- •Глава 1. Законодательство Российской Федерации по лицензированию и сертификации в области информационной безопасности
- •Административный регламент Федеральной службы безопасности Российской Федерации по исполнению государственной функции по лицензированию деятельности по выявлению электронных
- •Глава 2. Лицензионная и сертификационная деятельности в области защиты информации
- •Глава 3. Органы лицензирования и их полномочия
- •Глава 4. Объекты сертификационной деятельности
- •Глава 5. Органы сертификации и их полномочия
Оглавление
Предисловие 4
ГЛАВА
1. Законодательство Российской Федерации
по лицензированию
и сертификации в области
информационной
безопасности 6
ГЛАВА
2. Лицензионная и сертификационная
деятельности
в области защиты информации 18
ГЛАВА
3. Органы лицензирования и их полномочия 28
ГЛАВА
4. Объекты сертификационной деятельности 45
ГЛАВА
5. Органы сертификации и их полномочия 65
ГЛОССАРИЙ 74
Список
литературы: 125
4
Предисловие
Федеральный закон «О
лицензировании отдельных видов
деятельности» сформулировал единые
нормы правового обеспечения в сфере
лицензирования, определил порядок
лицензирования и установил перечень
лицензируемых видов деятельности [8].
Проводимая в стране административная
реформа, одно из направлений которой
— сокращение избыточного количества
лицензируемых видов деятельности,
усложнила практику реализации нормативных
правовых актов в сфере лицензирования
и внесла неопределенность вследствие
как дифференциации функций федеральных
органов исполнительной власти, так и
введения новых/видоизмененных
лицензируемых видов деятельности.
Данная ситуация осложняет деятельность
лицензирующих органов, лицензиатов и
соискателей лицензий в сфере информационных
технологий и защиты информации.
В области обеспечения информационной
безопасности настоящий Федеральный
закон регулирует отношения, возникающие
между федеральными органами исполнительной
власти, органами исполнительной власти
субъектов Российской Федерации,
юридическими лицами и индивидуальными
предпринимателями в связи с осуществлением
лицензирования отдельных видов
деятельности в отношении информации,
не составляющей государственную тайну.
Законодательством Российской
Федерации установлено, что в случае
осуществления деятельности по
распространению шифровальных
(криптографических) средств, предоставления
услуг в области шифрования информации,
а также техническому обслуживанию
шифровальных (криптографических)
средств, осуществляемой юридическими
лицами и индивидуальными предпринимателями,
то на такие виды деятельности должно
быть специальное разрешение на
осуществление конкретного вида работ,
выданное лицензирующим органом
юридическому лицу или индивидуальному
предпринимателю [25]. При этом
обязательно должны соблюдаться
лицензионные требования и условия.
Лицензионными требованиями и условиями
в этих случаях являются наличие в штате
у соискателя лицензии (лицензиата)
квалифицированного персонала —
инженерно-технических работников,
имеющих высшее профессиональное
образование или прошедшие переподготовку
(повышение квалификации) в области
информационной безопасности с получением
специализации, необходимой для работы
с шифровальными (криптографическими)
средствами.
При реализации в Московском институте
новых информационных технологий ФСБ
России образовательной программы
профессиональной переподготовки
«Комплексное обеспечение информационной
безопасности информационно-вычислительных
систем» возникает необходимость в
наличии методических материалов в
сфере лицензирования и сертификации
деятельности в сфере обеспечения
информационной безопасности при работе
5
со сведениями, не составляющими
государственную тайну.
Данное пособие может быть использовано
в следующих целях: для подготовки по
специальностям высшего профессионального
образования 090102 «Компьютерная
безопасность» и 090105 «Комплексное
обеспечение информационной безопасности
автоматизированных систем»;
при реализации программ переподготовки
и повышения квалификации в образовательных
учреждениях, предназначенных для
обеспечения деятельности федеральной
службы безопасности;
в процессе профессиональной подготовки,
сотрудниками органов ФСБ России;
при реализации возложенных функций
лицензирования сотрудниками
территориальных органов безопасности;
соискателями лицензий (юридическими
лицами или индивидуальными
предпринимателями), обратившимся в
лицензирующий орган и нуждающимся в
прохождении сотрудниками соискателя
лицензии переподготовки (повышения их
квалификации) в области защиты информации
с использованием криптографических
методов и средств обеспечения
информационной безопасности;
лицензиатами, при переоформлении
документа, подтверждающего наличие
лицензии, для переподготовки (повышении
квалификации) сотрудников соискателя
лицензии или лицензиата, нуждающихся
в прохождении переподготовки (повышения
их квалификации) в области защиты
информации с использованием
криптографических методов и средств
обеспечения информационной безопасности.
6
Деятельность по обеспечению информационной
безопасности, в соответствии с
требованиями законодательства
Российской Федерации, включает комплекс
следующих мероприятий [12]:
прогнозирование, выявление, анализ и
оценку угроз безопасности;
определение основных направлений
государственной политики и стратегическое
планирование в области обеспечения
безопасности;
правовое регулирование в области
обеспечения безопасности;
разработку и применение комплекса
оперативных и долговременных мер по
выявлению, предупреждению и устранению
угроз безопасности, локализации и
нейтрализации последствий их проявления;
применение специальных экономических
мер в целях обеспечения безопасности;
разработку, производство и внедрение
современных видов вооружения, военной
и специальной техники, а также техники
двойного и гражданского назначения в
целях обеспечения безопасности;
организацию научной деятельности в
области обеспечения безопасности;
координацию деятельности федеральных
органов государственной власти, органов
государственной власти субъектов
Российской Федерации, органов местного
самоуправления в области обеспечения
безопасности;
финансирование расходов на обеспечение
безопасности, контроль за целевым
расходованием выделенных средств;
международное сотрудничество в целях
обеспечения безопасности;
осуществление других мероприятий в
области обеспечения безопасности в
соответствии с законодательством
Российской Федерации.
При этом, осуществление других мероприятий
в области обеспечения безопасности в
соответствии с законодательством
Российской Федерации включат также
мероприятия по лицензированию и
сертификации в области информационной
безопасности.
В настоящее время законодательство
Российской Федерации по лицензированию
и сертификации в области информационной
безопасности состоит из следующих
нормативно-правовых актов.
1. Федеральный закон «О лицензировании
отдельных видов деятельности»
[8].
Федеральный закон регулирует отношения,
возникающие между федеральными органами
исполнительной власти, органами
исполнительной власти субъектов
Российской Федерации, юридическими
лицами и индивидуальными предпринимателями
в связи с осуществлением лицензирования
отдельных видов деятельности в
соответствии с перечнем,Глава 1. Законодательство Российской Федерации по лицензированию и сертификации в области информационной безопасности
7
предусмотренным данным Федеральным
законом.
Действие настоящего Федерального
закона не распространяется
на следующие виды деятельности в
информационной сфере:
деятельность кредитных организаций;
деятельность, связанная с защитой
государственной тайны;
деятельность в области связи;
деятельность в области таможенного
дела;
нотариальная деятельность;
страховая деятельность;
использование результатов интеллектуальной
деятельности;
использование орбитально-частотных
ресурсов и радиочастот для осуществления
телевизионного вещания и радиовещания
(в том числе вещания дополнительной
информации).
2.
Федеральный закон «О техническом
регулировании»
[10].
Данный Федеральный закон регулирует
отношения, определяет права и обязанности
субъектов права, возникающие:
при разработке, принятии, применении
и исполнении обязательных требований
к продукции или к связанным с ними
процессам проектирования (включая
изыскания), производства, строительства,
монтажа, наладки, эксплуатации, хранения,
перевозки, реализации и утилизации;
при разработке, принятии, применении
и исполнении на добровольной основе
требований к продукции, процессам
проектирования (включая изыскания),
производства, строительства, монтажа,
наладки, эксплуатации, хранения,
перевозки, реализации и утилизации,
выполнению работ или оказанию услуг;
при оценке соответствия.
Постановление Правительства
Российской Федерации «О
сертификации средств защиты информации»
[18].
Данное Положение устанавливает порядок
сертификации средств защиты информации
в Российской Федерации и ее учреждениях
за рубежом.
При этом технические, криптографические,
программные и другие средства,
предназначенные для защиты сведений,
составляющих государственную тайну,
средства, в которых они реализованы, а
также средства контроля эффективности
защиты информации являются средствами
защиты информации.
Указанные средства подлежат обязательной
сертификации, которая проводится в
рамках систем сертификации средств
защиты информации. При этом криптографические
(шифровальные) средства должны быть
отечественного производства и выполнены
на основе криптографических алгоритмов,
рекомендованных Федеральной службой
безопасности Российской Федерации.
Постановление Правительства
Российской Федерации «Об организации
лицензирования отдельных видов
деятельности»
[20].
Данным Постановлением утверждены
перечень федеральных органов
8
исполнительной власти, осуществляющих
лицензирование, а также перечень видов
деятельности, лицензирование которых
осуществляется органами исполнительной
власти субъектов Российской Федерации,
и федеральных органов исполнительной
власти, разрабатывающих проекты
положений о лицензировании этих видов
деятельности.
5. Постановление Правительства
Российской Федерации «О лицензировании
деятельности по разработке и (или)
производству средств защиты
конфиденциальной информации»
[23].
Данное Положение определяет порядок
лицензирования деятельности по
разработке и (или) производству средств
защиты конфиденциальной информации,
осуществляемой юридическими лицами и
индивидуальными предпринимателями.
Определены лицензионные требования и
условия при осуществлении деятельности
по разработке и (или) производству
средств защиты конфиденциальной
информации, лицензирование которой
отнесено к компетенции Федеральной
службы по техническому и экспортному
контролю и, отдельно, особые лицензионные
требования и условия при осуществлении
деятельности по разработке и (или)
производству средств защиты
конфиденциальной информации,
лицензирование которой отнесено к
компетенции Федеральной службы
безопасности Российской Федерации.
Постановление Правительства
Российской Федерации «Об утверждении
положений о лицензировании отдельных
видов деятельности, связанных с
шифровальными (криптографическими)
средствами»
[25].
В соответствии с Федеральным законом
«О лицензировании отдельных видов
деятельности» Правительством Российской
Федерации утверждены следующие
регламентирующие документы:
Положение о лицензировании деятельности
по распространению шифровальных
(криптографических) средств;
Положение о лицензировании деятельности
по техническому обслуживанию шифровальных
(криптографических) средств;
Положение о лицензировании предоставления
услуг в области шифрования информации;
Положение о лицензировании разработки,
производства шифровальных
(криптографических) средств, защищенных
с использованием шифровальных
(криптографических) средств информационных
и телекоммуникационных систем.
Положения определяют порядок
лицензирования деятельности, связанной
с шифровальными (криптографическими)
средствами, которая осуществляется
юридическими лицами и индивидуальными
предпринимателями.
Положение о сертификации средств
защиты информации по требованиям
безопасности информации
[44].
Данное Положение введено в действие
приказом Председателя Гостехкомиссии
России от 27 октября 1995 г. № 199.
Зарегистрировано
9
Госстандартом России в Государственном
реестре 20 марта 1995 г. (Свидетельство №
Р0СС RU.0001.0^M00).
Положение определяет организационную
структуру системы сертификации, порядок
проведения сертификации средств защиты
информации и контроля, а также требования
к нормативным и методическим документам
по сертификации средств защиты
информации.
Также в данном Положении приведен
следующий список действующих нормативных
документов, на основании которых и по
которым проводится сертификация
продукции в системе сертификации
Гостехкомиссии России № РОСС
RU.0001.01БИОО:
Документы, регламентирующие общие
требования к техническим средствам
защиты информации от утечки по
техническим каналам, включая средства
контроля эффективности принятых мер
защиты информации, основные и
вспомогательные технические средства
и системы в защищенном исполнении.
Документы, регламентирующие требования
к средствам защиты информации от
перехвата оптических сигналов
(изображений) в видимом, инфракрасном
и ультрафиолетовом диапазонах волн.
Документы, регламентирующие требования
к средствам защиты информации от
перехвата акустических сигналов.
Документы, регламентирующие требования
к средствам защиты информации от
перехвата электромагнитных сигналов,
возникающих при функционировании
объектов защиты.
Документы, регламентирующие требования
к средствам защиты информации от
перехвата электрических сигналов,
распространяющихся в токопроводящих
коммуникациях и являющихся причиной
электромагнитной наводки за счет
побочных электромагнитных излучений
технических средств обработки
информации или следствием эффекта
электроакустического преобразования
сигналов вспомогательными техническими
средствами и системами.
Документы, регламентирующие требования
к средствам защиты информации от
деятельности радиационной разведки.
Документы, регламентирующие требования
к средствам защиты информации от
деятельности химической разведки.
Документы, регламентирующие требования
к средствам защиты информации от
деятельности магнитометрической
разведки.
Документы, регламентирующие требования
к средствам защиты информации от
несанкционированного доступа.
Документы, регламентирующие требования
к средствам защиты информации от
несанкционированного доступа и
подделки документов на основе
оптико-химических технологий.
Документы, регламентирующие требования
к программным средствам защиты
информации.
Документы, регламентирующие требования
к защищенным программным средствам
защиты информации.
10
Документы, регламентирующие требования
к безопасности программных средств
общего назначения.
Документы, регламентирующие требования
к программно- техническим средствам
защиты информации.
Федеральной службой безопасности
Российской Федерации утверждены
следующие административные регламенты
по исполнению государственной функции
по лицензированию деятельности в
области информационной безопасности:
1. Административный регламент
Федеральной службы безопасности
Российской Федерации по исполнению
государственной функции по лицензированию
деятельности по разработке, производству,
реализации и приобретению в целях
продажи специальных технических
средств, предназначенных для негласного
получения информации, индивидуальными
предпринимателями и юридическими
лицами, осуществляющими предпринимательскую
деятельность
(Приложение к приказу ФСБ России от 25
декабря 2008 г. № 635).
Приказ ФСБ России от 25 декабря 2008 г. №
635 «Об утверждении Административного
регламента Федеральной службы
безопасности Российской Федерации по
исполнению государственной функции
по лицензированию деятельности по
разработке, производству, реализации
и приобретению в целях продажи специальных
технических средств, предназначенных
для негласного получения информации,
индивидуальными предпринимателями и
юридическими лицами, осуществляющими
предпринимательскую деятельность»
зарегистрирован в Минюсте России 12
февраля 2009 г., регистрационный № 13306
[36].
Определены сроки и процедура лицензирования
деятельности индивидуальных
предпринимателей и юридических лиц по
разработке, производству, реализации
и приобретению в целях продажи специальных
технических средств, предназначенных
для негласного получения информации.
Государственную функцию по лицензированию
указанной деятельности исполняют Центр
по лицензированию, сертификации и
защите государственной тайны ФСБ
России, а также территориальные органы
безопасности (за исключением УФСБ
России по городу Москве и Московской
области).
В рамках исполнения этой государственной
функции предоставляется и аннулируется
лицензия; продлевается, приостанавливается
и возобновляется ее действие;
переоформляется документ, подтверждающий
наличие лицензии и выдается дубликат
или копия такого документа; ведется
реестр лицензий; предоставляется
выписка из него.
Определен перечень документов,
представляемых соискателем в лицензирующий
орган, а также установлен порядок
проверки выполнения лицензиатом
лицензионных требований и условий.
Срок исполнения государственной функции
по предоставлению
11
лицензии составляет не более 45 дней со
дня поступления в лицензирующий орган
заявления и прилагаемых к нему документов.
Действие лицензии приостанавливается
в срок не позднее 1 дня со дня вступления
в законную силу решения суда. Выписка
из реестра должна предоставляться не
позднее 3 дней с момента поступления
запроса.
Текст приказа опубликован в Бюллетене
нормативных актов федеральных органов
исполнительной власти от 13 апреля 2009
г. № 15.
Административный регламент
Федеральной службы безопасности
Российской Федерации по исполнению
государственной функции по
лицензированию деятельности по
предоставлению услуг в области
шифрования информации
(Приложение к приказу ФСБ России от
16 марта 2009 г. № 104).
Приказ ФСБ России от 16 марта 2009 г. № 104
«Об утверждении Административного
регламента Федеральной службы
безопасности Российской Федерации по
исполнению государственной функции
по лицензированию деятельности по
предоставлению услуг в области шифрования
информации» зарегистрирован в Минюсте
России 23 апреля 2009 г., регистрационный
№ 13820 [37].
Данным документом регламентировано
исполнение государственной функции
по лицензированию деятельности по
предоставлению услуг в области шифрования
информации.
Эта функция исполняется Центром по
лицензированию, сертификации и защите
государственной тайны ФСБ России, а
также территориальными органами
безопасности.
В рамках исполнения функции лицензирующие
органы предоставляют лицензии или
отказывают в их предоставлении,
продлевают срок действия лицензий,
переоформляют документы, подтверждающие
наличие лицензии, приостанавливают и
возобновляют действие лицензий,
аннулируют лицензии, выдают дубликаты
или копии документов, подтверждающих
наличие лицензий, ведут реестр лицензий
и предоставляют из него выписки.
Утвержден перечень документов,
необходимых для исполнения государственной
функции.
Лицензии предоставляются в течение 45
дней со дня поступления соответствующего
заявления, а аннулируются не позднее
1 дня со дня вступления решения суда в
законную силу. Выписки из реестра должны
предоставляться в срок не позднее 3
дней со дня поступления запроса.
Текст приказа опубликован в Бюллетене
нормативных актов федеральных органов
исполнительной власти от 13 июля 2009 г.
№ 28.
Административный регламент
Федеральной службы безопасности
Российской Федерации по исполнению
государственной функции по
лицензированию деятельности по
техническому обслуживанию шифровальных
(криптографических) средств (Приложение
к приказу ФСБ России от 16 марта 2009 г.
№ 105).
Приказ ФСБ России от 16 марта 2009 г. № 105
«Об утверждении Административного
регламента Федеральной службы
безопасности
12
Российской Федерации по исполнению
государственной функции по лицензированию
деятельности по техническому обслуживанию
шифровальных (криптографических)
средств» зарегистрирован в Минюсте
России 14 апреля 2009 г., регистрационный
№ 13753 [38].
Данный Регламент определяет, что
деятельность по техническому обслуживанию
шифровальных (криптографических)
средств подлежит лицензированию.
Лицензии выдаются Центром по
лицензированию, сертификации и защите
государственной тайны ФСБ России, а
также территориальными органами
безопасности.
Лицензирующим органом проводится
проверка возможности выполнения
соискателем лицензии лицензионных
требований и условий. Так, у соискателя
должны иметься помещения, технологическое,
испытательное, контрольно-измерительное
оборудование, иные объекты и сооружения,
необходимые для осуществления
лицензируемой деятельности. Определенные
требования предъявляются к штату
соискателя лицензии.
Срок выдачи лицензии — не более 45 дней
со дня поступления заявления о
предоставлении лицензии и прилагаемых
к нему документов. Форма заявления
приведена в приложении.
Установлен порядок переоформления,
приостановления и аннулирования
лицензий. Регламентировано ведение
реестра лицензий.
Текст приказа опубликован в Бюллетене
нормативных актов федеральных органов
исполнительной власти от 29 июня 2009 г.
№ 26.
4. Административный регламент
Федеральной службы безопасности
Российской Федерации по исполнению
государственной функции по лицензированию
деятельности по распространению
шифрованных (криптографических) средств
(Приложение к приказу ФСБ России от 16
марта 2009 г. № 106).
Приказ ФСБ России от 16 марта 2009 г. № 106
«Об утверждении Административного
регламента Федеральной службы
безопасности Российской Федерации по
исполнению государственной функции
по лицензированию деятельности по
распространению шифровальных
(криптографических) средств»
зарегистрирован в Минюсте России 16
апреля 2009 г., регистрационный № 13789
[39].
Данным документом регламентирован
порядок лицензирования ФСБ России
деятельности по распространению
шифровальных (криптографических)
средств.
Лицензии выдаются Центром по
лицензированию, сертификации и защите
государственной тайны и территориальными
органами ФСБ России. Приведен перечень
документов, необходимых для получения
лицензии.
Решение о выдаче лицензии принимается
не позднее 45 дней со дня поступления
необходимых документов.
Лицензирующий орган проводит плановые
и внеплановые проверки соблюдения
лицензиатом лицензионных требований
и условий. Плановая проверка может
проводиться не чаще 1 раза в 2 года.
Основаниями для
13
внеплановой проверки являются информация
об авариях, изменениях или нарушениях
технологических процессов, выходе из
строя сооружений, оборудования;
возникновение угрозы здоровью и жизни
граждан, загрязнения окружающей среды,
повреждения имущества; жалобы граждан
и организаций на нарушение лицензиатом
установленных требований.
В случае грубого нарушения лицензионных
условий действие лицензии может быть
приостановлено в судебном порядке.
Если выявленные нарушения не были
устранены в установленный срок, лицензия
аннулируется через суд.
Лицензирующий орган ведет реестр
выданных лицензий.
Текст приказа опубликован в Бюллетене
нормативных актов федеральных органов
исполнительной власти от 13 июля 2009 г.
№ 28.
5. Административный регламент
Федеральной службы безопасности
Российской Федерации по исполнению
государственной функции по лицензированию
деятельности по разработке и (или)
производству средств защиты
конфиденциальной информации (Приложение
к приказу ФСБ России от 1 апреля 2009 г. №
123).
Приказ ФСБ России от 1 апреля 2009 г. №
123 «Об утверждении Административного
регламента Федеральной службы
безопасности Российской Федерации по
исполнению государственной функции
по лицензированию деятельности по
разработке и (или) производству средств
защиты конфиденциальной информации»
зарегистрирован в Минюсте России 4 мая
2009 г., регистрационный № 13879 [40].
В документе регламентировано исполнение
ФСБ России государственной функции по
лицензированию деятельности по
разработке и (или) производству средств
защиты конфиденциальной информации.
Лицензирование осуществляется Центром
по лицензированию, сертификации и
защите государственной тайны ФСБ России
(далее — лицензирующий орган) в части
разработки и (или) производства средств
защиты конфиденциальной информации,
устанавливаемых на объектах Администрации
Президента Российской Федерации, Совета
Безопасности Российской Федерации,
Федерального Собрания Российской
Федерации, Правительства Российской
Федерации, Конституционного Суда
Российской Федерации, Верховного Суда
Российской Федерации и Высшего
Арбитражного Суда Российской Федерации.
В рамках исполнения этой государственной
функции предоставляется или аннулируется
лицензия, продлевается срок ее действия,
переоформляется документ, подтверждающий
наличие лицензии, выдается дубликат
такого документа, приостанавливается
или возобновляется действие лицензии,
ведется реестр лицензий и предоставляются
выписки из него.
Приведен перечень документов, подаваемых
соискателем лицензии в лицензирующий
орган вместе с заявлением о предоставлении
(продлении срока действия, переоформлении
документа, подтверждающего наличие)
лицензии.
Лицензия предоставляется в течение 45
дней со дня поступления