Лицензирование деятельности по мониторингу ИБ

Прозоров Андрей, CISM

Solar Security

29-03-2017

НМД по лицензированию

2

Федеральный закон от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видовдеятельности"

Постановление Правительства РФ от 3 февраля 2012 г. № 79"О лицензировании деятельности по технической защите конфиденциальной информации"

Постановление Правительства РФ от 15 июня 2016 г. № 541"О внесении изменений в некоторые акты Правительства Российской Федерации по вопросамлицензирования отдельных видов деятельности" (с 17.06.2017)

"Перечень контрольно-измерительного и испытательного оборудования, средств контролязащищенности, необходимых для выполнения работ и оказания услуг, установленныхПоложением о лицензировании деятельности по технической защите конфиденциальнойинформации, утвержденным постановлением Правительства Российской Федерации от 3февраля 2012 г. № 79", утвержден Директором ФСТЭК России 16 декабря 2016 г.

"Перечень технической документации, национальных стандартов и методических документов,необходимых для выполнения работ и оказания услуг, установленных Положением олицензировании деятельности по технической защите конфиденциальной информации,утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N79", утвержден Директором ФСТЭК России 4 апреля 2015 г. (???вероятно устарел)

Проект административного регламента

3

Проект административного регламента ФСТЭК России от 10 марта 2017 годаhttp://fstec.ru/normotvorcheskaya/proekty/57-prikazy/1256-proekt-prikaza-fstek-rossii-26

Лицензирование по ТЗКИ

4

а) услуги по контролю защищенности конфиденциальной информации от утечки потехническим каналам: …

б) услуги по контролю защищенности конфиденциальной информации отнесанкционированного доступа и ее модификации в средствах и системах информатизации

в) услуги по мониторингу информационной безопасности средств и системинформатизации

г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиямпо защите информации: …

д) работы и услуги по проектированию в защищенном исполнении: …

е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации(технических средств защиты информации, защищенных технических средств обработкиинформации, технических средств контроля эффективности мер защиты информации,программных (программно-технических) средств защиты информации, защищенныхпрограммных (программно-технических) средств обработки информации, программных(программно-технических) средств контроля эффективности защиты информации)

Виды деятельности для SOC

5

Деятельность по технической защите конфиденциальной информации

в) услуги по мониторингу информационной безопасности средств и систем информатизации

б) услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации

г) работы и услуги по проектированию в защищенном исполнении: …

е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации…

Кому нужна лицензия? Общая идея…

6

Если деятельность направлена на получение прибыли отвыполнения работ или оказания услуг по технической защитеконфиденциальной информации

и (или) она необходима для достижения целей деятельности,предусмотренных в учредительных документах юридического лица,

а также если это юридическое лицо (уполномоченное лицо)обеспечивает техническую защиту конфиденциальной информациипри ее обработке в соответствии с Федеральным законом "Обинформации, информационных технологиях и о защите информации"по поручению обладателя информации конфиденциальногохарактера и (или) заказчика информационной системы.

Наказание по КоАП и УК РФ

7

Статья Максимальное наказание

КоАП ст.13.12. Нарушение правил защиты информации Штраф до 25 000 рублей с конфискациейнесертифицированных средств защитыинформации // административноеприостановление деятельности на срок до90 суток

КоАП ст.13.13. Незаконная деятельность в области защитыинформации

Штраф до 20 000 рублей с конфискациейсредств защиты информации

КоАП ст.14.1. Осуществление предпринимательской деятельностибез государственной регистрации или без специальногоразрешения (лицензии)

Штраф до 200 000 рублей //административное приостановлениедеятельности на срок до 90 суток

КоАП ст.19.20. Осуществление деятельности, не связанной сизвлечением прибыли, без специального разрешения (лицензии)

Штраф до 250 000 рублей //административное приостановлениедеятельности на срок до 90 суток

УК РФ ст. 171. Незаконное предпринимательство(Осуществление предпринимательской деятельности безрегистрации или без лицензии в случаях, когда такая лицензияобязательна, если это деяние причинило крупный ущербгражданам, организациям или государству либо сопряжено сизвлечением дохода в крупном размере)

Штраф до 500 000 рублей // Лишениесвободы до 5 лет

Для переоформления лицензии

8

• Заявление о переоформлении лицензии

• Сведения, подтверждающие квалификацию специалистов по защитеинформации (с указанием реквизитов дипломов, удостоверений, свидетельств)

• Сведения, подтверждающие наличие аттестованных по требованиямбезопасности информации защищаемых помещений

• Сведения, подтверждающие наличие аттестованных по требованиямбезопасности информации автоматизированных систем, предназначенных дляхранения и обработки конфиденциальной информации, сведения о защищаемыхв автоматизированных системах ресурсах

• Сведения, подтверждающие наличие на праве собственности или иномзаконном основании оборудования, необходимого для выполнения работ и (или)оказания услуг

• Сведения об имеющихся технической и технологической документации,национальных стандартах и методических документах, необходимых длявыполнения работ и (или) оказания услуг

ФСТЭК России предупреждает

9

Про квалификацию специалистов SOC

10

а) наличие в штате по основному месту работы в соответствии со штатным расписанием руководителяи (или) уполномоченного руководить работами по лицензируемому виду деятельности лица,имеющих высшее образование по направлению подготовки (специальности) в областиинформационной безопасности и стаж работы в области проводимых работ по лицензируемому видудеятельности не менее 3 лет, или высшее образование по направлению подготовки (специальности) вобласти математических и естественных наук, инженерного дела, технологий и технических наук истаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, илииное высшее образование и стаж работы в области проводимых работ по лицензируемому видудеятельности не менее 5 лет, прошедших обучение по программам профессиональнойпереподготовки по одной из специальностей в области информационной безопасности (нормативныйсрок обучения - не менее 360 аудиторных часов),

а также инженерно-технических работников (не менее 2 человек), имеющих высшее образование понаправлению подготовки (специальности) в области информационной безопасности и стаж работы вобласти проводимых работ по лицензируемому виду деятельности не менее 3 лет или иное высшееобразование и стаж работы в области проводимых работ по лицензируемому виду деятельности неменее 3 лет, прошедших обучение по программам профессиональной переподготовки по одной изспециальностей в области информационной безопасности (нормативный срок обучения - не менее360 аудиторных часов);

… б) повышение квалификации по лицензируемому виду деятельности лиц, указанных в подпункте"а" настоящего пункта, не реже одного раза в 5 лет.

Требования к Помещениям и АС

11

б) наличие помещений, принадлежащих соискателю лицензии на правесобственности или ином законном основании, в которых созданы необходимыеусловия для размещения работников, производственного и испытательногооборудования для осуществления лицензируемого вида деятельности, обсужденияинформации ограниченного доступа, не содержащей сведения, составляющиегосударственную тайну

г) наличие принадлежащих соискателю лицензии на праве собственности или иномзаконном основании автоматизированных систем, предназначенных дляобработки конфиденциальной информации, а также средств защиты такойинформации, прошедших процедуру оценки соответствия (аттестованных и (или)сертифицированных по требованиям безопасности информации) в соответствии сзаконодательством Российской Федерации

Требования к оборудованию

12

в) наличие принадлежащего соискателю лицензии на праве собственностиили ином законном основании оборудования, необходимого длявыполнения работ и (или) оказания услуг,предусмотренных пунктом 4 настоящего Положения, в соответствии сопределяемым Федеральной службой по техническому и экспортномуконтролю перечнем, в том числе:

• измерительных приборов, прошедших в установленномзаконодательством Российской Федерации порядке метрологическуюповерку (калибровку)

• программных (программно-технических) средств, включая средстваконтроля эффективности защиты информации, сертифицированных потребованиям безопасности информации, а также средств контроля(анализа) исходных текстов программного обеспечения

Оборудование в соответствии с утвержденным Перечнем!

• Сертифицированные СЗИ• Средства мониторинга SOC

(без требований к наличию сертификатов соответствия)

• «Информационная система, предназначенная для мониторинга информационной безопасности»(сам SOC)

Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг,

установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства

Российской Федерации от 3 февраля 2012 г. N 79

13

Минимально необходимый

Сертифицированные СЗИ для SOC

14

Наименование оборудования Дополнительно

• 20. Программное средство контроля целостности программ и программных комплексов

-

• 25. Средство (средства) антивирусной защиты• 24. Межсетевой экран уровня сети • 26. Система обнаружения вторжений

Не ниже 4 классаНе ниже 4 классаНе ниже 4 класса

• 23. Межсетевой экран уровня веб-сервера Не ниже 4 класса

• 32. Средство (средства) защиты каналов передачи данных Сертификат ФСБ России

• 30. Система управления событиями безопасности информации• 21. Система контроля (анализа) защищенности

информационных систем

--

Средства мониторинга (SOC)

15

Наименование оборудования Расшифровка

• 28. Замкнутая система (среда) предварительного выполнения программ (обращения к объектам файловой системы)

Sandbox

• 22. Средства, предназначенные для осуществления тестирования на проникновение

VM + ПО для пентестеров

• 27. Средство автоматизированного реагирования на инциденты информационной безопасности

SIEM + SD

• 29. Система управления информацией об угрозах безопасности информации

SIEM + SD

• 31. Система управления инцидентами информационной безопасности

SIEM + SD

И самое сложное про ИС (SOC)…

16

33. Информационная система, предназначенная для мониторинга информационной безопасности

Информационная система, предназначенная для оказанияуслуг по мониторингу информационной безопасностисредств и систем информатизации, в состав которой входятсредства и системы (или их компоненты), содержащиеся внастоящем перечне под NN 27-32, и в которой принятымеры по защите информации для первого классазащищенности государственных информационных систем всоответствии с Требованиями о защите информации, несоставляющей государственную тайну, содержащейся вгосударственных информационных системах,утвержденными приказом ФСТЭК России от 11 февраля 2013г. N 17.

Должна располагаться по адресу осуществления лицензируемого вида деятельности

Требования Приказа 17

17

• Приказ ФСТЭК России от 11 февраля2013 г. № 17 «Об утвержденииТребования о защите информации, несоставляющей государственную тайну,содержащейся в государственныхинформационных системах»

• Методический документ ФСТЭК Россииот 11 февраля 2014 г. «Меры защитыинформации в государственныхинформационных системах»

По Приказу 17

18

Для обеспечения защиты информации, содержащейся в информационнойсистеме, проводятся следующие мероприятия:

• формирование требований к защите информации, содержащейся винформационной системе;

• разработка системы защиты информации информационной системы;

• внедрение системы защиты информации информационной системы;

• аттестация информационной системы по требованиям защитыинформации и ввод ее в действие;

• обеспечение защиты информации в ходе эксплуатации аттестованнойинформационной системы;

• обеспечение защиты информации при выводе из эксплуатацииаттестованной информационной системы или после принятия решенияоб окончании обработки информации.

Перечень документации

19

Перечень технической документации,национальных стандартов и методическихдокументов, необходимых для выполненияработ и оказания услуг, установленныхПоложением о лицензировании деятельностипо технической защите конфиденциальнойинформации, утвержденным постановлениемПравительства Российской Федерации от 3февраля 2012 г. № 79 (новая редакция от04.04.2015).Вероятно будет пересмотрен…

150 наименований

Возможный перечень документов (ДСП)

20

Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)

ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общиетребования. ДСП

ГОСТ РО 0043-003-2012. Защита информации. Аттестация объектов информатизации. Общие положения. ДСП

ГОСТ РО 0043-004-2013. Защита информации. Аттестация объектов информатизации. Программа и методикиаттестационных испытаний.

Требования к системам обнаружения вторжений

Требования к средствам антивирусной защиты

Требования к средствам доверенной загрузки

Требования к средствам контроля съемных машинных носителей информации.

Требования к межсетевым экранам

Требования к безопасности информации к операционным системам

Сборник временных методик оценки защищенности конфиденциальной информации от утечки потехническим каналам. ДСП

Сборник методических документов по технической защите информации ограниченного доступа, несодержащей сведений, составляющих государственную тайну, в волоконно-оптических системах передачи.

Спасибо за внимание!

Прозоров Андрей, CISMa.prozorov@solarsecurity.ru