В новых условиях роста импортозамещения и развития разработки внутренних ИТ-продуктов часть возможностей теряются, часть — приходят на смену старым. Компании берутся за создание программного обеспечения: промышленного, прикладного, необходимого для пользователей и инфраструктуры. Зарабатывать в области информационной безопасности тоже возможно — более того, это перспективная и востребованная сфера. Однако с приходом санкций все начали перестраиваться с санкционных товаров и услуг, заменяя их доступными продуктами. Какое же контрольно-измерительное оборудование подойдет под требования российского законодательства? В этой статье мы постараемся дать ответ на этот вопрос.
Документы
В Постановлении Правительства №171 в пункте 9 установлен ряд документов, необходимых для осуществления деятельности по производству средств защиты конфиденциальной информации (далее СЗКИ). Они будут кратко отражены на инфографике.
а) Сотрудники
Начнём с трудящихся работников. Среди них обязательно должны быть 2 инженера и один руководитель. А чтобы подтвердить, что они работают именно в нашей компании, а также их квалификацию, нам нужны
Приказ о приеме на работу, вместе с ней должностная инструкция и трудовой договор
Диплом о высшем образовании или проф. переподготовке
Трудовая книжка
б) Помещение
Оно не только должно удовлетворять условиям выполнения труда, но и быть аттестовано (об этом мы поговорим далее). Вместе с помещением при вас должны быть документы, которые:
доказывают его владение на законном основании (договор об аренде или выписка из реестра)
подтверждают наличие аттестации помещения (Аттестаты соответствия помещения и ИС (от компании-лицензиата в сфере ИБ)
в) Контрольно-измерительное оборудование
На нём и строится основной процесс производства СЗКИ, поэтому документы, относящиеся к КИО, должны:
доказывать владение КИО (Накладная о покупке)
иметь лицензию (Лицензия, сертификат с дистрибутивом, бухгалтерские документы,
подтверждающие постановку данной вещи на баланс)
г) Техническая и Технологическая документация
Эти документы необходимы для выполнения работ и(или) оказания услуг, предусмотренных пунктом 3 настоящего Положения, в соответствии с определяемым ФСТЭК перечнем:
Документ, подтверждающий подписку на консультант плюс
Документы о покупке информации ДСП (для служебного пользования)
д) Система производственного контроля
Естественно, необходимо следить за процессом производства СЗКИ и качеством выпускаемой продукции. Для легальной деятельности вам необходимы:
Должностные инструкции для ответственных за производственным контролем
Описание технического процесса
Документы на методы контроля качества
Сертификат СМК ИСО 9990001
Контрольно-измерительное оборудование
С помощью него и происходит процесс производства СЗКИ. Перечень необходимых КИО представлен на официальном сайте ФСТЭК, они имеют номера с 29 по 37 в общем списке. Сейчас мы разберём, что нужно и предложим пример для каждого КИО.
а. Средство(а) контроля целостности программ и программных комплексов
Для чего же нужно это КИО? Основными его задачами являются обеспечение расчета и документирование уникальных значений контрольных сумм программного обеспечения, функционирующего в средах операционных систем Windows и Linux, по алгоритму, установленному ГОСТ Р 34.11. При этом, у каждого средства (их может быть несколько) должен быть сертификат ФСТЭК. В качестве подходящих средств можно взять:
для Linux - ФИКС-UNIX 1.0 (Сертификат ФСТЭК №680)
для Windows - ФИКС-UNIX 2.02 (Сертификат ФСТЭК №1548)
б. Средство(а) анализа программного кода
Должно (должны) обеспечивать: решение задач контроля отсутствия в программном обеспечении, недекларированных возможностей в соответствии с требованиями руководящего документа «Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», утвержденного приказом Гостехкомиссии России от 4 июня 1999 г. No 114; проведение статического и динамического анализа исходных текстов программного обеспечения, а также контроль соответствия исходных текстов программного обеспечения его объектному (загрузочному) коду. Для средства анализа программного кода подойдёт АК-ВС 2 (оно не требует сертификата ФСТЭК)
в. Средство(а) разработки программ
Оно(и) должно(ы) обеспечивать разработку, компиляцию и отладку программ, просмотр и редактирование бинарных файлов, разработку программ с возможностями подключения и расширения для программирования на различных языках, поиск фрагментов данных, сравнение фрагментов данных, расчет контрольных сумм фрагментов данных, проведение вычислений в системах счисления по десятичному, двоичному и шестнадцатеричному основаниям. Средства разработки Astra Linux Special Edition 1.6 отлично подойдут сюда(сертификат ФСТЭК не требуется). Вся наша информационная система будет построена на астра линуксе. Язык программирования: C++.
г. Средства антивирусной защиты (не менее 3 средств разных производителей)
Антивирусы способствуют защищённости от различных компьютерных вирусов и другого вредоносного ПО, поэтому - это необходимый инструмент для производства СЗКИ. Они должны функционировать на Windows и Linux, а также иметь сертификацию ФСТЭК. Три идеальных варианта средств антивирусной защиты:
Kaspersky Endpoint Security для бизнеса – Стандартный Russian Edition (сертификат ФСТЭК № 2534)
Dr.Web Enterprise Security Suite (сертификат ФСТЭК № 3509)
VR-protect (сертификат ФСТЭК № 4517)
д. Средство поиска остаточной информации на машинных носителях информации
Оно должно обеспечивать поиск остаточной информации на машинных носителях информации по заданным критериям и должно быть сертифицировано ФСТЭКом. Под данные критерии подойдёт Средство анализа защищенности Сканер-ВС (сертификат ФСТЭК № 2204)
е. Программатор
Этот прибор нужен для того, чтобы обеспечивать запись и считывание информации с постоянных запоминающих устройств и считывание информации из них. Для данных целей подойдёт Внутрисхемный программатор-отладчик XILINX DLC9G
ж. Система управления изменениями программного обеспечения
Она должна обеспечивать: управление конфигурациями программного обеспечения; управление реализацией новых возможностей в программном обеспечении; управление устранением ошибок в программном обеспечении; контроль доступа к системе. Под эти критерии идеально подойдёт система gitflic
з. Средства для автоматизации процессов тестирования средств защиты информации (средства тестирования проникновения)
Это автоматизация процесса тестирования проникновения средства защиты информации. Для её обеспечения подойдёт MaxPatrol 8 (не требует сертификата)
Заключение
В этой статье мы рассмотрели необходимые условия для получения лицензии на производство СЗКИ, и стоит заметить, что вам необходимо соблюдать их все, ведь представитель ФСТЭК очень требовательно относится к соблюдению их. Из альтернативных вариантов у вас есть только различные компании, которые также могут провести у вас внутреннюю проверку на соблюдение требований лицензии и подготовить вас к ней. Соблюдайте законы и внимательно читайте все требования, в таком случае у вас не возникнут проблемы.
Комментарии (7)
TerekhinSergey
15.06.2023 13:28+3Кто-нибудь может рассказать, зачем обязательное требование высшего образования? И как высшее образование в области какой-нибудь биологии и стаж там же например поможет работать в сфере ИБ без переподготовки?
18741878
15.06.2023 13:28+1Без бумажки ты ка...шка, а с бумажкой - человек :) Раз положеТо, значится положеТо!
secm
15.06.2023 13:28В статье об этом не написали, но в требованиях ФСТЭК указано, что требуется высшее образование по направлению подготовки "Информационная безопасность" или переподготовка соответствующая, если высшее образование было по другому профилю (причём гуманитарный профиль всё равно не подойдёт). Более того, нужен ещё опыт работы.
vomihar_tavalas Автор
15.06.2023 13:28Благодарю Вас за замечание. В инфографике указаны данные о высшем образовании у руководителя и инженеров, забыл добавить в текст статьи
Yak52
15.06.2023 13:28+3А программатору сертификат фстэк не нужен? А где гарантия что он записывает в ПЗУ только то, что надо? Недоработка у товарища майора.
vomihar_tavalas Автор
15.06.2023 13:28В Перечне КИО, программных (программно-технических) средств, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 марта 2012 г. № 171 (утв. ФСТЭК России 27 июня 2018 г.) не указана информация, что для программатора нужен сертификат ФСТЭК.
Keeper9
Снова ИИ статью писал?