- •Глава 1. Законодательство Российской Федерации по лицензированию и сертификации в области информационной безопасности
- •Административный регламент Федеральной службы безопасности Российской Федерации по исполнению государственной функции по лицензированию деятельности по выявлению электронных
- •Глава 2. Лицензионная и сертификационная деятельности в области защиты информации
- •Глава 3. Органы лицензирования и их полномочия
- •Глава 4. Объекты сертификационной деятельности
- •Глава 5. Органы сертификации и их полномочия
18
Законодательством Российской Федерации
определено, что защита информации
представляет собой принятие правовых,
организационных и технических мер
[11], направленных на:
обеспечение защиты информации от
неправомерного доступа, уничтожения,
модифицирования, блокирования,
копирования, предоставления,
распространения, а также от иных
неправомерных действий в отношении
такой информации;
соблюдение конфиденциальности
информации ограниченного
доступа,
реализацию права на доступ
к информации.
Нормы и требования российского
законодательства в области лицензирования
и сертификации включают в себя положения
ряда нормативных правовых актов
Российской Федерации различного уровня.
При этом лицензирование
- это мероприятия, связанные с
предоставлением лицензий, переоформлением
документов, подтверждающих наличие
лицензий, приостановлением действия
лицензий в случае административного
приостановления деятельности лицензиатов
за нарушение лицензионных требований
и условий, возобновлением или прекращением
действия лицензий, аннулированием
лицензий, контролем лицензирующих
органов за соблюдением лицензиатами
при осуществлении лицензируемых видов
деятельности соответствующих лицензионных
требований и условий, ведением реестров
лицензий, а также с предоставлением в
установленном порядке заинтересованным
лицам сведений из реестров лицензий и
иной информации о лицензировании [8].
С целью единообразного понимания
сущности правового регулирования
лицензируемых видов деятельности,
единства терминологического поля,
взаимопонимания производителей,
потребителей, экспертов и других
заинтересованных лиц Федеральным
законом «О лицензировании отдельных
видов деятельности» установлены
следующие понятия:
лицензия — специальное разрешение на
осуществление конкретного вида
деятельности при обязательном соблюдении
лицензионных требований и условий,
выданное лицензирующим органом
юридическому лицу или индивидуальному
предпринимателю;
лицензируемый вид деятельности — вид
деятельности, на осуществление которого
на территории Российской Федерации
требуется получение лицензии в
соответствии с настоящим Федеральным
законом;
лицензионные требования и условия —
совокупность установленных положениями
о лицензировании конкретных видов
деятельности требований и условий,
выполнение которых лицензиатом
обязательно при осуществлении
лицензируемого вида деятельности.Глава 2. Лицензионная и сертификационная деятельности в области защиты информации
19
При этом основными принципами
(принцип — от лат.
principium
—
начало) осуществления
лицензирования являются:
обеспечение единства экономического
пространства на территории Российской
Федерации;
установление единого перечня
лицензируемых видов деятельности;
установление единого порядка
лицензирования на территории Российской
Федерации;
установление лицензионных требований
и условий положениями о лицензировании
конкретных видов деятельности;
гласность и открытость лицензирования;
соблюдение законности при осуществлении
лицензирования.
Федеральный закон «О лицензировании
отдельных видов
деятельности» направлен на установление
отсутствовавших ранее единых норм
правового обеспечения в сфере
лицензирования, упрощение порядка
лицензирования и сокращение перечня
лицензируемых видов деятельности.
В соответствии со ст. 4 Федерального
закона лицензирование является
исключительной мерой государственного
регулирования и используется только
в тех случаях, когда такое регулирование
не может осуществляться иными методами.
При этом законодательством Российской
Федерации установлены критерии
определения лицензируемых видов
деятельности [8].
Критерий (от греч.
kriterion
- средство для решения) — это признак,
на основании которого производятся
оценка, определение, классификация
чего- нибудь, мерило [49].
Можно выделить два критерия,
т. е. основания введения процедур
лицензирования применительно к
отдельным видам деятельности,
исчерпывающий перечень которых
содержится в ст. 17 Федерального закона
«О лицензировании отдельных видов
деятельности».
Первый критерий — это потенциальная
возможность нанесения ущерба правам,
законным интересам, здоровью граждан,
обороне и безопасности государства,
культурному наследию народов Российской
Федерации. Это основание введения
лицензирования и установления особого
порядка его осуществления применительно
к определенным видам деятельности
является, с другой стороны, и целью
осуществления такого лицензирования.
Второй критерий определения лицензируемых
видов деятельности — это невозможность
осуществления государственного
регулирования потенциально опасных
видов деятельности иными методами,
кроме как лицензированием [8].
К иным государственно-разрешительным
методам относятся, прежде всего,
государственная регистрация (несколько
видов), сертификация, стандартизация,
квотирование.
В соответствии с действующим Федеральным
законом лицензированию
подлежат следующие виды деятельности
в информационной сфере [8]:
20
деятельность по распространению шифровальных
(криптографических) средств;
деятельность по техническому обслуживанию
шифровальных (криптографических)
средств;
предоставление услуг в области
шифрования информации;
разработка, производство шифровальных
(криптографических) средств, защищенных
с использованием шифровальных
(криптографических) средств информационных
систем, телекоммуникационных систем;
деятельность по выявлению электронных
устройств, предназначенных для негласного
получения информации, в помещениях и
технических средствах (за исключением
случая, если указанная деятельность
осуществляется для обеспечения
собственных нужд юридического лица
или индивидуального предпринимателя);
деятельность по разработке и (или)
производству средств защиты
конфиденциальной информации;
деятельность по технической защите
конфиденциальной информации;
разработка, производство, реализация
и приобретение в целях продажи специальных
технических средств, предназначенных
для негласного получения информации,
индивидуальными предпринимателями и
юридическими лицами, осуществляющими
предпринимательскую деятельность;
деятельность по изготовлению защищенной
от подделок полиграфической продукции,
в том числе бланков ценных бумаг, а
также торговля указанной продукцией;
деятельность по изготовлению экземпляров
аудиовизуальных произведений, программ
для электронных вычислительных машин
(программ для ЭВМ), баз данных и фонограмм
на любых видах носителей (за исключением
случаев, если указанная деятельность
самостоятельно осуществляется лицами,
обладающими правами на использование
указанных объектов авторских и смежных
прав в силу федерального закона или
договора).
Введение лицензирования
других видов деятельности возможно
только путем внесения дополнений в
предусмотренный Федеральным законом
«О лицензировании отдельных видов
деятельности» перечень видов
деятельности, на осуществление которых
требуются лицензии.
Определение работ и услуг по лицензируемым
видам деятельности в подзаконных актах
не допускается. Исключается противоречащая
принципу единства порядка лицензирования
норма о нераспространении установленного
Законом порядка лицензирования на те
виды деятельности, лицензирование
которых установлено иными, вступившими
ранее в силу федеральными законами.
Гласность и открытость лицензирования
как основной принцип позволяет
осуществлять контроль деятельности,
как лицензирующих
21
органов, так и государственных и
общественных органов и организаций.
Гласность и открытость лицензирования
реализуются несколькими методами.
Во-первых, речь идет об обязательном
опубликовании всех нормативных правовых
актов, посвященных лицензированию.
Конституционная основа этого принципа
— ч. 3 ст. 15, в соответствии с которой
законы и любые иные нормативные правовые
акты, затрагивающие права, свободы и
обязанности человека и гражданина, не
могут применяться, если они не опубликованы
официально для всеобщего сведения [1].
С другой стороны, гласность и открытость
лицензирования означают, что лицензирующие
органы ведут реестры лицензий на виды
деятельности, лицензирование которых
они осуществляют, а информация,
содержащаяся в реестре лицензий,
является открытой для ознакомления с
ней физических и юридических лиц.
Реестры создаются в целях регистрации,
учета, надзора и контроля за состоянием
соответствующих объектов и составляют
государственные информационные ресурсы.
Информация, содержащаяся в реестре
лицензий, в виде выписок о конкретных
лицензиатах предоставляется органам
государственной власти и органам
местного самоуправления, а также
физическим и юридическим лицам бесплатно.
Срок предоставления информации из
реестра лицензий не может превышать
три дня со дня поступления соответствующего
заявления.
Также в настоящее время законодательством
Российской Федерации установлен порядок
лицензирования деятельности предприятий,
учреждений и организаций независимо
от их организационно-правовых форм
(далее именуются — предприятия) по
проведению работ, связанных с
использованием сведений, составляющих
государственную тайну, созданием
средств защиты информации, а также с
осуществлением мероприятий и (или)
оказанием услуг по защите государственной
тайны.
Центральным нормативным правовым актом
в этой области является утвержденное
постановлением Правительства Российской
Федерации от 15 апреля 1995 г. № 333 (с
изменениями от 23 апреля 1996 г., 30 апреля
1997 г., 29 июля 1998 г., 3 октября 2002 г., 17
декабря 2004 г., 26 января 2007 г., 22 мая 2008
г., 31 марта, 24 сентября 2010 г.) Положение
о лицензировании деятельности
предприятий, учреждений и организаций
по проведению работ, связанных с
использованием сведений, составляющих
государственную тайну, созданием
средств защиты информации, а также с
осуществлением мероприятий и (или)
оказанием услуг по защите государственной
тайны
Органами, уполномоченными
на ведение лицензионной деятельности
в сфере государственной тайны, являются:
— по допуску предприятий к проведению
работ, связанных с использованием
сведений, составляющих государственную
тайну, — Федеральная служба безопасности
Российской Федерации и ее территориальные
органы (на территории Российской
Федерации), Служба внешней разведки
Российской Федерации (за рубежом);
22
на право проведения работ, связанных
с созданием средств защиты информации,
— Федеральная служба по техническому
и экспортному контролю, Служба внешней
разведки Российской Федерации,
Министерство обороны Российской
Федерации, Федеральная служба
безопасности Российской Федерации (в
пределах их компетенции);
на право осуществления мероприятий и
(или) оказания услуг в области защиты
государственной тайны — Федеральная
служба безопасности Российской
Федерации и ее территориальные органы,
Федеральная служба по техническому и
экспортному контролю, Служба внешней
разведки Российской Федерации (в
пределах их компетенции).
Работы, связанные с использованием
сведений, составляющих гостайну,
созданием средств защиты информации,
а также с осуществлением мероприятий
и (или) оказанием услуг по защите
гостайны, подлежат лицензированию.
Приказом ФСБ России от 27 февраля 2009 г.
№ 75 утвержден Административный регламент
Федеральной службы безопасности
Российской Федерации по исполнению
государственной функции по лицензированию
деятельности предприятий, учреждений
и организаций по проведению работ,
связанных с использованием сведений,
составляющих государственную тайну,
созданием средств защиты информации,
а также с осуществлением мероприятий
и (или) оказанием услуг по защите
государственной тайны,
При этом пользователями государственной
функции являются предприятия,
предполагающие проводить работы,
связанные с использованием сведений,
составляющих государственную тайну,
созданием средств защиты информации,
а также с осуществлением мероприятий
и (или) оказанием услуг по защите
государственной тайны.
Лицензии на проведение таких работ
выдаются Центром по
лицензированию, сертификации и защите
государственной тайны ФСБ России,
а также территориальными органами
безопасности, за исключением работ,
связанных с созданием средств защиты
информации.
Лицензии выдаются на основании
результатов специальных экспертиз
организаций-заявителей и государственной
аттестации их руководителей, ответственных
за защиту сведений, составляющих
государственную тайну.
В ходе проведения таких экспертиз
проверяется выполнение заявителем
требований нормативно-методических
документов по режиму секретности,
противодействию иностранным техническим
разведкам и защите информации от утечки
по техническим каналам, а также соблюдения
других условий, необходимых для получения
лицензии. Государственная аттестация
руководителей проводится методом
собеседования.
Срок действия лицензии
устанавливается в зависимости от
специфики вида деятельности, но не
может быть менее 3 и более 5 лет. По
просьбе заявителя лицензии могут
выдаваться на срок менее 3 лет.
Установлен порядок приостановления,
аннулирования, возобновления и
переоформления лицензии.
23
За предоставление лицензирующим органом
лицензии, переоформление документа,
подтверждающего наличие лицензии,
выдачу дубликата документа, подтверждающего
наличие лицензии, и продление срока
действия лицензии уплачивается
государственная пошлина в размерах и
порядке, которые установлены
законодательством Российской Федерации
о налогах и сборах
Под сертификацией в Российской Федерации
понимают форму осуществляемого органом
по сертификации подтверждения
соответствия объектов требованиям
технических регламентов, положениям
стандартов, сводов правил или условиям
договоров [10].
Федеральным законом «О техническом
регулировании» установлены следующие
понятия [10]:
технический регламент
— документ, который принят международным
договором Российской Федерации,
ратифицированным в порядке, установленном
законодательством Российской Федерации,
или межправительственным соглашением,
заключенным в порядке, установленном
законодательством Российской Федерации,
или федеральным законом, или указом
Президента Российской Федерации, или
постановлением Правительства Российской
Федерации и устанавливает обязательные
для применения и исполнения требования
к объектам технического регулирования
(продукции, в том числе зданиям, строениям
и сооружениям или к связанным с
требованиями к продукции процессам
проектирования (включая изыскания),
производства, строительства, монтажа,
наладки, эксплуатации, хранения,
перевозки, реализации и утилизации);
стандарт — документ,
в котором в целях добровольного
многократного использования
устанавливаются характеристики
продукции, правила осуществления и
характеристики процессов проектирования
(включая изыскания), производства,
строительства, монтажа, наладки,
эксплуатации, хранения, перевозки,
реализации и утилизации, выполнения
работ или оказания услуг. Стандарт
также может содержать правила и методы
исследований (испытаний) и измерений,
правила отбора образцов, требования
к терминологии, символике, упаковке,
маркировке или этикеткам и правилам
их нанесения;
свод правил — документ в области
стандартизации, в котором содержатся
технические правила и (или) описание
процессов проектирования (включая
изыскания), производства, строительства,
монтажа, наладки, эксплуатации, хранения,
перевозки, реализации и утилизации
продукции и который применяется на
добровольной основе;
подтверждение соответствия —
документальное удостоверение
соответствия продукции или иных
объектов, процессов проектирования
(включая изыскания), производства,
строительства, монтажа, наладки,
эксплуатации, хранения, перевозки,
реализации и утилизации, выполнения
работ или оказания услуг требованиям
технических регламентов, положениям
стандартов, сводов правил или условиям
договоров;
24
сертификат соответствия — документ,
удостоверяющий соответствие объекта
требованиям технических регламентов,
положениям стандартов, сводов правил
или условиям договоров;
оценка соответствия — прямое или
косвенное определение соблюдения
требований, предъявляемых к объекту.
При этом основными принципами
подтверждения соответствия являются
следующие принципы:
доступность информации о порядке
осуществления подтверждения соответствия
заинтересованным лицам;
недопустимость применения обязательного
подтверждения соответствия к объектам,
в отношении которых не установлены
требования технических регламентов;
установления перечня форм и схем
обязательного подтверждения соответствия
в отношении определенных видов продукции
в соответствующем техническом
регламенте;
уменьшения сроков осуществления
обязательного подтверждения соответствия
и затрат
заявителя;
недопустимость принуждения к
осуществлению добровольного подтверждения
соответствия, в том числе в определенной
системе добровольной сертификации;
защита имущественных интересов
заявителей, соблюдения коммерческой
тайны в отношении сведений, полученных
при осуществлении подтверждения
соответствия;
недопустимость подмены обязательного
подтверждения соответствия добровольной
сертификацией.
Подтверждение соответствия разрабатывается
и применяется равным образом и в равной
мере независимо от страны и (или) места
происхождения продукции, осуществления
процессов проектирования (включая
изыскания), производства, строительства,
монтажа, наладки, эксплуатации, хранения,
перевозки, реализации и утилизации,
выполнения работ и оказания услуг,
видов или особенностей сделок и (или)
лиц, которые являются изготовителями,
исполнителями, продавцами, приобретателями.
Подтверждение соответствия на территории
Российской Федерации может носить
добровольный или обязательный характер.
Добровольное подтверждение соответствия
осуществляется в форме добровольной
сертификации.
Обязательное подтверждение соответствия
осуществляется в следующих формах:
принятия декларации о соответствии;
обязательной
сертификации.
Федеральным законом «О техническом
регулировании» определены особенности
технического регулирования в отношении
оборонной продукции (работ, услуг),
поставляемой по государственному
оборонному заказу, продукции (работ,
услуг), используемой в целях защиты
сведений,
25
составляющих государственную тайну
или относимых к охраняемой в соответствии
с законодательством Российской Федерации
иной информации ограниченного доступа,
а также продукции (работ, услуг), сведения
о которой составляют государственную
тайну.
Особенности технического регулирования
указанных объектов заключаются в
следующем:
к объектам действия обязательных
требований отнесены работы и услуги;
на указанные объекты обязательные
требования могут быть установлены
следующими способами:
техническими регламентами;
федеральными органами исполнительной
власти, являющимися в пределах своей
компетенции государственными заказчиками
оборонного заказа и государственным
контрактом;
государственным контрактом.
Учитывая особую значимость указанной
продукции, Закон предусматривает особый
порядок разработки, принятия, применения
технических регламентов, документов
о ее стандартизации, а также особый
порядок проведения оценки соответствия.
При этом Федеральным законом от 1 мая
2007 г. № 65-ФЗ «О внесении изменений в
Федеральный закон «О техническом
регулировании» четко распределены и
закреплены полномочия по установлению
особенностей технического регулирования,
стандартизации и подтверждения
соответствия указанной продукции.
Разработанные в особом порядке
обязательные требования не должны
противоречить требованиям технических
регламентов, принятых на аналогичную
продукцию гражданского назначения.
Порядок применения форм обязательного
подтверждения соответствия устанавливается
Федеральным законом [10].
Порядок сертификации средств защиты
информации в Российской Федерации и
ее учреждениях за рубежом устанавливает
Правительство Российской Федерации
[18].
При этом технические, криптографические,
программные и другие средства,
предназначенные для защиты сведений,
составляющих государственную тайну,
средства, в которых они реализованы, а
также средства контроля эффективности
защиты информации являются средствами
защиты информации.
Указанные средства подлежат обязательной
сертификации, которая проводится в
рамках систем сертификации средств
защиты информации. В этом случае
криптографические (шифровальные)
средства должны быть отечественного
производства и выполнены на основе
криптографических алгоритмов,
рекомендованных Федеральной службой
безопасности Российской Федерации
[6].
Законодательством Российской Федерации
установлено, что средства защиты
информации должны иметь сертификат,
удостоверяющий их соответствие
требованиям по защите сведений
соответствующей степени
26
секретности [5].
При этом под сертификацией средств
технической защиты информации на
соответствие требованиям по безопасности
информации рекомендовано понимать
деятельность органа по сертификации
по подтверждению соответствия средств
технической защиты информации требованиям
технических регламентов, положениям
стандартов или условиям договоров
[30].
Организация сертификации средств
защиты информации возлагается на
федеральный орган исполнительной
власти, уполномоченный в области
противодействия техническим разведкам
и технической защиты информации,
федеральный орган исполнительной
власти, уполномоченный в области
обеспечения безопасности и федеральный
орган исполнительной власти, уполномоченный
в области обороны, в соответствии с
функциями, возложенными на них
законодательством Российской Федерации.
Система сертификации средств защиты
информации представляет собой
совокупность участников сертификации,
осуществляющих ее по установленным
правилам (далее именуется — система
сертификации).
Системы сертификации создаются
Федеральной службой по техническому
и экспортному контролю, Федеральной
службой безопасности Российской
Федерации и Министерством обороны
Российской Федерации, уполномоченными
проводить работы по сертификации
средств защиты информации в пределах
компетенции, определенной для них
законодательными и иными нормативными
актами Российской Федерации1.
Сертификация осуществляется на основании
требований государственных стандартов
Российской Федерации и иных нормативных
документов, утверждаемых Правительством
Российской Федерации. Положение о
сертификации средств защиты информации
утверждено постановлением Правительства
Российской Федерации [18].
Сертификация средств защиты информации
осуществляется на основании требований
государственных стандартов, нормативных
документов, утверждаемых Правительством
Российской Федерации и федеральными
органами по сертификации в пределах
их компетенции.
27
Координацию работ по организации
сертификации средств защиты информации
осуществляет Межведомственная комиссия
по защите государственной тайны. В
каждой системе сертификации разрабатываются
и согласовываются с Межведомственной
комиссией положение об этой системе
сертификации, а также перечень средств
защиты информации, подлежащих
сертификации, и требования, которым
эти средства должны удовлетворять.
При возникновении спорных вопросов в
деятельности участников сертификации
заинтересованная сторона может подать
апелляцию в орган по сертификации
средств защиты информации, в центральный
орган системы сертификации, в федеральный
орган по сертификации или в Межведомственную
комиссию. Указанные организации в
месячный срок рассматривают апелляцию
с привлечением заинтересованных сторон
и извещают подателя апелляции о принятом
решении.