Что лицензируется в области защиты информации
Перейти к содержимому

Что лицензируется в области защиты информации

  • автор:

Постановление Правительства РФ от 3 февраля 2012 г. N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (с изменениями и дополнениями)

15 июня 2016 г., 30 ноября 2020 г., 26 ноября 2021 г., 3 февраля 2023 г.

ГАРАНТ:

См. Справку о Правилах лицензирования отдельных видов деятельности

В соответствии с Федеральным законом «О лицензировании отдельных видов деятельности» Правительство Российской Федерации постановляет:

1. Утвердить прилагаемое Положение о лицензировании деятельности по технической защите конфиденциальной информации.

2. Признать утратившими силу:

постановление Правительства Российской Федерации от 15 августа 2006 г. N 504 «О лицензировании деятельности по технической защите конфиденциальной информации» (Собрание законодательства Российской Федерации, 2006, N 34, ст. 3691);

пункт 18 изменений, которые вносятся в акты Правительства Российской Федерации по вопросам государственного контроля (надзора), утвержденных постановлением Правительства Российской Федерации от 21 апреля 2010 г. N 268 (Собрание законодательства Российской Федерации, 2010, N 19, ст. 2316);

пункт 20 изменений, которые вносятся в постановления Правительства Российской Федерации по вопросам государственной пошлины, утвержденных постановлением Правительства Российской Федерации от 24 сентября 2010 г. N 749 (Собрание законодательства Российской Федерации, 2010, N 40, ст. 5076).

Председатель Правительства
Российской Федерации

3 февраля 2012 г.

Положение
о лицензировании деятельности по технической защите конфиденциальной информации
(утв. постановлением Правительства РФ от 3 февраля 2012 г. N 79)

С изменениями и дополнениями от:

15 июня 2016 г., 30 ноября 2020 г., 26 ноября 2021 г., 3 февраля 2023 г.

Информация об изменениях:

Пункт 1 изменен с 1 марта 2022 г. — Постановление Правительства России от 26 ноября 2021 г. N 2055

1. Настоящее Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации), осуществляемой юридическими лицами и индивидуальными предпринимателями.

Не допускается осуществление деятельности, указанной в абзаце первом настоящего пункта, иностранными юридическими лицами.

2. Под технической защитой конфиденциальной информации понимается выполнение работ и (или) оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

3. Лицензирование деятельности по технической защите конфиденциальной информации (далее — лицензируемый вид деятельности) осуществляет Федеральная служба по техническому и экспортному контролю (далее — лицензирующий орган).

Информация об изменениях:

Постановлением Правительства РФ от 15 июня 2016 г. N 541 пункт 4 изложен в новой редакции, вступающей в силу по истечении 12 месяцев со дня официального опубликования названного постановления

4. При осуществлении лицензируемого вида деятельности лицензированию подлежат:

а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:

в средствах и системах информатизации;

в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;

в помещениях со средствами (системами), подлежащими защите;

в помещениях, предназначенных для ведения конфиденциальных переговоров (далее — защищаемые помещения);

б) услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;

в) услуги по мониторингу информационной безопасности средств и систем информатизации;

г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:

средств и систем информатизации;

помещений со средствами (системами) информатизации, подлежащими защите;

д) работы и услуги по проектированию в защищенном исполнении:

средств и систем информатизации;

помещений со средствами (системами) информатизации, подлежащими защите;

е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля эффективности защиты информации).

Информация об изменениях:

Постановлением Правительства РФ от 15 июня 2016 г. N 541 пункт 5 изложен в новой редакции, вступающей в силу по истечении 12 месяцев со дня официального опубликования названного постановления

5. Лицензионными требованиями, предъявляемыми к соискателю лицензии на осуществление лицензируемого вида деятельности (далее — лицензия), являются:

а) наличие у соискателя лицензии:

юридического лица — в штате по основному месту работы в соответствии со штатным расписанием руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица, имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения — не менее 360 аудиторных часов), а также инженерно-технических работников (не менее 2 человек), имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения — не менее 360 аудиторных часов);

индивидуального предпринимателя — высшего образования по направлению подготовки (специальности) в области информационной безопасности и стажа работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или высшего образования по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стажа работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или иного высшего образования и стажа работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, а также дополнительного профессионального образования по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения — не менее 360 аудиторных часов);

Информация об изменениях:

Подпункт «б» изменен с 1 марта 2022 г. — Постановление Правительства России от 26 ноября 2021 г. N 2055

б) наличие по месту осуществления лицензируемого вида деятельности помещений, не являющихся объектами жилого назначения, принадлежащих соискателю лицензии на праве собственности или ином законном основании, предусматривающем право владения и право пользования, в которых созданы необходимые условия для размещения работников, производственного и испытательного оборудования для осуществления лицензируемого вида деятельности, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну;

Информация об изменениях:

Подпункт «в» изменен с 1 марта 2022 г. — Постановление Правительства России от 26 ноября 2021 г. N 2055

в) наличие принадлежащего соискателю лицензии на праве собственности или ином законном основании, предусматривающем право владения и право пользования, оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе:

измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку);

программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;

Информация об изменениях:

Подпункт «г» изменен с 1 марта 2022 г. — Постановление Правительства России от 26 ноября 2021 г. N 2055

г) наличие по месту осуществления лицензируемого вида деятельности принадлежащих соискателю лицензии на праве собственности или ином законном основании, предусматривающем право владения и право пользования, автоматизированных систем, предназначенных для обработки конфиденциальной информации, средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

д) наличие технической и технологической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем. Документы, содержащие информацию ограниченного доступа, должны быть получены в установленном законодательством Российской Федерации порядке.

Информация об изменениях:

Постановлением Правительства РФ от 15 июня 2016 г. N 541 пункт 6 изложен в новой редакции, вступающей в силу по истечении 12 месяцев со дня официального опубликования названного постановления

6. Лицензионными требованиями, предъявляемыми к лицензиату при осуществлении лицензируемого вида деятельности, являются:

а) выполнение работ и (или) оказание услуг лицензиатом:

юридическим лицом — с привлечением находящихся в штате лицензиата по основному месту работы в соответствии со штатным расписанием руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица, имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения — не менее 360 аудиторных часов), а также инженерно-технических работников (не менее 2 человек), имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения — не менее 360 аудиторных часов);

индивидуальным предпринимателем, имеющим высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, прошедшим обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения — не менее 360 аудиторных часов);

б) повышение квалификации по лицензируемому виду деятельности лиц, указанных в подпункте «а» настоящего пункта, не реже одного раза в 5 лет;

Информация об изменениях:

Подпункт «в» изменен с 1 марта 2022 г. — Постановление Правительства России от 26 ноября 2021 г. N 2055

в) наличие по месту осуществления лицензируемого вида деятельности помещений, не являющихся объектами жилого назначения, принадлежащих лицензиату на праве собственности или ином законном основании, предусматривающем право владения и право пользования, в которых созданы необходимые условия для размещения работников, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, и размещено (установлено) производственное и испытательное оборудование, необходимое для осуществления лицензируемого вида деятельности;

Информация об изменениях:

Подпункт «г» изменен с 1 марта 2022 г. — Постановление Правительства России от 26 ноября 2021 г. N 2055

г) использование принадлежащего лицензиату на праве собственности или ином законном основании, предусматривающем право владения и право пользования, оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе:

измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку);

программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;

Информация об изменениях:

Подпункт «д» изменен с 1 марта 2022 г. — Постановление Правительства России от 26 ноября 2021 г. N 2055

д) наличие по месту осуществления лицензируемого вида деятельности принадлежащих лицензиату на праве собственности или ином законном основании, предусматривающем право владения и право пользования, автоматизированных систем, предназначенных для обработки конфиденциальной информации, средств защиты такой информации, прошедших процедуру оценки соответствия, аттестованных и (или) сертифицированных по требованиям безопасности информации, в соответствии с законодательством Российской Федерации;

е) наличие технической и технологической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем. Документы, содержащие информацию ограниченного доступа, должны быть получены в установленном законодательством Российской Федерации порядке.

Информация об изменениях:

Пункт 7 изменен с 1 марта 2022 г. — Постановление Правительства России от 26 ноября 2021 г. N 2055

7. Грубыми нарушениями лицензионных требований являются нарушения требований, предусмотренных подпунктами «а», «в» и «г» пункта 6 настоящего Положения, повлекшие за собой последствия, предусмотренные частью 10 статьи 19 2 Федерального закона «О лицензировании отдельных видов деятельности».

8. Для получения лицензии соискатель лицензии направляет или представляет в лицензирующий орган следующие документы:

Информация об изменениях:

Подпункт «а» изменен с 1 января 2021 г. — Постановление Правительства России от 30 ноября 2020 г. N 1971

а) заявление о предоставлении лицензии с описью прилагаемых документов;

Информация об изменениях:

Подпункт «б» изменен с 1 марта 2022 г. — Постановление Правительства России от 26 ноября 2021 г. N 2055

б) копии документов, подтверждающих наличие в штате соискателя лицензии руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица, инженерно-технических работников и их квалификацию (приказов о назначении или выписок из трудовых книжек, дипломов, удостоверений, свидетельств), и (или) сведения о трудовой деятельности, предусмотренные статьей 66 1 Трудового кодекса Российской Федерации;

Информация об изменениях:

Подпункт «в» изменен с 1 марта 2022 г. — Постановление Правительства России от 26 ноября 2021 г. N 2055

в) копии документов, подтверждающих наличие у соискателя лицензии по месту осуществления лицензируемого вида деятельности помещений, не являющихся объектами жилого назначения, необходимых для осуществления лицензируемого вида деятельности и принадлежащих соискателю лицензии на праве собственности или ином законном основании, предусматривающем право владения и право пользования, права на которые не зарегистрированы в Едином государственном реестре прав на недвижимое имущество и сделок с ним (в случае, если такие права зарегистрированы в указанном реестре, — сведения об этих помещениях (зданиях, сооружениях);

Информация об изменениях:

Подпункт «г» изменен с 1 марта 2022 г. — Постановление Правительства России от 26 ноября 2021 г. N 2055

г) копии технических паспортов и аттестатов соответствия защищаемых помещений, находящихся по месту осуществления лицензируемого вида деятельности, требованиям безопасности информации;

Информация об изменениях:

Подпункт «д» изменен с 1 марта 2022 г. — Постановление Правительства России от 26 ноября 2021 г. N 2055

д) документы на автоматизированные системы, находящиеся в защищаемых помещениях по месту осуществления лицензируемого вида деятельности, предназначенные для обработки конфиденциальной информации, и средства защиты такой информации:

копии технических паспортов автоматизированных систем, предназначенных для хранения и обработки конфиденциальной информации (с приложениями), актов классификации автоматизированных систем по требованиям безопасности информации, планов размещения основных и вспомогательных технических средств и систем, аттестатов соответствия автоматизированных систем требованиям безопасности информации или сертификатов соответствия автоматизированных систем требованиям безопасности информации;

перечень защищаемых в автоматизированных системах ресурсов;

описание технологического процесса обработки информации в автоматизированных системах;

е) копии документов, подтверждающих право соискателя лицензии на программы для электронно-вычислительных машин и базы данных, планируемые к использованию при осуществлении лицензируемого вида деятельности;

ж) документы, содержащие сведения о наличии контрольно-измерительного, производственного и испытательного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемого вида деятельности, с приложением копий документов о поверке (калибровке) и маркировании контрольно-измерительного оборудования, а также документов, подтверждающих права соискателя лицензии на использование указанного оборудования, средств защиты информации и средств контроля защищенности информации;

Информация об изменениях:

Постановлением Правительства РФ от 15 июня 2016 г. N 541 в подпункт «з» внесены изменения, вступающие в силу по истечении 12 месяцев со дня официального опубликования названного постановления

з) документы, содержащие сведения об имеющихся технической и технологической документации, национальных стандартах и методических документах, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, с приложением копий документов, подтверждающих, что документы, содержащие информацию ограниченного доступа, получены в установленном законодательством Российской Федерации порядке;

и) копии документов, подтверждающих наличие необходимой системы производственного контроля в соответствии с установленными стандартами (при выполнении работ, указанных в подпункте «в» пункта 4 настоящего Положения).

9. Документы (копии документов), указанные в подпунктах «б» — «и» пункта 8 настоящего Положения, подписываются (заверяются) соискателем лицензии.

Информация об изменениях:

Положение дополнено пунктом 9 1 с 1 марта 2022 г. — Постановление Правительства России от 26 ноября 2021 г. N 2055

9 1 . Соискатель лицензии вправе отозвать заявление о предоставлении лицензии до принятия лицензирующим органом решения о предоставлении лицензии или об отказе в ее предоставлении.

Информация об изменениях:

Пункт 10 изменен с 1 марта 2022 г. — Постановление Правительства России от 26 ноября 2021 г. N 2055

10. При намерении лицензиата выполнять новые работы и (или) оказывать новые услуги, подлежащие лицензированию в соответствии с пунктом 4 настоящего Положения, сведения о которых не внесены в реестр лицензий, в пунктом 6 настоящего Положения:

Информация об изменениях:

Подпункт «а» изменен с 1 марта 2022 г. — Постановление Правительства России от 26 ноября 2021 г. N 2055

а) сведения, подтверждающие наличие в штате лицензиата руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица, инженерно-технических работников и их квалификацию (с указанием реквизитов приказов о назначении или трудовых книжек (при наличии), дипломов, удостоверений, свидетельств);

Информация об изменениях:

Подпункт «б» изменен с 1 марта 2022 г. — Постановление Правительства России от 26 ноября 2021 г. N 2055

б) сведения, подтверждающие наличие по месту осуществления лицензируемого вида деятельности аттестованных по требованиям безопасности информации защищаемых помещений;

Информация об изменениях:

Подпункт «в» изменен с 1 марта 2022 г. — Постановление Правительства России от 26 ноября 2021 г. N 2055

в) сведения, подтверждающие наличие в защищаемых помещениях по месту осуществления лицензируемого вида деятельности аттестованных по требованиям безопасности информации автоматизированных систем, предназначенных для хранения и обработки конфиденциальной информации, сведения о защищаемых в автоматизированных системах ресурсах;

г) утратил силу по истечении 12 месяцев со дня официального опубликования постановления Правительства РФ от 15 июня 2016 г. N 541;

Информация об изменениях:
Информация об изменениях:

Постановлением Правительства РФ от 15 июня 2016 г. N 541 подпункт «д» изложен в новой редакции, вступающей в силу по истечении 12 месяцев со дня официального опубликования названного постановления

д) сведения, подтверждающие наличие на праве собственности или ином законном основании оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе:

измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку);

программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;

Информация об изменениях:

Постановлением Правительства РФ от 15 июня 2016 г. N 541 в подпункт «е» внесены изменения, вступающие в силу по истечении 12 месяцев со дня официального опубликования названного постановления

е) сведения об имеющихся технической и технологической документации, национальных стандартах и методических документах, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения;

ж) утратил силу по истечении 12 месяцев со дня официального опубликования постановления Правительства РФ от 15 июня 2016 г. N 541.

29.Лицензирование и сертификация в области защиты информации.

Лицензированием в области защиты информации называется деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации. Государственная политика в области лицензирования отдельных видов деятельности и обеспечения защиты жизненно важных интересов личности, общества и государства определяется Постановлением Правительства Российской Федерации от 24 декабря 1994 г. № 1418 «О лицензировании отдельных видов деятельности» (в ред. Постановлений Правительства РФ от 05.05.95 № 450, от 03.06.95 № 549, от 07.08.95 № 796, от 12.10.95 № 1001, от 22.04.97 № 462, от 01.12.97 № 1513, также см. постановление от 11.02.02 № 135).

Лицензией называется разрешение на право проведения работ в области защиты информации. Лицензия выдается на конкретные виды деятельности на три года, по истечении которых осуществляется ее перерегистрация в порядке, установленном для выдачи лицензии.

Лицензия выдается в том случае, если предприятие, подавшее заявку на получение лицензии, имеет условия для проведения лицензирования: производственную и испытательную базу, нормативную и методическую документацию, располагает научным и инженерно-техническим персоналом.

Организационную структуру системы государственного лицензирования деятельности предприятий в области защиты информации образуют:

· государственные органы по лицензированию;

Государственные органы по лицензированию:

· организуют обязательное государственное лицензирование деятельности предприятий;

· выдают государственные лицензии предприятиям-заявителям;

· согласовывают составы экспертных комиссий, представляемые лицензионными центрами;

· осуществляют контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации.

· формируют экспертные комиссии и представляют их состав на согласование руководителям соответствующих государственных органов по лицензированию, которыми являются ФСТЭК и ФСБ;

· планируют и проводят работы по экспертизе предприятий-заявителей;

· контролируют полноту и качество выполненных лицензиатами работ.

Лицензионные центры при государственных органах по лицензированию создаются приказами руководителей этих органов. Экспертные комиссии формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, органов государственного управления, других организаций и учреждений. Экспертные комиссии создаются по одному или нескольким направлениям защиты информации.

Лицензированию ФСТЭК России подлежат:

· сертификация, сертификационные испытания защищенных технических средств обработки информации (ТСОИ), технических и программных средств защиты, средств контроля эффективности мер защиты информации, программных средств обработки, защиты и контроля защищенности;

· аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, объектов ВТ и выделенных помещений на соответствие требованиям руководящих и нормативных документов по безопасности информации;

· разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных объектов информатики, технических средств защиты и контроля эффективности мер защиты информации, защищенных прог­раммных средств обработки, защиты и контроля защищенности информации;

· проведение специальных исследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ;

· проектирование объектов в защищенном исполнении.

На орган по лицензированию возлагается:

· разработка правил, процедур и нормативно-методических документов по вопросам проведения лицензирования;

· осуществление научно-методического руководства лицензионной деятельностью;

· публикация необходимых сведений о системе лицензирования;

· рассмотрение заявлений организаций и воинских частей о выдаче лицензий;

· согласование заявлений с воинскими частями, ответственными за соответствующие направления защиты информации;

· согласование состава экспертных комиссий;

· организация и проведение специальных экспертиз;

· принятие решения о выдаче лицензии;

· принятие решения о приостановлении, возобновлении действия лицензии или ее аннулировании;

· ведение реестра выданных, приостановленных, возобновленных и аннулированных лицензий;

· приобретение, учет и хранение бланков лицензий;

· организация работы аттестационных центров;

· осуществление контроля за полнотой и качеством проводимых лицензиатами работ.

В соответствии со статьей 17 Федерального закона от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности» (с изменениями, введенными Федеральным законом от 02.07.2005 № 80-ФЗ) лицензированию подлежат следующие виды деятельности (в области защиты информации):

· деятельность по распространению шифровальных (криптографических) средств;

· деятельность по техническому обслуживанию шифровальных (криптографических) средств;

· предоставление услуг в области шифрования информации;

· разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

· деятельность по разработке и (или) производству средств защиты конфиденциальной информации; деятельность по технической защите конфиденциальной информации;

· деятельность по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

В рамках рассматриваемых видов деятельности были выпущены отдельные постановления Правительства Российской Федерации, разъясняющие порядок лицензирования. Среди них:

· Постановление Правительства Российской Федерации от 26.01.2006 № 45 «Об организации лицензирования отдельных видов деятельности»; Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»;

· Постановление Правительства Российской Федерации от 31.08.2006 № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»;

· Постановление Правительства Российской Федерации от 23.09.2002 № 691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».

В соответствии с этими документами лицензиаты обязаны ежегодно представлять в орган по лицензированию или аттестационный центр сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности. Лицензиаты несут ответственность за полноту и качество выполняемых работ, обеспечение сохранности государственной тайны, доверенной им в ходе практической деятельности.

Для нормального функционирования систем электронного документооборота (ЭДО) необходимо разработать процедуры разрешения возможных конфликтов. Стороной таких конфликтов, кроме участников ЭДО и фирмы-провайдера, может быть и фирма-разработчик программного обеспечения.

Предполагается, что договор с фирмой-разработчиком учитывает наличие эталонного образца программного обеспечения, который может храниться только у фирмы — провайдера или у всех участников ЭДО. Для этого требуется выполнение двух основных условий:

должно быть документально подтверждено, что каждому участнику системы ЭДО (включая фирму — провайдер) установлено программное, соответствующее эталонному образцу;

хранение эталонных образцов организуется таким образом, чтобы исключить возможность изменения эталонного образца программного обеспечения без ведома сторон.

Такой режим может быть обеспечен системой из нескольких открытых ключей.

Сегодня, когда современные информационные технологии интенсивно внедряются во все сферы жизни и деятельности общества, национальная, и как ее часть экономическая безопасность государства начинает напрямую зависеть от обеспечения информационной безопасности. Именно поэтому с целью создания гарантий по обеспечению необходимой стойкости средств защиты информации государство берет на себя ответственность за лицензирование деятельности организаций, занимающихся защитой информации, и сертификацию соответствующих технических средств.

Сегодняшний уровень защиты от внешних информационных угроз в глобальных открытых сетях не может быть сочтен удовлетворительным: до сих пор в России отсутствует всеобъемлющая и технически выверенная стратегия в этой области. С целью изменения ситуации должен быть безотлагательно разработан и осуществлен комплекс мер в области законодательства и стандартизации средств, обеспечивающих информационную безопасность России. К первоочередным задачам в этом направлении относятся:

· принятие специального закона, аналогичного «Computer Security Act» в США, возлагающего на конкретные госструктуры ответственность за методологическую поддержку работ в области информационной безопасности;

· выработку унифицированных подходов к обеспечению безопасности для организаций различного профиля, размера и форм собственности;

· обеспечение появления на рынке достаточного числа разнообразных сертифицированных средств для решения задач информационной безопасности.

Одной из проблем в области защиты информации в России является отсутствие официальных документов с подробными рекомендациями по построению безопасных информационных систем, аналогичных разработанному, например, Американским институтом стандартных технологий (США) и британскому стандарту. Хотя в Великобритании не существует нормативных актов, требующих выполнения государственных стандартов, около 60% британских фирм и организаций добровольно используют разработанный стандарт, а остальные намерены внедрять его рекомендации в ближайшее время.

Лицензирование и сертификация в области систем обеспечения безопасности информации могут снизить остроту этой проблемы. Необходимо создание пользователю гарантий того, что используемые им средства защиты информации способны обеспечивать необходимый уровень защиты. Именно лицензирование может способствовать тому, что проблемой защиты информации будут заниматься только высококвалифицированные специалисты в этой области, а создаваемые ими продукты будут находиться на соответствующем уровне и смогут пройти сертификацию.

Без проведения сертификации невозможно оценить, содержит ли то или иное средство потенциально вредные недокументированные возможности, наличие которых особенно характерно для большинства зарубежных продуктов, способные в определенный момент привести к сбоям в работе системы и даже к необратимым для нее последствиям. Характерным примером таких недокументированных возможностей является заложенная фирмой Ericsson при разработке телефонных станций, на базе которых МПС РФ строит свою телефонную сеть, возможность блокировать их работу при получении вызова определенного телефонного номера, который фирма отказывается назвать. И этот пример не является единственным.

Процесс сертификации программного продукта занимает примерно столько же времени, сколько и его разработка, и практически невозможен без исходных текстов программ с комментариями. В то же время многие зарубежные фирмы не желают представлять исходные тексты своих программных продуктов в российские сертификационные центры. Например, несмотря на принципиальное согласие фирмы Microsoft на сертификацию в России ОC Windows NT, в которой уже выявлено более 50 ошибок, связанных с обеспечением безопасности, этот вопрос уже в течение многих месяцев не может сдвинуться с мертвой точки из-за отсутствия ее исходных текстов.

Трудности с сертификацией приводят к тому, что раньше других среди продуктов одного класса сертификат быстрее получают самые простые, в силу чего они кажутся пользователю более надежными. Длительные же сроки сертификации приводят к тому, что фирма-разработчик успевает вывести на рынок новую версию своего продукта, и процесс становится бесконечным.

Сертификацию технических средств защиты информации затруднительно проводить без соответствующих стандартов, создание которых в России не в последнюю очередь сдерживается из-за отсутствия финансовых средств. Эта проблема решается, если появляются несколько фирм, заинтересованных в сбыте, и несколько организаций, заинтересованных в использовании соответствующих технических средств. Например, плодом совместных усилий подобных организаций, фирм и ФСТЭК( ранее Гостехкомиссия (ГТК)) стала разработка Руководящего технического материала ГТК РФ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Он позволил классифицировать средства, которые способны в какой-то степени обеспечить защиту корпоративных сетей от внешних вторжений.

Документ предполагает существование нескольких классов межсетевых экранов: от простейших, позволяющих только осуществлять контроль потоков информации, до самых сложных, выполняющих полное перекодирование входящей информации, полностью защищающее корпоративную сеть от воздействий извне. Уже сегодня сертификацию на соответствие техническим условиям, разработанным в соответствии с Руководящим техническим материалом, что допускается действующим законодательством, прошли такие межсетевые экраны, как Sun Screen, SKIPbridge и Pandora. Однако и при их сертификации без борьбы не обошлось.

С учетом требований информационной безопасности и мировой практики деятельности в сфере защиты информации представляется целесообразным присоединение России к сложившимся системам международной стандартизации и сертификации информационных технологий, что на практике означает:

· приведение национальных и отраслевых стандартов в соответствие с международными;

· участие представителей России в международных системах сертификации (в том числе в сертификационных испытаниях);

· возможность признания в России международных сертификатов.

Кроме того, в соответствии с действующим законодательством, любая организация, занимающаяся сбором и обработкой персональных данных (например, операций с пластиковыми карточками), должна иметь лицензию на право заниматься подобной деятельностью и использовать для этого сертифицированные средства.

ФСТЭК России (бывшая Гостехкомиссия) разработана необходимая нормативная база в области защиты информации от несанкционированного доступа. Рассмотрим структуру основных руководящих документов.

1. «Защита от несанкционированного доступа к информации. Термины и определения» – устанавливает единый терминологический стандарт в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, являющийся обязательным для применения во всех видах документации.

2. «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации»– описывает основные принципы, на которых базируется проблема защиты информации от несанкционированного доступа и ее отношение к общей проблеме безопасности информации. В концепции отражены следующие вопросы: определение несанкционированного доступа, основные принципы защиты, модель нарушителя в автоматизированных системах, основные способы несанкционированного доступа, основные направления обеспечения защиты, основные характеристики технических средств защиты, классификация автоматизированных систем, организация работ по защите. Указанная концепция предназначена для заказчиков, разработчиков и пользователей средств вычислительной техники и автоматизированных систем, основное назначение которых: обработка, хранение и передача защищаемой информации.

3. «Средства защиты информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации» – устанавливает классификацию контрольно-кассовых машин, автоматизированных кассовых систем, информационных технологий и требования по защите информации, связанной с налогообложением. В соответствии с этим документом устанавливается 2 класса контрольно-кассовых машин, автоматизированных кассовых систем и информационной техники. К первому классу относятся системы, обрабатывающие информацию о денежных оборотах на сумму до 350 минимальных размеров оплаты труда в сутки, а ко второму – на сумму свыше 350 минимальных размеров оплаты труда.

4. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» – регламентирует требования защищенности средств вычислительной техники от несанкционированного доступа, применяемые к общесистемным программным средствам и операционным системам. Здесь выделяются семь классов защищенности, которые подразделяются на четыре группы. Каждый класс содержит перечень необходимых для реализации механизмов защиты информации от несанкционированного доступа.

5. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» – классифицирует автоматизированные системы в зависимости от наличия в них информации различного уровня конфиденциальности, уровней полномочий субъектов доступа, режимов обработки данных по девяти классам и оговаривает совокупность требований к каждому из них. В зависимости от особенностей обработки информации в автоматизированных системах классы делятся на три группы.

6. «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» – декларирует требования к различным классам межсетевых экранов. Всего выделяется пять классов защищенности межсетевых экранов. Классификация производится в зависимости от класса защищенности автоматизированных систем, для защиты которой используется межсетевой экран.

На основе руководящих документов и нормативной базы ФСТЭК России производится разработка, сертификация и использование средств защиты информации от несанкционированного доступа, а также лицензирование предприятий на право деятельности в области защиты информации на территории Российской Федерации.

Что лицензируется в области защиты информации

О лицензировании деятельности по технической защите конфиденциальной информации

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 3 февраля 2012 г. № 79
МОСКВА
О лицензировании деятельности по технической защите конфиденциальной информации
(В редакции постановлений Правительства Российской Федерации от 15.06.2016 № 541, от 30.11.2020 № 1971, от 26.11.2021 № 2055, от 03.02.2023 № 159)

В соответствии с Федеральным законом «О лицензировании отдельных видов деятельности» Правительство Российской Федерации постановляет:

1. Утвердить прилагаемое Положение о лицензировании деятельности по технической защите конфиденциальной информации.

2. Признать утратившими силу:

постановление Правительства Российской Федерации от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» (Собрание законодательства Российской Федерации, 2006, № 34, ст. 3691) ;

пункт 18 изменений, которые вносятся в акты Правительства Российской Федерации по вопросам государственного контроля (надзора) , утвержденных постановлением Правительства Российской Федерации от 21 апреля 2010 г. № 268 (Собрание законодательства Российской Федерации, 2010, № 19, ст. 2316) ;

пункт 20 изменений, которые вносятся в постановления Правительства Российской Федерации по вопросам государственной пошлины, утвержденных постановлением Правительства Российской Федерации от 24 сентября 2010 г. № 749 (Собрание законодательства Российской Федерации, 2010, № 40, ст. 5076) .

Председатель Правительства Российской Федерации В.Путин

УТВЕРЖДЕНО постановлением Правительства Российской Федерацииот 3 февраля 2012 г. № 79

ПОЛОЖЕНИЕ о лицензировании деятельности по технической защите конфиденциальной информации
(В редакции постановлений Правительства Российской Федерации от 15.06.2016 № 541, от 30.11.2020 № 1971, от 26.11.2021 № 2055, от 03.02.2023 № 159)

1. Настоящее Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации) , осуществляемой юридическими лицами и индивидуальными предпринимателями.

Не допускается осуществление деятельности, указанной в абзаце первом настоящего пункта, иностранными юридическими лицами. (Дополнение абзацем — Постановление Правительства Российской Федерации от 26.11.2021 № 2055)

2. Под технической защитой конфиденциальной информации понимается выполнение работ и (или) оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

3. Лицензирование деятельности по технической защите конфиденциальной информации (далее — лицензируемый вид деятельности) осуществляет Федеральная служба по техническому и экспортному контролю (далее — лицензирующий орган) .

4. При осуществлении лицензируемого вида деятельности лицензированию подлежат:

а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:

в средствах и системах информатизации;

в технических средствах (системах) , не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;

в помещениях со средствами (системами) , подлежащими защите;

в помещениях, предназначенных для ведения конфиденциальных переговоров (далее — защищаемые помещения) ;

б) услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;

в) услуги по мониторингу информационной безопасности средств и систем информатизации;

г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:

средств и систем информатизации;

помещений со средствами (системами) информатизации, подлежащими защите;

д) работы и услуги по проектированию в защищенном исполнении:

средств и систем информатизации;

помещений со средствами (системами) информатизации, подлежащими защите;

е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля эффективности защиты информации) .

(Пункт в редакции Постановления Правительства Российской Федерации от 15.06.2016 № 541)

5. Лицензионными требованиями, предъявляемыми к соискателю лицензии на осуществление лицензируемого вида деятельности (далее — лицензия) , являются:

а) наличие у соискателя лицензии:

юридического лица — в штате по основному месту работы в соответствии со штатным расписанием руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица, имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения — не менее 360 аудиторных часов) , а также инженерно-технических работников (не менее 2 человек) , имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения — не менее 360 аудиторных часов) ;

индивидуального предпринимателя — высшего образования по направлению подготовки (специальности) в области информационной безопасности и стажа работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или высшего образования по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стажа работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или иного высшего образования и стажа работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, а также дополнительного профессионального образования по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения — не менее 360 аудиторных часов) ;

б) наличие по месту осуществления лицензируемого вида деятельности помещений, не являющихся объектами жилого назначения, принадлежащих соискателю лицензии на праве собственности или ином законном основании, предусматривающем право владения и право пользования, в которых созданы необходимые условия для размещения работников, производственного и испытательного оборудования для осуществления лицензируемого вида деятельности, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну; (В редакции Постановления Правительства Российской Федерации от 26.11.2021 № 2055)

в) наличие принадлежащего соискателю лицензии на праве собственности или ином законном основании, предусматривающем право владения и право пользования, оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе: (В редакции Постановления Правительства Российской Федерации от 26.11.2021 № 2055)

измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку) ;

программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;

г) наличие по месту осуществления лицензируемого вида деятельности принадлежащих соискателю лицензии на праве собственности или ином законном основании, предусматривающем право владения и право пользования, автоматизированных систем, предназначенных для обработки конфиденциальной информации, средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации; (В редакции Постановления Правительства Российской Федерации от 26.11.2021 № 2055)

д) наличие технической и технологической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем. Документы, содержащие информацию ограниченного доступа, должны быть получены в установленном законодательством Российской Федерации порядке.

(Пункт в редакции Постановления Правительства Российской Федерации от 15.06.2016 № 541)

6. Лицензионными требованиями, предъявляемыми к лицензиату при осуществлении лицензируемого вида деятельности, являются:

а) выполнение работ и (или) оказание услуг лицензиатом:

юридическим лицом — с привлечением находящихся в штате лицензиата по основному месту работы в соответствии со штатным расписанием руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица, имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения — не менее 360 аудиторных часов) , а также инженерно-технических работников (не менее 2 человек) , имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения — не менее 360 аудиторных часов) ;

индивидуальным предпринимателем, имеющим высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, прошедшим обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения — не менее 360 аудиторных часов) ;

б) повышение квалификации по лицензируемому виду деятельности лиц, указанных в подпункте «а» настоящего пункта, не реже одного раза в 5 лет;

в) наличие по месту осуществления лицензируемого вида деятельности помещений, не являющихся объектами жилого назначения, принадлежащих лицензиату на праве собственности или ином законном основании, предусматривающем право владения и право пользования, в которых созданы необходимые условия для размещения работников, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, и размещено (установлено) производственное и испытательное оборудование, необходимое для осуществления лицензируемого вида деятельности; (В редакции Постановления Правительства Российской Федерации от 26.11.2021 № 2055)

г) использование принадлежащего лицензиату на праве собственности или ином законном основании, предусматривающем право владения и право пользования, оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе: (В редакции Постановления Правительства Российской Федерации от 26.11.2021 № 2055)

измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку) ;

программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;

д) наличие по месту осуществления лицензируемого вида деятельности принадлежащих лицензиату на праве собственности или ином законном основании, предусматривающем право владения и право пользования, автоматизированных систем, предназначенных для обработки конфиденциальной информации, средств защиты такой информации, прошедших процедуру оценки соответствия, аттестованных и (или) сертифицированных по требованиям безопасности информации, в соответствии с законодательством Российской Федерации; (В редакции Постановления Правительства Российской Федерации от 26.11.2021 № 2055)

е) наличие технической и технологической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем. Документы, содержащие информацию ограниченного доступа, должны быть получены в установленном законодательством Российской Федерации порядке.

(Пункт в редакции Постановления Правительства Российской Федерации от 15.06.2016 № 541)

7. Грубыми нарушениями лицензионных требований являются нарушения требований, предусмотренных подпунктами «а», «в» и «г» пункта 6 настоящего Положения, повлекшие за собой последствия, предусмотренные частью 10 статьи 192 Федерального закона «О лицензировании отдельных видов деятельности». (В редакции Постановления Правительства Российской Федерации от 26.11.2021 № 2055)

8. Для получения лицензии соискатель лицензии направляет или представляет в лицензирующий орган следующие документы:

а) заявление о предоставлении лицензии с описью прилагаемых документов; (В редакции Постановления Правительства Российской Федерации от 30.11.2020 № 1971)

б) копии документов, подтверждающих наличие в штате соискателя лицензии руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица, инженерно-технических работников и их квалификацию (приказов о назначении или выписок из трудовых книжек, дипломов, удостоверений, свидетельств) , и (или) сведения о трудовой деятельности, предусмотренные статьей 661 Трудового кодекса Российской Федерации; (В редакции Постановления Правительства Российской Федерации от 26.11.2021 № 2055)

в) копии документов, подтверждающих наличие у соискателя лицензии по месту осуществления лицензируемого вида деятельности помещений, не являющихся объектами жилого назначения, необходимых для осуществления лицензируемого вида деятельности и принадлежащих соискателю лицензии на праве собственности или ином законном основании, предусматривающем право владения и право пользования, права на которые не зарегистрированы в Едином государственном реестре прав на недвижимое имущество и сделок с ним (в случае, если такие права зарегистрированы в указанном реестре, — сведения об этих помещениях (зданиях, сооружениях) ; (В редакции Постановления Правительства Российской Федерации от 26.11.2021 № 2055)

г) копии технических паспортов и аттестатов соответствия защищаемых помещений, находящихся по месту осуществления лицензируемого вида деятельности, требованиям безопасности информации; (В редакции Постановления Правительства Российской Федерации от 26.11.2021 № 2055)

д) документы на автоматизированные системы, находящиеся в защищаемых помещениях по месту осуществления лицензируемого вида деятельности, предназначенные для обработки конфиденциальной информации, и средства защиты такой информации:

копии технических паспортов автоматизированных систем, предназначенных для хранения и обработки конфиденциальной информации (с приложениями) , актов классификации автоматизированных систем по требованиям безопасности информации, планов размещения основных и вспомогательных технических средств и систем, аттестатов соответствия автоматизированных систем требованиям безопасности информации или сертификатов соответствия автоматизированных систем требованиям безопасности информации;

перечень защищаемых в автоматизированных системах ресурсов;

описание технологического процесса обработки информации в автоматизированных системах;

(Подпункт в редакции Постановления Правительства Российской Федерации от 26.11.2021 № 2055)

е) копии документов, подтверждающих право соискателя лицензии на программы для электронно-вычислительных машин и базы данных, планируемые к использованию при осуществлении лицензируемого вида деятельности;

ж) документы, содержащие сведения о наличии контрольно-измерительного, производственного и испытательного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемого вида деятельности, с приложением копий документов о поверке (калибровке) и маркировании контрольно-измерительного оборудования, а также документов, подтверждающих права соискателя лицензии на использование указанного оборудования, средств защиты информации и средств контроля защищенности информации;

з) документы, содержащие сведения об имеющихся технической и технологической документации, национальных стандартах и методических документах, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, с приложением копий документов, подтверждающих, что документы, содержащие информацию ограниченного доступа, получены в установленном законодательством Российской Федерации порядке; (В редакции Постановления Правительства Российской Федерации от 15.06.2016 № 541)

и) копии документов, подтверждающих наличие необходимой системы производственного контроля в соответствии с установленными стандартами (при выполнении работ, указанных в подпункте «в» пункта 4 настоящего Положения) .

Что лицензируется в области защиты информации

от 27 мая 2002 г. N 348

О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО РАЗРАБОТКЕ

И (ИЛИ) ПРОИЗВОДСТВУ СРЕДСТВ ЗАЩИТЫ

Список изменяющих документов

(в ред. Постановлений Правительства РФ от 03.10.2002 N 731,

1. Настоящее Положение определяет порядок лицензирования деятельности юридических лиц и индивидуальных предпринимателей по разработке и (или) производству средств защиты конфиденциальной информации.

2. Лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации осуществляет Федеральная служба по техническому и экспортному контролю и ее территориальные органы, а в части разработки и (или) производства средств защиты конфиденциальной информации, устанавливаемых на объектах Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации и Высшего Арбитражного Суда Российской Федерации, — Федеральная служба безопасности Российской Федерации (далее именуются — лицензирующие органы).

(в ред. Постановления Правительства РФ от 17.12.2004 N 807)

(см. текст в предыдущей редакции)

3. Лицензионными требованиями и условиями при осуществлении деятельности по разработке и (или) производству средств защиты конфиденциальной информации, отнесенных к компетенции Федеральной службы по техническому и экспортному контролю и ее территориальных органов, являются:

(в ред. Постановления Правительства РФ от 17.12.2004 N 807)

(см. текст в предыдущей редакции)

а) выполнение требований государственных стандартов Российской Федерации, конструкторской, программной и технологической документации, единой системы измерений, системы разработки и запуска в производство средств защиты конфиденциальной информации, а также иных нормативных правовых актов;

б) осуществление лицензируемой деятельности специалистами, имеющими высшее техническое образование или прошедшими профессиональную подготовку в области защиты информации;

в) соответствие производственного, испытательного, контрольно-измерительного оборудования и производственных помещений техническим нормам и требованиям, установленным государственными стандартами Российской Федерации и иными нормативными правовыми актами;

г) использование программ для электронно-вычислительных машин или баз данных третьими лицами (пользователями), осуществляемое на основании договора с правообладателем.

4. Лицензионными требованиями и условиями при осуществлении деятельности по разработке и (или) производству средств защиты конфиденциальной информации, отнесенных к компетенции Федеральной службы безопасности Российской Федерации, являются:

(в ред. Постановления Правительства РФ от 17.12.2004 N 807)

(см. текст в предыдущей редакции)

а) соблюдение нормативных правовых актов и стандартов Российской Федерации, относящихся к лицензируемой деятельности, нормативных и методических документов, регламентирующих осуществление лицензируемой деятельности;

б) соблюдение лицензиатом режима конфиденциальности при обращении со сведениями, которые ему доверены или стали известны по работе: обеспечение ограничения круга лиц, допущенных к конфиденциальной информации, установление порядка допуска лиц к работам, связанным с использованием конфиденциальной информации, организация обеспечения безопасности ее хранения, обработки и передачи по каналам связи и установление обладателем конфиденциальной информации требований к обеспечению безопасности этой информации;

в) наличие условий, предотвращающих несанкционированный доступ к средствам защиты конфиденциальной информации, обеспечивающих хранение нормативной и эксплуатационной документации, инсталляционных дискет и дистрибутивов программных и программно-аппаратных средств защиты конфиденциальной информации в металлических шкафах (хранилищах, сейфах), оборудованных внутренними замками, а также хранение дубликатов ключей от металлических шкафов (хранилищ, сейфов) и входных дверей в сейфе ответственного лица, назначенного руководством лицензиата;

г) соответствие помещений (производственная площадь, состояние помещений, обеспечиваемые в них условия) требованиям технической и технологической документации на оборудование, размещаемое в этих помещениях и используемое для осуществления лицензируемой деятельности;

д) соответствие производственного, технологического, испытательного и контрольно-измерительного оборудования требованиям, установленным государственными стандартами Российской Федерации и нормативными правовыми актами, относящимися к лицензируемой деятельности;

е) аттестование средств обработки информации, используемых для разработки средств защиты конфиденциальной информации, а также для автоматизированного учета в соответствии с требованиями по защите информации с использованием лицензионных программного обеспечения для электронно-вычислительных машин и баз данных;

ж) выполнение требований государственных стандартов Российской Федерации, конструкторской, программной и технологической документации, единой системы измерений, системы разработки и запуска в производство средств защиты конфиденциальной информации, в соответствии с которыми конструкторская документация лицензиата имеет номер, зарегистрированный в государственном реестре разрабатывающих предприятий, а нормативные правовые акты по разработке, конструкторская документация и технические условия обеспечивают соответствие показателей продукции нормам и требованиям, установленным Федеральной службой безопасности Российской Федерации в пределах ее компетенции;

(в ред. Постановления Правительства РФ от 17.12.2004 N 807)

(см. текст в предыдущей редакции)

з) наличие системы учета изменений, внесенных в техническую и конструкторскую документацию, и системы учета готовой продукции;

и) наличие у руководителя лицензиата и (или) уполномоченного им лица высшего образования и (или) профессиональной подготовки в области защиты информации с квалификацией «специалист по защите информации» и производственным стажем в области лицензируемой деятельности не менее 5 лет;

к) наличие у инженерно-технического персонала, осуществляющего работы в области лицензируемой деятельности, высшего образования и (или) профессиональной подготовки со специализацией, соответствующей выполняемым работам.

5. Для получения лицензии соискатель лицензии представляет в соответствующий лицензирующий орган следующие документы:

а) заявление о предоставлении лицензии с указанием:

наименования, организационно-правовой формы и места нахождения — для юридического лица;

фамилии, имени, отчества, места жительства, данных документа, удостоверяющего личность, — для индивидуального предпринимателя;

б) заверенные копии учредительных документов и документа, подтверждающего факт внесения записи о юридическом лице в Единый государственный реестр юридических лиц;

(в ред. Постановления Правительства РФ от 03.10.2002 N 731)

(см. текст в предыдущей редакции)

заверенная копия свидетельства о государственной регистрации гражданина в качестве индивидуального предпринимателя;

в) заверенная копия свидетельства о постановке соискателя лицензии на учет в налоговом органе с указанием идентификационного номера налогоплательщика;

г) документ, подтверждающий уплату лицензионного сбора за рассмотрение лицензирующим органом заявления о предоставлении лицензии;

д) сведения о квалификации специалистов по разработке и (или) производству средств защиты конфиденциальной информации соискателя лицензии.

Если копии документов не заверены нотариально, вместе с копиями предъявляются оригиналы.

6. Лицензирующий орган вправе запрашивать у соискателя лицензии подтверждение соответствия лицензируемой деятельности лицензионным требованиям и условиям.

Федеральным законом от 02.07.2005 N 80-ФЗ внесены изменения в Федеральный закон от 08.08.2001 N 128-ФЗ «О лицензировании отдельных видов деятельности». Срок принятия лицензирующим органом решения о предоставлении или об отказе в предоставлении лицензии сокращен до 45 дней со дня поступления заявления о предоставлении лицензии и прилагаемых к нему документов.

7. Лицензирующий орган принимает решение о предоставлении или об отказе в предоставлении лицензии в течение 60 дней с даты получения от соискателя лицензии документов, предусмотренных пунктом 5 настоящего Положения, и направляет (вручает) соискателю лицензии документ о предоставлении лицензии либо уведомление об отказе в предоставлении лицензии с указанием причин отказа.

В случае необходимости лицензирующий орган организует проведение проверки соискателя лицензии с целью определения достоверности сведений в представленных документах и их соответствия лицензионным требованиям и условиям.

8. Срок действия лицензии — 5 лет. По заявлению лицензиата он может быть продлен в порядке, предусмотренном для переоформления лицензии, в течение 10 дней с даты получения лицензирующим органом заявления.

9. Лицензирующий орган формирует и ведет реестр лицензий, в котором указываются:

а) наименование лицензирующего органа;

б) сведения о лицензиате:

наименование, организационно-правовая форма, место нахождения юридического лица;

фамилия, имя, отчество, место жительства, данные документа, удостоверяющего личность, индивидуального предпринимателя;

в) код лицензиата по Общероссийскому классификатору предприятий и организаций и идентификационный номер налогоплательщика;

г) лицензируемая деятельность;

д) срок действия лицензии;

е) номер лицензии;

ж) дата принятия решения о предоставлении лицензии;

з) дата выдачи лицензии;

и) сведения о регистрации лицензии в реестре лицензий;

к) основания и даты приостановления и возобновления действия лицензии;

л) основания и сроки продления лицензии;

м) основание и дата аннулирования лицензии.

10. Контроль за выполнением лицензиатом лицензионных требований и условий осуществляется лицензирующим органом, выдавшим лицензию.

11. Проверка выполнения лицензиатом лицензионных требований и условий проводится в порядке, определяемом руководителем лицензирующего органа.

Плановые проверки проводятся не чаще одного раза в год.

В случае если в результате проверки выявлены нарушения лицензионных требований и условий, лицензиат подлежит внеплановой проверке в целях контроля за исполнением предписаний об устранении выявленных нарушений.

Внеплановые проверки соблюдения лицензиатом лицензионных требований и условий проводятся лицензирующим органом также в случае:

получения от юридических лиц, индивидуальных предпринимателей и органов государственной власти информации о нарушении лицензиатом лицензионных требований и условий;

обращения граждан, юридических лиц и индивидуальных предпринимателей с жалобами на нарушение их прав и законных интересов действием (бездействием) лицензиата, связанным с невыполнением им лицензионных требований и условий, а также получения иной информации, подтверждаемой документами и другими доказательствами, свидетельствующими о наличии признаков таких нарушений.

Продолжительность проверки не должна превышать один месяц.

По результатам проверки оформляется акт о выполнении (невыполнении) лицензиатом лицензионных требований и условий с указанием конкретных нарушений и сроком их устранения.

Лицензиат в обязательном порядке знакомится с актом.

12. Принятие решения о предоставлении лицензии, переоформление лицензии, приостановление действия лицензии, ее аннулирование и взимание лицензионных сборов осуществляются в порядке, установленном Федеральным законом «О лицензировании отдельных видов деятельности».

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *