Расширенный поиск

Обзор законодательства Российской Федерации в сфере информационной безопасности – Часть 7: Техническая защита информации

Органом, уполномоченным в сфере технической защиты информации (кроме криптографической защиты), является Федеральная служба по техническому и экспортному контролю, ФСТЭК России. На нее возложены функции:

  1. обеспечения безопасности (некриптографическими методами) информации в ключевых системах информационной инфраструктуры);
  2. противодействия иностранным техническим разведкам на территории Российской Федерации;
  3. обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации (далее – техническая защита информации);
  4. защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;
  5. осуществления экспортного контроля.
Оглавление (показать/скрыть)
Часть 1: Общий обзор законодательства Российской Федерации в сфере информационной безопасности
Часть 2: Персональные данные, личная и семейная тайна
Часть 3: Государственная тайна
Часть 4: Коммерческая тайна
Часть 5: Иные виды тайн
Часть 6: Криптография
Часть 7: Техническая защита информации
Часть 8: Прослушка
Часть 9: Борьба с киберпреступностью

ФСТЭК России осуществляет издание нормативно-правовых и нормативно-технических актов по вопросам технической защиты информации. Ею утверждены, в частности:

  • требования о защите информации, содержащейся в государственных информационных системах;
  • меры защиты информации в государственных информационных системах;
  • руководящие документы по защите от несанкционированного доступа;
  • требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах.

Разработка и производство средств защиты конфиденциальной информации, деятельность по технической защите конфиденциальной информации могут осуществляться только на основании лицензии ФСТЭК России. Лицензируемыми видами деятельности являются:

а) контроль защищенности конфиденциальной информации от утечки по техническим каналам в:

  • средствах и системах информатизации;
  • технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
  • помещениях со средствами (системами), подлежащими защите;
  • помещениях, предназначенных для ведения конфиденциальных переговоров (далее – защищаемые помещения);

б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;

в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);

г) проектирование в защищенном исполнении, аттестационные испытания и аттестация на соответствие требованиям по защите информации:

  • средств и систем информатизации;
  • помещений со средствами (системами) информатизации, подлежащими защите;
  • защищаемых помещений;

д)  разработка и производство; установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации)

Лицензионными требованиями являются:

а) выполнение работ и (или) оказание услуг лицензиатом:

  • юридическим лицом – с привлечением специалистов, находящихся в штате лицензиата, имеющих высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;
  • индивидуальным предпринимателем – при наличии у него высшего профессионального образования в области технической защиты информации либо высшего технического или среднего профессионального (технического) образования и при условии прохождения переподготовки или повышения квалификации по вопросам технической защиты информации;

б) наличие помещений для осуществления лицензируемого вида деятельности, соответствующих установленным законодательством Российской Федерации техническим нормам и требованиям по технической защите информации и принадлежащих лицензиату на праве собственности или на ином законном основании;

в) использование на праве собственности или на ином законном основании контрольно-измерительного оборудования (прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку) и маркирование), производственного и испытательного оборудования, соответствующего требованиям по техническим характеристикам и параметрам, устанавливаемым Федеральной службой по техническому и экспортному контролю;

г) использование на праве собственности или на ином законном основании средств контроля защищенности информации от несанкционированного доступа, сертифицированных по требованиям безопасности информации, в соответствии с перечнем, утверждаемым Федеральной службой по техническому и экспортному контролю;

д) использование для обработки конфиденциальной информации автоматизированных систем и средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации);

е) использование предназначенных для осуществления лицензируемого вида деятельности программ для электронно-вычислительных машин и баз данных, принадлежащих лицензиату на праве собственности или на ином законном основании;

ж) наличие технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с утверждаемым Федеральной службой по техническому и экспортному контролю перечнем и принадлежащих лицензиату на праве собственности или на ином законном основании;

з) наличие системы производственного контроля в соответствии с установленными стандартами.

Читать далее: Часть 8: Прослушка

Об авторе

Николай Дмитрик

Кандидат юридических наук, руководитель департамента правового регулирования цифровой экономики Национального центра цифровой экономики МГУ им. М.В. Ломоносова. В 2006-2012 гг. сотрудник Правового департамента Министерства связи и массовых коммуникаций РФ. Принимал участие в разработке законодательства в сфере персональных данных, электронной подписи, электронных государственных услуг, доступа к информации. Автор более 40 научных работ в области ИКТ-регулирования.

Написать ответ

Send this to a friend

Перейти к верхней панели