Актуальні питання сертифікації антивірусного ПЗ в світлі закону ФЗ № 152 "Про персональних даних"

Компанія ESET, Міжнародний розробник антивірусного ПО і рішень в області безпеки, веде свій бізнес більш ніж в 160 країнах світу і при цьому завжди відповідає правовим нормам, що діють на локальних ринках. Саме тому ESET, Усвідомлюючи відповідальність перед своїми партнерами і клієнтами в Росії і країнах СНД у зв'язку з набранням чинності закону ФЗ № 152 "Про персональних даних", стала першою і поки єдиною компанією, чиї продукти отримали сертифікат Федеральної служби з технічного та експортного контролю (ФСТЕК Росії), в якому прямо вказано, що вони можуть використовуватися для захисту інформації в ІСПДн до 1 класу включно.

Даний сертифікат (сертифікат відповідності ФСТЕК Росії № 1914 від 22 вересня 2009 року) підтверджує, що програмні продукти ESET відповідають вимогам, які висуваються до інформаційних систем захисту персональних даних першого класу включно, і можуть використовуватися на підприємствах, що обробляють персональні дані вищої категорії конфіденційності. Завантажити сертифікат ESET NOD32 у форматі *. pdf можна на сайті ESET.

Про закон ФЗ № 152 "Про персональних даних"

Відповідно до закону ФЗ № 152 "Про персональних даних", до 1 січня 2010 року всі організації (як державні компанії, органи влади, так і комерційні організації) обробні персональні дані фізичних осіб, зобов'язані привести свої інформаційні системи у відповідність з вимогами регулюючих органів. У разі порушення закону діяльність організацій може бути припинена, а її посадовим особам загрожує адміністративна, дисциплінарна або кримінальна відповідальність. Контроль за виконанням закону здійснюють ФСТЕК, ФСБ і Роскомнагляд.

З 1 січня 2010 року будь-яка організація, що займається обробкою персональних даних, зобов'язана використовувати засоби інформаційної безпеки, які пройшли сертифікацію ФСТЕК Росії, в тому числі, кошти антивірусного захисту. Регулюючі органи виділяють 4 категорії персональних даних, де категорія 4 – це знеособлені дані, а категорія 1 – відомості найвищої конфіденційності, наприклад, інформація про стан здоров'я, національності, релігійних переконаннях суб'єкта. За даними Роскомнадзора, обробкою персональних даних в Росії займається близько 7 мільйонів організацій. При цьому кожна компанія, яка використовує таку інформацію, як лікарняні листи, особисті анкети співробітників, відомості про банківський рахунок, має забезпечити її безпеку за найвищим класом інформаційних систем персональних даних (ІСПДн).

З державним реєстром сертифікованих засобів захисту інформації можна ознайомитися на офіційному сайті ФСТЕК Росії. Інформація на сайті представлена у відповідності з діючими нормативними правовими документами Російської Федерації. У державному реєстрі позначено, що пакет програм ESET NOD32 Platinum Pack 4.0 може використовуватися при побудові автоматизованих систем класу до 1Г включно (Вищий клас захисту АС, не призначених для обробки інформації, що становить державну таємницю) і може використовуватися для захисту інформації в ІСПДн до 1 класу включно (за умови несуттєвих обмежень організаційного порядку). Згідно з державним реєстром, за станом на 30 жовтня 2009 року інші антивірусні продукти можуть використовуватися для захисту інформації в ІСПДн тільки до 2-го, 3-го і 4-го класів.

Виняток становлять продукти "Програмний комплекс антивірусного захисту" VBA32 "версії 3.12" (сертифікат № 1671, діє до 26.08.2011) та "ВО Антивірус Касперського для" Діоніс "2.0 G6383" (сертифікат № 1570, діє до 06.03.2011), які також мають запис у Реєстрі, дозволяє використовувати їх в ІСПДн класу до К1 включно. Однак жоден із зазначених продуктів не має сертифікату, де прямо йшлося б про можливості його застосування в ІСПДн певного класу. Будучи гранично коректними у визначеннях, ми відносимо цю тезу і до іншого, більш раннього продукту нашої компанії – ESET NOD32 Business Edition версії 3.0, застосування якого можливо в ІСПДн класу до К2 включно, але на бланку сертифіката якого запис про це також відсутня (сертифікат № 1707).

Крім того, слід звертати увагу на дату отримання сертифікату. Наприклад, якщо сертифікат отриманий на початку 2007 року, то термін його дії закінчується на початку 2010 року (термін дії 3 роки) і, відповідно, Такого антивірусному засобу необхідно заново проходити сертифікацію.

ESET NOD32 Platinum Pack 4.0

Сертифікат ФСТЕК Росії "класу К1" виданий на комплект програм під назвою ESET NOD32 Platinum Pack 4.0, Який включає в себе рішення ESET NOD32 для захисту серверів і робочих станцій під управлінням ОС Windows, додаток ESET Remote Administrator, а також рішення ESET NOD32 для захисту файлових серверів на базі Linux, FreeBSD і Solaris. Це медіапак для комплекту програмних продуктів ESET NOD32 Platinum Pack 4.0, сертифікованих ФСТЕК Росії з вищого класу ІСПДн – "К1". Комплект медіапака містить:

Продукт промаркований спеціальним захисним знаком відповідності ФСТЕК Росії (голографічна не видаляються наклейка з унікальним номером).

Чинним користувачам ESET NOD32, незалежно від кількості ліцензій, досить купити один комплект ESET NOD32 Platinum Pack 4.0 і інсталювати це ПЗ з використанням наявного у клієнта ліцензійного ключа. Операторам персональних даних, які бажають стати користувачами ESET NOD32, необхідно замовити звичайні ліцензії в потрібній кількості, а також медіапак ESET NOD32 Platinum Pack 4.0. Програмне забезпечення необхідно встановлювати з диска, що входить у цей комплект. Медіапакі ESET NOD32 Platinum Pack 4.0 будуть доступні на складах дистриб'юторів з 18 листопада 2009 року.

ФСТЕК, ФСБ і Державна таємниця

Методи і способи захисту інформації в інформаційних системах встановлюються Федеральною службою з технічного та експортного контролю і Федеральною службою безпеки Російської Федерації в межах їх повноважень.

Згідно з Положенням про Федеральній службі з технічного та експортного контролю, затвердженому Указом Президента РФ "Питання Федеральної служби з технічного та експортного контролю" від 16.08.2004 № 1085 (В ред. Указів Президента РФ від 22.03.2005 № 330, від 20.07.2005 № 846, від 30.11.2006 № 1321, від 23.10.2008 № 1517, від 17.11.2008 № 1625), ФСТЕК Росії:

До повноважень ФСТЕК Росії належить ліцензування діяльності з розробки та (або) виробництву засобів захисту конфіденційної інформації в тому числі, у сфері захисту державної таємниці, а також сертифікація продукції в цій сфері. Таким чином, в питаннях ліцензування і сертифікації, що стосуються державної сфери, компетентна виключно ФСТЕК Росії. За винятком тієї області, на яку поширюється виключна компетенція ФСБ Росії. Це питання захисту інформації методами, що не відносяться до технічного захисту, питання криптографічного захисту інформації, питання захисту об'єктів Російської Федерації за кордоном та захисту об'єктів вищих органів державної влади РФ.

Перелік вищих органів державної влади, на який поширюється виключна компетенція ФСБ Росії, наведений у "Положенні про ліцензування діяльності з розробки та (або) виробництва засобів захисту конфіденційної інформації ", затвердженому постановою Уряду РФ від 31 серпня 2006 р. № 532" Про ліцензування діяльності з розробки та (або) виробництву засобів захисту конфіденційної інформації ".

Згідно Пункту 2 цього Положення, ліцензування діяльності з розробки та (або) виробництву засобів захисту конфіденційної інформації здійснює Федеральна служба з технічного та експортного контролю (ФСТЕК Росії), а Федеральна служба безпеки Російської Федерації (ФСБ Росії) уповноважена в частині ліцензування розробки і (або) виробництва засобів захисту конфіденційної інформації, встановлюються на об'єктах:

Всі інші органи державної влади на території Росії, не перераховані вище, в частині технічного захисту інформації обмеженого поширення, як складової державну таємницю, так і містить відомості конфіденційного характеру некріптографіческімі методами, знаходяться у веденні ФСТЕК Росії.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*