Zip File, мамкины хаЦкеры. В одном из последних видосов мы разобрали, что из себя представляет техническая защита инфы и какие существуют рабочие способы защиты носителей информации. Нынче, мы затронем вопрос технического регулирования и лицензирования. Поговорим про конфиденциальность информации, про 184 и 99 федеральный закон. А также узнаём, какие положения в законодательстве косвенно влияют на регулирование технической стороны защиты. Короче, если вы чувствуете, что, как технарь вы огого. А как «бумажник» ни гого, тогда устраивайтесь по удобней и будем восполнять ваши пробелы в знаниях максимально понятным и доступным языком, как говорится, не отходя от кассы. Погнали.

И начнём мы с того, какие отношения регулирует 184 федеральный закон. Он охватывает всё, что возникает при разработке, принятии, применении и исполнении обязательных требований к продукции.

Это применимо в том числе, к зданиям и сооружениям, процессам проектирования, производства, наладки, эксплуатации и т.д.

Также к этой истории относятся вопросы применения и исполнения на добровольной основе требований к продукции. Процессы хранения, перевозки, реализации и утилизации, а также выполнение работ в целях добровольного подтверждения соответствия;

Ну и, разумеется, оценка этого самого соответствия. В 184 ФЗ впервые вводятся такие ключевые понятия, как орган по сертификации. Это лица аккредитованные в соответствии с законодательством РФ для выполнения работ по сертификации.

И само понятие сертификации. А вот уже в 99 законе возникает понимание, кто регулирует отношения, возникающие между органами исполнительной власти, юр. лицами и ИП в связи с осуществлением лицензирования отдельных видов деятельности (не включая гостайну).

Процедуре лицензирования в обязательном порядке подлежит такая деятельность, как работа с криптографическими средствами.

Разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации.

Деятельность по выявлению электронных устройств, предназначенных для негласного получения информации. За исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя.

Разработка и производство средств защиты конфиденциальной информации. Ну и в целом, любая деятельность, связанная с технической стороной защиты конфиденциальной инфы.

Более подробно про эти, а также другие эффективные инструменты для обороны от внутренних и внешних угроз, вы можете узнать, записавшись на курс «Белый хакер» в онлайн-школе SkillFactory.

Белые хакеры или как их ещё называют пентестеры - это специалисты которые тестируют на проникновение сервера, приложения, сайты и базы данных. Находят уязвимости в защите, после чего устраняют их.

Данный курс был разработан специально для тех, кто хочет освоить современную и востребованную IT-специальность, при этом не тратить на обучение несколько лет.

Программа разработана с упором на практику. Вы освоите устройство операционных систем семейства Windows и Linux, научитесь программировать на языке Python, а также писать скрипты на Bash’е и SQL.

Отработаете навыки взлома и кибератак используя специальные виртуальные стенды имитирующих отдельные компьютеры и телефоны

Поучаствуете в CTF-соревнованиях. Это специальные соревнования по спортивному хакингу. Опыт участия в них крайне ценится работодателями.

Помимо этого, у Skillfactory есть карьерный центр, который поможет составить резюме и подобрать подходящие вакансии.

Ну а там и до оффера от серьёзных компаний не далеко. Главное озаботиться созданием крутого портфолио и дело в шляпе. Разумеется белой. Да, кстати. Совсем забыл.

Если заюзаете мой промокод, то получите скидку 45% при покупке данного курса. Так что не тратьте время зазря. Переходите по ссылочке в описании и ознакомьтесь со всеми подробностями.

Сделай свой шаг к достойному трудоустройству прямо сейчас. В Skillfactory учат тех, кого берут на работу!

Ну а мы возвращаемся к основной тема нашего выпуска. Для каждого из ранее упомянутых видов деятельности есть соответствующее Постановление правительства. А в каждом из постановлений приведено положение о лицензировании. В нём указано, что конкретно будет подлежать лицензированию.

Услуга, работы или другая деятельность. И уже исходя из этого определяется необходимость получения лицензии. За лицензирование отвечают организации из 957 постановления. Непременно с ним ознакомьтесь.

Всё что касается прослушек прописано в постановлении 287 и за лицензирование этой истории отвечает уже ФСБ. По причине того, что негласное получение информации — это недвусмысленное нарушение прав граждан.

Во всяком случае так указано в конституции. Хотя кому эта самая конституция собственно интересна. Её ведь, как оказалось, можно легко менять по своему усмотрению, если на то есть соответствующая воля и власть.

Ну то такое. Мысля не по теме. Касательно прослушок – наверняка все вы читали про ситуации, когда люди заказывали с Алихи видеокамеру в ручке или встроенную в галстук и их потом очень прытко заворачивали за это дело прямо на почте.

Кроме этого, есть такое понятие, как специальные технические средства. Под этим понятием подразумевают приборы, системы, комплексы, устройства, и специальные инструменты, предназначенные для проникновения в помещения и ПО для электронных вычислительных машин и других электронных устройств для доступа к информации без ведома ее обладателя.

К спец. средствам не относятся находящиеся в свободном обороте приборы, системы, комплексы, устройства и инструменты бытового назначения, обладающие функциями аудиозаписи, видеозаписи, фотофиксации и геолокации.

Т.е. ваш телефон не относится к категории специальных технических средств, предназначенных для негласного получения информации. Хотя, в душных курилках, опытные безопасники поговаривают, что голосовые помощники из смартфонов и умных колонок постоянно за нами следят.

Хотя лично я с Марусей подружился практически сразу и если она кого и троллит в семье, то только жену. Хотя это наверное уже можно отнести к доработке софта. Благо под придачу особенных свойств и программирование это не подпадает.

Короче говоря, запомните суть, смартфон или диктофон - это не устройство для негласного получения информации. А вот какой-нибудь "жучок", устанавливаемый для скрытой записи переговоров без всякой индикации - таковым устройством является.

К слову, в нашем законодательстве есть небольшой лайфках. Если у вас есть международная лицензия радиолюбителя. А такую получить, при должной сноровке и связях достаточно просто, то вы имеете полное право заниматься изготовлением таких вот устройств даже в России.

Т.к. это связано с вашей профессиональной деятельностью и всё такое. Но ещё раз подчеркну, что такое возможно только если у вас есть сертификат. Без него, вас будут выявлять сотрудники ФСБ опираясь на 314 постановление.

В нём указано, что конкретно из себя представляет электронное устройство, предназначенное для негласного получения информации и с помощью каких средств происходит выявление такового. Всякие Пираньи, Сигурд и т.д.

Лицензирование деятельности

Фуф. Чёт я прямо уже употел, ребятушки. Ну ничего. Давайте ещё рассмотрим 171 положение. Это важное положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной инфы.

Лицензирование таковой осуществляет ФСТЭК России, а в части разработки и производства средств защиты конфиденциальной информации, устанавливаемых на объектах Администрации, Федерального Собрания, Правительства и Суда, вопросами занимается ФСБ.

Лицензированию подлежит разработка средств защиты конфиденциальной информации и производство средств защиты конфиденциальной информации. В данном случае сюда попадают позиции, которые вы в данный момент видите на экране.

Порядок лицензирования определяет 79 постановление и самое главное, что вам нужно извлечь из него, это то, что лицензирование деятельности по технической защите конфиденциальной информации (ТЗКИ) осуществляет ФСТЭК.

Под ТКЗМ принято понимать выполнение работ и оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях
ее уничтожения, искажения или блокирования доступа к ней.

Собственно, на данных законах по большей части и построена деятельность ФСТЭК в части получения лицензии на деятельность по технической защите конфиденциальной информации и по разработке и производству средств защиты конфиденциальной информации и сертификации СЗИ.

Вам важно запомнить, что всякая деятельность в сфере ЗИ по закону является лицензируемым видом деятельности и применяемые средства защиты в ряде случаев должны проходить процедуру сертификации

И да, кстати об обвинении в кликбейте. Как я уже упоминул на тамбнейле к этому ролику, на данный момент в законодательстве РФ нет определения термина “конфиденциальная информация”. Это действительно так.

Но! Но, есть Указ Президента РФ 188, в котором сформирован перечень сведений конфиденциального характера. Обязательно ознакомьтесь с ним, если ранее слыхом о нём не слыхали. Для безопасника это прямо маст хэв.

Окей, друзья. Сегодня мы ознакомились с нормативным регулированием, в рамках которого определяется техническая защита информации и разобрали конкретные требования, которые предъявляются ФСТЭКом в части ТЗИ.

Если понравилось видео – то не забудьте поблагодарить меня лайком и оформить подписочку на канал, если по каким-то непонятным причинам ещё не сделали этого ранее. Не огорчайте батю.

Также рекомендую подписаться на паблик в тележке. Ибо ютуб пессимизирует ролики связанные с инфобезом в рекомендациях, т.к. считает их хакерскими. Так что если хотите оперативно получать уведомления о выходе новых сюжетов – то тут телеграмчик вам в помощь.

Напоминаю, что данный видеоролик является часть большого курса «Информационная безопасность с нуля до джуна» и к каждому уроку в нём есть ДЗ.

Курс действительно классный. Бесплатный. Во всяком случае пока что. Так что переходите по ссылочке в описании и обязательно проделывайте практические задание, которые проверяю я лично.

Не ограничивайте себя только теорией. С документацией и софтом нужно работать, чтобы вручиться что как и к чему. Поэтому не ленитесь. И я в свою очередь тоже постараюсь радовать вас по чаще.

С вами, как обычно, был Денчик. Всем удачи, успеха и самое главное, отличного настроения. До новых встреч, мои кайфные друже. Всем пока.