Фстэк россии что это
Что такое ФСТЭК
Тем, чья деятельность связана с обеспечением информационной безопасности и защитой данных, наверняка знакома аббревиатура ФСТЭК. Для тех, кто никогда о ней не слышал или еще не до конца разобрался, в чем ее сущность и главные функции – краткая информация о том, что такое ФСТЭК и какие задачи она выполняет.
Это учреждение было основано 5 января 1992 г. и в то время называлось Государственной технической комиссией. В 2004 г. по президентскому указу комиссия была переименована во ФСТЭК. Расшифровка этой аббревиатуры: «Федеральная служба по техническому и экспортному контролю».
Сейчас это федеральный орган исполнительной власти Российской Федерации, находящийся в подчинении у Министерства обороны. Деятельностью службы управляет непосредственно Президент РФ. Основные функции ФСТЭК заключаются в контроле над обеспечением безопасности информации, имеющей критическую важность для существования и правильного функционирования нашего государства, борьбе с техническими разведками других государств на территории страны, а также контроле экспорта товаров двойного назначения и товаров, ограниченных в международном обороте при внешнеэкономической деятельности.
Значение ФСТЭК состоит в том, что эта служба:
В рамках своих полномочий ФСТЭК России выполняет следующие функции:
Для более оперативной и качественной реализации своих функций ФСТЭК часто привлекает к сотрудничеству специализированные организации и компании, прошедшие аккредитацию (например, аттестацией претендентов на получение лицензии ФСТЭК ТЗКИ могут заниматься как территориальные органы ФСТЭК, так и её “доверенные лица” в лице аккредитованных фирм).
Если вам нужна помощь в оформлении документации для ФСТЭК — обращайтесь, поможем.
Сертификация и аттестация ФСТЭК: разбираемся, что нужно компаниям по 152-ФЗ
Закон о персональных данных нужно соблюдать всем, кто хранит и обрабатывает данные сотрудников и клиентов. В самом законе нет технических требований к программному обеспечению и IT-системам — технические требования устанавливают приказы ФСТЭК. Расскажем, кому и зачем нужны сертификация и аттестация ФСТЭК.
Сертификат и аттестат ФСТЭК
Приказ №21 ФСТЭК России — Федеральной службы по техническому и экспортному контролю, устанавливает технические требования по защите персональных данных. Он определяет, насколько конкретные программы и IT-системы соответствуют 152-ФЗ.
Для подтверждения соответствия у ФСТЭК есть два документа: сертификат и аттестат. Давайте разберемся, чем они отличаются, когда выдаются и кому нужны.
Сертификат ФСТЭК: что это такое и для чего нужен
Возьмем компанию — разработчика программного обеспечения, и представим, что она разработала свой антивирус и хочет продавать его организациям, которые работают с персональными данными. Для этого нужно доказать, что этот антивирус безопасен и соответствует требованиям 152-ФЗ.
В России проверку на соответствие 152-ФЗ проводит ФСТЭК. Чтобы доказать безопасность нового антивируса, компании нужно получить на него сертификат ФСТЭК. Для этого нужно обратиться в представительство службы, после чего начинается долгий и сложный процесс сертификации: программу изучают, тестируют, проверяют на уязвимости и наличие недекларируемых возможностей.
Зачем нужна сертификация ФСТЭК
Если антивирус пройдет проверку, компания получит на него сертификат ФСТЭК. И разработчик ПО сможет гарантировать, что его антивирус безопасен и соответствует техническим требования ФСТЭК.
Так выглядит сертификат ФСТЭК
Получается, что сертификат соответствия ФСТЭК нужно получать, если вы разрабатываете средства защиты, например антивирусные программы, межсетевые экраны и так далее. То есть он нужен только разработчикам ПО, которые хотят подтвердить безопасность своих программ и предлагать их компаниям для защиты персональных данных.
На сайте ФСТЭК есть реестр, в который включены все сертифицированные системы защиты. Любой может зайти и проверить, прошла ли программа сертификацию. Например, сертификат ФСТЭК есть у антивируса от «Лаборатории Касперского».
Кому и зачем нужна аттестация ФСТЭК
Сертификат соответствия по требованиям безопасности информации выдают только на сами средства защиты, например антивирусные системы. Однако кроме средств защиты, ФСТЭК проверяет и IT-системы, в которых хранятся персональные данные: серверы и сети компаний или облачные хранилища. Такая процедура проверки называется не сертификацией, а аттестацией.
Аттестация по требованиям ФСТЭК нужна не всем компаниям. Вы можете не проходить аттестацию, если:
Если вы храните другие персональные данные, например, биометрические — характеризующие биологические и физиологические данные человека и позволяющие по ним установить его личность, то обязаны обеспечивать уже третий уровень защищенности. И систему, в которой вы храните такие данные, нужно аттестовать в органах аттестации ФСТЭК.
Процесс аттестации немного проще, чем процесс сертификации. Для аттестации у ФСТЭК есть четкий порядок и требования, которые нужно соблюсти. Также пройти аттестацию проще, если использовать средства защиты информации с сертификатом ФСТЭК России.
Так выглядит аттестат ФСТЭК
Получается, что для работы любой компании нужен не сертификат, а аттестат ФСТЭК. А сертификаты должны быть у программного обеспечения, которое вы используете, но о сертификации должны позаботиться производители этого ПО.
У облака VK Cloud Solutions (бывш. MCS) есть аттестат безопасности ФСТЭК. В публичном облаке VK можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.
Сведения о полномочиях ФСТЭК России; перечень нормативных правовых актов, определяющих эти полномочия
В соответствии с Положением о Федеральной службе по техническому и экспортному контролю, утвержденным Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, Федеральная служба по техническому и экспортному контролю (ФСТЭК России) является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:
1) обеспечения безопасности (некриптографическими методами) информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере, в том числе в функционирующих в составе критически важных объектов Российской Федерации информационных системах и телекоммуникационных сетях, деструктивные информационные воздействия на которые могут привести к значительным негативным последствиям;
2) противодействия иностранным техническим разведкам на территории Российской Федерации;
3) обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации;
4) защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;
5) осуществления экспортного контроля.
Перечень нормативных правовых актов, определяющих полномочия ФСТЭК России:
5. Федеральный закон от 26 декабря 2008 г. N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
8. Федеральный закон от 27 июня 2011 г. N 161-ФЗ «О национальной платежной системе».
9. Указ Президента Российской Федерации от 6 октября 2004 г. N 1286 «Вопросы Межведомственной комиссии по защите государственной тайны».
11. Постановление Правительства Российской Федерации от 29 августа 2001 г. N 633 «О порядке размещения и использования на территории Российской Федерации, на континентальном шельфе и в исключительной экономической зоне Российской Федерации иностранных технических средств наблюдения и контроля».
12. Постановление Правительства Российской Федерации от 2 июня 2007 г. N 339 «Об утверждении Положения о проведении международных выставок образцов продукции военного назначения на территории Российской Федерации и об участии российских организаций в таких выставках на территориях иностранных государств».
13. Постановление Правительства Российской Федерации от 1 декабря 2007 г. N 831 «Об утверждении Правил разработки списка продукции военного назначения, разрешенной к передаче иностранным заказчикам, и Правил разработки списка государств, в которые разрешена передача продукции военного назначения, указанной в списке продукции военного назначения, разрешенной к передаче иностранным заказчикам».
14. Постановление Правительства Российской Федерации от 20 августа 2009 г. N 689 «Об утверждении Правил аккредитации граждан и организаций, привлекаемых органами государственного контроля (надзора) и органами муниципального контроля к проведению мероприятий по контролю».
15. Постановление Правительства Российской Федерации от 20 февраля 1995 г. N 170 «Об установлении порядка рассекречивания и продления сроков засекречивания архивных документов Правительства СССР».
16. Постановление Совета Министров – Правительства Российской Федерации от 11 октября 1993 г. N 1030 «О контроле за выполнением обязательств по гарантиям использования импортируемых и экспортируемых товаров (услуг) двойного применения в заявленных целях».
17. Постановление Правительства Российской Федерации от 16 апреля 2001 г. N 296 «Об утверждении Положения об осуществлении контроля за внешнеэкономической деятельностью в отношении оборудования, материалов и технологий, которые могут быть использованы при создании ракетного оружия».
18. Постановление Правительства Российской Федерации от 7 июня 2001 г. N 447 «Об утверждении Положения об осуществлении контроля за внешнеэкономической деятельностью в отношении товаров и технологий двойного назначения, которые могут быть использованы при создании вооружений и военной техники».
19. Постановление Правительства Российской Федерации от 14 июня 2001 г. N 462 «Об утверждении Положения об осуществлении контроля за внешнеэкономической деятельностью в отношении оборудования и материалов двойного назначения, а также соответствующих технологий, применяемых в ядерных целях».
20. Постановление Правительства Российской Федерации от 29 августа 2001 г. N 634 «Об утверждении Положения об осуществлении контроля за внешнеэкономической деятельностью в отношении микроорганизмов, токсинов, оборудования и технологий».
21. Постановление Правительства Российской Федерации от 24 сентября 2001 г. N 686 «Об утверждении Положения об осуществлении контроля за внешнеэкономической деятельностью в отношении химикатов, оборудования и технологий, которые могут быть использованы при создании химического оружия».
22. Постановление Правительства Российской Федерации от 15 декабря 2000 г. N 973 «Об экспорте и импорте ядерных материалов, оборудования, специальных неядерных материалов и соответствующих технологий».
23. Постановление Правительства Российской Федерации от 29 февраля 2000 г. N 176 «Об утверждении Положения о государственной аккредитации российских участников внешнеэкономической деятельности, создавших внутренние программы экспортного контроля».
24. Постановление Правительства Российской Федерации от 16 апреля 2001 г. N 294 «Об утверждении Правил проведения государственной экспертизы внешнеэкономических сделок с товарами, информацией, работами, услугами и результатами интеллектуальной деятельности (правами на них), в отношении которых установлен экспортный контроль».
25. Постановление Правительства Российской Федерации от 21 июня 2001 г. N 477 «О системе независимой идентификационной экспертизы товаров и технологий, проводимой в целях экспортного контроля».
27. Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 691 «Об утверждении Положения о лицензировании внешнеэкономических операций с товарами, информацией, работами, услугами, результатами интеллектуальной деятельности (правами на них), в отношении которых установлен экспортный контроль».
28. Постановление Правительства Российской Федерации от 15 апреля 1995 г. N 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны».
29. Постановление Правительства Российской Федерации от 3 февраля 2012 г. N 79 «О лицензировании деятельности по технической защите конфиденциальной информации».
30. Постановление Правительства Российской Федерации от 3 марта 2012 г. N 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации».
31. Постановление Правительства Российской Федерации от 26 июня 1995 г. N 608 «О сертификации средств защиты информации».
32. Приказ ФСТЭК России от 30 апреля 2010 г. N 242 «Об организации работ по аккредитации подведомственных ФСТЭК России организаций в качестве экспертных организаций, привлекаемых к проведению мероприятий по контролю».
33. Приказ ФСТЭК России от 3 марта 2011 г. N 116 «Об утверждении форм заявлений о продлении срока действия и о переоформлении свидетельств об аккредитации организаций, привлекаемых ФСТЭК России к проведению мероприятий по контролю».
Лицензия ФСТЭК России: почему большинству компаний она не нужна
В России в некоторых случаях нужно получать лицензии ФСТЭК на разработку программного обеспечения и технических средств для защиты персональных данных. Разбираемся, что это за документы и почему вам они, скорее всего, не нужны.
Что именно лицензирует ФСТЭК
ФСТЭК — Федеральная служба по техническому и экспортному контролю. У этой службы много обязанностей, одна из которых — контроль защиты персональных данных и гостайны.
Юридические требования к защите данных прописаны в 152-ФЗ, а вот технические устанавливает именно ФСТЭК в своих приказах и инструкциях. И именно ФСТЭК проверяет, соблюдают ли компании эти технические требования, в том числе выдает следующие документы:
Лицензия ФСТЭК на техническую защиту конфиденциальной информации. Разрешает компании оказывать услуги по хранению персональных данных других организаций, устанавливать и настраивать оборудование и программы, предназначенные для защиты данных. Например, компания с такой лицензией может построить защищенное облако или помочь другой компании организовать защищенную инфраструктуру.
У VK Cloud Solutions (бывш. MCS) есть лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации
Лицензия на разработку средств защиты конфиденциальной информации. Разрешает компании разрабатывать ПО и технические средства для защиты информации: антивирусы, межсетевые экраны и другие.
Лицензия на разработку средств защиты у VK Cloud Solutions (бывш. MCS) тоже есть
Лицензия на охрану гостайны. Разрешает компании хранить сведения, которые относятся к государственной тайне, а также разрабатывать средства для их защиты.
Кому нужна лицензия ФСТЭК
Этот документ нужен только IT-компаниям, которые:
Если компания просто хранит персональные данные клиентов и сотрудников, лицензия ей не нужна — это подтверждается специальным разъяснением ФСТЭК. То есть ФСТЭК не выдает никакой лицензии на обработку персональных данных, потому что она для этой деятельности не требуется.
Если компания разрабатывает ПО, не связанное с защитой информации, о получении лицензии ФСТЭК думать тоже не надо.
Чем лицензия отличается от аттестата и сертификата ФСТЭК
Кроме лицензий ФСТЭК выдает еще аттестаты и сертификаты. Сравним эти три документа, чтобы понять отличия:
Получается, что если организации нужна лицензия ФСТЭК, в будущем ей наверняка понадобятся сертификаты на разработанные продукты. А аттестат может понадобиться любой организации, но обычно нужен только крупным компаниям, которые хранят много разных персональных данных.
Фстэк россии что это
Федеральная служба по техническому и экспортному контролю
с 03.07.2020 ФСТЭК России является федеральным органом исполнительной власти, уполномоченным на обеспечение реализации пилотного проекта по использованию российских криптографических алгоритмов и средств шифрования в государственных информационных системах
с 01.01.2016 ФСТЭК России обеспечивает безопасность (некриптографическими методами) информации, обрабатываемой в государственной системе миграционного и регистрационного учета, а также изготовления, оформления и контроля обращения документов, удостоверяющих личность (системе «Мир»), путем установления и совершенствования требований к обеспечению безопасности информации, сертификации средств защиты информации, рассмотрения и согласования проектной и эксплуатационной документации вновь создаваемых (модернизируемых) элементов системы «Мир», контроля за проведением работ по аттестации таких элементов, а также за эффективностью принятых мер по защите информации в рамках полномочий, определенных законодательством РФ
с 22.07.2015 ФСТЭК России осуществляет надзор за соблюдением международных обязательств РФ в области экспортного контроля при осуществлении российскими участниками внешнеэкономической деятельности международного сотрудничества, связанного с использованием результатов космической деятельности
с 02.10.2014 ФСТЭК России определен компетентным органом, ответственным за реализацию Соглашения о порядке пересмотра степени секретности сведений, засекреченных в период существования Союза Советских Социалистических Республик, от 18 октября 2011 г.
с 12.01.2010 по 23.09.2011 ФСТЭК России осуществлял определение требований по обеспечению информационной безопасности и контроль за их исполнением в процессе создания и эксплуатации единой вертикально интегрированной государственной автоматизированной информационной системы «Управление»
с 17.07.2007 ФСТЭК России осуществляет следующие полномочия:
1) участвует совместно с другими федеральными органами исполнительной власти в осуществлении контроля за проведением мероприятий по защите информации, составляющей государственную тайну, и конфиденциальной информации в части, касающейся вопросов химического разоружения, от утечки по техническим каналам;
с 06.09.2005 ФСТЭК России принимает участие в разработке и реализации мероприятий по противодействию иностранным техническим разведкам и технической защите информации, включая мероприятия по защите сведений, составляющих государственную тайну, и конфиденциальной информации при подготовке к вступлению в силу «Договора о всеобъемлющем запрещении ядерных испытаний» (подписан в г. Нью-Йорке 24.09.1996) и его реализацией
с 31.05.2005 ФСТЭК России осуществляет следующие полномочия:
координирует деятельность федеральных органов исполнительной власти и организаций по защите информации, составляющей государственную тайну, и конфиденциальной информации о деятельности в области обеспечения биологической и химической безопасности РФ;
осуществляет во взаимодействии с другими заинтересованными федеральными органами исполнительной власти контроль за проведением мероприятий по защите от утечки по техническим каналам информации, составляющей государственную тайну, и конфиденциальной информации о деятельности в области обеспечения биологической и химической безопасности РФ;
принимает участие в международном сотрудничестве в области обеспечения биологической и химической безопасности, в том числе по вопросам совершенствования международной кооперации и механизмов реализации международных договоров, участницей которых является РФ;
разрабатывает с участием заинтересованных федеральных органов исполнительной власти и организаций проекты списков (перечней) товаров биологического и химического профиля, подлежащих экспортному контролю;
участвует в реализации государственной политики в области нераспространения биологического и химического оружия
с 22.05.2004 переименована в Федеральную службу по техническому и экспортному контролю (ФСТЭК России)
12.03.2004 Гостехкомиссия России преобразована в Федеральную службу по техническому и экспортному контролю Российской Федерации, которой переданы из ведения Минэкономразвития России:
— функции по экспортному контролю
05.01.1992 создана Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России)