Словари
- Информация о материале
- Просмотров: 11638
ФСТЭК- федеральная служба по техническому и экспортному контролю.
В сертификате ФСТЭК нужно обращать внимание на класс защиты АС
Если в новостях, пресс-релизах и других публикациях говорится, что некоторое средство вычислительной техники (СВТ) получило сертификат ФСТЭК, подтверждающий высокий уровень защищенности, это ещё не значит, что его можно использовать в Вашей автоматизированной системе (АС).
Перечень некоторых продуктов, получивших сертифика ФСТЭК
Сертификат ФСТЭК №2317 от 18.04.2011
Альт Линукс СПТ 6.0 — унифицированный дистрибутив для серверов и рабочих станций с встроенными программными средствами защиты информации, сертифицированными ФСТЭК России:
Может быть использован для разработки автоматизированных систем с классом защищенности по 1В включительно и систем защиты персональных данных по К1 включительно.
Сертификат ФСТЭК № 2557 от 27.01.2012
«Astra Linux Special Edition». Проведенные сертификационные испытания подтвердили соответствие операционной системы требованиям руководящих документов ФСТЭК России по
Операционная система может использоваться при создании автоматизированных систем до класса защищенности 1Б включительно.
Сертификат ФСТЭК №2180/1 от 04.10.2011
Windows 7 c SP1 в версиях "Профессиональная", "Корпоративная" и "Максимальная"
Сертификат ФСТЭК №2181/1 от 13.10.2011
Windows Server 2008 R2 с SP1 в редакциях Standard, Enterprise и Datacenter
Сертификат ФСТЭК №2438 от 13.09.20110
BizTalk Server 2009
Сертификат ФСТЭК №2460 от 06.10.2011
Forefront Identity Manager 2010,
эти продукты корпорации Майкрософт являются программными средствами общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну, и могут использоваться при создании автоматизированных систем (АС) до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.
ESET NOD32 антивирусный продукт, получивший сертификат ФСТЭК России класса «К1». Данный сертификат подтверждает, что программные продукты ESET соответствуют требованиям, предъявляемым к информационным системам защиты персональных данных первого класса, и могут использоваться на предприятиях, обрабатывающих персональные данные высшей категории конфиденциальности.
Сертификат ФСТЭК класса «К1» распространяется на комплект ESET NOD32 Platinum Pack 4.0, включающий версии Антивируса ESET NOD32 и ESET NOD32 Smart Security для корпоративных пользователей, а также программные продукты ESET для защиты файловых серверов Linux, BSD, Solaris.
Далее посмотрим, что же означают указанные уровни и классификации.
Классификация защиты средств вычислительной техники (СВТ) от несанкционированного доступа (НСД)
Самый низкий класс защищенности - пятый, применяемый для безопасного взаимодействия автоматизированных систем (АС) класса 1Д с внешней средой,
четвертый - для 1Г (Windows),
третий - 1В (ALT Linux),
второй - 1Б (Astra Linux),
самый высокий - первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой.
Для автоматизированных систем (АС) класса 3Б, 2Б должны применяться межсетевые экраны (МЭ) не ниже 5 класса.
Для автоматизированных систем (АС) класса 3А, 2А в зависимости от важности обрабатываемой информации должны применяться межсетевые экраны (МЭ) следующих классов:
Классификация Персональных Данных (ПДн)
Выделяют 4 категории персональных данных, где категория 4 - это обезличенные данные, а категория 1 - сведения наивысшей конфиденциальности, например, информация о состоянии здоровья, национальности, религиозных убеждениях субъекта. Подробнее о классификации персональных данных (ПДн) можно почитать здесь.
Использованы материалы с сайтов:
Рекомендовано к прочтению:
- Информация о материале
- Просмотров: 8886
Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 возлагает обязанность классификации информационных систем персональных данных и задачу обеспечения их безопасности - на оператора персональных данных, а разработку методов и способов защиты персональных данных в информационных системах - на ФСТЭК России и ФСБ России
Классификация информационных систем персональных данных определяется в зависимости от категории обрабатываемых данных и их количества.
Установлены следующие категории персональных данных:
Категория 1 - ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
Категория 2 - ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1
Категория 3 - персональные данные, позволяющие идентифицировать субъекта ПД
Категория 4 - обезличенные и (или) общедоступные персональные данные
Классы типовых информационных систем персональных данных
Информационные системы персональных данных подразделяются на типовые и специальные. К типовым системам относятся системы, в которых требуется обеспечить только конфиденциальность персональных данных.
Все остальные системы относятся к специальным.
В зависимости от последствий нарушений заданной характеристики безопасности персональных данных, типовой информационной системе присваивается один из классов:
класс 1 (К1) – информационные системы, для которых нарушения могу привести к значительным негативным последствиям для субъектов персональных данных
класс 2 (К2) - информационные системы, для которых нарушения могут привести к негативным последствиям для субъектов персональных данных;
класс 3 (К3) - информационные системы, для которых нарушения могут привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) - информационные системы, для которых нарушения не приводят к негативным последствиям для субъектов персональных данных.
Класс типовой информационной системы персональных данных выбирается по таблице:
Количество субъектов / Категории ПД |
< 1000 | 1000 – 100 000 | > 100 000 |
категория 4 | К4 | К4 | К4 |
категория 3 | К3 | К3 | К2 |
категория 2 | К3 | К2 | К1 |
категория 1 | К1 | К1 | К1 |
Оценка соответствия информационных систем требованиям безопасности
Устанавливается следующий порядок оценки соответствия степени защищенности информационных систем требованиям безопасности: