Что лицензируется в области защиты информации
Перейти к содержимому

Что лицензируется в области защиты информации

  • автор:

Глава 9. Лицензирование и сертификация деятельности в области защиты информации

Правовая основа системы лицензирования и сертификации в рф

Лицензирование деятельности по защите информации

Сертификация средств защиты информации

9.1. Правовая основа системы лицензирования и сертификации в рф

защита информации является общегосударственной проблемой, т.к. это напрямую связано с обеспечением его суверенитета. Такое регулирование опирается на государственную систему безопасности и на свод законов по лицензированию деятельности в сфере защиты информации.

Лицензиявыдаваемое уполномоченным лицом (лицензиаром) юридическим и физическим лицам (лицензиатам) разрешение на совершение определенных действий, без которого совершение таких действий признается неправомерным [27].

Лицензирование – это процесс, осуществляемый в отношении таких категорий, как «деятельность» (виды деятельности) и «субъект» (физическое лицо, предприятие, организация или иное юридическое лицо), когда некоторый субъект в результате проведения комплекса мероприятий, состав, правила и порядок осуществления которых предписываются законодательными и нормативными актами, получает право на осуществление определенного вида деятельности. Это право закрепляется и оформляется в виде официальных документов, виды и статус которых также предписываются нормативными актами. За органом, уполномоченным на проведение лицензионной деятельности, закрепляется право на осуществление контроля за деятельностью лицензиата. Важно подчеркнуть, что активную роль в процессе лицензирования играют обе стороны: орган, наделяющий кого-либо правом деятельности, и субъект, получающий указанное право. Получить право на осуществление деятельности, подлежащей лицензированию, может не каждый, а лишь субъект, отвечающий определенным критериям, которые заранее определяются правилами проведения лицензирования и требованиями к предприятию-заявителю. Таким образом, субъектом лицензирования становится лишь то физическое или юридическое лицо, которое представляет все необходимые и правильно оформленные документы и удовлетворяет соответствующим критериям [27].

Сертификация это подтверждение соответствия продукции или услуг установленным требованиям или стандартам.

Сертификат на средство защиты информации – документ, подтверждающий соответствие средства ЗИ требованиям по безопасности информации.

Законодательной и нормативной базой лицензирования и сертификации в области 3И являются следующие документы [22].

Законы РФ:

  • «О государственной тайне» № 5485-1 от21.07.93;
  • «О сертификации продукции и услуг» № 5485-1 от 10.06.93;
  • «О защите прав потребителей» № 2300-1 от 07.02.92,
  • «Об информации, информатизации и защите информации» № 24-ФЗ от 20.02.95;
  • «О стандартизации» № 5154-1 от 10.06.93.
  • «О федеральных органах правительственной связи и информации» № 4524-1 от 19.02.93.

Постановления Правительства РФ:

  • «О лицензировании отдельных видов деятельности» № 1418 от 24.12.94;
  • «О лицензировании деятельности предприятий. » № 333 от 15.04.95;
  • «О сертификации средств ЗИ» № 608 от 26.06.95.

А также Указы Президента РФ и ряд подзаконных актов.

Полный перечень видов деятельности в области защиты информации, подлежащих обязательному государственному лицензированию, определён в Законе РФ «О государственной тайне» и Федеральном законе «О лицензировании отдельных видов деятельности». В законе РФ «О государственной тайне» определены лицензируемые виды деятельности в области защиты информации, содержащей сведения, отнесённые к государственной тайне, а в Законе РФ «О лицензировании отдельных видов деятельности» – в области защиты конфиденциальной информации.

В ст. 27 Закона РФ «О государственной тайне» указано, что допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, осуществляется путём получения ими лицензий в порядке, устанавливаемом Правительством РФ. Во исполнение данной статьи закона Правительством РФ было принято Постановление «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» (№ 333 от 15.04.95), которым было утверждено одноимённое Положение.

Согласно этому Положению, лицензия на проведение работ связанных с государственной тайной, выдается на основании результатов специальной экспертизы предприятия, учреждения и организации и государственной аттестации их руково­дителей, ответственных за защиту сведений, составляющих государственную тайну, расходы по проведению которых относятся на счет предприятия, учреждения, организации, получающих лицензию. Лицензия выда­ется претенденту при соблюдении им следующих условий [22]:

  • выполнения требований нормативных документов по обеспечению защиты сведений, составляющих государственную тайну, в процессе выполнения работ, связанных с использованием указанных сведений;
  • наличия в их структуре подразделений по защите государственной тайны и специально подготовленных сотрудников для работы по защите информации, количество и уровень квалификации которых достаточны для обеспечения защиты государственной тайны;
  • наличия у них сертифицированных средств защиты информации.

Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Сертификация осуществляется на основании требований государственных стандартов и иных нормативных документов.

Статья 12. Перечень видов деятельности, на которые требуются лицензии

Об особенностях применения на территориях Республики Крым и города федерального значения Севастополя настоящего Федерального закона с 1 июня 2015 г. см. Федеральный конституционный закон от 21 марта 2014 г. N 6-ФКЗ

1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:

1) разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

2) разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации;

3) деятельность по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

4) разработка и производство средств защиты конфиденциальной информации;

5) деятельность по технической защите конфиденциальной информации;

6) производство и реализация защищенной от подделок полиграфической продукции;

Информация об изменениях:

Пункт 7 изменен с 2 июля 2021 г. — Федеральный закон от 2 июля 2021 г. N 349-ФЗ

7) разработка, производство, испытание и ремонт авиационной техники, за исключением беспилотных авиационных систем и (или) их элементов, включающих беспилотные гражданские воздушные суда с максимальной взлетной массой 30 килограммов и менее;

ГАРАНТ:

Согласно Федеральному закону от 2 июля 2021 г. N 349-ФЗ лицензии на осуществление деятельности по разработке, производству, испытанию и ремонту авиационной техники, выданные до 2 июля 2021 г., переоформлению не подлежат

Информация об изменениях:

Пункт 8 изменен с 1 марта 2022 г. — Федеральные законы от 11 июня 2021 г. N 170-ФЗ и от 30 декабря 2021 г. N 490-ФЗ

8) разработка, производство, испытание, установка, монтаж, техническое обслуживание, ремонт, утилизация и реализация вооружения и военной техники, разработка, производство, испытание, хранение, реализация и утилизация боеприпасов (за исключением указанной деятельности, осуществляемой воинскими частями и организациями Вооруженных Сил Российской Федерации и войск национальной гвардии Российской Федерации, в случае, если осуществление указанной деятельности предусмотрено их учредительными документами);

Информация об изменениях:

Пункт 9 изменен с 1 марта 2022 г. — Федеральный закон от 11 июня 2021 г. N 170-ФЗ и от 30 декабря 2021 г. N 490-ФЗ

9) разработка, производство, испытание, ремонт и утилизация гражданского и служебного оружия и основных частей огнестрельного оружия, разработка, производство, испытание, утилизация патронов к гражданскому и служебному оружию и составных частей патронов (за исключением указанной деятельности, осуществляемой воинскими частями и организациями Вооруженных Сил Российской Федерации и войск национальной гвардии Российской Федерации, в случае, если осуществление указанной деятельности предусмотрено их учредительными документами);

Информация об изменениях:

Пункт 9.1 изменен с 1 марта 2022 г. — Федеральный закон от 30 декабря 2021 г. N 490-ФЗ

Часть 1 дополнена пунктом 9.1 с 1 марта 2022 г. — Федеральный закон от 11 июня 2021 г. N 170-ФЗ

9.1) хранение и торговля гражданским и служебным оружием и основными частями огнестрельного оружия, патронами к гражданскому и служебному оружию и составными частями патронов (за исключением указанной деятельности, осуществляемой воинскими частями и организациями Вооруженных Сил Российской Федерации и войск национальной гвардии Российской Федерации, в случае, если осуществление указанной деятельности предусмотрено их учредительными документами);

Информация об изменениях:

Пункт 10 изменен с 1 марта 2022 г. — Федеральный закон от 11 июня 2021 г. N 170-ФЗ и от 30 декабря 2021 г. N 490-ФЗ

10) разработка, производство, испытание, хранение, реализация (в том числе распространение), утилизация пиротехнических изделий IV и V классов в соответствии с национальным стандартом, применение пиротехнических изделий IV и V классов в соответствии с техническим регламентом (за исключением указанной деятельности, осуществляемой воинскими частями и организациями Вооруженных Сил Российской Федерации и войск национальной гвардии Российской Федерации, в случае, если осуществление указанной деятельности предусмотрено их учредительными документами);

11) деятельность по хранению и уничтожению химического оружия;

Информация об изменениях:

Пункт 12 изменен с 1 сентября 2024 г. — Федеральный закон от 25 декабря 2023 г. N 637-ФЗ

Федеральным законом от 4 марта 2013 г. N 22-ФЗ пункт 12 части 1 статьи 12 настоящего Федерального закона внесены изменения, вступающие в силу с 1 июля 2013 г.

ГАРАНТ:

Предоставленные до 1 июля 2013 г. лицензии на эксплуатацию взрывопожароопасных производственных объектов и лицензии на эксплуатацию химически опасных производственных объектов сохраняют свое действие после дня вступления в силу Федерального закона от 4 марта 2013 г. N 22-ФЗ и предоставляют их лицензиатам право осуществлять эксплуатацию взрывопожароопасных и химически опасных производственных объектов I, II и III классов опасности в соответствии с перечнем выполняемых работ, указанным в таких лицензиях

13) утратил силу с 1 июля 2013 г.;

Информация об изменениях:
Информация об изменениях:

Федеральным законом от 14 октября 2014 г. N 307-ФЗ пункт 14 части 1 статьи 12 настоящего Федерального закона изложен в новой редакции, вступающей в силу по истечении тридцати дней после дня официального опубликования названного Федерального закона

14) деятельность по тушению пожаров в населенных пунктах, на производственных объектах и объектах инфраструктуры;

15) деятельность по монтажу, техническому обслуживанию и ремонту средств обеспечения пожарной безопасности зданий и сооружений;

16) производство лекарственных средств;

Информация об изменениях:

Пункт 17 изменен с 1 января 2022 г. — Федеральный закон от 30 апреля 2021 г. N 128-ФЗ

17) техническое обслуживание медицинских изделий (за исключением случая, если техническое обслуживание осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя, а также случая технического обслуживания медицинских изделий с низкой степенью потенциального риска их применения);

ГАРАНТ:

См. Административный регламент Росздравнадзора по осуществлению лицензионного контроля деятельности по производству и техническому обслуживанию (за исключением случая, если техническое обслуживание осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) медицинской техники, утвержденный приказом Росздравнадзора от 19 ноября 2020 г. N 10826

См. Административный регламент Росздравнадзора по предоставлению государственной услуги по лицензированию деятельности по производству и техническому обслуживанию (за исключением случая, если техническое обслуживание осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) медицинской техники, утвержденный приказом Росздравнадзора от 2 ноября 2020 г. N 10109

18) оборот наркотических средств, психотропных веществ и их прекурсоров, культивирование наркосодержащих растений;

ГАРАНТ:

См. Административный регламент исполнения Росздравнадзором государственной функции по осуществлению лицензионного контроля деятельности по обороту наркотических средств, психотропных веществ и их прекурсоров, культивированию наркосодержащих растений, утвержденный приказом Минздрава России от 5 мая 2016 г. N 285н

19) деятельность в области использования возбудителей инфекционных заболеваний человека и животных (за исключением случая, если указанная деятельность осуществляется в медицинских целях) и генно-инженерно-модифицированных организмов III и IV степеней потенциальной опасности, осуществляемая в замкнутых системах;

20) деятельность по перевозкам внутренним водным транспортом, морским транспортом пассажиров;

21) деятельность по перевозкам внутренним водным транспортом, морским транспортом опасных грузов;

22) утратил силу с 29 февраля 2020 г. — Федеральный закон от 18 февраля 2020 г. N 21-ФЗ

Информация об изменениях:

23) утратил силу с 29 февраля 2020 г. — Федеральный закон от 18 февраля 2020 г. N 21-ФЗ

Информация об изменениях:
Информация об изменениях:

Пункт 24 изменен с 17 декабря 2021 г. — Федеральный закон от 6 декабря 2021 г. N 403-ФЗ

24) деятельность по перевозкам пассажиров и иных лиц автобусами. В целях настоящего Федерального закона лицензирование не осуществляется в отношении перевозок, выполняемых автобусами пожарной охраны, скорой медицинской помощи, полиции, аварийно-спасательных служб, военной автомобильной инспекции, федерального органа исполнительной власти в области обеспечения безопасности, федерального органа исполнительной власти в области разведывательной деятельности, федерального органа исполнительной власти в области государственной охраны, Вооруженных Сил Российской Федерации, войск национальной гвардии Российской Федерации, следственных органов Следственного комитета Российской Федерации, органов прокуратуры Российской Федерации, Верховного Суда Российской Федерации, федеральных судов общей юрисдикции, федеральных арбитражных судов, Судебного департамента при Верховном Суде Российской Федерации и его управлений в субъектах Российской Федерации, органов федеральной фельдъегерской связи, таможенных органов Российской Федерации, федерального органа исполнительной власти в области мобилизационной подготовки и мобилизации в Российской Федерации, органов принудительного исполнения Российской Федерации, учреждений и органов уголовно-исполнительной системы Российской Федерации (за исключением использования автобусов учреждений и органов уголовно-исполнительной системы Российской Федерации в целях осуществления приносящей доход деятельности), а также в отношении перевозок, выполняемых автобусами без использования автомобильных дорог общего пользования;

25) деятельность по перевозкам железнодорожным транспортом пассажиров;

26) деятельность по перевозкам железнодорожным транспортом опасных грузов;

27) погрузочно-разгрузочная деятельность применительно к опасным грузам на железнодорожном транспорте;

28) погрузочно-разгрузочная деятельность применительно к опасным грузам на внутреннем водном транспорте, в морских портах;

29) деятельность по осуществлению буксировок морским транспортом (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

Информация об изменениях:

Пункт 30 изменен с 1 марта 2023 г. — Федеральный закон от 14 июля 2022 г. N 268-ФЗ

30) деятельность по сбору, транспортированию, обработке, утилизации, обезвреживанию, размещению отходов I — IV классов опасности (за исключением случаев, если сбор отходов I — IV классов опасности осуществляется не по месту их обработки, и (или) утилизации, и (или) обезвреживания, и (или) размещения);

Информация об изменениях:

Пункт 31 изменен с 30 сентября 2020 г. — Федеральный закон от 31 июля 2020 г. N 270-ФЗ

31) деятельность по организации и проведению азартных игр в букмекерских конторах или тотализаторах;

29.Лицензирование и сертификация в области защиты информации.

Лицензированием в области защиты информации называется деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации. Государственная политика в области лицензирования отдельных видов деятельности и обеспечения защиты жизненно важных интересов личности, общества и государства определяется Постановлением Правительства Российской Федерации от 24 декабря 1994 г. № 1418 «О лицензировании отдельных видов деятельности» (в ред. Постановлений Правительства РФ от 05.05.95 № 450, от 03.06.95 № 549, от 07.08.95 № 796, от 12.10.95 № 1001, от 22.04.97 № 462, от 01.12.97 № 1513, также см. постановление от 11.02.02 № 135).

Лицензией называется разрешение на право проведения работ в области защиты информации. Лицензия выдается на конкретные виды деятельности на три года, по истечении которых осуществляется ее перерегистрация в порядке, установленном для выдачи лицензии.

Лицензия выдается в том случае, если предприятие, подавшее заявку на получение лицензии, имеет условия для проведения лицензирования: производственную и испытательную базу, нормативную и методическую документацию, располагает научным и инженерно-техническим персоналом.

Организационную структуру системы государственного лицензирования деятельности предприятий в области защиты информации образуют:

· государственные органы по лицензированию;

Государственные органы по лицензированию:

· организуют обязательное государственное лицензирование деятельности предприятий;

· выдают государственные лицензии предприятиям-заявителям;

· согласовывают составы экспертных комиссий, представляемые лицензионными центрами;

· осуществляют контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации.

· формируют экспертные комиссии и представляют их состав на согласование руководителям соответствующих государственных органов по лицензированию, которыми являются ФСТЭК и ФСБ;

· планируют и проводят работы по экспертизе предприятий-заявителей;

· контролируют полноту и качество выполненных лицензиатами работ.

Лицензионные центры при государственных органах по лицензированию создаются приказами руководителей этих органов. Экспертные комиссии формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, органов государственного управления, других организаций и учреждений. Экспертные комиссии создаются по одному или нескольким направлениям защиты информации.

Лицензированию ФСТЭК России подлежат:

· сертификация, сертификационные испытания защищенных технических средств обработки информации (ТСОИ), технических и программных средств защиты, средств контроля эффективности мер защиты информации, программных средств обработки, защиты и контроля защищенности;

· аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, объектов ВТ и выделенных помещений на соответствие требованиям руководящих и нормативных документов по безопасности информации;

· разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных объектов информатики, технических средств защиты и контроля эффективности мер защиты информации, защищенных прог­раммных средств обработки, защиты и контроля защищенности информации;

· проведение специальных исследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ;

· проектирование объектов в защищенном исполнении.

На орган по лицензированию возлагается:

· разработка правил, процедур и нормативно-методических документов по вопросам проведения лицензирования;

· осуществление научно-методического руководства лицензионной деятельностью;

· публикация необходимых сведений о системе лицензирования;

· рассмотрение заявлений организаций и воинских частей о выдаче лицензий;

· согласование заявлений с воинскими частями, ответственными за соответствующие направления защиты информации;

· согласование состава экспертных комиссий;

· организация и проведение специальных экспертиз;

· принятие решения о выдаче лицензии;

· принятие решения о приостановлении, возобновлении действия лицензии или ее аннулировании;

· ведение реестра выданных, приостановленных, возобновленных и аннулированных лицензий;

· приобретение, учет и хранение бланков лицензий;

· организация работы аттестационных центров;

· осуществление контроля за полнотой и качеством проводимых лицензиатами работ.

В соответствии со статьей 17 Федерального закона от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности» (с изменениями, введенными Федеральным законом от 02.07.2005 № 80-ФЗ) лицензированию подлежат следующие виды деятельности (в области защиты информации):

· деятельность по распространению шифровальных (криптографических) средств;

· деятельность по техническому обслуживанию шифровальных (криптографических) средств;

· предоставление услуг в области шифрования информации;

· разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

· деятельность по разработке и (или) производству средств защиты конфиденциальной информации; деятельность по технической защите конфиденциальной информации;

· деятельность по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

В рамках рассматриваемых видов деятельности были выпущены отдельные постановления Правительства Российской Федерации, разъясняющие порядок лицензирования. Среди них:

· Постановление Правительства Российской Федерации от 26.01.2006 № 45 «Об организации лицензирования отдельных видов деятельности»; Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»;

· Постановление Правительства Российской Федерации от 31.08.2006 № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»;

· Постановление Правительства Российской Федерации от 23.09.2002 № 691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».

В соответствии с этими документами лицензиаты обязаны ежегодно представлять в орган по лицензированию или аттестационный центр сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности. Лицензиаты несут ответственность за полноту и качество выполняемых работ, обеспечение сохранности государственной тайны, доверенной им в ходе практической деятельности.

Для нормального функционирования систем электронного документооборота (ЭДО) необходимо разработать процедуры разрешения возможных конфликтов. Стороной таких конфликтов, кроме участников ЭДО и фирмы-провайдера, может быть и фирма-разработчик программного обеспечения.

Предполагается, что договор с фирмой-разработчиком учитывает наличие эталонного образца программного обеспечения, который может храниться только у фирмы — провайдера или у всех участников ЭДО. Для этого требуется выполнение двух основных условий:

должно быть документально подтверждено, что каждому участнику системы ЭДО (включая фирму — провайдер) установлено программное, соответствующее эталонному образцу;

хранение эталонных образцов организуется таким образом, чтобы исключить возможность изменения эталонного образца программного обеспечения без ведома сторон.

Такой режим может быть обеспечен системой из нескольких открытых ключей.

Сегодня, когда современные информационные технологии интенсивно внедряются во все сферы жизни и деятельности общества, национальная, и как ее часть экономическая безопасность государства начинает напрямую зависеть от обеспечения информационной безопасности. Именно поэтому с целью создания гарантий по обеспечению необходимой стойкости средств защиты информации государство берет на себя ответственность за лицензирование деятельности организаций, занимающихся защитой информации, и сертификацию соответствующих технических средств.

Сегодняшний уровень защиты от внешних информационных угроз в глобальных открытых сетях не может быть сочтен удовлетворительным: до сих пор в России отсутствует всеобъемлющая и технически выверенная стратегия в этой области. С целью изменения ситуации должен быть безотлагательно разработан и осуществлен комплекс мер в области законодательства и стандартизации средств, обеспечивающих информационную безопасность России. К первоочередным задачам в этом направлении относятся:

· принятие специального закона, аналогичного «Computer Security Act» в США, возлагающего на конкретные госструктуры ответственность за методологическую поддержку работ в области информационной безопасности;

· выработку унифицированных подходов к обеспечению безопасности для организаций различного профиля, размера и форм собственности;

· обеспечение появления на рынке достаточного числа разнообразных сертифицированных средств для решения задач информационной безопасности.

Одной из проблем в области защиты информации в России является отсутствие официальных документов с подробными рекомендациями по построению безопасных информационных систем, аналогичных разработанному, например, Американским институтом стандартных технологий (США) и британскому стандарту. Хотя в Великобритании не существует нормативных актов, требующих выполнения государственных стандартов, около 60% британских фирм и организаций добровольно используют разработанный стандарт, а остальные намерены внедрять его рекомендации в ближайшее время.

Лицензирование и сертификация в области систем обеспечения безопасности информации могут снизить остроту этой проблемы. Необходимо создание пользователю гарантий того, что используемые им средства защиты информации способны обеспечивать необходимый уровень защиты. Именно лицензирование может способствовать тому, что проблемой защиты информации будут заниматься только высококвалифицированные специалисты в этой области, а создаваемые ими продукты будут находиться на соответствующем уровне и смогут пройти сертификацию.

Без проведения сертификации невозможно оценить, содержит ли то или иное средство потенциально вредные недокументированные возможности, наличие которых особенно характерно для большинства зарубежных продуктов, способные в определенный момент привести к сбоям в работе системы и даже к необратимым для нее последствиям. Характерным примером таких недокументированных возможностей является заложенная фирмой Ericsson при разработке телефонных станций, на базе которых МПС РФ строит свою телефонную сеть, возможность блокировать их работу при получении вызова определенного телефонного номера, который фирма отказывается назвать. И этот пример не является единственным.

Процесс сертификации программного продукта занимает примерно столько же времени, сколько и его разработка, и практически невозможен без исходных текстов программ с комментариями. В то же время многие зарубежные фирмы не желают представлять исходные тексты своих программных продуктов в российские сертификационные центры. Например, несмотря на принципиальное согласие фирмы Microsoft на сертификацию в России ОC Windows NT, в которой уже выявлено более 50 ошибок, связанных с обеспечением безопасности, этот вопрос уже в течение многих месяцев не может сдвинуться с мертвой точки из-за отсутствия ее исходных текстов.

Трудности с сертификацией приводят к тому, что раньше других среди продуктов одного класса сертификат быстрее получают самые простые, в силу чего они кажутся пользователю более надежными. Длительные же сроки сертификации приводят к тому, что фирма-разработчик успевает вывести на рынок новую версию своего продукта, и процесс становится бесконечным.

Сертификацию технических средств защиты информации затруднительно проводить без соответствующих стандартов, создание которых в России не в последнюю очередь сдерживается из-за отсутствия финансовых средств. Эта проблема решается, если появляются несколько фирм, заинтересованных в сбыте, и несколько организаций, заинтересованных в использовании соответствующих технических средств. Например, плодом совместных усилий подобных организаций, фирм и ФСТЭК( ранее Гостехкомиссия (ГТК)) стала разработка Руководящего технического материала ГТК РФ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Он позволил классифицировать средства, которые способны в какой-то степени обеспечить защиту корпоративных сетей от внешних вторжений.

Документ предполагает существование нескольких классов межсетевых экранов: от простейших, позволяющих только осуществлять контроль потоков информации, до самых сложных, выполняющих полное перекодирование входящей информации, полностью защищающее корпоративную сеть от воздействий извне. Уже сегодня сертификацию на соответствие техническим условиям, разработанным в соответствии с Руководящим техническим материалом, что допускается действующим законодательством, прошли такие межсетевые экраны, как Sun Screen, SKIPbridge и Pandora. Однако и при их сертификации без борьбы не обошлось.

С учетом требований информационной безопасности и мировой практики деятельности в сфере защиты информации представляется целесообразным присоединение России к сложившимся системам международной стандартизации и сертификации информационных технологий, что на практике означает:

· приведение национальных и отраслевых стандартов в соответствие с международными;

· участие представителей России в международных системах сертификации (в том числе в сертификационных испытаниях);

· возможность признания в России международных сертификатов.

Кроме того, в соответствии с действующим законодательством, любая организация, занимающаяся сбором и обработкой персональных данных (например, операций с пластиковыми карточками), должна иметь лицензию на право заниматься подобной деятельностью и использовать для этого сертифицированные средства.

ФСТЭК России (бывшая Гостехкомиссия) разработана необходимая нормативная база в области защиты информации от несанкционированного доступа. Рассмотрим структуру основных руководящих документов.

1. «Защита от несанкционированного доступа к информации. Термины и определения» – устанавливает единый терминологический стандарт в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, являющийся обязательным для применения во всех видах документации.

2. «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации»– описывает основные принципы, на которых базируется проблема защиты информации от несанкционированного доступа и ее отношение к общей проблеме безопасности информации. В концепции отражены следующие вопросы: определение несанкционированного доступа, основные принципы защиты, модель нарушителя в автоматизированных системах, основные способы несанкционированного доступа, основные направления обеспечения защиты, основные характеристики технических средств защиты, классификация автоматизированных систем, организация работ по защите. Указанная концепция предназначена для заказчиков, разработчиков и пользователей средств вычислительной техники и автоматизированных систем, основное назначение которых: обработка, хранение и передача защищаемой информации.

3. «Средства защиты информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации» – устанавливает классификацию контрольно-кассовых машин, автоматизированных кассовых систем, информационных технологий и требования по защите информации, связанной с налогообложением. В соответствии с этим документом устанавливается 2 класса контрольно-кассовых машин, автоматизированных кассовых систем и информационной техники. К первому классу относятся системы, обрабатывающие информацию о денежных оборотах на сумму до 350 минимальных размеров оплаты труда в сутки, а ко второму – на сумму свыше 350 минимальных размеров оплаты труда.

4. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» – регламентирует требования защищенности средств вычислительной техники от несанкционированного доступа, применяемые к общесистемным программным средствам и операционным системам. Здесь выделяются семь классов защищенности, которые подразделяются на четыре группы. Каждый класс содержит перечень необходимых для реализации механизмов защиты информации от несанкционированного доступа.

5. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» – классифицирует автоматизированные системы в зависимости от наличия в них информации различного уровня конфиденциальности, уровней полномочий субъектов доступа, режимов обработки данных по девяти классам и оговаривает совокупность требований к каждому из них. В зависимости от особенностей обработки информации в автоматизированных системах классы делятся на три группы.

6. «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» – декларирует требования к различным классам межсетевых экранов. Всего выделяется пять классов защищенности межсетевых экранов. Классификация производится в зависимости от класса защищенности автоматизированных систем, для защиты которой используется межсетевой экран.

На основе руководящих документов и нормативной базы ФСТЭК России производится разработка, сертификация и использование средств защиты информации от несанкционированного доступа, а также лицензирование предприятий на право деятельности в области защиты информации на территории Российской Федерации.

7.1.3. Лицензирование в области технической защиты конфиденциальной информации

Под технической защитой конфиденциальной информации понимается выполнение работ и (или) оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

Лицензирование деятельности по технической защите конфиденциальной информации (далее — лицензируемый вид деятельности) осуществляет Федеральная служба по техническому и экспортному контролю (далее — лицензирующий орган).

При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг:

а) контроль защищенности конфиденциальной информации от утечки по техническим каналам в:

  • средствах и системах информатизации;
  • технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
  • помещениях со средствами (системами), подлежащими защите;
  • помещениях, предназначенных для ведения конфиденциальных переговоров (далее — защищаемые помещения);

б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;

в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);

г) аттестационные испытания и аттестация на соответствие требованиям по защите информации:

  • средств и систем информатизации;
  • помещений со средствами (системами) информатизации, подлежащими защите;
  • защищаемых помещений;

д) проектирование в защищенном исполнении:

  • средств и систем информатизации;
  • помещений со средствами (системами) информатизации, подлежащими защите;
  • защищаемых помещений;

е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).

Лицензионными требованиями, предъявляемыми к соискателю лицензии на осуществление деятельности по технической защите конфиденциальной информации (далее — лицензия), являются:

а) наличие у соискателя лицензии:

юридического лица — специалистов, находящихся в штате соискателя лицензии, имеющих высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;

индивидуального предпринимателя — высшего профессионального образования в области технической защиты информации либо высшего технического или среднего профессионального (технического) образования при условии прохождения им переподготовки или повышения квалификации по вопросам технической защиты информации;

б) наличие помещений для осуществления лицензируемого вида деятельности, соответствующих установленным законодательством РФ техническим нормам и требованиям по технической защите информации и принадлежащих соискателю лицензии на праве собственности или на ином законном основании;

в) наличие на праве собственности или на ином законном основании контрольно-измерительного оборудования (прошедшего в соответствии с законодательством РФ метрологическую поверку (калибровку) и маркирование), производственного и испытательного оборудования, соответствующего требованиям по техническим характеристикам и параметрам, устанавливаемым Федеральной службой по техническому и экспортному контролю (при выполнении работ и (или) оказании услуг, предусмотренных подпунктами «а», «в», «г» и «е»);

г) наличие на праве собственности или на ином законном основании средств контроля защищенности информации от несанкционированного доступа, сертифицированных по требованиям безопасности информации, в соответствии с перечнем, утверждаемым Федеральной службой по техническому и экспортному контролю (при выполнении работ и (или) оказании услуг, предусмотренных подпунктами «б», «в» и «г» );

д) наличие автоматизированных систем, предназначенных для обработки конфиденциальной информации, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

е) наличие предназначенных для осуществления лицензируемого вида деятельности программ для электронно-вычислительных машин и баз данных, принадлежащих соискателю лицензии на праве собственности или на ином законном основании;

ж) наличие технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг в соответствии с утверждаемым Федеральной службой по техническому и экспортному контролю перечнем и принадлежащих соискателю лицензии на праве собственности или на ином законном основании;

з) наличие системы производственного контроля в соответствии с установленными стандартами (при выполнении работ, указанных в подпункте «в» ).

6. Лицензионными требованиями, предъявляемыми к лицензиату при осуществлении лицензируемого вида деятельности, являются:

а) выполнение работ и (или) оказание услуг лицензиатом:

юридическим лицом — с привлечением специалистов, находящихся в штате лицензиата, имеющих высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;

индивидуальным предпринимателем — при наличии у него высшего профессионального образования в области технической защиты информации либо высшего технического или среднего профессионального (технического) образования и при условии прохождения переподготовки или повышения квалификации по вопросам технической защиты информации;

б) наличие помещений для осуществления лицензируемого вида деятельности, соответствующих установленным законодательством РФ техническим нормам и требованиям по технической защите информации и принадлежащих лицензиату на праве собственности или на ином законном основании;

в) использование на праве собственности или на ином законном основании контрольно-измерительного оборудования (прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку) и маркирование), производственного и испытательного оборудования, соответствующего требованиям по техническим характеристикам и параметрам, устанавливаемым Федеральной службой по техническому и экспортному контролю (при выполнении работ и (или) оказании услуг, предусмотренных подпунктами «а», «в», «г» и «е» );

г) использование на праве собственности или на ином законном основании средств контроля защищенности информации от несанкционированного доступа, сертифицированных по требованиям безопасности информации, в соответствии с перечнем, утверждаемым Федеральной службой по техническому и экспортному контролю (при выполнении работ и (или) оказании услуг, предусмотренных подпунктами «б», «в» и «г»);

д) использование для обработки конфиденциальной информации автоматизированных систем и средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

е) использование предназначенных для осуществления лицензируемого вида деятельности программ для электронно-вычислительных машин и баз данных, принадлежащих лицензиату на праве собственности или на ином законном основании;

ж) наличие технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с утверждаемым Федеральной службой по техническому и экспортному контролю перечнем и принадлежащих лицензиату на праве собственности или на ином законном основании;

з) наличие системы производственного контроля в соответствии с установленными стандартами (при выполнении работ, указанных в подпункте «в» ).

Лицензирование деятельности по разработке и производству средств защиты конфиденциальной информации (далее - лицензируемый вид деятельности) осуществляет Федеральная служба по техническому и экспортному контролю, а в части разработки и производства средств защиты конфиденциальной информации, устанавливаемых на объектах Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации и Высшего Арбитражного Суда Российской Федерации, - Федеральная служба безопасности Российской Федерации (далее - лицензирующие органы). При осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации лицензированию подлежат следующие виды работ: а) разработка средств защиты конфиденциальной информации, в том числе: технических средств защиты информации; защищенных технических средств обработки информации; технических средств контроля эффективности мер защиты информации; программных (программно-технических) средств защиты информации; защищенных программных (программно-технических) средств обработки информации; программных (программно-технических) средств контроля защищенности информации; б) производство средств защиты конфиденциальной информации, в том числе: технических средств защиты информации; защищенных технических средств обработки информации; технических средств контроля эффективности мер защиты информации; программных (программно-технических) средств защиты информации; защищенных программных (программно-технических) средств обработки информации; программных (программно-технических) средств контроля защищенности информации. В случае если в качестве лицензирующего органа выступает Федеральная служба по техническому и экспортному контролю, лицензионными требованиями, предъявляемыми к соискателю лицензии на осуществление деятельности по разработке и производству средств защиты конфиденциальной информации (далее - лицензия), являются: а) наличие в штате у соискателя лицензии не менее 2 специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам разработки и (или) производства средств защиты информации; б) наличие помещений для осуществления лицензируемого вида деятельности, соответствующих требованиям технической и технологической документации, национальных стандартов и методических документов в области защиты информации и принадлежащих соискателю лицензии на праве собственности или на ином законном основании; в) наличие на праве собственности или на ином законном основании необходимого для осуществления лицензируемого вида деятельности контрольно-измерительного оборудования (прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку) и маркирование), производственного и испытательного оборудования; г) наличие предназначенных для осуществления лицензируемого вида деятельности программ (в том числе программных средств разработки средств защиты конфиденциальной информации) для электронно-вычислительных машин и баз данных, принадлежащих соискателю лицензии на праве собственности или на ином законном основании; д) наличие принадлежащих соискателю лицензии на праве собственности или на ином законном основании технической и технологической документации, документации, содержащей национальные стандарты, и методических документов, необходимых для осуществления лицензируемого вида деятельности, в соответствии с утверждаемым Федеральной службой по техническому и экспортному контролю перечнем; е) наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы разработки средств защиты конфиденциальной информации, учета изменений, вносимых в проектную и конструкторскую документацию на разрабатываемую продукцию (при выполнении работ, предусмотренных подпунктом «а» пункта 3 настоящего Положения); ж) наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы производства средств защиты конфиденциальной информации, оценки качества выпускаемой продукции и неизменности установленных параметров, учета изменений, вносимых в техническую и конструкторскую документацию на производимую продукцию, учета готовой продукции (при выполнении работ, предусмотренных подпунктом «б» пункта 3 ). В случае если в качестве лицензирующего органа выступает Федеральная служба безопасности Российской Федерации, лицензионными требованиями, предъявляемыми к соискателю лицензии, являются: а) наличие в штате у соискателя лицензии на основной работе согласно штатному расписанию следующего квалифицированного персонала: руководитель и (или) уполномоченное руководить работами по лицензируемому виду деятельности лицо, имеющие высшее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок - свыше 500 аудиторных часов), а также имеющие стаж в области проводимых работ по лицензируемому виду деятельности не менее 5 лет; инженерно-технические работники (не менее 2 человек), имеющие высшее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по этой специальности (нормативный срок - свыше 100 аудиторных часов); б) наличие помещений для осуществления лицензируемого вида деятельности, соответствующих требованиям технической и технологической документации, национальных стандартов и методических документов в области защиты информации и принадлежащих соискателю лицензии на праве собственности или на ином законном основании; в) наличие у соискателя лицензии на праве собственности или на ином законном основании контрольно-измерительного оборудования (прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку) и маркирование), производственного, испытательного оборудования и иных объектов, необходимых для осуществления лицензируемого вида деятельности; г) наличие предназначенных для осуществления лицензируемого вида деятельности программ (в том числе программных средств разработки средств защиты конфиденциальной информации) для электронно-вычислительных машин и баз данных, принадлежащих соискателю лицензии на праве собственности или на ином законном основании; д) наличие аттестованных по требованиям безопасности информации средств обработки информации, используемых для разработки и производства средств защиты конфиденциальной информации, в соответствии с требованиями по защите информации; е) наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы разработки средств защиты конфиденциальной информации, учета изменений, вносимых в проектную и конструкторскую документацию на разрабатываемую продукцию (при выполнении работ, предусмотренных подпунктом «а» пункта 3 настоящего Положения); ж) наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы производства средств защиты конфиденциальной информации, оценки качества выпускаемой продукции и неизменности установленных параметров, учета изменений, вносимых в техническую и конструкторскую документацию на производимую продукцию, учета готовой продукции (при выполнении работ, предусмотренных подпунктом «б» пункта 3 настоящего Положения). В случае если в качестве лицензирующего органа выступает Федеральная служба по техническому и экспортному контролю, лицензионными требованиями, предъявляемыми к лицензиату при осуществлении лицензируемого вида деятельности, являются: а) выполнение работ специалистами, находящимися в штате лицензиата, имеющими высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедшими переподготовку или повышение квалификации по вопросам разработки и (или) производства средств защиты конфиденциальной информации; б) наличие помещений для осуществления лицензируемого вида деятельности, соответствующих требованиям технической и технологической документации, национальных стандартов и методических документов в области защиты информации и принадлежащих лицензиату на праве собственности или на ином законном основании; в) использование контрольно-измерительного оборудования (прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку) и маркирование), производственного и испытательного оборудования, принадлежащего лицензиату на праве собственности или на ином законном основании; г) выполнение требований конструкторской, программной и технологической документации, единой системы измерений, систем разработки и (или) запуска в производство средств защиты конфиденциальной информации; д) использование предназначенных для осуществления лицензируемого вида деятельности программ (в том числе программных средств разработки средств защиты конфиденциальной информации) для электронно-вычислительных машин и баз данных, принадлежащих соискателю лицензии на праве собственности или на ином законном основании; е) наличие принадлежащих лицензиату на праве собственности или на ином законном основании технической и технологической документации, документации, содержащей национальные стандарты, и методических документов, необходимых для осуществления лицензируемого вида деятельности, в соответствии с утверждаемым Федеральной службой по техническому и экспортному контролю перечнем; ж) наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы разработки средств защиты конфиденциальной информации, учета изменений, вносимых в проектную и конструкторскую документацию на разрабатываемую продукцию (при выполнении работ, предусмотренных подпунктом «а» пункта 3 настоящего Положения); з) наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы производства средств защиты конфиденциальной информации, оценки качества выпускаемой продукции и неизменности установленных параметров, учета изменений, вносимых в техническую и конструкторскую документацию на производимую продукцию, учета готовой продукции (при выполнении работ, предусмотренных подпунктом «б» пункта 3 ). В случае если в качестве лицензирующего органа выступает Федеральная служба безопасности Российской Федерации, лицензионными требованиями, предъявляемыми к лицензиату при осуществлении лицензируемого вида деятельности, являются: а) выполнение работ находящимся на основной работе у лицензиата согласно штатному расписанию следующим квалифицированным персоналом: руководитель и (или) уполномоченное руководить работами по лицензируемому виду деятельности лицо, имеющие высшее профессиональное образование по направлению «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок - свыше 500 аудиторных часов), а также имеющие стаж в области проводимых работ по лицензируемому виду деятельности не менее 5 лет; инженерно-технические работники (не менее 2 человек), имеющие высшее профессиональное образование по направлению «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по этой специальности (нормативный срок - свыше 100 аудиторных часов); б) наличие помещений для осуществления лицензируемого вида деятельности, соответствующих требованиям технической и технологической документации, национальных стандартов и методических документов в области защиты информации, принадлежащих лицензиату на праве собственности или на ином законном основании; в) использование на праве собственности или на ином законном основании контрольно-измерительного оборудования (прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку) и маркирование), производственного, испытательного оборудования и иных объектов, необходимых для осуществления лицензируемого вида деятельности; г) выполнение требований конструкторской, программной и технологической документации, единой системы измерений, систем разработки и (или) запуска в производство средств защиты конфиденциальной информации; д) соответствие производственного, технологического, испытательного и контрольно-измерительного оборудования требованиям, установленным нормативными правовыми актами Российской Федерации, относящимся к лицензируемой деятельности; е) использование предназначенных для осуществления лицензируемого вида деятельности программ (в том числе программных средств разработки средств защиты конфиденциальной информации) для электронно-вычислительных машин и баз данных, принадлежащих лицензиату на праве собственности или на ином законном основании; ж) использование аттестованных объектов информатизации (защищаемых помещений и автоматизированных систем) при разработке и (или) производстве средств защиты конфиденциальной информации, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации; з) наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы разработки средств защиты конфиденциальной информации, учета изменений, вносимых в проектную и конструкторскую документацию на разрабатываемую продукцию (при выполнении работ, предусмотренных подпунктом «а» пункта 3 настоящего Положения); и) наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы производства средств защиты конфиденциальной информации, оценки качества выпускаемой продукции и неизменности установленных параметров, учета изменений, вносимых в техническую и конструкторскую документацию на производимую продукцию, учета готовой продукции (при выполнении работ, предусмотренных подпунктом «б» пункта 3 я).
Лицензионный контроль осуществляется в форме документарных проверок, плановых проверок и внеплановых выездных проверок юридических лиц и индивидуальных предпринимателей, имеющих лицензию на деятельность по разработке и производству средств защиты конфиденциальной информации (далее - лицензиаты). При осуществлении лицензионного контроля должностные лица ФСТЭК России (территориальных органов ФСТЭК России) обязаны: 1) своевременно и в полной мере исполнять предоставленные в соответствии с законодательством Российской Федерации полномочия по предупреждению, выявлению и пресечению нарушений лицензионных требований; 2) соблюдать законодательство Российской Федерации, права и законные интересы лицензиата, проверка которого проводится; 3) проводить проверку на основании приказа ФСТЭК России (территориального органа ФСТЭК России) о ее проведении в соответствии с ее назначением; 4) проводить проверку только во время исполнения служебных обязанностей, выездную проверку - только при предъявлении служебных удостоверений, копии приказа ФСТЭК России (территориального органа ФСТЭК России); 5) не препятствовать руководителю лицензиата (иному уполномоченному им лицу) присутствовать при проведении проверки и давать разъяснения по вопросам, относящимся к предмету проверки; 6) предоставлять руководителю лицензиата (иному уполномоченному им лицу), присутствующему при проведении проверки, информацию и документы, относящиеся к предмету проверки; 7) знакомить руководителя лицензиата (иное уполномоченное им лицо) с результатами проверки; 8) учитывать при определении мер, принимаемых по фактам выявленных нарушений, соответствие указанных мер тяжести нарушений, их потенциальной опасности для безопасности государства, а также не допускать необоснованного ограничения прав и законных интересов лицензиата; 9) доказывать обоснованность своих действий при их обжаловании лицензиатами в порядке, установленном законодательством Российской Федерации; 10) соблюдать сроки проведения проверки, установленные Федеральным законом от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»; 11) не требовать от лицензиата документы и иные сведения, представление которых не предусмотрено законодательством Российской Федерации; 12) перед началом проведения выездной проверки по просьбе руководителя лицензиата (иного уполномоченного им лица) ознакомить их с положениями Регламента; 13) осуществлять запись о проведенной проверке в журнале учета проверок. При осуществлении лицензионного контроля должностные лица ФСТЭК России (территориальных органов ФСТЭК России) не вправе: 1) проверять выполнение обязательных требований, не относящихся к компетенции ФСТЭК России; 2) осуществлять плановую или внеплановую выездную проверку в случае отсутствия при ее проведении руководителя лицензиата (иного уполномоченного им лица); 3) требовать представления документов, информации, если они не являются объектами проверки и не относятся к предмету проверки, а также изымать оригиналы таких документов; 4) распространять информацию, полученную в результате проведения проверки и составляющую государственную, коммерческую, служебную, иную охраняемую законом тайну, за исключением случаев, предусмотренных законодательством Российской Федерации; 5) превышать установленные сроки проведения проверки; 6) осуществлять выдачу лицензиатам предписаний или предложений о проведении за их счет мероприятий по контролю. При осуществлении лицензионного контроля должностные лица ФСТЭК России (территориальных органов ФСТЭК России) вправе истребовать документы и информацию, необходимую для осуществления указанной государственной функции.
Похожие публикации:
  1. Как оформляется дтп по каско
  2. Как привязать госуслуги к мос ру через госуслуги
  3. Как продать зарплатный проект
  4. Почему нет попыток может быть несколько

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *