|
Лицензирование в области защиты информации
Екатерина Макаренко
Ведущий юрист юридической компании “Зарцын и партнеры"
Itsec.Ru
Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили уровни ее защиты и вызвали рост эффективной защиты информации вместе со сложностью архитектуры хранения данных.
Особенность технических мер обеспечения защиты информации (ОЗИ) – средства, обеспечивающие такую защиту, должны быть сертифицированы в установленном законом порядке.
Лицензирование
Согласно ФЗ "О лицензировании отдельных видов деятельности" № 99 от 4.05.2011 г. лицензированию подлежат:
- разработка, производство, распространение и ТО шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, когда ТО осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), выполнение работ, оказание услуг в области шифрования информации;
- разработка и производство средств защиты конфиденциальной информации (СЗКИ);
- деятельность по технической защите конфиденциальной информации.
Органами, уполномоченными выдавать вышеуказанные лицензии, являются ФСБ и ФСТЭК России.
Лицензирующий орган – ФСТЭК России
Порядок рассмотрения Поданные соискателем документы должны быть рассмотрены лицензирующим органом в срок, не превышающий 45 рабочих дней со дня приема заявления о предоставлении лицензии и прилагаемых к нему документов, лицензирующий орган осуществляет проверку полноты и достоверности сведений, содержащихся в указанных заявлении и документах, в том числе проверку соответствия соискателя лицензии лицензионным требованиям, и принимает решение о предоставлении лицензии или об отказе в ее предоставлении.
Лицензирующие органы публикуют на своих официальных сайтах реестры выданных лицензий. |
Лицензионными требованиями, предъявляемыми к соискателю лицензии на осуществление деятельности по разработке и производству СЗКИ (далее – лицензия), являются:
- наличие в штате у соискателя лицензии не менее двух специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам разработки и (или) производства СЗИ;
- наличие помещений для осуществления лицензируемого вида деятельности, соответствующих требованиям технической и технологической документации, национальных стандартов и методических документов в ОЗИ и принадлежащих соискателю лицензии на праве собственности или на ином законном основании;
- наличие на праве собственности или на ином законном основании необходимого для осуществления лицензируемого вида деятельности контрольно-измерительного оборудования (прошедшего в соответствии с законодательством РФ метрологическую поверку (калибровку) и маркирование), производственного и испытательного оборудования;
- наличие предназначенных для осуществления лицензируемого вида деятельности программ (в том числе программных средств разработки СЗКИ) для электронно-вычислительных машин и баз данных, принадлежащих соискателю лицензии на праве собственности или на ином законном основании;
- наличие принадлежащих соискателю лицензий на праве собственности или на ином законном основании, технической и технологической документации, документации, содержащей национальные стандарты, и методических документов, необходимых для осуществления лицензируемого вида деятельности в соответствии с утверждаемым ФСТЭК России перечнем;
- наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы разработки СЗКИ, учета изменений, вносимых в проектную и конструкторскую документацию на разрабатываемую продукцию (при выполнении работ, предусмотренных подпунктом "а");
- наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы производства СЗКИ, оценки качества выпускаемой продукции и неизменности установленных параметров, учета изменений, вносимых в техническую и конструкторскую документацию на производимую продукцию, учета готовой продукции (при выполнении работ, предусмотренных подпунктом "б").
Лицензирующий орган – ФСБ России
Лицензионными требованиями, предъявляемыми к соискателю лицензии, являются:
Обращаем внимание Лицензирующие органы вправе согласно ФЗ-294 "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" проводить как плановые, так и внеплановые проверки лицензиатов. В этой связи, получив лицензию, не стоит забывать о соблюдении всех требований к соискателю лицензии. |
- наличие в штате у соискателя лицензии на основной работе согласно штатному расписанию следующего квалифицированного персонала:
- руководитель и (или) лицо, уполномоченное руководить работами по лицензируемому виду деятельности, имеющие высшее профессиональное образование по направлению ИБ в соответствии с "Общероссийским классификатором специальностей" и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок – свыше 500 аудиторных часов), а также имеющие стаж в области проводимых работ по лицензируемому виду деятельности не менее 5 лет;
- инженерно-технические работники (не менее двух человек), имеющие высшее профессиональное образование по направлению ИБ в соответствии с "Общероссийским классификатором специальностей" и (или) прошедшие переподготовку по этой специальности (нормативный срок – свыше 100 аудиторных часов);
- наличие помещений для осуществления лицензируемого вида деятельности, соответствующих требованиям технической и технологической документации, национальных стандартов и методических документов в области ЗИ и принадлежащих соискателю лицензий на праве собственности или на ином законном основании;
- наличие у соискателя лицензии на праве собственности или на ином законном основании, контрольно-измерительного оборудования (прошедшего в соответствии с законодательством РФ метрологическую поверку (калибровку) и маркирование), производственного, испытательного оборудования и иных объектов, необходимых для осуществления лицензируемого вида деятельности;
- наличие предназначенных для осуществления лицензируемого вида деятельности программ (в том числе программных средств разработки СЗКИ) для электронно-вычислительных машин и баз данных, принадлежащих соискателю лицензии на праве собственности или на ином законном основании;
- наличие аттестованных по требованиям безопасности информации средств обработки информации, используемых для разработки и производства СЗКИ, в соответствии с требованиями по защите информации;
- наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы разработки СЗКИ, учета изменений, вносимых в проектную и конструкторскую документацию на разрабатываемую продукцию (при выполнении работ, предусмотренных подпунктом "а");
- наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы производства СЗКИ, оценки качества выпускаемой продукции и неизменности установленных параметров, учета изменений, вносимых в техническую и конструкторскую документацию на производимую продукцию, учета готовой продукции (при выполнении работ, предусмотренных подпунктом "б").
Требования к соискателю лицензии
Прекращение действия лицензии
- По истечении срока, на который выдавалась лицензия.
- По заявлению лицензиата.
- Из-за нарушения лицензиатом требований и условий.
Согласно ст. 9 ФЗ "О лицензировании отдельных видов деятельности" деятельность, на которую предоставлена лицензия, может осуществляться на территориях других субъектов Российской Федерации при условии уведомления лицензиатом лицензирующих органов соответствующих субъектов Российской Федерации в порядке, установленном Правительством Российской Федерации. |
- Наличие профессиональной, квалифицированной команды.
- Наличие помещения.
- Использованное при разработке ПО должно принадлежать соискателю лицензии или использоваться на законных основаниях.
Для получения лицензии необходимо предоставить документы:
- заявление на предоставление лицензии;
- копии документов, подтверждающих наличие в штате соискателя лицензии специалистов по защите информации и их квалификацию (приказов о назначении или выписок из трудовых книжек, дипломов, удостоверений, свидетельств);
- копии правоустанавливающих документов на помещения, предназначенные для осуществления лицензируемого вида деятельности, права на которые не зарегистрированы в Едином государственном реестре прав на недвижимое имущество и сделок с ним (в случае, если такие права зарегистрированы в указанном реестре);
- копии аттестатов соответствия защищаемых помещений требованиям по безопасности информации и технических паспортов, используемых для осуществления лицензируемого вида деятельности (в случае, если в качестве лицензирующего органа выступает ФСБ России);
- копии аттестатов соответствия средств обработки информации требованиям по безопасности информации и технических паспортов, используемых для осуществления лицензируемого вида деятельности (в случае, если в качестве лицензирующего органа выступает ФСБ России);
- копии документов, подтверждающих право соискателя лицензии на программы для электронно-вычислительных машин и базы данных, планируемые к использованию при осуществлении лицензируемого вида деятельности;
- документы, содержащие сведения о наличии производственного, испытательного и контрольно-измерительного оборудования, СЗИ, средств разработки и производства СЗКИ, необходимых для осуществления лицензируемого вида деятельности, с приложением копий документов о поверке (калибровке) и маркировании контрольно-измерительного оборудования, а также документов, подтверждающих право соискателя лицензии на использование указанных оборудования и средств;
- документы, содержащие сведения об имеющихся технической документации, национальных стандартах и методических документах;
- копии документов, подтверждающих наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы разработки СЗКИ, учета изменений, вносимых в проектную и конструкторскую документацию на разрабатываемую продукцию;
- копии документов, подтверждающих наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы производства СЗКИ, оценки качества выпускаемой продукции и неизменности установленных параметров, учета изменений, вносимых в техническую и конструкторскую документацию на производимую продукцию, учета готовой продукции.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2013
|
|