Лицензирование в области защиты информации

Лицензирование - мероприятия, связанные с предоставлением лицензий, переоформлением документов, подтверждающих наличие лицензий, приостановлением и возобновлением действия лицензий, аннулированием лицензий и контролем лицензирующих органов за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности соответствующих лицензионных требований и условий.

Лицензия - специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.

Деятельность по лицензированию в области защиты информации выполняют ФСБ и ФСТЭК России. Рассмотрим лицензируемые виды деятельности в области защиты конфиденциальной информации.

ФСБ России:

• Разработка и (или) производство средств защиты конфиденциальной информации (в пределах компетенции ФСБ)
• Разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность
• Деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)
• Деятельность по распространению шифровальных (криптографических) средств
• Деятельность по техническому обслуживанию шифровальных (криптографических) средств
• Предоставление услуг в области шифрования информации
• Разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем

ФСТЭК России:

• Деятельность по технической защите конфиденциальной информации
• Разработка и (или) производство средств защиты конфиденциальной информации

Существует определенный порядок лицензирования видов деятельности, определенный следующими нормативными и правовыми документами:

• Федеральный закон Российской Федерации «О лицензировании отдельных видов деятельности» (№ 128-ФЗ от 8 августа 2001 г.)
• Указ Президента Российской Федерации от 06.03.97 г. № 188 «Об утверждении перечня сведений конфиденциального характера»
• Постановление правительства Российской Федерации «Об организации лицензирования отдельных видов деятельности» № 45 от 26 января 2006 г.
• Постановление правительства Российской Федерации «О лицензировании деятельности по технической защите конфиденциальной информации» № 504 от 15 августа 2006 г.
• Постановление правительства Российской Федерации «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации» № 532 от 31 августа 2006 г. (Утверждает «Положение о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»
• Постановление правительства Российской Федерации «Об утверждении формы документа, подтверждающего наличие лицензии» № 208 от 11 апреля 2006 г.

Органы лицензирования так же имеют определенные нормативные и правовые документы по проведению процедуры лицензирования в области защиты информации:

• Административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации. (Утвержден Приказом ФСТЭК России от 28 августа 2007 г. № 181)
• Административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по разработке и (или) производству средств защиты конфиденциальной информации (Утвержден Приказом ФСТЭК России от 28 августа 2007 г. № 182)

Юридические лица, независимо от формы собственности, или индивидуальные предприниматели желающие оказывать услуги по защите информации или выполнять работы в данном направлении, должны получить лицензию. Так как деятельность по защите информации предполагает оказание услуг не только сторонним организациям, но и обеспечение собственных нужд по ащите конфиденциальной информации.

К соискателям лицензии предъявляются требования о наличии у него комплекта необходимых для осуществления лицензируемой деятельности нормативных правовых и нормативно-технических документов (по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю), наличие помещений (соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании), производственного, испытательного и контрольно-измерительного оборудования (прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию) и подготовленных специалистов в области защиты информации (имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации). Так же необходимым является использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и(или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации, использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем.

Для получения лицении, заявителю необходимо предоставить следующие документы:

• Заявление о предоставлении лицензии с указанием наименования и организационно-правовой формы юридического лица, места его нахождения - для юридического лица; фамилии, имени, отчества, места жительства, данных документа, удостоверяющего личность, - для индивидуальногопредпринимателя; лицензируемого вида деятельности, который юридическое лицо или индивидуальный предприниматель намерены осуществлять
• Копии учредительных документов и копия свидетельства о государственной регистрации соискателя лицензии в качестве юридического лица (с предъявлением оригиналов в случае, если копии не заверены нотариусом) - для юридического лица
• Копия документа о государственной регистрации гражданина в качестве индивидуального предпринимателя (с предъявлением оригинала в случае, если копия не заверена нотариусом) - для индивидуального предпринимателя
• Копия свидетельства о постановке соискателя лицензии на учет в налоговом органе
• Документ, подтверждающий уплату государственной пошлины за рассмотрение лицензирующим органом заявления о предоставлении лицензии
• Сведения о квалификации работников соискателя лицензии
• Заявление о предоставлении лицензии и документы (копии документов), указанные в пункте 1 статьи 9 ФЗ от 8 августа 2001 г. № 128-ФЗ
• Копии документов, подтверждающих квалификацию специалистов по защите информации (дипломов, удостоверений, свидетельств)
• Копии документов, подтверждающих право собственности, право хозяйственного ведения или оперативного управления на помещения, предназначенные для осуществления лицензируемой деятельности, либо копии договоров аренды указанных помещений или безвозмездного пользования ими
• Копии аттестатов соответствия защищаемых помещений требованиям безопасности информации
• Копии технического паспорта автоматизированной системы с приложениями, акта классификации автоматизированной системы по требованиям безопасности информации, плана размещения основных и вспомогательных технических средств и систем, аттестата соответствия автоматизированной системы требованиям безопасности информации или сертификата соответствия автоматизированной системы требованиям безопасности информации, а также перечень защищаемых в автоматизированных системах ресурсов с документальным подтверждением степени конфиденциальности каждого ресурса, описание технологического процесса обработки информации в автоматизированной системе
• Копии документов, подтверждающих право на используемые для осуществления лицензируемой деятельности программы для электронно-вычислительных машин и базы данных
• Сведения о наличии производственного и контрольно-измерительного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемой деятельности, с приложением копий документов о поверке контрольно-измерительного оборудования
• Сведения об имеющихся у соискателя лицензии нормативных правовых актах, нормативно-методических и методических документах по вопросам технической защиты информации
• Пояснительная записка (сведения об основном виде (видах) деятельности соискателя лицензии; о том какие мероприятия и (или) услуги по технической защите конфиденциальной информации предполагает осуществлять (осуществляет) соискатель лицензии; перечень КИ, защищаемой (подлежащей защите) в организации; сведения об объектах информатизации, на которых обрабатывается КИ с приложением копий сертификатов (аттестатов по требованиям безопасности информации) на эти объекты; с помощью каких средств осуществляется обработка и защита КИ; какое ПО используется для обработки КИ (с приложением копий договоров пользователей с правообладателем и сертификатов соответствия); в случае оказания услуг – перечень контрольно-измерительной аппаратуры, средств контроля защищенности информации; перечень нормативной и нормативно-методической литературы, необходимой для осуществления заявляемых видов деятельности)