Фстэк что это за служба
Сведения о полномочиях ФСТЭК России; перечень нормативных правовых актов, определяющих эти полномочия
В соответствии с Положением о Федеральной службе по техническому и экспортному контролю, утвержденным Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, Федеральная служба по техническому и экспортному контролю (ФСТЭК России) является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:
1) обеспечения безопасности (некриптографическими методами) информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере, в том числе в функционирующих в составе критически важных объектов Российской Федерации информационных системах и телекоммуникационных сетях, деструктивные информационные воздействия на которые могут привести к значительным негативным последствиям;
2) противодействия иностранным техническим разведкам на территории Российской Федерации;
3) обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации;
4) защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;
5) осуществления экспортного контроля.
Перечень нормативных правовых актов, определяющих полномочия ФСТЭК России:
5. Федеральный закон от 26 декабря 2008 г. N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
8. Федеральный закон от 27 июня 2011 г. N 161-ФЗ «О национальной платежной системе».
9. Указ Президента Российской Федерации от 6 октября 2004 г. N 1286 «Вопросы Межведомственной комиссии по защите государственной тайны».
11. Постановление Правительства Российской Федерации от 29 августа 2001 г. N 633 «О порядке размещения и использования на территории Российской Федерации, на континентальном шельфе и в исключительной экономической зоне Российской Федерации иностранных технических средств наблюдения и контроля».
12. Постановление Правительства Российской Федерации от 2 июня 2007 г. N 339 «Об утверждении Положения о проведении международных выставок образцов продукции военного назначения на территории Российской Федерации и об участии российских организаций в таких выставках на территориях иностранных государств».
13. Постановление Правительства Российской Федерации от 1 декабря 2007 г. N 831 «Об утверждении Правил разработки списка продукции военного назначения, разрешенной к передаче иностранным заказчикам, и Правил разработки списка государств, в которые разрешена передача продукции военного назначения, указанной в списке продукции военного назначения, разрешенной к передаче иностранным заказчикам».
14. Постановление Правительства Российской Федерации от 20 августа 2009 г. N 689 «Об утверждении Правил аккредитации граждан и организаций, привлекаемых органами государственного контроля (надзора) и органами муниципального контроля к проведению мероприятий по контролю».
15. Постановление Правительства Российской Федерации от 20 февраля 1995 г. N 170 «Об установлении порядка рассекречивания и продления сроков засекречивания архивных документов Правительства СССР».
16. Постановление Совета Министров – Правительства Российской Федерации от 11 октября 1993 г. N 1030 «О контроле за выполнением обязательств по гарантиям использования импортируемых и экспортируемых товаров (услуг) двойного применения в заявленных целях».
17. Постановление Правительства Российской Федерации от 16 апреля 2001 г. N 296 «Об утверждении Положения об осуществлении контроля за внешнеэкономической деятельностью в отношении оборудования, материалов и технологий, которые могут быть использованы при создании ракетного оружия».
18. Постановление Правительства Российской Федерации от 7 июня 2001 г. N 447 «Об утверждении Положения об осуществлении контроля за внешнеэкономической деятельностью в отношении товаров и технологий двойного назначения, которые могут быть использованы при создании вооружений и военной техники».
19. Постановление Правительства Российской Федерации от 14 июня 2001 г. N 462 «Об утверждении Положения об осуществлении контроля за внешнеэкономической деятельностью в отношении оборудования и материалов двойного назначения, а также соответствующих технологий, применяемых в ядерных целях».
20. Постановление Правительства Российской Федерации от 29 августа 2001 г. N 634 «Об утверждении Положения об осуществлении контроля за внешнеэкономической деятельностью в отношении микроорганизмов, токсинов, оборудования и технологий».
21. Постановление Правительства Российской Федерации от 24 сентября 2001 г. N 686 «Об утверждении Положения об осуществлении контроля за внешнеэкономической деятельностью в отношении химикатов, оборудования и технологий, которые могут быть использованы при создании химического оружия».
22. Постановление Правительства Российской Федерации от 15 декабря 2000 г. N 973 «Об экспорте и импорте ядерных материалов, оборудования, специальных неядерных материалов и соответствующих технологий».
23. Постановление Правительства Российской Федерации от 29 февраля 2000 г. N 176 «Об утверждении Положения о государственной аккредитации российских участников внешнеэкономической деятельности, создавших внутренние программы экспортного контроля».
24. Постановление Правительства Российской Федерации от 16 апреля 2001 г. N 294 «Об утверждении Правил проведения государственной экспертизы внешнеэкономических сделок с товарами, информацией, работами, услугами и результатами интеллектуальной деятельности (правами на них), в отношении которых установлен экспортный контроль».
25. Постановление Правительства Российской Федерации от 21 июня 2001 г. N 477 «О системе независимой идентификационной экспертизы товаров и технологий, проводимой в целях экспортного контроля».
27. Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 691 «Об утверждении Положения о лицензировании внешнеэкономических операций с товарами, информацией, работами, услугами, результатами интеллектуальной деятельности (правами на них), в отношении которых установлен экспортный контроль».
28. Постановление Правительства Российской Федерации от 15 апреля 1995 г. N 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны».
29. Постановление Правительства Российской Федерации от 3 февраля 2012 г. N 79 «О лицензировании деятельности по технической защите конфиденциальной информации».
30. Постановление Правительства Российской Федерации от 3 марта 2012 г. N 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации».
31. Постановление Правительства Российской Федерации от 26 июня 1995 г. N 608 «О сертификации средств защиты информации».
32. Приказ ФСТЭК России от 30 апреля 2010 г. N 242 «Об организации работ по аккредитации подведомственных ФСТЭК России организаций в качестве экспертных организаций, привлекаемых к проведению мероприятий по контролю».
33. Приказ ФСТЭК России от 3 марта 2011 г. N 116 «Об утверждении форм заявлений о продлении срока действия и о переоформлении свидетельств об аккредитации организаций, привлекаемых ФСТЭК России к проведению мероприятий по контролю».
Федеральная служба по техническому и экспортному контролю
Федеральная служба по техническому и экспортному контролю (ФСТЭК России) создана в соответствии с Указом Президента Российской Федерации от 09 марта 2004 г. № 314 «О системе и структуре федеральных органов исполнительной власти» вместо существовавшей ранее Государственной технической комиссии при Президенте Российской Федерации.
Содержание
Статус [ ]
ФСТЭК России является федеральным органом исполнительной власти России, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:
ФСТЭК России является федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, а также специально уполномоченным органом в области экспортного контроля.
ФСТЭК России является органом защиты государственной тайны, наделенным полномочиями по распоряжению сведениями, составляющими государственную тайну.
ФСТЭК России организует деятельность государственной системы противодействия техническим разведкам и технической защиты информации и руководит ею.
ФСТЭК России осуществляет свою деятельность непосредственно и (или) через свои территориальные органы. ФСТЭК России и её территориальные органы входят в состав государственных органов обеспечения безопасности. Деятельность ФСТЭК России обеспечивают Государственный научно-исследовательский испытательный институт проблем технической защиты информации ФСТЭК России (головная научная организация по проблемам защиты информации), а также другие подведомственные ФСТЭК России организации. ФСТЭК России осуществляет свою деятельность во взаимодействии с другими федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления и организациями.
Основные полномочия [ ]
Руководство [ ]
Территориальные органы [ ]
Сертификация и аттестация ФСТЭК: разбираемся, что нужно компаниям по 152-ФЗ
Закон о персональных данных нужно соблюдать всем, кто хранит и обрабатывает данные сотрудников и клиентов. В самом законе нет технических требований к программному обеспечению и IT-системам — технические требования устанавливают приказы ФСТЭК. Расскажем, кому и зачем нужны сертификация и аттестация ФСТЭК.
Сертификат и аттестат ФСТЭК
Приказ №21 ФСТЭК России — Федеральной службы по техническому и экспортному контролю, устанавливает технические требования по защите персональных данных. Он определяет, насколько конкретные программы и IT-системы соответствуют 152-ФЗ.
Для подтверждения соответствия у ФСТЭК есть два документа: сертификат и аттестат. Давайте разберемся, чем они отличаются, когда выдаются и кому нужны.
Сертификат ФСТЭК: что это такое и для чего нужен
Возьмем компанию — разработчика программного обеспечения, и представим, что она разработала свой антивирус и хочет продавать его организациям, которые работают с персональными данными. Для этого нужно доказать, что этот антивирус безопасен и соответствует требованиям 152-ФЗ.
В России проверку на соответствие 152-ФЗ проводит ФСТЭК. Чтобы доказать безопасность нового антивируса, компании нужно получить на него сертификат ФСТЭК. Для этого нужно обратиться в представительство службы, после чего начинается долгий и сложный процесс сертификации: программу изучают, тестируют, проверяют на уязвимости и наличие недекларируемых возможностей.
Зачем нужна сертификация ФСТЭК
Если антивирус пройдет проверку, компания получит на него сертификат ФСТЭК. И разработчик ПО сможет гарантировать, что его антивирус безопасен и соответствует техническим требования ФСТЭК.
Так выглядит сертификат ФСТЭК
Получается, что сертификат соответствия ФСТЭК нужно получать, если вы разрабатываете средства защиты, например антивирусные программы, межсетевые экраны и так далее. То есть он нужен только разработчикам ПО, которые хотят подтвердить безопасность своих программ и предлагать их компаниям для защиты персональных данных.
На сайте ФСТЭК есть реестр, в который включены все сертифицированные системы защиты. Любой может зайти и проверить, прошла ли программа сертификацию. Например, сертификат ФСТЭК есть у антивируса от «Лаборатории Касперского».
Кому и зачем нужна аттестация ФСТЭК
Сертификат соответствия по требованиям безопасности информации выдают только на сами средства защиты, например антивирусные системы. Однако кроме средств защиты, ФСТЭК проверяет и IT-системы, в которых хранятся персональные данные: серверы и сети компаний или облачные хранилища. Такая процедура проверки называется не сертификацией, а аттестацией.
Аттестация по требованиям ФСТЭК нужна не всем компаниям. Вы можете не проходить аттестацию, если:
Если вы храните другие персональные данные, например, биометрические — характеризующие биологические и физиологические данные человека и позволяющие по ним установить его личность, то обязаны обеспечивать уже третий уровень защищенности. И систему, в которой вы храните такие данные, нужно аттестовать в органах аттестации ФСТЭК.
Процесс аттестации немного проще, чем процесс сертификации. Для аттестации у ФСТЭК есть четкий порядок и требования, которые нужно соблюсти. Также пройти аттестацию проще, если использовать средства защиты информации с сертификатом ФСТЭК России.
Так выглядит аттестат ФСТЭК
Получается, что для работы любой компании нужен не сертификат, а аттестат ФСТЭК. А сертификаты должны быть у программного обеспечения, которое вы используете, но о сертификации должны позаботиться производители этого ПО.
У облака VK Cloud Solutions (бывш. MCS) есть аттестат безопасности ФСТЭК. В публичном облаке VK можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.
Что такое ФСТЭК
Тем, чья деятельность связана с обеспечением информационной безопасности и защитой данных, наверняка знакома аббревиатура ФСТЭК. Для тех, кто никогда о ней не слышал или еще не до конца разобрался, в чем ее сущность и главные функции – краткая информация о том, что такое ФСТЭК и какие задачи она выполняет.
Это учреждение было основано 5 января 1992 г. и в то время называлось Государственной технической комиссией. В 2004 г. по президентскому указу комиссия была переименована во ФСТЭК. Расшифровка этой аббревиатуры: «Федеральная служба по техническому и экспортному контролю».
Сейчас это федеральный орган исполнительной власти Российской Федерации, находящийся в подчинении у Министерства обороны. Деятельностью службы управляет непосредственно Президент РФ. Основные функции ФСТЭК заключаются в контроле над обеспечением безопасности информации, имеющей критическую важность для существования и правильного функционирования нашего государства, борьбе с техническими разведками других государств на территории страны, а также контроле экспорта товаров двойного назначения и товаров, ограниченных в международном обороте при внешнеэкономической деятельности.
Значение ФСТЭК состоит в том, что эта служба:
В рамках своих полномочий ФСТЭК России выполняет следующие функции:
Для более оперативной и качественной реализации своих функций ФСТЭК часто привлекает к сотрудничеству специализированные организации и компании, прошедшие аккредитацию (например, аттестацией претендентов на получение лицензии ФСТЭК ТЗКИ могут заниматься как территориальные органы ФСТЭК, так и её “доверенные лица” в лице аккредитованных фирм).
Если вам нужна помощь в оформлении документации для ФСТЭК — обращайтесь, поможем.
Лицензия ФСТЭК России: почему большинству компаний она не нужна
В России в некоторых случаях нужно получать лицензии ФСТЭК на разработку программного обеспечения и технических средств для защиты персональных данных. Разбираемся, что это за документы и почему вам они, скорее всего, не нужны.
Что именно лицензирует ФСТЭК
ФСТЭК — Федеральная служба по техническому и экспортному контролю. У этой службы много обязанностей, одна из которых — контроль защиты персональных данных и гостайны.
Юридические требования к защите данных прописаны в 152-ФЗ, а вот технические устанавливает именно ФСТЭК в своих приказах и инструкциях. И именно ФСТЭК проверяет, соблюдают ли компании эти технические требования, в том числе выдает следующие документы:
Лицензия ФСТЭК на техническую защиту конфиденциальной информации. Разрешает компании оказывать услуги по хранению персональных данных других организаций, устанавливать и настраивать оборудование и программы, предназначенные для защиты данных. Например, компания с такой лицензией может построить защищенное облако или помочь другой компании организовать защищенную инфраструктуру.
У VK Cloud Solutions (бывш. MCS) есть лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации
Лицензия на разработку средств защиты конфиденциальной информации. Разрешает компании разрабатывать ПО и технические средства для защиты информации: антивирусы, межсетевые экраны и другие.
Лицензия на разработку средств защиты у VK Cloud Solutions (бывш. MCS) тоже есть
Лицензия на охрану гостайны. Разрешает компании хранить сведения, которые относятся к государственной тайне, а также разрабатывать средства для их защиты.
Кому нужна лицензия ФСТЭК
Этот документ нужен только IT-компаниям, которые:
Если компания просто хранит персональные данные клиентов и сотрудников, лицензия ей не нужна — это подтверждается специальным разъяснением ФСТЭК. То есть ФСТЭК не выдает никакой лицензии на обработку персональных данных, потому что она для этой деятельности не требуется.
Если компания разрабатывает ПО, не связанное с защитой информации, о получении лицензии ФСТЭК думать тоже не надо.
Чем лицензия отличается от аттестата и сертификата ФСТЭК
Кроме лицензий ФСТЭК выдает еще аттестаты и сертификаты. Сравним эти три документа, чтобы понять отличия:
Получается, что если организации нужна лицензия ФСТЭК, в будущем ей наверняка понадобятся сертификаты на разработанные продукты. А аттестат может понадобиться любой организации, но обычно нужен только крупным компаниям, которые хранят много разных персональных данных.