Как настроить смартфоны и ПК. Информационный портал
  • Главная
  • Безопасность
  • Лицензирование информационная безопасность. Лицензирование и сертификация в области защиты информации

Лицензирование информационная безопасность. Лицензирование и сертификация в области защиты информации

04.04.2019 Безопасность

Лицензирование деятельности по технической защите конфиденциальной информации

За последние годы подзаконная база в области информационной безопасности сформировала затратные, запутанные, противоречивые механизмы, не учитывающие ни особенности обработки конфиденциальной информации в различных сферах деятельности, ни возможности операторов по выполнению установленных требований. Кроме того, требования к операторам информационных систем, обрабатывающих конфиденциальную информации, включая и персональные данные, со стороны ФСТЭК России включают такой механизм государственного регулирования, как лицензирование деятельности по технической защите конфиденциальной информации, для реализации которого у большинства операторов нет достаточных материальных и трудовых ресурсов. Особенно это касается бюджетных организаций в сфере образования, медицинского обслуживания, жилищно-коммунального комплекса. Проблемы правового характера возникли в связи с отсутствием в федеральном законодательстве законов по защите конфиденциальной информации, например, служебной тайны, профессиональных тайн, неоднозначностью положений, а также неоднократными изменениями и дополнениями, внесенными в ФЗ №152 «О персональных данных», другие нормативные правовые акты. При этом федеральные законы требуют дальнейшей конкретизации и разъяснений постановлениями Правительства РФ и методическими документами ФСТЭК и ФСБ России.

Принятие Правительством РФ постановления от 3 февраля 2012 г. №79 «О лицензировании деятельности по технической защите конфиденциальной информации» с утверждением «Положения о лицензировании деятельности по технической защите конфиденциальной информации» (далее - Положение) и отменой ранее действовавшего постановления от 15 августа 2006 г. №504, в очередной раз поднимает вопрос, а что нового в указанном Положении и нужна ли лицензия ФСТЭК России, если организация защищает конфиденциальную информацию «для собственных нужд», а не оказывает услуги за деньги?

В соответствии с п. 1 Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации), осуществляемой юридическими лицами и индивидуальными предпринимателями.

И сразу встает вопрос с термином "конфиденциальная информация", который дан в Положении и используется в документах ФСТЭК России, но отсутствует в федеральном законодательстве. ФЗ №149 от 27.07. 2006 г.» Об информации, информационных технологиях и о защите информации» в п.7 ст. 2 дает только определение конфиденциальности информации, как обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. Конфиденциальность в переводе с латинского означает "доверие" (т.е. передавая такую информацию мы надеемся на ее сохранность и нераспространение, так как ее разглашение может нанести сторонам определенный ущерб). Отметим, что отсутствие четкости отдельных терминов, а также подчас необоснованные изменения определений и понятий информационного законодательства не способствуют улучшению правового регулирования в информационной сфере. При этом ФСТЭК России продолжает использовать термин "конфиденциальная информация", от которого законодатели уже отказались.

Согласно законодательству РФ обязательными признаками информации с ограниченным доступом должны быть:

  • информация имеет действительную или потенциальную ценность для обладателя в силу неизвестности ее третьим лицам. Такими лицами могут быть государство, юридические или физические лица;
  • к информации нет свободного доступа на законном основании. Возможность сохранения ее неизвестной для третьих лиц установлена федеральным законом;
  • обладатель информации принимает меры по ее защите.

6 марта 1997 г. Президентом РФ был издан Указ N 188, которым утвержден «Перечень сведений конфиденциального характера», в соответствии с которым к конфиденциальной информации были отнесены следующие сведения:

  • о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
  • составляющие тайну следствия и судопроизводства;
  • доступ к которым ограничен органами государственной власти в соответствии с ГК РФ и федеральными законами (служебная тайна);
  • связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.);
  • связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с ГК РФ и федеральными законами (коммерческая тайна);
  • о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

В новом Постановлении уточнен и термин «техническая защита конфиденциальной информации» (далее - ТЗКИ), под которой в соответствии с п.2 Положения понимается:

Выполнение работ и (или) оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

Таким образом речь идет либо о выполнении работ по ТЗКИ, либо об оказании услуг по ТЗКИ, либо о совместных видах деятельности.

При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг :

  • контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
- средствах и системах информатизации;

Технических средствах (системах), не обрабатывающих конфиденциальную

информацию, но размещенных в помещениях, где она обрабатывается;

Помещениях со средствами (системами), подлежащими защите;

Помещениях, предназначенных для ведения конфиденциальных переговоров (далее - защищаемые помещения);

  • контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации (далее - СЗИ), защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);
  • аттестационные испытания и аттестация на соответствие требованиям по защите информации:

Защищаемых помещений;

  • проектирование в защищенном исполнении:
- средств и систем информатизации;

Помещений со средствами (системами) информатизации, подлежащими защите;

Защищаемых помещений;

  • установка, монтаж, испытания, ремонт средств защиты информации (технических СЗИ, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).

При этом эксплуатация СЗИ, в отличии от эксплуатации средств криптографической защиты, где лицензирующим органом является ФСБ России, к лицензируемому виду деятельности не относится. Эта позиция ФСТЭК России вызывает вопросы. Почему лицензируется только первые этапы в создании системы защиты - проектирование системы защиты и установка средств защиты? Почему ежедневная работа специалистов и служб информационной безопасности по эксплуатации и контролю эффективности СЗИ не подпадает под лицензирование? Ведь она не менее важна, чем создание системы защиты, так как задачами лицензирования отдельных видов деятельности являются предупреждение, выявление и пресечение нарушений юридическим лицом, его руководителем и иными должностными лицами требований, которые установлены ФЗ от 4.5.2011г. №99-ФЗ «О лицензировании отдельных видов деятельности», другими федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами Российской Федерации.

В силу п. 1 ст. 49 ГК РФ отдельными видами деятельности, перечень которых определяется законом, юридическое лицо может заниматься только на основании специального разрешения (лицензии). Виды деятельности, на осуществление которых необходимо получить лицензию, указаны в ФЗ от 4.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности", п. 5 ст. 12 которого включает в число этих видов и деятельность по ТЗКИ.

Понятие "услуги" подразумевает под собой определенный вид договора (глава 39, ст.ст. 779-783 ГК РФ), то есть многосторонней сделки, в которой обязательно должна быть и другая сторона (п. 1 ст. 154 ГК РФ). А вот понятие " работа" в законе не определено и может определяться только исходя из многих значений в русском языке: "занятие, труд, деятельность».

Таким образом, из приведенной формулировки можно сделать вывод, что лицензированию подлежит деятельность по ТЗКИ как третьих лиц ("услуги"), так и для собственных нужд ("работ").

Соответственно, если организация в рамках защиты внутренней конфиденциальной информации осуществляет работы по ее технической защите, она обязана получить соответствующую лицензию. Например, применительно к защите персональных данных у оператора не существует «собственных нужд» по их защите, и существовать не может в силу закона. Единственной целью ФЗ №152 «О персональных данных» является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных. Иных целей (в том числе и удовлетворения нужд операторов) закон не указывает. Кроме этого ФЗ 99-ФЗ «О лицензировании отдельных видов деятельности» к лицензируемым видам деятельности отнесены виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан. Закон не делает различий между интересами субъекта персональных данных (работника) и субъекта персональных данных (стороннего лица) о конституционном праве гражданина на личную тайну. Законодатель же (через институт лицензирования) защищает любого субъекта персональных данных от последствий некачественного выполнения работ по ТЗКИ.

Административным регламентом ФСТЭК России по исполнению государственной функции по лицензированию деятельности по ТЗКИ (далее - Административный регламент), утвержденным приказом от 28.08.07г. №181 с последними изменениями от 30.09.2011 г. в соответствии с приказом №515, определены сроки и последовательность действий (административных процедур) ФСТЭК России при осуществлении полномочий по лицензированию деятельности по ТЗКИ. Лицензированию подлежит деятельность по ТЗКИ, осуществляемая юридическими лицами и индивидуальными предпринимателями.

Анализ положений Административного регламента показывает, что процедура получения лицензии по ТЗКИ отнимает много времени, сил и средств. Для получения лицензии на деятельность по ТЗКИ необходимо подтвердить возможность выполнения лицензионных требований и условий, определенных Положением.

Лицензионными требованиями, предъявляемыми к соискателю лицензии на осуществление деятельности по ТЗКИ, являются (п.5 Регламента):

а) наличие у соискателя лицензии юридического лица - специалистов, находящихся в штате соискателя лицензии, имеющих высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации.

б) наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;

в) наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;

г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

д) использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;

е) наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным ФСТЭК России.

Как видно, для выполнения вышеназванных требования в организации необходимо иметь не менее 2 специалистов, что, в ряде случаев (при отсутствии профильного высшего образования) потребует их обучения на курсах повышения квалификации по учебным программам согласованным со ФСТЭК России в объеме не менее чем 72 часа. Кроме этого потребуются нормативные документы, в том числе ограниченного доступа, а также наличие на любом законном основании (в собственности или в аренде на срок не менее срока действия лицензии) производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию. Кроме вышесказанного придется провести проектирование, создание и аттестацию объектов информатизации (автоматизированной системы и защищенного помещения), предназначенных для обработки конфиденциальной информации. При этом возникает проблема приобретения на любом законном основании контрольно-измерительного оборудования, которое не потребуется лицензиату для оказания услуг по ТЗКИ. Причем большинство указанных требований являются достаточно затратными в экономическом плане, в первую очередь, для бюджетных организаций в сфере образования, медицинского обслуживания, жилищно-коммунального комплекса.

Исполнение государственной функции по лицензированию деятельности по ТЗКИ в соответствии с п.п.12-14 Регламента включает в себя следующие административные процедуры (рис.1):

  • информирование и консультирование о порядке исполнения государственной функции;
  • рассмотрение заявления о предоставлении лицензии;
  • проверка возможности выполнения соискателем лицензии лицензионных требований и условий;
  • принятие решения о предоставлении лицензии;
  • выдача документа, подтверждающего наличие лицензии;
  • выдача дубликата и копий документа, подтверждающего наличие лицензии;
  • продление срока действия лицензии;
  • переоформление документа, подтверждающего наличие лицензии;
  • контроль за соблюдением лицензиатом лицензионных требований и условий;
  • приостановление, возобновление действия лицензии и аннулирование лицензии;
  • ведение реестра лицензий;
  • предоставление информации из реестра лицензий.

Должностное лицо ФСТЭК России принимает решение о предоставлении или об отказе в предоставлении лицензии в срок, не превышающий 45 дней со дня поступления заявления о предоставлении лицензии и прилагаемых к нему документов (п.14.1 Регламента).

Основаниями для отказа в предоставлении лицензии являются (п.14.3 Регламента):

наличие в документах, представленных соискателем лицензии, недостоверной или искаженной информации;

несоответствие соискателя лицензии, принадлежащих ему или используемых им объектов лицензионным требованиям и условиям.

Лицензия на осуществление деятельности по технической защите конфиденциальной информации предоставляется сроком на 5 лет (п.14.4 Регламента). При этом с 30 января 2011 г. изменены размеры государственных пошлин: за предоставление лицензии - 2600 рублей и за продление срока действия лицензии - 200 рублей.

Как видно из схемы и процедур (рис.1) лицензированием ТЗКИ занимается центральный аппарат ФСТЭК России с привлечением управлений ФСТЭК России по федеральным округам в отличие от процедур лицензирования ФСБ России, где лицензированием в своей сфере ответственности занимаются территориальные управления ФСБ России. Продолжительность процесса лицензирования ТЗКИ по времени может занять от двух до шести месяцев и повлечь за собой значительные финансовые затраты, особенно в случае приобретения контрольно-измерительного оборудования в собственность.

Можно ли уйти от необходимости лицензирования деятельности организаций и предприятий по ТЗКИ? Рекомендации ФСТЭК России сводятся к необходимости заключения договора с организацией имеющей лицензию по ТЗКИ, при этом наличие указанной лицензии у оператора обязательным требованием не является.

Рекомендации ФСТЭК России заключать договора с лицензиатами, которых в реестре менее 2000, не позволяют решить проблему защиты конфиденциальной информации. Только операторов персональных данных по экспертным оценкам в России 5-7 миллионов, не считая операторов, которые обрабатывают другие виды информации ограниченного доступа, подлежащей защите в соответствии с федеральным законодательством. Кроме этого, договор с лицензиатом обычно заключается только на определенный объем работ и услуг, как правило, только на создание системы защиты конфиденциальной информации.

Какие же риски возникают у большинства организаций, которые не имеют и не планируют получать лицензии по ТЗКИ или получать услуги организаций имеющих такую лицензию при неизменности государственной политики и позиции ФСТЭК России? Каждая организация должна для себя принять решение о необходимости получения такой лицензии. Административных наказаний за выполнение работ без лицензии на деятельность по ТЗКИ со стороны ФСТЭК России нет и в сложившейся ситуации маловероятно, что эти наказания появятся, так как в условиях несовершенства нашего законодательства по защите конфиденциальной информации суды по разному трактуют нормы федеральных законов и ответственность за их невыполнение. В результате строгость Постановления компенсируется необязательностью его исполнения. Например, статьей 14.1 Административного Кодекса РФ предусмотрена ответственность за "Осуществление предпринимательской деятельности без государственной регистрации или без специального разрешения (лицензии)". Согласно ст.2 ГК РФ "предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке". Уже одно это говорит о том, что ст.14.1 может применяться только к тем, кто оказывает услуги и зарабатывает на обеспечении безопасности информации, т.е. лицензиаты ФСТЭК и ФСБ России. К подавляющему большинству организаций обрабатывающих конфиденциальную информацию (информации ограниченного доступа, не составляющей государственную тайну) эта статья отношения не имеет. По мнению многих специалистов по защите информации для большинства негосударственных организаций, не связанных с защитой государственной тайны, реально возможны только формы управления защитой конфиденциальной информации путем рекомендательного использования нормативных правовых актов, руководящих и методических документов регуляторов, организационно-распорядительных документов организаций, применение разработанных и испытанных в интересах органов государственной власти и подведомственных им предприятий систем и СЗИ. Основой функционирования систем защиты конфиденциальной информации в этом случае является личный выбор обладателем информации степени ее защищенности и механизмов защиты. При этом, по опыту стран с развитым законодательством в сфере информационной безопасности, определяющими факторами являются риск участников информационных отношений и их личная ответственность за принятые меры по защите конфиденциальной информации. В России этот подход, например, реализован при введении Стандартов Банка России в организации БС РФ, когда требования по получению лицензий на деятельность по технической защите конфиденциальной информации и требования аттестации информационных систем персональных данных не являются обязательными (в соответствии с пунктом 9.6 СТО БР ИББС-1.0-2010).

Александр Катаржнов

к.т.н., доцент, НОУ ДО Учебный центр «ЭВРИКА»

Лицензированием в области защиты информации называется деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации. Государственная политика в области лицензирования отдельных видов деятельности и обеспечения защиты жизненно важных интересов личности, общества и государства определяется Постановлением Правительства Российской Федерации от 24 декабря 1994 г. № 1418 «О лицензировании отдельных видов деятельности» (в ред. Постановлений Правительства РФ от 05.05.95 № 450, от 03.06.95 № 549, от 07.08.95 № 796, от 12.10.95 № 1001, от 22.04.97 № 462, от 01.12.97 № 1513, также см. постановление от 11.02.02 № 135).

Лицензией называется разрешение на право проведения работ в области защиты информации. Лицензия выдается на конкретные виды деятельности на три года, по истечении которых осуществляется ее перерегистрация в порядке, установленном для выдачи лицензии.

Лицензия выдается в том случае, если предприятие, подавшее заявку на получение лицензии, имеет условия для проведения лицензирования: производственную и испытательную базу, нормативную и методическую документацию, располагает научным и инженерно-техническим персоналом.

Организационную структуру системы государственного лицензирования деятельности предприятий в области защиты информации образуют:

· государственные органы по лицензированию;

· лицензионные центры;

· предприятия-заявители.

Государственные органы по лицензированию:

· организуют обязательное государственное лицензирование деятельности предприятий;

· выдают государственные лицензии предприятиям-заявителям;

· согласовывают составы экспертных комиссий, представляемые лицензионными центрами;

· осуществляют контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации.

Лицензионные центры:

· формируют экспертные комиссии и представляют их состав на согласование руководителям соответствующих государственных органов по лицензированию, которыми являются ФСТЭК и ФСБ;

· планируют и проводят работы по экспертизе предприятий-заявителей;

· контролируют полноту и качество выполненных лицензиатами работ.

Лицензионные центры при государственных органах по лицензированию создаются приказами руководителей этих органов. Экспертные комиссии формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, органов государственного управления, других организаций и учреждений. Экспертные комиссии создаются по одному или нескольким направлениям защиты информации.

Лицензированию ФСТЭК России подлежат:

· сертификация, сертификационные испытания защищенных технических средств обработки информации (ТСОИ), технических и программных средств защиты, средств контроля эффективности мер защиты информации, программных средств обработки, защиты и контроля защищенности;

· аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, объектов ВТ и выделенных помещений на соответствие требованиям руководящих и нормативных документов по безопасности информации;

· разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных объектов информатики, технических средств защиты и контроля эффективности мер защиты информации, защищенных прог­раммных средств обработки, защиты и контроля защищенности информации;

· проведение специальных исследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ;

· проектирование объектов в защищенном исполнении.

На орган по лицензированию возлагается:

· разработка правил, процедур и нормативно-методических документов по вопросам проведения лицензирования;

· осуществление научно-методического руководства лицензионной деятельностью;

· публикация необходимых сведений о системе лицензирования;

· рассмотрение заявлений организаций и воинских частей о выдаче лицензий;

· согласование заявлений с воинскими частями, ответственными за соответствующие направления защиты информации;

· согласование состава экспертных комиссий;

· организация и проведение специальных экспертиз;

· принятие решения о выдаче лицензии;

· выдача лицензий;

· принятие решения о приостановлении, возобновлении действия лицензии или ее аннулировании;

· ведение реестра выданных, приостановленных, возобновленных и аннулированных лицензий;

· приобретение, учет и хранение бланков лицензий;

· организация работы аттестационных центров;

· осуществление контроля за полнотой и качеством проводимых лицензиатами работ.

В соответствии со статьей 17 Федерального закона от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности» (с изменениями, введенными Федеральным законом от 02.07.2005 № 80-ФЗ) лицензированию подлежат следующие виды деятельности (в области защиты информации):

· деятельность по распространению шифровальных (криптографических) средств;

· деятельность по техническому обслуживанию шифровальных (криптографических) средств;

· предоставление услуг в области шифрования информации;

· разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

· деятельность по разработке и (или) производству средств защиты конфиденциальной информации; деятельность по технической защите конфиденциальной информации;

· деятельность по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

В рамках рассматриваемых видов деятельности были выпущены отдельные постановления Правительства Российской Федерации, разъясняющие порядок лицензирования. Среди них:

· Постановление Правительства Российской Федерации от 26.01.2006 № 45 «Об организации лицензирования отдельных видов деятельности»; Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»;

· Постановление Правительства Российской Федерации от 31.08.2006 № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»;

· Постановление Правительства Российской Федерации от 23.09.2002 № 691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».

В соответствии с этими документами лицензиаты обязаны ежегодно представлять в орган по лицензированию или аттестационный центр сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности. Лицензиаты несут ответственность за полноту и качество выполняемых работ, обеспечение сохранности государственной тайны, доверенной им в ходе практической деятельности.

Лицензия ФСТЭК - специальное государственное разрешение, позволяющее вести легитимную деятельность имеющее непосредственное отношение к созданию и применению программных средств или инновационных технологий. Действие лицензий распространяется на сохранение информационных данных или создание баз для их хранения.

Лицензия ФСТЭК в Москве и в других регионах России со специалистами ГК АП-Риал - беспроблемное получение лицензии. Лицензия на защиту информации - полный спектр услуг в лицензировании ФСТЭК.

Лицензирующий орган: Федеральная Служба по техническому и экспортному контролю
Срок действия лицензии: бессрочно.
Территория действия: Вся территория Российской Федерации
Срок выдачи лицензии: 45 рабочих дней.

Цена лицензии ФСТЭК (помощь в получении): от 250 000 р

Лицензия ФСТЭК России доступно для соискателей из различных регионов страны, но лицензирующим органом является исключительно Федеральная служба по техническому и экспортному контролю, расположенная в городе Москве. Период действия официального разрешения определен как бессрочный, а география влияния ограничивается официальными границами государства.

Срок, в течение которого соискатель получает разрешительную документацию, составляет 45 дней с момента подачи документов в контролирующую государственную инстанцию.

Получение различных видов лицензии ФСТЭК

Процесс лицензирования может протекать в трех вариантах:

  1. Самостоятельное обращение. Назвать данный способ оптимальным сложно. Неподготовленный соискатель, как правило, упускает ряд основных моментов, связанных с приведением в необходимый вид документации и прохождением своевременного обучения сотрудников и руководителя. В связи с этим процесс получения разрешительной документации может отнять большее количество времени, и, как следствие уменьшить потенциальную прибыль предприятия.
  2. Частичная передача полномочий по предлицензионной подготовке специалистам. Это более эффективный метод прохождения процедуры лицензирования. Специалист курирует процесс, направляя руководителя компании. Но, стоит отметить, что в данном случае, юридическое сопровождение не может быть полным, а соответственно, и гарантий результата, также не может быть.
  3. Полное сопровождение процесса. Получение лицензии ФСТЭК при участии специалистов гарантирует успешный результат. Мы имеем не только квалифицированных специалистов, имеющих опыт ведения лицензионных дел, но и необходимую техническую и нормативно правовую базы, для обеспечения полного соответствия соискателя требованиям контролирующей инстанции.

Полный комплекс услуг позволяет нам не только помочь предприятиям получить необходимую для деятельности лицензию, но и быть готовым к возможным проверкам в ходе плановых или внеплановых инспекций.

Виды лицензии ФСТЭК

ФЗ №99 от 4.05.11г. «О лицензировании отдельных видов деятельности» четко регламентирует перечень отраслей обязательных для лицензирования. Получить лицензию ФСТЭК в первую очередь необходимо:

  • для участия в государственных тендерах;
  • осуществлению деятельности, связанной с разработкой и производством СКЗИ;
  • осуществлению деятельности, связанной с ТЗКИ;
  • при обработке персональных данных.

Лицензирование ФСТЭК России в отрасли ТЗКИ регламентируется Постановлением правительства РФ от 3 февраля 2012 года №79 «О лицензировании деятельности по технической защите конфиденциальной информации». Период действия является бессрочным, но предприятия в процессе деятельности должно быть готово к подтверждению требований, предъявляемых к лицензиатам.

Лицензирование в отрасли СКЗИ () контролируется Постановлением Правительства Российской Федерации от 3 марта 2012 года №171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации». В официальном документе определены требования к соискателям данной лицензии.

Требования для лицензии ФСТЭК в Москве

Для того чтобы соискатель получил официальное разрешение на осуществление деятельности в отрасли, ему необходимо документальное подтверждение соответствия следующим требованиям:

  • Наличие сотрудников, имеющих высшее образование по направлению «Информационная безопасность». Допустимо привлечение специалистов со средним техническим образованием аналогичного профиля, при условии прохождения ими профессиональной переподготовки, длительностью не менее 360 академических часов (обязательно предъявление свидетельства об успешном завершении обучения). Также важно наличие трудового стажа в области защиты информации.
  • Наличие в собственности или на правах аренды, субаренды (необходимо предоставление действующего договора аренды) помещений, необходимых для осуществления профессиональной деятельности. Рабочие помещения должны отвечать действующим государственным требованиям.
  • Наличие в собственности или на правах аренды (необходимо предъявление действующего договора аренды) необходимого оборудования. Каждая техническая единица должна сопровождаться актами поверки и необходимыми сертификатами, подтверждающими верность предоставленных данных.
  • Наличие актуального на сегодняшний день программного обеспечения, необходимого для ведения деятельности в отрасли.
  • Наличие нормативно-методических документов с грифом «ДСП» и ГОСТов.
  • Наличие аттестованного помещения и аттестованного автоматизированного рабочего места (АРМ) в соответствии с действующими требованиями

Лицензия ФСТЭК предусматривает полное соответствие лицензиата и подготовку штата, для осуществления данной деятельности.

Порядок процесса лицензирования

Лицензия ФСТЭК России при Нашем участии заключается в том, что наши специалисты берут на себя следующие обязательства:

  • подготовку необходимой документации и приведение ее к установленному виду;
  • проведение , если это необходимо;
  • подготовка и подача заявления лицензионный орган (вне зависимости от места нахождения соискателя);
  • проведение аттестации помещения и автоматизированного рабочего места;
  • получение документального подтверждения о сдаче документов;
  • проведение процедур по устранению обнародованных недочетов и замечаний, если в этом есть необходимость;
  • получение официального разрешения (лицензии) и передача ее лицензиату.

Определенные виды лицензий ФСТЭК требуют оформления лицензии ФСБ на работу со сведениями, являющимися государственной тайной.

Мы гарантируем, соискателям, получение лицензии и полное соответствие предприятия государственным требованиям на всех этапах его дальнейшей предпринимательской активности.

Участие на выставках и конференциях в области информационной безопасности

Специалисты ГК АП-Риал регулярно посещают тематические выставки и конференции, тем самым они всегда в тренде всех нововведений в области информационной защиты. Весь полученный опыт всегда применяется на практике. Наш богатый опыт дает возможность нашим юристам провести качественную консультацию по поводу того, какое оборудование должно быть у организации занимающаяся защитой данных или же разрабатывающая средства защиты информации.

На днях наши сотрудники посещали выставку по информационной защите от «INTERPOLITEX – 2018». Организаторами выставки были силы Министерства Внутренних Дел (МВД), Федеральной Службы Безопасности (ФСБ) и Росгвардии. Фотоотчет можно посмотреть на странице.


Лицензирование деятельности по технической защите конфиденциальной информации осуществляет ФСТЭК России. Для получения лицензии соискателю необходимо выполнить следующие требования и условия:
  1. наличие в штате специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;
  2. наличие у соискателя лицензии помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;
  3. наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;
  4. использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;
  5. использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;
  6. наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю

Для получения лицензии соискатель отправляет в ФСТЭК документы, рассмотренные в предыдущем разделе данной лекции. Помимо этих документов, соискатель обязан предоставить следующее:

  1. копии документов, подтверждающих квалификацию специалистов по защите информации (дипломов, удостоверений, свидетельств);
  2. копии документов, подтверждающих право собственности, право хозяйственного ведения или оперативного управления на помещения, предназначенные для осуществления лицензируемой деятельности, либо копии договоров аренды указанных помещений или безвозмездного пользования ими;
  3. копии аттестатов соответствия защищаемых помещений требованиям безопасности информации;
  4. копии технического паспорта автоматизированной системы с приложениями, акта классификации автоматизированной системы по требованиям безопасности информации, плана размещения основных и вспомогательных технических средств и систем, аттестата соответствия автоматизированной системы требованиям безопасности информации или сертификата соответствия автоматизированной системы требованиям безопасности информации, а также перечень защищаемых в автоматизированных системах ресурсов с документальным подтверждением степени конфиденциальности каждого ресурса, описание технологического процесса обработки информации в автоматизированной системе;
  5. копии документов, подтверждающих право на используемые для осуществления лицензируемой деятельности программы для электронно-вычислительных машин и базы данных;
  6. сведения о наличии производственного и контрольно-измерительного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемой деятельности, с приложением копий документов о поверке контрольно-измерительного оборудования;
  7. сведения об имеющихся у соискателя лицензии нормативных правовых актах, нормативно-методических и методических документах по вопросам технической защиты информации

ФСТЭК проверяет комплектность предоставленных документов, полноту и достоверность указанных в них сведений. Если каких-то сведений (документов) не хватает, ФСТЭК в течение 15 дней уведомляет об этом соискателя. В срок, не превышающий 45 дней после получения документов от соискателя, ФСТЭК принимает решение о выдаче лицензии. Решение оформляется соответствующим актом ФСТЭК.

Лицензия выдается на 5 лет , и после окончания этого срока может быть продлена по заявлению лицензиата .

4.3. Контроль за соблюдением лицензионных требований и условий

Функция контроля за соблюдением лицензиатом лицензионных требований и условий осуществляет лицензирующий орган, то есть в случае технической защиты конфиденциальной информации – ФСТЭК. Способом контроля являются плановые и внеплановые проверки , которые проводятся в порядке, установленным ФЗ-№294 "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".

Целью плановой проверки является проверка соблюдения лицензиатом лицензионных требований и условий в процессе осуществления деятельности по технической защите конфиденциальной информации. В отношении одного юридического лица или индивидуального предпринимателя она может проводиться не чаще одного раза в течение трех лет. Плановые проверки осуществляются в соответствии с ежегодным планом проверок, который публикуется на официальном сайте ФСТЭК России.

Лицензиат включается в плановую проверку в случае истечения трех лет со дня:

  • государственной регистрации лицензиата ;
  • окончания проведения последней плановой проверки лицензиата .

Лицензиат уведомляется не позднее трех рабочих дней до проведения проверки.

Предметом внеплановой проверки является соблюдение лицензиатом лицензионных требований и условий, выполнение предписаний об устранении выявленных нарушений, проведение мероприятий по обеспечению безопасности государства.

Основанием для проведения внеплановой проверки является:

  1. истечение срока исполнения ранее выданного лицензиату предписания об устранении выявленного нарушения лицензионных требований и условий;
  2. поступление в ФСТЭК России обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах:
    • возникновения угрозы причинения вреда безопасности государства;
    • причинение вреда безопасности государства.

Плановая и внеплановые проверки проводятся в документарной или выездной формах. Документарная проверка проверяет документы лицензиата и осуществляется по месту нахождения ФСТЭК. В ходе выездной проверки проверяются не только документы лицензиата , но и соответствие его лицензионным требованиям и условиям.

Срок проведения каждой из проверок не может превышать 20 рабочих дней. По результатам проверки составляется акт в двух экземплярах, к которому прилагаются протоколы (заключения) проведенных исследований (испытаний) и экспертиз.

Подводя итог, можно сказать, что процесс получения лицензии на техническую защиту конфиденциальной информации является весьма трудоемким, длительным и, что не маловажно, затратным, ведь для получения лицензии необходимо выполнить все лицензионные требования и условия. Самым продолжительным по времени является обучение специалистов на курсах повышения квалификации. Несмотря на то, что количество организаций, имеющих дело с конфиденциальной информацией, достаточно велико, специалистов с высшим профессиональным образованием в области ТЗИ может позволить себе далеко не каждая из них. Частные курсы по повышению квалификации, утвержденные ФСТЭК, как правило, рассчитаны на 72 часа. Самым затратным в экономическом плане требованием является проведение аттестации объектов информатизации (автоматизированной системы и защищенного помещения), предназначенных для обработки конфиденциальной информации. Более того, возникает проблема приобретения контрольно-измерительного оборудования, которое после аттестации вообще не нужно, если только организация не собирается оказывать услуги по аттестации объектов информатизации. Альтернативный вариант – взять такое оборудование в аренду, но это тоже стоит денег. Таким образом, продолжительность процесса лицензирования может занять от 2 до 6 месяцев и повлечь за собой значительные материальные затраты. Вариантом решения данной проблемы является аутсорсинг. Аутсорсинг (от англ. outsourcing) дословно "использование внешних источников". Аутсорсинг предполагает передачу от компании-заказчика сторонней организации(подрядчику) определенных функций уставной деятельности, например, техническую защиту конфиденциальной информации. При этом подрядчик использует свои программные, технические и другие средства защиты, лицензии, аттестаты и т.п., а также несет ответственность за результат выполнения своей работы.

Стремительный рост компьютеризации и увеличение объемов цифровой информации вынуждают повышать уровень безопасности. Это привело к активному развитию различных способов защиты данных, а также компаний, предлагающих услуги по сохранению конфиденциальности. При этом такая к такому виду деятельности допускаются только ограниченное число компаний.

Обязательность получения разрешения

Защита персональной и коммерческой информации — довольно деликатное и важное занятие. Без разрешения недопустимо оказывать такие услуги. В по защите информации нуждаются следующие виды мероприятий:

  • Разработка, производство и распространение шифровальных средств
  • Работа по технической защите информации, являющейся конфиденциальной
  • Обнаружение электронных средств, используемых негласного получения данных
  • Производство и разработка СЗКИ (средства защиты конфиденциальной информации)
  • Техническое обслуживание криптографических средств защиты информации, телекоммуникационных и информационных систем.

Исключением из этого является разработка шифровальных средств для личных нужд или . Также не требуется лицензия для ТО информационных и других систем, используемых для внутренней информации конкретной компании.

Для чего нужна лицензия на деятельность по технической (и иной) защите конфиденциальной информации, расскажем ниже.

Лицензия на деятельность по технической защите конфиденциальной информации

Основные задачи лицензирования

Стоит понимать, что уровень конфиденциальности информации может быть разным.

  • Для одних компаний утечка данных может лишь принести моральные неудобства, другие предприятия в результате этого потеряют возможность функционировать.
  • Также не стоит забывать о коммерческих секретах производства различных товаров. В случае их обнародования вероятно различное развитие событий.

Главной задачей лицензирования является пресечение некомпетентной деятельности. Соискатели лицензии должны соответствовать множеству критериев, гарантирующих качественное предоставление услуг по защите данных и добросовестное техническое обслуживание.

Данное видео расскажет о технологиях защиты информации:

Нормативная документация

Выдача лицензий регулируется рядом нормативных актов, законов и постановлений. Одним из главных документов является Федеральный закон №99 от 4 мая 2011 года «О лицензировании отдельных видов деятельности». Также к деятельности по защите информации применимы такие Постановления правительства РФ:

  • № 45 от 26 января 2006
  • № 532 от 31 августа 2006
  • № 691 от 23 сентября 2002.

Также стоит ознакомиться с Постановление правительство РФ №1418 от 24.12.1994 года. Во всех этих документах предусмотрено детальное рассмотрение порядка получения разрешения и указаны условия его предоставления вместе с перечнем необходимых документов.

Порядок получения лицензии ФСТЭК России на техническую защиту конфиденциальной информации, написание заявление по этому поводу — все это описано далее.

Получение лицензии на осуществление деятельности по защите информации

Деятельность по защите информации требует соблюдения большого перечня условий и планомерной подготовки. После подачи заявление соискателя лицензии обязательно ждет экспертная проверка, состоящая из сотрудников ФСБ и ФСТЭК. Конкретный состав экспертной комиссии зависит от выбранного вида деятельности.

Заявление и место подачи документов

Заявление на предоставление лицензии, разрешающей вести деятельность по защите информации заполняется в установленной законом форме. Образец заявления предоставляют госорганы по лицензированию. Выдачей самих лицензий на деятельность по защите информации занимаются две организации:

  1. Федеральная служба безопасности (ФСБ).
  2. Федеральная служба по техническому и экспортному контролю (ФСТЭК).

Основная масса заявлений подается в ФСБ, они обеспечивают большую часть видов деятельности. В компетенции ФСТЭК находится контроль за производством и разработкой специализированных средств защиты конфиденциальной информации.

Требуемые условия для лицензирования деятельности по технической защите конфиденциальной информации (получения лицензии на это) описаны ниже.

Условия

Главной сложностью в получении лицензии являются условия предоставления. Перечень довольно широк, а при отсутствии любого пункта соискатель лишается права на выдачу разрешения. При этом условия для разных видов деятельности отличаются, хотя есть общий перечень.

Необходимо соблюсти такие условия:

  • Иметь не менее 2 сотрудников, имеющих соответствующее образование или прошедших курсы переподготовки
  • Обладать помещением в собственности или на правах аренды с обязательным техническим соответствием заявленному виду деятельности
  • Сформировать материально-техническую базу из контрольно-измерительного, испытательного и другого необходимого вида оборудования в зависимости от вида деятельности
  • Подтвердить наличие необходимого программного обеспечения, находящееся в собственности или на других законных основаниях
  • Наличие специализированной системы контроля в соответствии в выбранным видом деятельности и конкретным её подпунктом
  • Обладать на законных основаниях технической документацией, методическими разработками, а также другими бумажными и цифровыми данными, необходимыми для ведения деятельности.

Также для некоторых видов деятельности может потребоваться определенные средства по обработки информации, аттестованные по технике безопасности.

Еще одним требованием, касающимся всех видов деятельности, кроме производства и разработки СЗКИ, является наличие на посту руководителя, имеющего высшее образовании по специальности «Информационная безопасность» или же прошедшего курс переподготовки, превышающий 500 аудиторных часов.

Необходимые документы

Вместе с заявленным условиями необходимо предоставить такой пакет документов:

  • Трудовые договоры, сертификаты и дипломы сотрудников
  • Заявление и подтверждающие документы об оплате госпошлины
  • Документы, подтверждающие законное наличие систем контроля
  • Правоустанавливающие документы на помещение и программное обеспечение
  • Данные о наличии технической и другой необходимой для работы документации
  • Документы, подтверждающие наличие требуемой материально-технической базы
  • Аттестаты соответствия средств обработки информации и/или защищаемых помещений.

Все данные предоставляется вместе с учредительными документами соискателя. Штучное количество бумажных бланков сильно отличается в зависимости от выбранного вида деятельности, наличия нескольких помещений, программ и технической документации. Именно поэтому при сборе пакета документов необходимо уточнять наличие новых нормативно-правовых актов, касающихся лицензирования деятельности по защите информации.

Этапы лицензирование деятельности по организации защиты информации описаны ниже.

Этапы

Процедура предоставления лицензии занимает большое количество времени. Законодательно сроки выдачи данного документа ограниченны 45 сутками. Одним из важных шагов является предварительный этап получения разрешения, от качества его выполнения зависит сама возможность предоставления права на деятельность по защите информации.

Подготовительные этапы лицензирования:

  • Изучение нормативно-правовой базы
  • Выявление соответствия заявленным условиям
  • Сбор пакета документов и составление заявления
  • Повторный анализ условий и предоставляемых документов.

При правильно проведенном подготовительном периоде лицензирования вероятность получения лицензии очень высока. Часто поводом для отказа являются именно ошибки в представленных документах или несоответствии необходимым условиям.

После предварительного этапа необходимо подать документы в нужных лицензирующий орган, выбранных в зависимости от вида деятельности (ФСБ или ФСТЭК). Следующим пунктом будет изучение документов экспертной комиссией. При их соответствии организуется проверка технических возможностей и условий для ведения деятельности. Заключительным этапов является выдача официального бланка лицензии.

Полезная информация

  • Особое внимание стоит уделить тому, что все действующие лицензиаты подвергаются плановым проверкам сотрудниками ФСБ. Более того, для этого вида деятельности характерны спонтанные проверки без предупреждения. Они проводятся на законном основании для достижения максимального качества предоставляемых услуг по сохранению информации.
  • По этой причине срок действия лицензии определен минимумом в 5 лет, а процедура продления разрешения упрощена. Необходимо произвести переоформление документа, подтверждающее разрешение. По заявлению лицензиата ему выдается новый бланк с продленным сроком действия. Это возможно только при отсутствии грубых нарушений - при их наличии лицензия отзывается.

Получение разрешения на ведение деятельности по защите информации само по себе не особо трудное. Значительно сложнее собрать необходимый пакет документов и правильно соблюсти все требуемые условия. При соискательстве лицензии наиболее важно обратить внимание на подготовительный этап и при его качественном выполнении получить разрешение не составит труда.

Еще больше полезной информации о защите информации и лицензировании такой деятельности содержится в этом видео:

Лучшие статьи по теме

Технология активной защиты Protect в Яндекс
Технология активной защиты Protect в Яндекс
Делаем музыкальную открытку за пару минут
Делаем музыкальную открытку за пару минут
Особенности подключения планшета к телевизору
Особенности подключения планшета к телевизору
Категории:
© 2024 bumotors.ru. Как настроить смартфоны и ПК. Информационный портал.