Поддержка проектов  


Вы можете поддержать проект перечислив 900 рублей
на рублёвый счёт WebMoney: R272306964544
(или долларовый эквивалент на счёт: Z310486833404),
или на рублёвый счёт Яндекс.Деньги: 41001232162230

 

на развитие
проекта
Яндекс Яндекс. Деньги Хочу такую же кнопку
   

Рейтинг  

Яндекс.Метрика
Яндекс цитирования
 

   

Статистика  

Посетители
6
Материалы
295
Количество просмотров материалов
2067139
   

Словари

 

ФСТЭК- федеральная служба по техническому и экспортному контролю.

В сертификате ФСТЭК нужно обращать внимание на класс защиты АС

Если в новостях, пресс-релизах и других публикациях говорится, что некоторое средство вычислительной техники (СВТ) получило сертификат ФСТЭК, подтверждающий высокий уровень защищенности, это ещё не значит, что его можно использовать в Вашей автоматизированной системе (АС).

Перечень некоторых продуктов, получивших сертифика ФСТЭК


Сертификат ФСТЭК №2317 от 18.04.2011
Альт Линукс СПТ 6.0 — унифицированный дистрибутив для серверов и рабочих станций с встроенными программными средствами защиты информации, сертифицированными ФСТЭК России:

  • 4 класс защиты средств вычислительной техники (СВТ) от несанкционированного доступа (НСД)
  • 3 уровень контроля отсутствия недекларированных возможностей (НДВ).
  • Может быть использован для разработки автоматизированных систем с классом защищенности по включительно и систем защиты персональных данных по К1 включительно.


    Сертификат ФСТЭК № 2557 от 27.01.2012
    «Astra Linux Special Edition». Проведенные сертификационные испытания подтвердили соответствие операционной системы требованиям руководящих документов ФСТЭК России по

  • 3-му классу защищенности СВТ и
  • 2-му уровню контроля отсутствия недекларированных возможностей (НДВ).
  • Операционная система может использоваться при создании автоматизированных систем до класса защищенности включительно.


    Сертификат ФСТЭК №2180/1 от 04.10.2011
    Windows 7 c SP1 в версиях "Профессиональная", "Корпоративная" и "Максимальная"

    Сертификат ФСТЭК №2181/1 от 13.10.2011
    Windows Server 2008 R2 с SP1 в редакциях Standard, Enterprise и Datacenter

    Сертификат ФСТЭК №2438 от 13.09.20110
    BizTalk Server 2009

    Сертификат ФСТЭК №2460 от 06.10.2011
    Forefront Identity Manager 2010,

    эти продукты корпорации Майкрософт являются программными средствами общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну, и могут использоваться при создании автоматизированных систем (АС) до класса защищенности включительно и при создании информационных систем персональных данных до 2 класса включительно.


    ESET NOD32 антивирусный продукт, получивший сертификат ФСТЭК России класса «К1». Данный сертификат подтверждает, что программные продукты ESET соответствуют требованиям, предъявляемым к информационным системам защиты персональных данных первого класса, и могут использоваться на предприятиях, обрабатывающих персональные данные высшей категории конфиденциальности.

    Сертификат ФСТЭК класса «К1» распространяется на комплект ESET NOD32 Platinum Pack 4.0, включающий версии Антивируса ESET NOD32 и ESET NOD32 Smart Security для корпоративных пользователей, а также программные продукты ESET для защиты файловых серверов Linux, BSD, Solaris.



    Далее посмотрим, что же означают указанные уровни и классификации.



    Классификация защиты средств вычислительной техники (СВТ) от несанкционированного доступа (НСД)

    Самый низкий класс защищенности - пятый, применяемый для безопасного взаимодействия автоматизированных систем (АС) класса с внешней средой,
    четвертый - для (Windows),
    третий - (ALT Linux),
    второй - (Astra Linux),
    самый высокий - первый, применяемый для безопасного взаимодействия АС класса с внешней средой.

    Для автоматизированных систем (АС) класса , должны применяться межсетевые экраны (МЭ) не ниже 5 класса.

    Для автоматизированных систем (АС) класса , в зависимости от важности обрабатываемой информации должны применяться межсетевые экраны (МЭ) следующих классов:

  • при обработке информации с грифом "секретно" - не ниже 3 класса;
  • при обработке информации с грифом "совершенно секретно" - не ниже 2 класса;
  • при обработке информации с грифом "особой важности" - не ниже 1 класса.

  • Классификация Персональных Данных (ПДн)

    Выделяют 4 категории персональных данных, где категория 4 - это обезличенные данные, а категория 1 - сведения наивысшей конфиденциальности, например, информация о состоянии здоровья, национальности, религиозных убеждениях субъекта. Подробнее о классификации персональных данных (ПДн) можно почитать здесь.


    Использованы материалы с сайтов:

  • Альт Линукс СПТ 6.0 сертифицированный ФСТЭК
  • ОС «Astra Linux Special Edition» сертифицирована ФСТЭК России
  • Майкрософт получила сертификаты на Windows 7 c SP1, Windows Server 2008 R2 с SP1, BizTalk Server 2009 и Forefront Identity Manager 2010
  • Решения ESET NOD32 получили сертификат ФСТЭК высшего класса «К1»
  • АC. Защита от НСД к информации. Классификация АС и требования по защите информации
  • СВТ. МЭ. Защита от НСД к Информации

  • Рекомендовано к прочтению:

  • Энциклопедия по безопасности информации
  • Об утверждении Порядка проведения классификации информационных систем персональных данных
  • АC. Защита от НСД к информации. Классификация АС и требования по защите информации

  •  

    Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 возлагает обязанность классификации информационных систем персональных данных и задачу обеспечения их безопасности - на оператора персональных данных, а разработку методов и способов защиты персональных данных в информационных системах - на ФСТЭК России и ФСБ России

    Классификация информационных систем персональных данных определяется в зависимости от категории обрабатываемых данных и их количества.

    Установлены следующие категории персональных данных:

    Категория 1 - ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

    Категория 2 - ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1

    Категория 3 - персональные данные, позволяющие идентифицировать субъекта ПД

    Категория 4 - обезличенные и (или) общедоступные персональные данные

    Классы типовых информационных систем персональных данных

    Информационные системы персональных данных подразделяются на типовые и специальные. К типовым системам относятся системы, в которых требуется обеспечить только конфиденциальность персональных данных.

    Все остальные системы относятся к специальным.

    В зависимости от последствий нарушений заданной характеристики безопасности персональных данных, типовой информационной системе присваивается один из классов:

    класс 1 (К1) – информационные системы, для которых нарушения могу привести к значительным негативным последствиям для субъектов персональных данных

    класс 2 (К2) - информационные системы, для которых нарушения могут привести к негативным последствиям для субъектов персональных данных;

    класс 3 (К3) - информационные системы, для которых нарушения могут привести к незначительным негативным последствиям для субъектов персональных данных;

    класс 4 (К4) - информационные системы, для которых нарушения не приводят к негативным последствиям для субъектов персональных данных.

    Класс типовой информационной системы персональных данных выбирается по таблице:

    Количество субъектов
    / Категории ПД
    < 1000 1000 – 100 000 > 100 000
    категория 4 К4 К4 К4
    категория 3 К3 К3 К2
    категория 2 К3 К2 К1
    категория 1 К1 К1 К1

    Оценка соответствия информационных систем требованиям безопасности

    Устанавливается следующий порядок оценки соответствия степени защищенности информационных систем требованиям безопасности:

  • для информационных систем 1 и 2 класса соответствие степени защищенности требованиям безопасности устанавливается путем обязательной сертификации (аттестации)
  • для информационных систем 3 класса соответствие требованиям безопасности подтверждается декларированием соответствия, проводимым оператором персональных данных
  • для информационных системы 4 класса оценка проводится по решению оператора персональных данных
  •