| ||||
| ||||
| Здравствуйте, в данный момент я пишу курсовую работу, связанную с электронным документооборотом и у меня после ознокомления с правовыми актами, выложенными на данном сайте, возникло несколько вопросов. 1. Допустим я разрабатываю J2EE приложение, передачу данных по сети я могу защитить JTLS от CryptoPro, а есть ли какие нибудь сертифицированные средства для хранения этих данных (Я так думаю просто использовать Oracle или Postgre нельзя) 2. Что вообще теоритически нужно учесть при разработке ИС (J2EE), чтоб она могла быть сертифицирована в области работы с электронным документооборотом или работой с персональными данными. 3. Есть ли какие нибудь ГОСТы на представление, формат ключей и сертификатов Буду рад любой помощи... Зарание спасибо. | ||||
| Ответы: | ||||
| ||||
| Общее: Поскольку Вы разрабатываете защищенную информационную систему с применением шифровальных (криптографических) средств, то Вы должны иметь соответствующую лицензию ФСБ России на данный вид деятельности. 1. Нет, СУБД сертифицированных нет и они не подлежат сертификации. 2. К защищенным информационным системам применяется не понятие "сертификация", а понятие аттестация ФСТЭК по некому классу защищенности и/или получение заключения ЦБС ФСБ России по выполнению ряда требований в части использования шифровальных (криптографических) средств 3. Нет, ГОСТов таких не существует. | ||||
| ||||
| Ещё несколько вопросов вдогонку=) 1. Что есть лицензирование деятельности, в чём оно состоит и кто его осуществляет. 2. Перефразирую один из предыдущих вопросов, если у меня ИС работает с персональными данными, то что нужно учесть для её аттестации. Потому как в законах всё сказано достаточно расплывчато... "1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. 2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных." 3. Если СУБД не сертифицируются, то как можно осуществлять хранение данных. 4. Можно ли где-нибудь найти стоящую литературу по данным вопросам. Буду рад вашей помощи... Спасибо | ||||
| ||||
| Нуууууу... Если Вы не смогли найти ответ на вопрос "что такое лицензирование", то рано переходить к более сложным материям :-) Читайте не только ФЗ, но и постановления правительства, положения о ФСБ и ФСТЭК, руководящие документы ФСТЭК. У нас нет возможности пересказывать положения ВСЕХ нормативно-правовых документов на страницах данного форума. | ||||
| ||||
| Спасибо, буду читать... | ||||
| ||||
| Что почитать в первую очередь: 1. Федеральный Закон от 08.08.2001 № 128 ФЗ «О лицензировании отдельных видов деятельности»; 2. Федеральный Закон от 27.07.2006 № 149 ФЗ «Об информации, информационных технологиях и о защите информации»; 3. Федеральный Закон от 27.12.2002 № 184 ФЗ «О техническом регулировании»; 4. Постановление Правительства РФ от 23.09.2002г. №691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами; 5. ГОСТ Р 50922 96 «Защита информации. Основные термины и определения. Государственные стандарты и другие документы Госстандарта России»; 6. ГОСТ Р 51275 99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»; 7. ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»; 8. «Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации. (Положение ПКЗ-2005)» (утверждено Приказом ФСБ РФ от 09.02.2005г. №66). | ||||
| ||||
| Никак немогу найти в интернете 2 документа 7. ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»; Нашёл, но мне кажется неполностью... 6. ГОСТ Р 51275 99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»; Подскажите, пожалуйста, линки или вышлите, если у Вас есть, материл на почту sid337@newmail.ru | ||||
Андрей