+7 (499) 653-60-72 Доб. 817Москва и область +7 (800) 500-27-29 Доб. 419Федеральный номер

Программные средства защиты потребителей

ЗАДАТЬ ВОПРОС

Программные средства защиты потребителей

Положение о сертификации средств защиты информации по требованиям безопасности информации с дополнениями в соответствии с Постановлением правительства Российской Федерации от 26 июня года N "О сертификации средств защиты информации" Введено в действие приказом Председателя Гостехкомиссии России от 27 октября года N Настоящее Положение устанавливает основные принципы, организационную структуру системы обязательной сертификации средств защиты информации, порядок проведения сертификации этих средств защиты по требованиям безопасности информации, а также государственный контроль и надзор за сертификацией и сертификационными средствами защиты информации. Под средствами защиты информации понимаются технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Под сертификацией средств защиты информации по требованиям безопасности информации далее - сертификацией понимается деятельность по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Государственной технической комиссией при Президенте Российской Федерации Гостехкомиссией России. Положение разработано в соответствии с законами Российской Федерации "О сертификации продукции и услуг" и "О государственной тайне" , Постановлением Правительства Российской Федерации от 26 июня года N "О сертификации средств защиты информации" , "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", на основании "Системы сертификации ГОСТ Р" и "Правил по проведению сертификации в Российской Федерации". Система сертификации средств защиты информации по требованиям безопасности информации включает в себя и аттестацию объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь в форму онлайн-консультанта справа или звоните по телефонам, представленным на сайте. Это быстро и бесплатно!

Содержание:

Электронное распространение программного обеспечения Electronic Software Distribution — ESD — это специфический способ продажи программного обеспечения или прав не его использование через Internet. Отличительная особенность ESD заключается в том, что отпадает необходимость в доставке купленных товаров потребителям с помощью традиционных средств.

Потребители программного обеспечения

Что на что сертифицируется. Процедура сертификации. Особенности сертификации на соответствие отдельным нормативным требованиям. Руководящие документы Гостехкомиссии России.

Сертификация на соответствии техническим условиям. Сертификация на соответствие заданиям по безопасности и профилям защиты. Особенности внедрения и эксплуатации сертифицированных средств защиты. Прежде всего нужно понимать, что требования о сертификации по требованиям безопасности информации распространяются не на все используемое программное обеспечение, а только на то, с помощью которого эти самые требования выполняются.

Требования об использовании именно сертифицированных экземпляров средств защиты устанавливаются непосредственно в нормативных документах, устанавливающих и прочие требования безопасности. На сегодняшний день фактически выделены следующие виды средств защиты:. Для первых шести видов средств защиты существуют определенные требования информационной безопасности, установленные методическими документами ФСТЭК России.

В последнем случае требования к функциям безопасности устанавливает их разработчик или поставщик, оформляя их в виде технических условий или задания по безопасности эти документы подробнее рассмотрим дальше. Кроме требований к функциям безопасности, к средству защиты могут предъявляться дополнительные требования, например, требования по контролю отсутствия недекларированных возможностей если проще — уязвимостей и программных закладок, далее - НДВ определенного уровня, обеспечиваемого производителем при создании этого средства защиты.

Для каждого вида средств защиты, кроме последнего, определяются несколько классов или уровней предъявляемых требований. К примеру, для межсетевых экранов установлены пять классов требований, при этом первый класс содержит максимальный объем требований безопасности, а пятый — минимальный. Процедура сертификации определена в Положении о сертификации средств защиты по требованиям безопасности информации, утвержденном приказом председателя Гостехкомиссии России от 27 октября г.

В процедуре задействованы несколько участников. Инициатором сертификации выступает заявитель — разработчик средства защиты или иная компания, подающая заявку на сертификацию программного или аппаратного средства. В отличие от систем сертификации прочих стран, в России заявителем может выступать только российская компания, имеющая лицензию на разработку средств защиты информации — причем даже в том случае, если к разработке сертифицируемого изделия она не имеет никакого отношения.

Зарубежным производителям, а также российским компаниям, не имеющим лицензий, приходится обращаться к лицензиатам, которые впоследствии становятся дистрибьюторами сертифицированных экземпляров средства защиты. При этом компания разработчик все равно оказывается участником процедуры, так как для прохождения сертификации заявителю требуется комплект программной документации на средство защиты, которой обладает только разработчик.

Оценку соответствия средства защиты заявленным требованиям выполняет испытательная лаборатория — компания, аккредитованная ФСТЭК России в качестве испытательной лаборатории системы сертификации. Деятельность испытательной лаборатории контролирует орган по сертификации — вторая компания, также имеющая соответствующую аккредитацию.

В общем случае процедура сертификации выглядит следующим образом. Разработчик, не имеющий лицензий на разработку средств защиты, заключает с одним из лицензиатов партнерский договор, в рамках которого обговариваются условия сертификации, а также поставки сертифицированных экземпляров конечному потребителю. Заявитель выбирает испытательную лабораторию соответствующий реестр публикуется на веб-сайте ФСТЭК России , совместно с которой определяют, на соответствие каким требованиям будет проводиться сертификация и по какой схеме о схемах — чуть позже.

В результате заявитель направляет в ФСТЭК России заявку, содержащую название средства защиты, наименование методического или иного технические условия, задание по безопасности документа, на соответствие которому предлагается провести сертификацию, схему сертификации, а также ходатайство о назначении для проведения сертификации выбранной испытательной лаборатории. Есть несколько причин, помимо формальных, на основании которых заявителю может быть отказано в сертификации.

Вот несколько из них:. Учитывая многообразие средств защиты, результат рассмотрения заявки не всегда однозначен. В сложных случаях вопрос выносится на совещание, на которое приглашают заявителя и экспертные организации. В результате, когда стороны договариваются по всем нюансам, ФСТЭК принимает решение о проведении сертификации, утверждает как правило, хотя возможны и исключения испытательную лабораторию и назначает, по своему усмотрению, орган сертификации для проведения экспертизы результатов.

После этого заявитель заключает договоры с испытательной лабораторией и органом по сертификации, и процесс стартует. Его длительность, в зависимости от того, на соответствие чему проводится оценка, варьируется от шести месяцев до года, хотя бывают и более долгосрочные случаи. Сертификация единичного образца, как следует из названия, заключается в том, что проводятся сертификационные испытания определенного дистрибутива средства защиты или определенного устройства.

Выданный сертификат в этом случае распространяется только на один дистрибутив или устройство. Сертификация партии проводится, как правило, при закупке в органы государственной власти определенной партии средств защиты, не имеющих обширного рынка сбыта в Российской Федерации например, в силу их крайне узкого применения или высокой стоимости.

В этом случае испытательная лаборатория отбирает из партии некоторое количество образцов и проводит их испытания. В случае успешного завершения испытаний сертификат выдается на всю партию. Самой распространенной схемой является сертификация серийного производства. Для программных средств защиты производство заключается в тиражировании дистрибутива на основе сертифицированного эталонного образца.

Первый документ распространяется на аппаратные платформы с предустановленной операционной системой, второй, как следует из названия, на классические межсетевые экраны. Каждый документ определяет несколько уровней требований, предъявляемых к средствам защиты.

При этом за годы применения этих документов наработана большая практика, позволяющая однозначно интерпретировать требования применительно к специфике отдельных средств защиты, и проводить тестирование. Защита от несанкционированного доступа к информации. Потребителям таких средств защиты следует четко понимать, что ни одно отдельно взятое средство не способно в полном объеме выполнить требования этих документов. Как правильно, сертификация в этом случае проводится на соответствие техническим условиям или заданию по безопасности об этом — позже , в которые включаются отдельные требования нормативных документов.

Данный вид сертификации пока остается самым популярным. Теоретически сертификация на соответствие техническим условиям допускается только в тех случаях, когда заявляемое средство защиты относится к тому виду, для функций безопасности которого еще не разработаны методические документы. Разработка каждого такого документа — длительный процесс, занимающий два-три года, поэтому на для многих решений, таких как системы анализа защищенности, системы корреляции данных о событиях безопасности или межсетевые экраны нового поколения, нормативных требований пока нет, а сертифицировать их требуется.

Основная особенность технических условий: заявитель сам определяет требования к собственному решению и формулирует их в свободной форме. Стандартизована лишь структура документа, в который эти требования включаются. Это создает определенные трудности при использовании сертифицированных таким образом решений в информационных системах. Гипотетический пример: нормативный документ может требовать проведения аутентификации пользователя на основе пароля временного действия.

Будет ли использование такого сертифицированного решения считаться выполнением нормативного требования? На этот вопрос нет однозначного ответа, и его решение оставлено на усмотрение аттестационной комиссии. Процедура сертификации проста и похожа на предыдущий случай. При подаче заявки заявитель прикладывает к ней проект технических условий, и при рассмотрении заявки ФСТЭК внимательно изучает и формулировки требований, и их схожесть с существующими методическими документами.

В случае положительного решения заявитель должен предоставить испытательной лаборатории образец для сертификации и проектную документацию. Так как функции безопасности, как правило, реализуются программным обеспечением, в общем случае предоставляются следующие документы:.

В ходе сертификационных испытаний испытательная лаборатория оценивает, насколько полно реализация требований технических условий описана в документации, а также проводит тестирование этих функций. Особенность сертификации на соответствие техническим условиям заключается в том, что заявитель, как правило, не предоставляет текст технических условий потребителю средства защиты. Как уже упоминалось выше, в силу произвольности формулировок технических условий невозможно определить, в каком объеме сертифицированное средство защиты выполняет требования нормативных документов.

Поэтому для успешного прохождения аттестации оператору информационной системы следует требовать от заявителя включить в комплект поставки текст технических условий, а в случае отказа — обратиться в соответствующее подразделение ФСТЭК. Описание этого стандарта — тема отдельной большой статьи, поэтому остановимся только не основных моментах. Основная задача данного стандарта — унифицировать язык описания требований безопасности и критерии оценки выполнения этих требований сертифицируемыми средствами защиты.

Ключевым для потребителя документом является задание по безопасности — отдаленный аналог технических условий, написанный формализованным языком с соблюдением определенных условий.

В документе содержатся не только требования к функциям безопасности, но и описание того, как эти функции реализованы в продукте. Кроме того, есть определенные правила описания требований к функциям безопасности, и в основном они формулируются на основе каталога требований, содержащегося в части 2 ГОСТ Есть два существенных отличия сертификации на соответствие заданию по безопасности от сертификации на соответствие техническим условиям. Первое и основное — понятие уровня доверия. Помимо требований к функциям безопасности, ГОСТ определяет требования к составу и содержанию свидетельств, которые заявитель должен предоставить испытательной лаборатории для подтверждения того, что сертифицируемое решение соответствует требованиям.

Для второго уровня доверия необходимо предоставить подробную проектную документацию и описание жизненного цикла разработки, прежде всего — процесса тестирования, системы управление версиями программного обеспечения и контроля версий исходных кодов.

Для третьего уровня необходимо пройти аудит процесса разработки и, в частности, мер защиты, направленных на предотвращение несанкционированного изменения исходных кодов программистами. Для четвертого уровня необходимо предоставить на анализ исходные коды программного обеспечения и так далее. Прежде всего это касается декомпозиции программного обеспечения на подсистемы и модули, выделение интерфейсов, описание интерфейсов и взаимодействия модулей программного обеспечения между собой при выполнении функций безопасности.

Такое пристальное внимание к техническим деталям приводит к сравнительно высоким трудозатратам испытательной лаборатории и, как следствие, к сравнительно высокой длительности и стоимости сертификации.

Вторым отличием данного вида сертификации является возможность демонстрации соответствия требованиям методических документов.

Для этого ФСТЭК издает в качестве методических документов профили защиты — формализованные шаблоны, содержащие обязательные для выполнения определенным видом средств защиты требований к функциям безопасности, а также специализированным требованиям к свидетельствам доверия.

При сертификации такого средства защиты испытательная лаборатория проверяет не только выполнение самим средством требования задания по безопасности, но и соответствие самого задание по безопасности тому профилю защиты, заявление о соответствии которому сделано в оцениваемом документе. Сертификат, выданный на основе такой оценки, свидетельствует о том, что средство защиты в полном объеме выполняет требования определенного методического документа.

Контроль отсутствия недекларированных возможностей является одной из наиболее непонятных и непрозрачных для заявителя видов сертификации — до первого самостоятельного опыта такой сертификации. Часть 1.

Программное обеспечение средств защиты информации. В чем должен заключаться указанный контроль и каким требованиям должен соответствовать исходный код, заявителю предлагается додумать самостоятельно. На практике все происходит довольно просто. В отличие от остальных видов сертификации, объектом исследования в данном случае является не программное обеспечение средства защиты, а его исходный код, который должен быть предоставлен испытательной лаборатории вместе с программной документацией спецификацией, описанием программы, описанием применения и пояснительной запиской.

Необходимость предоставления исходного кода создает определенные трудности при сертификации зарубежного программного обеспечения.

Проблема, как правило, решается направлением специалистов испытательной лаборатории непосредственно в центры разработки сертифицируемых программ или предоставлением им удаленного доступа к стендам центров разработки.

В указанном выше методическом документе определены четыре уровня контроля, на соответствие которым проводится сертификация. Четвертый, низший уровень контроля, заключается в проверке двух фактов:. Для этого на стенде испытательной лаборатории или разработчика воспроизводится контрольная сборка продукта из исходников, результатом которой должен получиться комплект инсталляционных файлов, идентичный сертифицируемому комплекту с точностью до контрольных сумм отдельных файлов.

В действительности такое совпадение не происходит практически никогда, так как системы сборки программного обеспечения, как правило, включают в отдельные файлы метки времени или иные данные, изменяющиеся при каждой компиляции. Данная проблема, как правило решается следующим образом: испытательной лаборатории предоставляется только исходный код, а сертифицируемым образцом признается комплект программных файлов, скомпилированный на стенде специалистами испытательной лаборатории.

На третьем уровне контроля производится статический анализ исходного кода. Для этого с помощью синтаксического анализатора строится дерево вызовов процедур и функций, в котором специалисты испытательной лаборатории пытаются обнаружить избыточные элементы то есть процедуры и функции, которым, следую логике выполнения программы, не передается управление.

Наличие подобных элементов может рассматриваться испытательной лабораторией, как наличие программного кода, не участвующего в реализации функциональных возможностей средства защиты, и, следовательно, содержащий недекларированные то есть не ожидаемые пользователем возможности.

На втором уровне контроля статический анализ дополняется динамическим. Специалисты испытательной лаборатории включают в исходный код основных процедур и функций отладочный код, фиксирующий в специальном файле все обращения к ним.

Обзор российского рынка информационной безопасности

Что на что сертифицируется. Процедура сертификации. Особенности сертификации на соответствие отдельным нормативным требованиям. Руководящие документы Гостехкомиссии России. Сертификация на соответствии техническим условиям. Сертификация на соответствие заданиям по безопасности и профилям защиты. Особенности внедрения и эксплуатации сертифицированных средств защиты.

Судебная коллегия по гражданским делам Санкт-Петербургского городского суда в составе:. Выслушав объяснения лиц, участвующих в деле, изучив материалы дела, обсудив доводы апелляционной жалобы, судебная коллегия приходит к следующему. В ходе рассмотрения дела судом первой инстанции была проведена экспертиза, согласно заключению которой имеется несущественный недостаток в работе сайта, который мог являться как следствием некачественного оказания услуги, так и последующей эксплуатации сайта истцом, истец имеет уровень доступа к административной панели сайта с возможностью создания, модификации и уничтожения как материалов, размещенных на Интернет-сайте, так и самого кода Интернет-сайта. Оценив собранные по делу доказательства в их совокупности, суд первой инстанции пришел к выводу о том, что истец не доказала факт ненадлежащего выполнения ответчиком обязанностей по договору, в связи с чем отказал в удовлетворении иска. Судебная коллегия полагает, что указанный вывод суда является законным и обоснованным исходя из следующего. В соответствии со ст.

ПС НИС разработано в Управлении Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека по Свердловской области. ПС НИС предназначено для автоматизации и организации деятельности по надзору в соответствии с действующим законодательством. ПС НИС позволяет создать электронную базу поднадзорных объектов с характеристиками, специфическими для санитарно-эпидемиологической службы, и данными по результатам надзорной деятельности.

Опубликован

Купить систему Заказать демоверсию. Способы защиты и восстановления нарушенных. При рассмотрении дел, возникших в связи с осуществлением и защитой потребителем его прав, закрепленных в Законе о защите прав потребителей, необходимо иметь в виду, что законодательством Российской Федерации, а также договором может предусматриваться ответственность изготовителя исполнителя, продавца, уполномоченной организации или уполномоченного индивидуального предпринимателя, импортера за нарушение обязательств, за которые Законом о защите прав потребителей ответственность не предусмотрена или установлен более высокий размер ответственности.

N 85 Д Работы по сертификации программных средств в здравоохранении России проводятся с г. Они были направлены в первую очередь на защиту интересов потребителей от недоброкачественной программной продукции, связанной с диагностикой и выбором тактики лечения. За этот период Минздравмедпромом России организовано и проведено сертификационных испытаний и выдано сертификата качества программных средств.

Проанализирован период гг. Данные не претендуют на полноту так как собираются по ограниченному кругу предприятий , но, по-нашему мнению, могут использоваться для оценки тенденций. Количество предприятий-респондентов за рассматриваемый период находилось в пределах от до тысяч.

Поляков А. Описанная ситуация имеет место при приобретении программного обеспечения для персонального компьютера, а равно любой иной электронной вычислительной машины. Безусловно, приобретение диска с ней осуществляется на основании договора розничной купли-продажи, но, чтобы пользоваться самой программой, необходимо принять условия так называемого лицензионного соглашения, которое заключается не с продавцом в магазине, а непосредственно с правообладателем. В результате такого акцепта у гражданина появляется право использовать программу [2] , однако права собственности на неё он не приобретает, что говорит об отсутствии здесь купли-продажи. Нельзя также говорить об отношениях по поводу возмездного оказания услуг или подряда, так как предполагаемый исполнитель не предпринимает по заказу потребителя никаких действий или комплекса действий [3]. Тем не менее отношения по поводу массового распространения программ для ЭВМ имеют черты, которые делают их крайне схожими с потребительскими. Одна из таких черт заключается в субъектном составе: лицензиаром на практике является лицо, осуществляющее предпринимательскую или иную приносящую доход деятельность, в то время как лицензиата представляют граждане, желающие получить право использовать программное обеспечение исключительно для личных, семейных, домашних, бытовых и иных нужд, не связанных с осуществлением предпринимательской деятельности.

У них есть действующие сайты, которые регулярно ведутся, и на которых предусмотрена соответствующая форма. Последняя позволяет:Таким способом можно в течение получаса задать вопрос по интересующей проблеме с кредитом в 10-20 организаций. Полученные ответы могут дополнять друг друга, формируя наиболее эффективное решение в конкретной ситуации. Аналогичный порядок действий при получении консультации специалиста по телефону.

В таких случаях юристу необходимо:Проводится такая юридическая консультация по кредитам бесплатно, но требует очного приема. К ней обращаются, если:Поэтому необходимо найти в сети юридические компании, которые бесплатно консультируют посетителей их офисов, выписать их телефоны и адреса и записаться на прием.

N / (ключевые темы: программные средства - защита прав потребителей - техническое задание - уничтожение - исполнение условий.

Если смерть пешехода наступила не из-за столкновения непосредственно, а из-за инфаркта, то о виде наказания говорить сложно. Проводится экспертиза, заключение которой следует приложить к исковому заявлению либо к встречному иску.

Судебные приставы в обязательном порядке принимают этот документ к материалам дела. Более строгого наказания суд не вправе назначить.

Как приватизировать ему дом и получить документы на дом и землю, чтобы продать. Нас заставили уволиться на работе 2 октября по собственному желанию. Но заработную плату не оплачивают с июля месяца.

По акту - состояние опьянениесредней тяжести. Кроме этого у девушки сломанная челюсть.

Перечень услуг юриста по жилищным вопросам Согласно федеральному закону 76-ФЗ, военнослужащий обязан быть обеспечен постоянным местом проживания и жилой площадью при заключении контракта или при переводе на новое место службы не позднее, чем через 90 дней со дня прибытия на место службы. Юрист по военным вопросам в Москве оказывает консультационные услуги для военнообязанных граждан, которых необходимо осведомить касательно регулирования правоотношений с государством.

Возможно ли это и какие требования к дому будут и какие документы нужны. Отказали в предварительном согласовании предоставления земельного участка для ведения КФХ.

Комментарии 3
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий

  1. Екатерина

    Как по мне смысл раскрыт дальше некда, аффтор сделал максимум, за что ему респект!

  2. Лидия

    Сколько можно мусолить одну и туже тему, всю блогосферу заср@ли

  3. Аполлинария

    Он безусловно не прав