Выбор средств защиты информации для различных инфотелекоммуникационных систем

Функционал:

«Secret Net Studio» (Средство защиты данных и контроля безопасности конечных точек)

«Secret Net Studio» сертифицирован ФСТЭК России: СВТ 5/СКН 4/САВЗ 4 (типы: «А», «Б», «В», «Г»)/МЭ В4/СОВ 4 (уровень узла)/УД 4, АС – до класса 1Г включительно, ЗОКИИ – до 1 категории включительно, ИСПДн – до УЗ1, ГИС и АСУ ТП – до К1 включительно.

«Secret Net Studio – С» сертифицирован ФСТЭК России: СВТ 3/МЭ В2, АС – до класса 1Б включительно, ЗОКИИ – до категории 1 включительно, ИСПДн – до УЗ1 включительно, ГИС и АСУ ТП – до К1 включительно.

«Secret Net Studio – С» сертифицирован ФСБ России: защита по классу АК3 (для Secret Net Studio 8.4).

Функционал:

Антивирус KasperskyEndpointSecurity 11.6.0 (программное обеспечение специального назначения, предназначенное для обнаружения вредоносного кода в файлах или операционной системе, а также восстановления модифицированных таким кодом файлов и предупреждения такой модификации).

Сертификат ФСТЭК России и ФСБ России антивирусных средств класса Б2, В2, Г2. Может использоваться для защиты информации уровня государственной тайны.

Функционал:

КриптоПро CSP 5.0 (вспомогательное программное обеспечение – криптопровайдер)

Сертификат ФСБ России класс КС1, КС2, КС3

Функционал:

Требования

к исполнителю работ

В данном разделе должны быть приведены типовые требования к исполнителю работ, включающие наличие лицензий, сертификатов.

Пример

Исполнитель работ должен иметь лицензии ФСТЭК и ФСБ России на осуществление следующих работ:

? по технической защите конфиденциальной информации (пп. «а», «б», «г», «д», «е» п. 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 03.02.2012 № 79);

? по пунктам 2, 3, 12, 13, 14, 21, 22, 23 Перечня выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств, являющегося приложением к Положению, утвержденному постановлением Правительства Российской Федерации от 16.04.2012 № 313.

Для выполнения ПИР:

Подрядчик должен являться членом саморегулируемой организации (СРО) в области инженерных изысканий и архитектурно-строительного проектирования ОКС в соответствии со ст. 55.6, 55.8 Градостроительного кодекса Российской Федерации (с правом подготовки проектной документации для объектов капитального строительства по контракту, заключенному с использованием конкурентных методов заключения контрактов) (за исключением особо опасных, технически сложных и уникальных объектов, объектов атомной энергетики), если иное не установлено нормами Градостроительного кодекса Российской Федерации, при соблюдении двух условий:

1) СРО, членом которой является Подрядчик, обладает компенсационным фондом, сформированным в соответствии со статьями 55.4, 55.16 Градостроительного кодекса Российской Федерации и размер которого достаточен для обеспечения договорных обязательств;

2) объем договорных обязательств Подрядчика на выполнение инженерных изысканий и подготовку проектной документации не превышает максимальную величину, на основании которой Подрядчик сделал взнос в компенсационный фонд в соответствии с частью 11 статьи 55.16 Градостроительного кодекса Российской Федерации.

Для поставки оборудования и материалов:

Подрядчик должен иметь:

? Сертификаты и гарантийные документы производителя на поставляемое оборудование.

Для производства СМР и ПНР:

– Подрядчик является членом СРО в области строительства, капитального ремонта, реконструкции, сноса ОКС в соответствии со статьями 55.6, 55.8 Градостроительного кодекса Российской Федерации (с правом осуществления строительства, капитального ремонта, реконструкции, сноса ОКС по контракту, заключенному с использованием конкурентных методов (за исключением особо опасных, технически сложных, уникальных ОКС – например, предназначенных для использования атомной энергии):

? СРО, членом которой является Подрядчик, обладает компенсационным фондом, сформированным в соответствии со статьями 55.4, 55.16 Градостроительного кодекса Российской Федерации и размер которого достаточен для обеспечения договорных обязательств;

? объем договорных обязательств Подрядчика на выполнение инженерных изысканий и подготовку проектной документации не превышает максимальную величину, на основании которой Подрядчик сделал взнос в компенсационный фонд в соответствии с частью 13 статьи 55.16 Градостроительного кодекса Российской Федерации.

Подрядчик должен иметь действующие:

? Удостоверения о проверке знаний правил работы в электроустановках персонала по форме согласно Приложению № 2 к Правилам охраны труда при эксплуатации электроустановок (утв. приказом Министерства труда и социальной защиты Российской Федерации от 15.12.2020 № 903н) с допуском к работам в электроустановках напряжением до и выше 1000 В и соответствующей группой по электробезопасности:

1. группа III – не менее 4 работников;

2. группа IV – не менее 3 работников;

3. группа V – не менее 2 работников;

? Протоколы проверки знаний правил работы в электроустановках персонала по форме согласно Приложению № 4 к Правилам охраны труда при эксплуатации электроустановок (утв. приказом Министерства труда и социальной защиты Российской Федерации от 15.12.2020 № 903н).

Обоснование

выбора СЗИ

В данном разделе обучающемуся необходимо представить обоснование выбора СЗИ, описать и обосновать основные критерии выбора в зависимости от выбранного объекта практической работы. Необходимо выбрать два СЗИ.

Пример

При проектировании систем защиты используются следующие критерии выбора конкретных СЗИ по приоритету:

– наличие требуемого функционала;

– соответствие СЗИ требованиям (наличие действующих сертификатов) ФСТЭК России, ФСБ России, Министерства обороны Российской Федерации, Госстандарта и других ведомств в соответствии с особенностями схем сертификации (серия, отдельные экземпляры/партия), определенными уровнями и классами безопасности;

– авторитетность производителя из учета рейтингов и отзывов

– стоимость в сравнении с аналогами у конкурентов

Обоснованием выбора СЗИ для ноутбука/ПК с ОС Windows является требуемый функционал: обеспечить конфиденциальность, целостность и доступность информации, находящейся на ноутбуке/ПК: избегать скачивание и запуск вредоносных программ, защищать от удаленного доступа злоумышленника.

Под условия требуемого функционала попадает категория антивирусных программ для рабочих станций. Выберем для примера популярные антивирусные программы: Kaspersky Endpoint Security, McAfee, ESET NOD, Symantec, Dr.Web.

– Наличие сертификатов соответствия: Необходимы условия соответствия средств антивирусной защиты типа «Г» (для применения на автономных АРМ). В дополнение к типам определены шесть классов защиты (первый – самый высокий): чем выше класс, тем больше требований к ним и тем в системах более высокого класса они могут быть применены (ГИС, АСУ, ИСПДн, системы значимых объектов КИИ).

Соответствие требованиям документов:

– для ПО «KasperskyEndpointSecurity для Windows» («KES-Win») версии 11.6.0.394 – Требования доверия (2), Требования к САВЗ, Профили защиты САВЗ (ИТ.САВЗ.Б2.ПЗ – «Б» второго класса защиты; ИТ.САВЗ.В2.ПЗ – «В» второго класса защиты; ИТ.САВЗ.Г2.ПЗ – «Г» второго класса защиты), ЗБ;