Rutoken Lite 64 с сертификатом соответствия ФСТЭК России (Ключ для получения подписи в налоговой)

imageКомпактный USB токен для двухфакторной аутентификации и электронной подписи. Устройство позволяет генерировать и хранить закрытые ключи, пароли и цифровые сертификаты внутри защищенного чипа объемом до 72 килобайт, пришло на смену ключам eToken Pro. В России существует сертифицированная ФСТЭК версия ключей SafeNet eToken 5110. 

Ключи SafeNet eToken 5110 пришли на смену устаревшим ключам eToken 72k Java и полностью совместимы со всеми решениями, в которых поддерживался eToken 72k:

  • аутентификация в домене Microsoft Active Directory;
  • аутентификация в VDI (Microsoft, Citrix, VMWare);
  • аутентификация при удалённом доступе (Cisco, Microsoft, Juniper, CheckPoint и др.);
  • работа с ЭП, в том числе поддержка ключей SafeNet eToken 5110 в КриптоПро CSP;
  • работа с тонкими клиентами (Wyse, ТОНК).

Поддержка операционных систем:

Windows Server 2008 R2, Windows Server 2012 и 2012 R2, Windows 7, Windows 8, Windows 10, macOS, Linux.

Поддерживаемые API и стандарты:

PKCS#11, Microsoft CAPI, PS/SC, X.509 v3 certificate storage, SSL v3, IPSec/IKE, MS minidriver (CCID), CNG.

Объём памяти:

80kb (81 920b).

Размеры:

16,4 х 8,5 х 40,2 мм.

Соответствие ISO:

Поддержка стандарта ISO 7816 c 1 по 4 спецификацию.

Допустимая влажность:

0 – 100% без образования конденсата.

Сертификат влагоустойчивости:

IPX7 – IEC 60529.

Характеристики USB:

USB тип A, поддержка USB 1.1 и 2.0.

Корпус:

Твёрдый пластик, с защитой незаметного вскрытия.

Срок хранения данных:

Не менее 10 лет.

Количество циклов перезаписи:

Не менее 500 000 циклов.

Алгоритмы, реализованные аппаратно:

Симметричные алгоритмы: 3DES, AES 128/192/256 bit.

HASH: SHA 1, SHA 256.

RSA: 1024 bit, 2048 bit.

Эллиптические кривые:

P-256, P-384.

Сертификаты безопасности:

FIPS 140-2 level 2 (SC chip и OS).

Платформа:

Gemalto IDCore 30 и апплет eToken.

_____________________________________

Gemalto

www.safenet.gemalto.com

 www.gemalto.com

TESSIS – официальный дистрибьютор в России

www.tessis.ru

Электронная цифровая подпись (ЭЦП), выдаваемая удостоверяющим центром, хранится на специальном носителе. Называет он токен. Выглядит носитель как обычная USB-флешка, но отличается внутренним программным устройством. Токены бывают нескольких видов, а пользователь и производитель несут одинаковую ответственность за использование электронного носителя.

image

Что такое токен

Рутокен — это российский товарный знак, принадлежащий компании «‎Актив»‎. Компания занимается созданием аппаратной и программной продукции в сфере аутентификации, защиты информации и электронной подписи. Фирма выпускает смарт-карты и токены, предназначенные для использования закрытого ключа ЭЦП и ключа проверки ЭЦП. Они созданы в соответствии с криптографическими алгоритмами ЭЦП и имеют сертификацию Федеральной службы по техническому и экспертному контролю, а также Федеральной службы безопасности (ФСБ).

Токены могут дополняться RFID-метками, созданными по технологии бесконтактного обмена информации с использованием специфического электромагнитного излучения. Носитель ключа ЭЦП представляет собой небольшое электронное устройство (USB-флешку). В него встроена карта памяти, защищенная паролем. На карту записан закрытый ключ, необходимый для создания ЭЦП.

Архитектура носителя Рутокен

Процесс проверки подлинности пользователя проходит также с использованием токена в 2 этапа: сначала флешку вставляют в USB-разъем, вводят пароль и подключаются к терминалу сервера. После отключение токена сессия блокируется автоматически.

Устройство обеспечивает безопасное подключение к интернет-сетям и защищенным web-ресурсам. Рутокены одинаково используются в коммерческих и государственных организациях, а также частными лицами. Последние разработки компании позволили проводить операции шифрования документа как в компьютере, так и внутри токена, что обеспечивает повышенную защиту ЭЦП от вирусов и сторонних атак.

Виды USB-токенов

Рутокен ЭЦП 2.0 создан для обеспечения безопасного хранения ключей ЭЦП во внутренней памяти и не дает возможность экспорта информации. Он используется в электронном документообороте (ЭДО) и дистанционном банковском обслуживании. Данный Рутокен получил первый сертификат соответствия от ФСБ в 34.10.2012 г. по таким пунктам, как:

  • создание и проверка ЭЦП;
  • алгоритм исчисления функции хэширования;
  • процесс исчисления хэш-функции.

Рутокен S отличается тем, что обеспечивает двухэтапную проверку подлинности владельца, сохранность ключей шифрования и ЭЦП, цифровых сертификатов. Его обычно используют в ЭДО государственных организаций. Обусловлено это тем, что встроенные в токен алгоритмы соответствуют требованиям регуляторов.

Рутокен Bluetooth сохраняет сертификат ЭЦП и заверяет электронные документы, создаваемые на мобильных устройствах с операционными системами (ОС) iOS и Android. Он имеет полный функционал обычного токена, но работает по беспроводному протоколу Bluetooth. Безопасность передачи данных обеспечивается сложными алгоритмами шифрования.

В функции Рутокена PINPad входит выведение документа на экран до проставления в нем ЭЦП. Устройство защищает:

  • от всех видов интернет-мошенничества;
  • от атак, создаваемых удаленным управлением;
  • от внесения изменений в документ при отправлении его на подпись.

Встроенная память Рутокена используется для:

  • сохранности дистрибутивов программного обеспечения (ПО);
  • запуска приложений в автоматическом режиме при подключении цифрового носителя;
  • облегченной загрузки ОС.

С помощью Рутокена также можно установить новую ОС, проверить ее работоспособность и целостность по контрольным суммам, которые прописаны в зашифрованной области ключа. Память носителя составляет уже 64 Gb. Рутокена PINPad получил сертификат соответствия ФСБ в классе КС2 и отвечает требованиям ФЗ-63.

Основным назначением Рутокена Lite является авторизация в компьютерной системе и защита персональных данных пользователя. Встроенная память обеспечивает безопасное хранение закрытого ключа и ЭЦП, паролей и иной информации.

На что обратить внимание при выборе носителя ключа ЭЦП

Выбирая носитель ключа электронной подписи, нужно убедиться в том, что у производителя или официального дилера имеется лицензия на выпуск и продажу устройства. Покупают Рутокен, исходя из области его применения: если он предназначен для работы в частной фирме со служебной информацией или с государственными органами, то лучше выбрать сертифицированный токен с комплектом драйверов и дополнительных утилит. USB-устройство должна обязательно сопровождать эксплуатационная информация.

Если пользователь предполагает использовать Рутокен для хранения нескольких сертификатов, то лучше выбрать накопитель с большим объемом памяти. Модели с пометкой «‎ЭЦП» отличаются встроенной криптографией и не требуют дополнительной установки криптопровайдера. Однако они могут работать только с ПО, предусмотренным протоколом PKCS11. Для использования Рутокена только в Единой государственной автоматизированной информационной системе (ЕГАИС) подойдет самый простой флэш-накопитель версии 2.0.

Безопасность использования USB-токенов

Чтобы обеспечить безопасную работу с токенами, нужно придерживаться следующих правил:

  • покупать устройство у официальных поставщиков;
  • получать сертификат ЭЦП в удостоверяющем центре, имеющем действующую аккредитацию Минкомсвязи РФ;
  • обеспечить необходимый уровень личной информационной грамотности (для себя и сотрудников фирмы).

Необходимо также иметь надежные средства защиты информации, устанавливающие подлинность владельца подписи или лица, получающего доступ к данным. Аутентификация предполагает, что в процессе криптографических исчислений получатель информации будет уверен в личности отправителя.

Ответственность пользователя

Во время производства на каждый токен устанавливается стандартный пароль — 1234567890. Перед использованием пользователь вводит этот код, после чего обязательно меняет пароль на личный. Это позволит обеспечить безопасное использование носителя ключей ЭЦП и защитить ПК от сторонних проникновений.

Пользователь также обязан хранить токен в надежном месте и обеспечить его сохранность от внешних повреждений.

Ответственность производителя

Производитель USB-носителя отвечает за отсутствие на токене функций, которые способны нанести вред его владельцу. Для этого каждое из устройств должно иметь сертификат ФСБ и ФСТЭК (Федеральной службы по техническому и экспортному контролю).

Сертификат ФСТЭК является подтверждением того, что:

  • в программе отсутствуют недекларированные возможности;
  • устройство обеспечивает защиту данных от стороннего доступа;
  • устройство обеспечивает хранение информации и аутентификацию.

ФСБ РФ проводит сертификацию криптографических средств защиты информации. Наличие сертификата является подтверждением, что носитель закрытого ключа можно применять для генерации ЭЦП, подписания и проверки подписи, шифрования данных.

Как купить токен

Чтобы приобрести USB-носитель нужно обратиться на Единый портал Электронной подписи и оформить заявку. При отправлении запроса будущий владелец соглашается с условиями договора оферты на поставку токена. На портале можно купить сертифицированное устройство для работы на российском и белорусском рынке, для ЭДО, сдачи отчетности, участия в торгах и т.д.

Клиенты Центра получают полное сопровождение сделки, включающее:

  • первичную консультацию;
  • оформление документов;
  • подбор сертифицированного устройства;
  • отправку продукта клиенту.

Все документы оформляются в соответствии с требованиями Федеральных законов РФ. Оригиналы высылаются на почтовый адрес, указанный в заявке, а копии — на электронную почту. Сроки доставки зависят от региона и составляют от 1 до 5 рабочих дней.

Рутокен — это надежной цифровое устройство, предназначенное для хранения закрытого ключа ЭЦП. Различаются токены функциями, объемом памяти, возможностью использования с мобильными устройствами и криптографическими опциями. Приобретая Рутокен, пользователь должен исходить из его последующего использования и необходимого объема памяти. Самые простые накопители предназначены лишь для работы с ЕГАИС, а токены PINPad могут использоваться даже в работе государственных структур. Приобретая носитель, пользователь берет на себя ответственность за его хранение и правильную эксплуатацию. Для покупки необходимо обращаться в сертифицированные центры и требовать все сопровождающие документы.

Одна из приоритетных задач компании «1С-Битрикс» — достижение высокого уровня защищенности проектов наших клиентов.

Важнейшей задачей при этом является Государственная сертификация наших продуктов и решений.

Сертифицированное ПО «1С-Битрикс» позволяет разрабатывать интернет и интранет-проекты в организациях, к которым законодательно предъявляются повышенные требования к защите информации.

Как купить сертифицированные программные продукты «1С-Битрикс»?

Дистрибуцией сертифицированных программных продуктов «1С-Битрикс» занимается наш заявитель — компания ООО Сертифицированные информационные системы груп.

Узнайте больше о сертификации:

Для чего нужна сертификация? Органы сертификации в России Сертификация продуктов «1С-Битрикс»

Сертификат соответствия № 3260 ФСТЭК России («1С-Битрикс: Управление сайтом»)

Настоящий сертификат удостоверяет, что программный комплекс «1С-Битрикс: Управление сайтом» в редакциях Первый сайт, Старт, Стандарт, Эксперт, Малый Бизнес, Бизнес, «Энтерпрайз», Сайт школы, Сайт учебного заведения, Сайт медицинской организации, Сайт конференции, Официальный сайт государственной организации, разработанный ООО «1С-Битрикс» и производимый ООО «Сертифицированные информационные системы групп» в соответствии с техническими условиями ТУ 5090-030-82487552-13, функционирующий в средах операционных систем, указанных в формуляре 5090-030-82487552-13 ФО, является программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну, реализующим функции идентификации и аутентификации, разграничения доступа и регистрации событий безопасности, соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 4 уровню контроля и технических условий при выполнении указаний по эксплуатации, указанных в формуляре.

Сертификат соответствия № 3268 ФСТЭК России («1С-Битрикс24»)

Настоящий сертификат удостоверяет, что программный комплекс «1С-Битрикс24» в редакциях Корпоративный портал, Энтерпрайз (вариант поставки «Холдинг»), Энтерпрайз (вариант поставки «Интеграционная шина»), Внутренний портал учебного заведения, разработанный ООО «1С-Битрикс» и производимый ООО «Сертифицированные информационные системы» в соответствии с техническими условиями ТУ 5090-031-82487552-13, функционирующий в средах операционных систем, указанных в формуляре 5090-031-82487552-13 ФО, является программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну, реализующим функции идентификации и аутентификации, разграничения доступа и регистрации событий безопасности, соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 4 уровню контроля и технических условий при выполнении указаний по эксплуатации, указанных в формуляре.

В наличии Возможности:

Семейство ключевых носителей для различных программных и аппаратных средств криптографической защиты информации (СКЗИ). Рутокен Lite можно использовать для безопасного хранения ключей шифрования и электронной подписи, паролей и других данных во встроенной защищенной памяти устройства. Применяется для авторизации в компьютерных системах и защиты персональных данных.

Цена:

1 000 руб. Доставка Лабинск –> Самовывоз

  • Из офиса Бесплатно

Курьер

  • Доставка курьером От 1000 руб.

Оплата

  • Наличными через Банк
  • Безналичными

Возможности:

Семейство ключевых носителей для различных программных и аппаратных средств криптографической защиты информации (СКЗИ). Рутокен Lite можно использовать для безопасного хранения ключей шифрования и электронной подписи, паролей и других данных во встроенной защищенной памяти устройства. Применяется для авторизации в компьютерных системах и защиты персональных данных.

Описание

Рутокен Lite поставляется в форм-факторе USB-токена, микро-токена или карты памяти microSD. Обладает интерфейсом CCID и не требует установки драйверов. Совместим с КриптоПро CSP, что позволяет работать этим решениям вместе без дополнительного программного обеспечения. Рутокен Lite имеет сертификат ФСТЭК о соответствии требованиям, предъявляемым по 4-му уровню контроля отсутствия недекларированных возможностей (ндв4).

Что такое Рутокен Lite

Простота и удобство

Документы

2. Порядок получения доступа к ресурсам.

  • Наличный расчет. Оплата производится по квитанции в любом банке.
  • Безналичный расчет. Платежным получением через расчетный счет

Одной из важных составляющих работы нашего интернет-магазина является то, что продаваемые товары сертифицированы и обеспечены фирменной гарантией фирм-производителей.

Для осуществления гарантийного обслуживания необходимы:

  • правильно и без помарок и исправлений заполненный гарантийный талон, в котором должны быть указаны модель и серийный номер изделия, дата продажи и печать торгующей организации;
  • документ, подтверждающий покупку (товарная накладная);
  • полная комплектация товара.

Обращаем также ваше внимание на то, что при получении и оплате заказа покупатель в присутствии курьера обязан проверить комплектацию и внешний вид изделия на предмет отсутствия физических дефектов (царапин, трещин, сколов и т.п.) и полноту комплектации. После отъезда курьера претензии по этим вопросам не принимаются.

Гарантийное обслуживание не производится, если:

  • утерян или не заполнен гарантийный талон
  • оборудование было поставлено на территорию РФ неофициально
  • изделие имеет следы механического повреждения или вскрытия
  • нарушены заводские пломбы
  • были нарушены условия эксплуатации, транспортировки или хранения
  • проводился ремонт лицами, не являющимися сотрудниками авторизованного сервисного центра
  • использовались неоригинальные комплектующие

Подробное описание условий предоставления гарантии вы можете найти в документации к приобретенному товару и/или на сайте соответствующего производителя.

Как вернуть деньги за товар, купленный в Интернет-магазине

В Условия возврата товара, купленного в Интернет-магазине существенно отличаются отВ  товара, купленного в обычном магазине.

Поскольку Интернет-магазин является дистанционным способом продажи, то в отношении такого способа продажи действуют особые правила. Эти правила регулируютсяВ статьей 26.1 ФЗ «О защите прав потребителей», а также «Правилами продажи товаров дистанционным способом», утвержденных Постановлением Правительства РФ от 27.09.2007 г. №612.

В Главное правило, которое действует в отношении товаров, купленных в интерне-магазине – это правоВ отказаться от покупки и вернуть товар без объяснения причин в течение 7-и дней после доставкиВ (а также в любое время до момента доставки). Именно так –В без объяснения причин, т.е. не надо давать объяснения по поводу расцветки, фасона и т.п., как с товаром из обычного магазина.

В момент доставки, вместе с товаром покупателю должна быть предоставлена письменная памятка о праве вернуть товар в течение 7-и дней. Если такая памятка не была предоставлена, то срок возврата увеличиваетсяВ до 3-х месяцев.

В Информация (памятка) о порядке и сроках возврата товара потребителем должна содержать:

а) адрес (место нахождения) продавца, по которому осуществляется возврат товара;

б) режим работы продавца;

в) максимальный срок, в течение которого товар может быть возвращен продавцу, или минимально установленный срок (от 7 дней);

г) предупреждение о необходимости сохранения товарного вида, потребительских свойств товара надлежащего качества до возврата его продавцу, а также документов, подтверждающих заключение договора;

д) срок и порядок возврата суммы, уплаченной покупателем за товар.

Отсутствие одного из пунктов может считаться непредоставлением покупателю информации о порядке и сроках возврата товара.

При покупке в Интернет-магазине, в течение 7-и дней после доставки можно отказаться отВ любого товара. При продаже товаров дистанционным способом,не действуетВ вышеуказанный Перечень товаров, не подлежащих обмену и возврату.

Единственное ограничение – нельзя вернуть товар, изготовленный на заказ (по индивидуально-определенным характеристикам), если отсутствуют недостатки.

Еще одно условие – товар не должен иметь следов использования, сохранены ярлыки и пломбы, сохранена упаковка.

Как видите, закон не требует обязательно сохранять чек, поскольку покупатель может подтверждать покупку другими способами (иные документы, штампы на упаковке, электронная переписка, свидетели). Но на практике, во избежание лишних споров лучше завести привычку сохранять чеки.

Еще один совет: настоятельно рекомендую заиметь привычку проверять любой товар на наличие внешних дефектов в момент доставки. Подписывая акт доставки, обязательно укажите обнаруженные дефекты (царапины и т.п.). Кстати, акт должен быть в 2-х экземплярах. Поэтому, если указываете замечания к внешнему виду, то требуйте копию акта.

Также требуйте копию акта, когда товар доставляется в разобранном виде (мебель и т.п.). В акте надо указать, что товар доставлен в разобранном виде.

Указанный акт необходим на случай возникновения спора во время возврата или обнаружения скрытых дефектов.

Оставить отзыв С ЭТИМ ТОВАРОМ РЕКОМЕНДУЮТ Квалифицированная электронная подпись 500 руб. В наличии Быстрый заказ товара Задать вопрос

ГК «Интегрус» помогает реализовать требования защиты информации ФСТЭК с учетом последних реальных моделей угроз. Сегодня информация является ценнейшим товаром, а множество массивов данных охраняются на законодательном уровне. На рынке информационной безопасности представлено большое количество программных и аппаратно-программных средств защиты данных (СЗИ) – отечественного и зарубежного производства.

Вопросы в области технической защиты информации в России регулирует Федеральная служба по техническому и экспортному контролю (ФСТЭК). Служба определяет классы защиты информации, разрабатывает рекомендации и требования по защите данных от несанкционированного доступа, проводит сертификацию средств по обеспечению безопасности сведений в информационных системах.  

Ведется государственный реестр сертифицированных средств защиты информации ФСТЭК России за № РОСС RU.0001.01БИ00. Также существует добровольная сертификация средств технической защиты информации, например, Certified by AM Test Lab, сертификатами которых отмечены такие продукты как Kaspersky Industrial CyberSecurity for Networks, Solar Dozor UBA, Indeed PAM, DLP-система СёрчИнформ КИБ и многие другие.

Документация государственного регулирования устанавливает минимальные требования защиты от несанкционированного доступа к данным. Для противодействия киберугрозам ФСТЭК регулярно обновляет базу уязвимостей, вносит новые рекомендации в аттестацию, сертификацию оборудования, программного обеспечения.

Выполнение требований регулятора по технической защите информации обязательно при:

  • оказании услуг информационной безопасности (ТЗКИ, СКЗИ);
  • проведении работ по обеспечению государственной и банковской тайн;
  • выполнении обязанностей оператора персональных данных (ПНд);
  • передаче информации посредством сети Интернет.

Требования ФСТЭК по технической защите информации распространяются на:

  • программное обеспечения и оборудование;
  • внешние носители;
  • средства связи и шифровки/дешифровки данных;
  • операционные системы;
  • прочие технические средства хранения, обработки, передачи сведений;
  • персональные данные;
  • специалистов по обеспечению информационной безопасности.

Так, в состав мер по защите персональных данных согласно требованиям ФСТЭК входят:

  • использование системы идентификации и аутентификации (авторизации) субъектов, имеющих доступ к ПНд, и объектов ПНд;
  • возможность ограничения и управления правами доступа к персональной информации;
  • физическая и программная защита носителей информации;
  • регистрация событий безопасности и ведение их журнала;
  • применение средств антивирусной защиты;
  • регулярный контроль защищенности ПНд;
  • обнаружение и предотвращение вторжений, несанкционированного доступа;
  • обеспечение доступности хранимых сведений, их и информационной системы, базы данных доступности;
  • соблюдение требований по защите среды виртуализации, технических средств, информационной системы (ИС), ее средств, каналов и линий связи и передачи данных.

Также требованиями ФСТЭК России по защите персональных данных предусмотрено наличие возможности управления конфигурацией ИС, своевременного выявления инцидентов, способных привести к сбоям в работе ИС, возникновению угроз безопасности ПНд.

Требования ФСТЭК к специалистам по защите информации включают в себя понимание:

  • основных законодательных и нормативных актов в области информационной безопасности и защиты персональных данных;
  • в области сертификации средств защиты информации;
  • о государственной системе противодействия иностранным техническим разведкам.

К профессиональным знаниям специалистов относится:

  • подготовка в части работы с каналами и линиями связи (предотвращение утечки информации);
  • ориентация в сфере комплексных СЗИ;
  • понимание основ методологии построения СЗИ;
  • умение работать со средствами контроля защищенности баз данных (БД) и т.д.

С полным перечнем требований к профессиональной подготовке специалистов в сфере защиты информации можно ознакомиться здесь.

Требования ФСТЭК по защите конфиденциальной информации направлены на исключение неправомерного доступа, копирования, передачи или распространения сведений. Для обеспечения требований по безопасности конфиденциальной информации проводится оценка возможных уязвимостей ИС для внешних и внутренних нарушителей, возможных средств реализации этих уязвимостей.

Меры защиты информации в информационных системах согласно требованиям ФСТЭК должны обеспечивать необходимый уровень безопасности при взаимодействии защищаемых ИС с другими ИС, при обработке и хранении информации. При этом предлагаемые на этапе проектирования меры должны быть реализуемы в конкретной ИС.

Методы и средства технической защиты информации подбираются с учетом структуры СЗИ, состава и мест размещения ее элементов. Если защищаемая ИС проектируется в составе центра обработки данных (ЦОД) рекомендуется использовать уже имеющиеся в ЦОД средства, меры защиты данных.

Выстраивание защиты в государственных информационных системах (ГИС) предполагает ряд нюансов:

  1. К работе допускаются только компании, имеющие лицензию на деятельность по технической защите конфиденциальной информации;
  2. Требования по охране данных и информации базируются на ряде ГОСТов.
  3. Структурирование классов защиты информации для государственных учреждений – жесткое (всего три класса из семи возможных, используемых в работе частных операторов персональных данных).
  4. Модели угроз основываются на документах и баз ФСТЭК.

Организационные мероприятия предотвращают неправомерные:

  • доступ, хищение и распространение закрытых данных;
  • уничтожение/изменение целостности данных;
  • препятствие получению информации, нарушающее права пользователей.
  • Важное значение имеет разработка пакета организационных и распорядительных документов для:
  • регламентации процесса безопасности хранения данных;
  • порядка выявления инцидентов безопасности;
  • регламентации управления конфигурированием информационных систем по защите данных;
  • установления методов мониторинга информсистем.

Существует регламентация разработки систем и введения их в эксплуатацию, разграничения уровней доступности, проведения проверок и анализ реакций, ответственных за организацию защиты специалистов. Лишь после проведения совокупности мероприятий информационная система аттестуется, вводясь в эксплуатацию.

Технические меры защиты обязывают госструктуры использовать сертифицированные средства, соответствующие классу защиты с функциями:

  • идентификации, аутентификации;
  • управления доступом к данным с возможностью контроля;
  • ограничений по использованию программ;
  • защиты всех информационных носителей;
  • ведение регистрационного учета инцидентов в сфере безопасности;
  • отслеживания вторжений извне;
  • обеспечения целостности находящейся на хранении и обрабатываемой информации;
  • защиты в облачной среде.

Для частных компаний это допустимо с более урезанным функционалом, используемым при обработке массива персональных данных.

Методические рекомендации ФСТЭК по защите данных предусматривают использование:

  • межсетевых экранов, фильтрующих информацию по установленным критериям;
  • средств, направленных на обнаружение, нейтрализацию и анализ вторжений;
  • антивирусных программ, выявляющих, блокирующих и нейтрализующих несанкционированные действия;
  • доверенной загрузки;
  • контроля за съемными носителями.

ФСТЭК рекомендует использовать такие методы по защите информации как контроль доступа к носителям данных и ИС (физический, аппаратный, программный и т.д.), шифрование передаваемых сведений.

Существует огромный перечень подзаконных актов и документов, определяющих порядок организации информационной защиты и позволяющих эффективно применять разработанную систему информационной безопасности.

Так, положения о защите технической информации разрабатываются организациями самостоятельно. Отдельные положения выносятся местными органами власти. ФСТЭК выпускает приказы, уточняющие требования в сфере защиты информации, например, Приказ ФСТЭК России от 23 марта 2017 г. N 49, от 15 февраля 2017 г. N 27 и т.д. – полный перечень документов ФСТЭК по технической защите информации можно уточнить здесь. Детальнее:

  1. Приказы ФСТЭК по защите информации;
  2. Положение ФСТЭК о защите информации;
  3. Документы ФСТЭК по защите персональных данных базируются на Федеральном законе о персональных данных;
  4. Одним из основных документов для операторов является положение о лицензировании технической защиты конфиденциальной информации.
  5. Методические рекомендации и руководящие документов по технической защите информации.

Техническая защита информации затрагивает вопросы сбора, обработки, передачи, хранения, распространения информации с соответствующим классу защищенности обеспечением ее безопасности на предприятиях. Система документов по технической защите информации строится на основополагающих элементах:

  • федеральное законодательство;
  • распоряжения и указы Президента РФ;
  • постановления правительства РФ;
  • документация ФСБ, ФСТЭК, Роскомнадзора;
  • общероссийские стандарты;
  • документы руководящие, нормативно-методические.

Документы ФСТЭК по технической защите информации ложатся в основу проектирования и исполнения информсистем, защищенных от проникновения на любых уровнях. Вся документация размещается по мере обновления на официальном сайте и является обязательной к исполнению.

В нормативных руководящих документах ФСТЭК по защите информации содержатся принципы разноуровневой защиты по шкале важности сведений, степени конфиденциальности, предписаний по оценке защищенности от несанкционированных действий злоумышленников, регламенты работ для сотрудников сферы защиты данных.

Функции ФСТЭК в области сертификации средств защиты информации заключаются в:

  • создании системы сертификации средств защиты информации в соответствии с требованиям по обеспечению информационной безопасности;
  • формировании правил проведения сертификации средств защиты данных;
  • аккредитации органов по сертификации и испытательных лабораторий и разработке правил аккредитации;
  • выборе способов подтверждения соответствия СЗИ требования нормативных документов;
  • выдаче сертификатов и лицензий на использование знаков соответствия;
  • ведении государственного реестра участников сертификации и реестра сертифицированных средств защиты информации;
  • осуществлении государственного надзора над соблюдением участниками правил сертификации, инспекционного контроля – над сертифицированными средствами защиты;
  • рассмотрении апелляций по вопросам сертификации;
  • утверждении нормативных документов с требованиями к средствам и системам защиты информации, методических документов по проведению испытаний.

Также ФСТЭК исполняет функции центрального органа системы сертификации средств защиты информации (либо может делегировать их другой организации по необходимости). ФСТЭК может приостанавливать или отменять действие сертификатов.

Система сертификации средств защиты информации ФСТЭК включает в себя органы по сертификации (работающие с определенными видом продукции), испытательные лаборатории. В структуру системы сертификации ФСТЭК также входят заявители (предприятия, организации, компании) и центральный орган, в роли которой выступает сама ФСТЭК.

Регулятор выделил семь классов защищенности, где первый класс соответствует наивысшей степени защиты, а седьмой (для госструктур – третий) является низшей. Комплекс требований по защите средств вычислительной техники и автоматизированных систем формируют градацию классов.

Сертификаты соответствия ФСТЭК России на средства защиты информации подтверждают, что организация соответствует действующим нормативно-правовым актам РФ и имеет высокий уровень защищенности от кибер-угроз. Выбор оптимального защитного средства зависит напрямую от класса системы. В ситуациях значительного превышения стоимости программного обеспечения нужного класса допустимо, согласовав с территориальным органом ФСТЭК, устанавливать иные средства защиты.

Государственный реестр сертифицированных средств защиты информации ФСТЭК постоянно обновляется, находясь в открытом доступе. В нем содержится информация об аккредитациях, сертификатах (в т.ч. двойного назначения), лицензиях, разрешениях. Программы и средства информационной защиты в обязательном порядке проходят обязательную регистрацию, с занесением в реестр и выдачей сертификата.

Лицензия ФСТЭК на техническую защиту конфиденциальной информации включает средства информационной защиты, их установку и эксплуатацию. Выдача предприятию лицензии для работы с конфиденциальными сведениями и по оказанию телематических услуг означает корректную работу системы безопасности данных на основе рекомендаций, требований, положений и приказов ФСТЭК.

Отказ от получения допуска чреват жесткими проверками с возможной приостановкой работы, отзывом разрешительных документов и административным наказанием.

Виды лицензий, связанных с деятельностью:

  • по предотвращению утечек по различным каналам, бесконтрольного проникновения, видоизменения информации как в системах, так и помещениях, где они размещаются;
  • на услуги мониторинга информбезопасности, аттестации на соответствие требованиям защиты информации, проектирования систем информатизации в защищаемых помещениях, монтажа, отладки, проведению испытаний и ремонтных работ;
  • на разработку и производство средств безопасности;
  • на выстраивание мероприятий по сохранности гостайны.

При оформлении лицензии используются только некриптографические методы.

Срок оформления лицензии составляет 30 дней, хотя зачастую готовое разрешение удается получить только спустя два месяца. Действие лицензии бессрочное.

Оцените статью
Рейтинг автора
4,8
Материал подготовил
Егор Новиков
Наш эксперт
Написано статей
127
А как считаете Вы?
Напишите в комментариях, что вы думаете – согласны
ли со статьей или есть что добавить?
Добавить комментарий