска в производство средств защиты конфиденциальной информации, а также иных нормативных правовых актов Российской Федерации в области технической защиты информации". Что это значит?
6. ПП №532 п.3.д: "наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам разработки средств защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю". Что входит в этот перечень и где эти документы взять?

Буду благодарна за развёрнутые и дельные ответы!
К сожалению по поводу разработки мало что скажу, не изучал данный вопрос.
1. Думаю достаточно 1 места.
2. На сколько знаю, то достаточно опытного образца, т.е. 1 места.
3. Если вы работать собираетесь исключительно по ПДн, то аттестацию по ИСПДн должны проводить. Если в дальнейшем планируете проводить работы по комерческой тайне и ГТ, то АС и ВТ.
4. Есть специализированные курсы с пометкой "согласованно с ФСТЭК", но есть другой вариант, сотрдник получивший высшее образование в данной сфере.
5 и 6 лучше обратиться с официальным письмом во ФСТЭК, вполне возможно они вам вышлют необходимые документы.
Андрей, Спасибо!
Что касается п.4 - где-то прописано, что курсы обязательно должны быть одобрены ФСТЭК и длиться не менее 72ч?
Какие ещё будут мнения?
3. аттестация делается для АС, а не ИСПДн.
что касаемо сроков обучения, в феврале сего года, выходило ПП одобренное МЭР, там в частности ФСТЭК указал, что такое квалифицированный персонал в области защиты информации. Если раньше считалось, что это либо человек, имеющий высшее образование по направлению ИБ или прошедший курсы повышения квалификации сроком не менее 72 часов, то щас эти требования будут зафиксированы в нормативном акте, и срок 72 часа увеличен до 100 аудиторных часов=~13 дней, и 500 часов для руководителя по лицензируемому виду деятельности. Вот оно http://www.economy.gov.ru/minec/about/structure/depregulatinginfluence/doc20120201_­026
Изменено: s118 - 29.02.2012 13:46:18
Цитата
s118 пишет:
интересный документ
А известно, когда выйдет новое положение вместо ПП 532?
По теме в топике: как лучше сделать - постараться выполнить все требования параллельно и получать обе лицензии примерно одновременно, или всё-таки лучше заняться сначала одной, а потом уж другой?
Кто-нибудь сталкивался с получением указанных лицензий?
:?:
Луше все сразу, ведь лицензионные требования во многом совпадают, а иначе вам придется подавать дважды одни и те же документы.
Сергей С.,
а что же скажете по пунктам всё-таки?
Настя, а вы будете осуществлять разработку и производство именно СЗИ, или чего-то в защищенном исполнении, и каких СЗИ (программных, аппаратных, программно-аппаратных)? Для чего конкретно нужна лицензия, может будет достаточно на ТЗКИ?
Просто из топика я понял, что вы хотите разработать какое-то ПО в защищенном исполнении и его сертифицировать, а для этого лицензия на разработку и производство СЗИ не нужна, достаточно на ТЗКИ в максимальной конфигурации. И ответы на все пункты есть в 79ПП. Просто ФСТЭК еще выпустит административный регламент, перечень документации, может еще перечень оборудования и средств измерений.
Настя,
насчет сроков пока не знаю... вроде какие то согласования идут.
Цитата
Настя пишет:
...на разработку СЗКИ ---> сертифицируем разработанное ПО ---> Л. на ТЗКИ.

СЗКИ это что такое? может СКЗИ? то тогда вам нужна будет еще и лицензия ФСБ.
1.Можно одно и тоже
2.Одного АРМа достаточно
3.Аттестация АРМа как АС
4.По поводу обучения написано развернуто в др.ветке
п.5и 6 без ответа
Цитата
Сергей С. пишет:
Настя, а вы будете осуществлять разработку и производство именно СЗИ, или чего-то в защищенном исполнении, и каких СЗИ (программных, аппаратных, программно-аппаратных)? Для чего конкретно нужна лицензия, может будет достаточно на ТЗКИ?
Примерно так: защищенный программный комплекс (программное средство общего назначения со встроенными средствами защиты).

Исходя из Положения о сертификации средств защиты информации по требованиям безопасности информации, (п.2.6) "разработчики, изготовители и поставщики средств защиты информации должны иметь соответствующую лицензию Гостехкомиссии России."

Т.к. в РД "Защита от НСД к информации. Часть 1. ПО СЗИ. Классификация по уровню контроля отсутствия НДВ" указано, что "Настоящий Руководящий документ (РД) устанавливает классификацию программного обеспечения (ПО) (как отечественного, так и импортного производства) средств защиты информации (СЗИ), в том числе и встроенных в общесистемное и прикладное ПО, по уровню контроля отсутствия в нем недекларированных возможностей", то наше ПО подходит под это описание и => по Положению о сертификации мы должны иметь лицензию на разработку.
Всё верно?

Цитата
s118 пишет:
СЗКИ это что такое?
средство защиты конфиденциальной информации (ПП №532)
Цитата
Евгений пишет:
По поводу обучения написано развернуто в др.ветке
я читала, но так и не увидела, в каком документе указано требование о том, что курсы обязательно должны быть одобрены ФСТЭК и длиться не менее 72 часов.
79ПП значительно изменило перечень работ, составляющих ТЗКИ, ИМХО лучше проконсультироваться во ФСТЭК, возможно скорее всего лицензии на проектирование средств и систем автоматизации в защищенном исполнении будет достаточно, а иначе зачем этот вид работ вообще прописали, если еще нужна и лицензия на разработку и производство СЗИ.
Про 72 часа в 79ПП нет, может будет в административном регламенте, в проекте ПП "О лицензировании разработки и производства СЗИ" есть 500 ч для руководителя и 100 ч для остальных.
Теперь насчет согласования курсов. ФСТЭК проверяет ваши документы, если курс согласован - вопросов не будет, а если нет, то возиться с проверкой квалификации специалистов или анализировать указанный вами курс они не будут, или потребуют от вас где, когда, сколько часов, аккредитация учебного заведения и т.п. - зачем это вам надо, если согласованных курсов полно.
Цитата
Сергей С. пишет:
лицензии на проектирование
но ведь проектирование - это процесс создания проекта прототипа, прообраза предполагаемого или возможного объекта, состояния, а наша программа не проект, а реальный объект
Цитата
Настя пишет:
а наша программа не проект, а реальный объект
Но ведь не СЗИ, программа предназначена для обработки определенной информации, цель ее создания не защита информации, а именно обработка, а то, что программа выполнена в защищенном исполнении это немного другое. Под словом "проектирование" могли понимать что угодно, кроме ФСТЭКа этого вам никто не скажет. Только зачем тогда ввели этот вид работ? Ведь лицензия на разработку и производство СЗИ включает и проектирование, но проектирование именно СЗИ.
Настя, учитывая ваши вопросы понятно, что вы не особо то разбирались какие мероприятия необходимы для получения данных лицензий, кроме как прочитали ПП.
На п.6 ответ таков:
http://www.fstec.ru/_docs/_perech1.htm
На п.5 ответ таков:
Делай все по ГОСТам и по ФСТЭКу и получишь лицензию)
Вам необходимо еще будет арендовать оборудование или купить.
курсы для того и предназначены, что бы научиться работать с ним.
У вас какой город?
Цитата
West пишет:
У вас какой город?
Екатеринбург
Цитата
West пишет:
разбирались
разбиралась, разбираюсь и буду разбираться, не сразу всё понятно ведь становится
Страницы: 1 2 3 4 5 ... 7 След.
Ответить
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)
Форма ответов
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.