Выбор средств защиты информации для различных инфотелекоммуникационных систем

Пример

Исполнитель работ должен иметь лицензии ФСТЭК и ФСБ России на осуществление следующих работ:

‒ по технической защите конфиденциальной информации (пп. «а», «б», «г», «д», «е» п. 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 03.02.2012 № 79);

‒ по пунктам 2, 3, 12, 13, 14, 21, 22, 23 Перечня выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств, являющегося приложением к Положению, утвержденному постановлением Правительства Российской Федерации от 16.04.2012 № 313.

Для выполнения ПИР:

Подрядчик должен являться членом саморегулируемой организации (СРО) в области инженерных изысканий и архитектурно-строительного проектирования ОКС в соответствии со ст. 55.6, 55.8 Градостроительного кодекса Российской Федерации (с правом подготовки проектной документации для объектов капитального строительства по контракту, заключенному с использованием конкурентных методов заключения контрактов) (за исключением особо опасных, технически сложных и уникальных объектов, объектов атомной энергетики), если иное не установлено нормами Градостроительного кодекса Российской Федерации, при соблюдении двух условий:

1) СРО, членом которой является Подрядчик, обладает компенсационным фондом, сформированным в соответствии со статьями 55.4, 55.16 Градостроительного кодекса Российской Федерации и размер которого достаточен для обеспечения договорных обязательств;

2) объем договорных обязательств Подрядчика на выполнение инженерных изысканий и подготовку проектной документации не превышает максимальную величину, на основании которой Подрядчик сделал взнос в компенсационный фонд в соответствии с частью 11 статьи 55.16 Градостроительного кодекса Российской Федерации.

Для поставки оборудования и материалов:

Подрядчик должен иметь:

‒ Сертификаты и гарантийные документы производителя на поставляемое оборудование.

Для производства СМР и ПНР:

– Подрядчик является членом СРО в области строительства, капитального ремонта, реконструкции, сноса ОКС в соответствии со статьями 55.6, 55.8 Градостроительного кодекса Российской Федерации (с правом осуществления строительства, капитального ремонта, реконструкции, сноса ОКС по контракту, заключенному с использованием конкурентных методов (за исключением особо опасных, технически сложных, уникальных ОКС – например, предназначенных для использования атомной энергии):

‒ СРО, членом которой является Подрядчик, обладает компенсационным фондом, сформированным в соответствии со статьями 55.4, 55.16 Градостроительного кодекса Российской Федерации и размер которого достаточен для обеспечения договорных обязательств;

‒ объем договорных обязательств Подрядчика на выполнение инженерных изысканий и подготовку проектной документации не превышает максимальную величину, на основании которой Подрядчик сделал взнос в компенсационный фонд в соответствии с частью 13 статьи 55.16 Градостроительного кодекса Российской Федерации.

Подрядчик должен иметь действующие:

‒ Удостоверения о проверке знаний правил работы в электроустановках персонала по форме согласно Приложению № 2 к Правилам охраны труда при эксплуатации электроустановок (утв. приказом Министерства труда и социальной защиты Российской Федерации от 15.12.2020 № 903н) с допуском к работам в электроустановках напряжением до и выше 1000 В и соответствующей группой по электробезопасности:

1. группа III – не менее 4 работников;

2. группа IV – не менее 3 работников;

3. группа V – не менее 2 работников;

‒ Протоколы проверки знаний правил работы в электроустановках персонала по форме согласно Приложению № 4 к Правилам охраны труда при эксплуатации электроустановок (утв. приказом Министерства труда и социальной защиты Российской Федерации от 15.12.2020 № 903н).

Обоснование

выбора СЗИ

В данном разделе обучающемуся необходимо представить обоснование выбора СЗИ, описать и обосновать основные критерии выбора в зависимости от выбранного объекта практической работы. Необходимо выбрать два СЗИ.

Пример

При проектировании систем защиты используются следующие критерии выбора конкретных СЗИ по приоритету:

– наличие требуемого функционала;

– соответствие СЗИ требованиям (наличие действующих сертификатов) ФСТЭК России, ФСБ России, Министерства обороны Российской Федерации, Госстандарта и других ведомств в соответствии с особенностями схем сертификации (серия, отдельные экземпляры/партия), определенными уровнями и классами безопасности;

– авторитетность производителя из учета рейтингов и отзывов

– стоимость в сравнении с аналогами у конкурентов

Обоснованием выбора СЗИ для ноутбука/ПК с ОС Windows является требуемый функционал: обеспечить конфиденциальность, целостность и доступность информации, находящейся на ноутбуке/ПК: избегать скачивание и запуск вредоносных программ, защищать от удаленного доступа злоумышленника.

Под условия требуемого функционала попадает категория антивирусных программ для рабочих станций. Выберем для примера популярные антивирусные программы: Kaspersky Endpoint Security, McAfee, ESET NOD, Symantec, Dr.Web.

– Наличие сертификатов соответствия: Необходимы условия соответствия средств антивирусной защиты типа «Г» (для применения на автономных АРМ). В дополнение к типам определены шесть классов защиты (первый – самый высокий): чем выше класс, тем больше требований к ним и тем в системах более высокого класса они могут быть применены (ГИС, АСУ, ИСПДн, системы значимых объектов КИИ).

Соответствие требованиям документов:

– для ПО «Kaspersky Endpoint Security для Windows» («KES-Win») версии 11.6.0.394 – Требования доверия (2), Требования к САВЗ, Профили защиты САВЗ (ИТ.САВЗ.Б2.ПЗ – «Б» второго класса защиты; ИТ.САВЗ.В2.ПЗ – «В» второго класса защиты; ИТ.САВЗ.Г2.ПЗ – «Г» второго класса защиты), ЗБ;

– для ПО «Dr.Web Enterprise» – Требования доверия (2), Требования к САВЗ, Профили защиты САВЗ (ИТ.САВЗ.А2.ПЗ – «А» второго класса защиты; ИТ.САВЗ.Б2. ПЗ – «Б» второго класса защиты; ИТ.САВЗ.В2.ПЗ – «В» второ-го класса защиты; ИТ.САВЗ.Г2.ПЗ – «Г» второго класса защиты);

– для ПО «ESET NOD32 Enterprise» версии 6 – Требования к САВЗ, Профили защиты САВЗ (ИТ.САВЗ.А4.ПЗ – «А» четвертого класса защиты; ИТ.САВЗ.Б4.ПЗ – «Б» четвертого класса защиты; ИТ.САВЗ.В4.ПЗ – «В» четвертого класса защиты; ИТ.САВЗ.Г4.ПЗ – «Г» четвертого класса защиты);

– для ПО «Symantec Endpoint Protection» версии 14 – Требования к МЭ, Профили защиты МЭ (ИТ.МЭ.В6.ПЗ – «В» шестого класса защиты), Требования к САВЗ, Профили защиты САВЗ (ИТ.САВЗ.А6.ПЗ – «А» шестого класса защиты, ИТ.САВЗ.Б6.ПЗ – «Б» шестого класса защиты; ИТ.САВЗ.В6.ПЗ – «В» шестого класса защиты; ИТ.САВЗ.Г6.ПЗ – «Г» шестого класса защиты), Требования к СОВ, Профили защиты СОВ (ИТ.СОВ.У6.ПЗ – узел шестого класса защиты).