30 Октября 2009

Актуальные вопросы сертификации антивирусного ПО в свете закона ФЗ № 152 «О персональных данных»

Москва, 30 октября. Компания ESET, международный разработчик антивирусного ПО и решений в области безопасности, ведет свой бизнес более чем в 160 странах мира и при этом всегда  соответствует правовым нормам, действующим на локальных рынках. Именно поэтому ESET, осознавая ответственность перед своими партнерами и клиентами в России и странах СНГ в связи с вступлением в силу закона ФЗ № 152 «О персональных данных», стала первой и пока единственной компанией, чьи продукты получили сертификат Федеральной  службы по техническому и экспортному контролю (ФСТЭК  России), в котором прямо указано, что они могут использоваться для защиты информации в ИСПДн до 1 класса включительно.

Данный сертификат (сертификат соответствия ФСТЭК России № 1914 от 22 сентября 2009 года) подтверждает, что программные продукты ESET соответствуют требованиям, предъявляемым к информационным системам защиты персональных данных первого класса включительно, и могут использоваться на предприятиях, обрабатывающих персональные данные высшей категории конфиденциальности.  Скачать сертификат ESET NOD32 в формате *.pdf можно на сайте ESET.


О законе ФЗ № 152 «О персональных данных»

Согласно закону ФЗ № 152 «О персональных данных», к 1 января 2010 года все организации (как государственные компании, органы власти, так и коммерческие организации) обрабатывающие персональные данные физических лиц, обязаны привести свои информационные системы в соответствие с требованиями регулирующих органов. В случае нарушения закона деятельность организаций может быть приостановлена, а ее должностным лицам грозит административная, дисциплинарная или уголовная ответственность. Контроль за исполнением закона осуществляют ФСТЭК, ФСБ и Роскомнадзор.

С 1 января 2010 года любая организация, занимающаяся обработкой персональных данных, обязана использовать средства информационной безопасности, которые прошли сертификацию ФСТЭК России, в том числе, средства антивирусной защиты. Регулирующие органы выделяют 4 категории персональных данных, где категория 4 – это обезличенные данные, а категория 1 – сведения наивысшей конфиденциальности, например, информация о состоянии здоровья, национальности, религиозных убеждениях субъекта. По данным Роскомнадзора, обработкой персональных данных в России занимается около 7 миллионов организаций. При этом каждая компания, которая использует такую информацию, как больничные листы, личные анкеты сотрудников, сведения о банковском счете, должна обеспечить ее безопасность по наивысшему классу информационных систем персональных данных (ИСПДн).

С государственным реестром сертифицированных средств защиты информации можно ознакомиться на официальном сайте ФСТЭК России. Информация на сайте представлена в соответствии с действующими нормативными правовыми документами Российской Федерации. В государственном реестре обозначено, что пакет программ ESET NOD32 Platinum Pack 4.0 может использоваться при построении автоматизированных систем класса до 1Г включительно (высший класс защиты АС, не предназначенных для обработки информации, составляющей государственную тайну) и может использоваться для защиты информации в ИСПДн до 1 класса включительно (при условии несущественных ограничений организационного порядка). Согласно государственному реестру, по состоянию на 30 октября 2009 года другие антивирусные продукты могут использоваться для защиты информации в ИСПДн только до 2-го, 3-го и 4-го классов.

Исключение составляют продукты «Программный комплекс антивирусной защиты «VBA32» версии 3.12» (сертификат № 1671, действует до 26.08.2011) и «ПО Антивирус Касперского для «Дионис» 2.0 G6383» (сертификат № 1570, действует до 06.03.2011), которые также имеют запись в Реестре, позволяющую использовать их в ИСПДн класса до К1 включительно. Однако ни один из указанных продуктов не имеет сертификата, где прямо говорилось бы о возможности его применения в ИСПДн определенного класса. Будучи предельно корректными в определениях, мы относим этот тезис и к другому, более раннему продукту нашей компании – ESETNOD32 Business Edition версии 3.0, применение которого возможно в ИСПДн класса до К2 включительно, но на бланке сертификата которого запись об этом также отсутствует (сертификат № 1707).

Кроме того, следует обращать внимание на дату получения сертификата. Например, если сертификат получен в начале 2007 года, то срок его действия истекает в начале 2010 года (срок действия 3 года) и, соответственно, такому антивирусному средству необходимо заново проходить сертификацию.


ESET NOD32 Platinum Pack 4.0

Сертификат ФСТЭК России «класса К1» выдан на комплект программ под названием ESET NOD32 Platinum Pack 4.0, который включает в себя решения  ESET NOD32 для защиты серверов и рабочих станций под управлением ОС Windows, приложение ESET Remote Administrator, а также решения ESET NOD32 для защиты файловых серверов на базе Linux, FreeBSD и Solaris. Это медиапак для комплекта программных продуктов ESET NOD32 Platinum Pack 4.0, сертифицированных ФСТЭК России по высшему классу ИСПДн – «К1». Комплект медиапака содержит:

  • конверт ESET;
  • DVD-бокс;
  • диск с сертифицированным программным обеспечением ESET NOD32 со знаком соответствия ФСТЭК России (голографическая неудаляемая наклейка с уникальным номером) и документацией в электронном виде;
  • бумажная копия сертификата ФСТЭК, который подтверждает, что программы ESET NOD32 можно использовать при построении систем защиты ИСПДн до высшего – 1 класса включительно;
  • лицензия в бумажном виде;
  • формуляр – документ, содержащий информацию о ПО и рекомендации по эксплуатации, согласно требованиям ФСТЭК России в рамках построения информационных систем защиты персональных данных.

Продукт промаркирован специальным защитным знаком соответствия ФСТЭК России (голографическая неудаляемая наклейка с уникальным номером).

Действующим пользователям ESET NOD32, независимо от количества лицензий, достаточно купить один комплект ESET NOD32 Platinum Pack 4.0 и инсталлировать данное ПО с использованием имеющегося у клиента лицензионного ключа. Операторам персональных данных, желающим стать пользователями ESET NOD32, необходимо заказать обычные лицензии в нужном количестве, а также медиапак ESET NOD32 Platinum Pack 4.0. Программное обеспечение необходимо устанавливать с диска, входящего в этот комплект. Медиапаки ESET NOD32 Platinum Pack 4.0 будут доступны на складах дистрибуторов с 18 ноября 2009 года.


ФСТЭК, ФСБ и Государственная тайна

Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

Согласно Положению о Федеральной службе по техническому и экспортному контролю, утвержденному Указом Президента РФ «Вопросы Федеральной службы по техническому и экспортному контролю» от 16.08.2004 № 1085 (в ред. Указов Президента РФ от 22.03.2005 № 330, от 20.07.2005 № 846, от 30.11.2006 № 1321, от 23.10.2008 № 1517, от 17.11.2008 № 1625), ФСТЭК России:

  • разрабатывает и вносит в установленном порядке Президенту Российской Федерации и в Правительство Российской Федерации проекты законодательных и иных нормативных правовых актов Российской Федерации по вопросам своей деятельности;
  • организует и проводит лицензирование деятельности по осуществлению мероприятий и (или) оказанию услуг в области защиты государственной тайны (в части, касающейся противодействия техническим разведкам и (или) технической защиты информации), по созданию средств защиты информации, содержащей сведения, составляющие государственную тайну, по технической защите конфиденциальной информации, по разработке и (или) производству средств защиты конфиденциальной информации, а также лицензирование иных видов деятельности в соответствии с законодательством Российской Федерации;
  • разрабатывает и устанавливает в пределах своей компетенции обязательные требования в области технического регулирования к продукции (работам, услугам), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, к продукции (работам, услугам), сведения о которой составляют государственную тайну.

К полномочиям ФСТЭК России относится лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации в том числе, в области защиты государственной тайны, а также сертификация продукции в этой сфере. Таким образом, в вопросах лицензирования и сертификации, касающихся государственной сферы, компетентна исключительно ФСТЭК России. За исключением той области, на которую распространяется исключительная компетенция ФСБ России. Это вопросы защиты информации методами, не относящимися к технической защите, вопросы криптографической защиты информации, вопросы защиты объектов Российской Федерации за рубежом и защиты объектов высших органов государственной власти РФ.

Перечень высших органов государственной власти, на который распространяется исключительная компетенция ФСБ России, приведен в «Положении о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации», утвержденном постановлением Правительства РФ от 31 августа 2006 г. № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации».

Согласно Пункту 2 этого Положения, лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации осуществляет Федеральная служба по техническому и экспортному контролю (ФСТЭК России), а Федеральная служба безопасности Российской Федерации (ФСБ России) уполномочена в части лицензирования разработки и (или) производства средств защиты конфиденциальной информации, устанавливаемых на объектах:

  • Администрации Президента Российской Федерации,
  • Совета Безопасности Российской Федерации,
  • Федерального Собрания Российской Федерации,
  • Правительства Российской Федерации,
  • Конституционного Суда Российской Федерации,
  • Верховного Суда Российской Федерации,
  • Высшего Арбитражного Суда Российской Федерации.

Все остальные органы государственной власти на территории России, не перечисленные выше, в части технической защиты информации ограниченного распространения, как составляющей государственную тайну, так и содержащей сведения конфиденциального характера некриптографическими методами, находятся в ведении ФСТЭК России.