Лицензирование деятельности по защите информации

Общие нормы, устанавливающие порядок организации и осуществления этой деятельности, содержатся в статье 27 Закона "О государственной тайне".

Обратим внимание на несколько принципиальных положений данной статьи:

а) лицензия выдается только на основании результатов специальной
экспертизы - иными словами, проверки готовности организации к работе со
сведениями, составляющими государственную тайну;

б) требуется наличие в структуре организации подразделения по
защите государственной тайны и специально подготовленных сотрудников
для работы по защите информации;

в) требуется наличие в организации сертифицированных средств защиты информации;

г) необходима государственная аттестация руководителей организации, ответственных за защиту сведений, составляющих государственную тайну.

Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, действующее в настоящее время, утверждено Постановлением Правительства Российской Федерации от 15.04.95 г. № 333.

Данным Положением, в частности, установлено:

Лицензия является официальным документом, который разрешает осуществление на определенных условиях конкретного вида деятельности в течение установленного срока. Лицензия действительна на всей территории Российской Федерации, а также в учреждениях Российской Федерации, находящихся за границей.

Органами, уполномоченными на ведение лицензионной деятельности,являются:

по допуску предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну, -Федеральная служба безопасности Российской Федерации и ее территориальные органы (на территории Российской Федерации), Служба внешней разведки Российской Федерации (за рубежом);

на право проведения работ, связанных с созданием средств защитыинформации, - Государственная техническая комиссия при Президенте РФ (Гостехкомиссия), Федеральное агентство правительственной связи и информации при Президенте РФ (в пределах их компетенции);

на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны — Федеральная служба безопасности Российской Федерации и ее территориальные органы, Федеральное агентство правительственной связи и информации при Президенте РФ (ФАПСИ), Гостехкомиссия, Служба внешней разведки РФ (в пределах их компетенции).

Лицензирование деятельности предприятий Федеральной службы безопасности РФ, Министерства обороны РФ, ФАПСИ, Федеральной пограничной службы Российской Федерации, Службы внешней разведки Российской Федерации Гостехкомиссии по допуску к проведению работ, связанных с использованием сведений, составляющих государственную тайну, осуществляется руководителями министерств и ведомств РФ, которым подчинены указанные предприятия.

Срок действия лицензии устанавливается в зависимости от специфики вида деятельности, но не может быть менее трех и более пяти лет.

Продление срока действия лицензии производится в порядке, установленном для ее получения. На каждый вид деятельности выдается отдельная лицензия.

Основанием для отказа в выдаче лицензии является:

Ø наличие в документах, представленных заявителем, недостоверной или искаженной информации;

Ø отрицательное заключение экспертизы, установившей несоответствие необходимым для осуществления заявленного вида деятельности условиям;

Ø отрицательное заключение по результатам государственной аттестации руководителя предприятия.

Специальные экспертизы предприятий выполняются по следующим направлениям:

а) режим секретности;

б) противодействие иностранной технической разведке;

в) защита информации от утечки по техническим каналам.
Экспертные комиссии формируются при Федеральной службе безопасности РФ в территориальных органах безопасности, Гостехкомиссии, ФАПСИ и их органах на местах и аттестационных центрах.

В настоящее время заниматься лицензированием и сертификацией в области защиты информации в нашей стране поручено двум ведомствам -ФАПСИ и Гостехкомиссии.

Система лицензирования ФАПСИ построена на следующих основных принципах:

1. Лицензирование в области ЗИ является обязательным.

2.Деятельность в области ЗИ физических и юридических лиц, не прошедших лицензирование, запрещена (с применением соответствующих статей ГК и УК к нарушителям).

З.Лицензирование в области ЗИ осуществляется ФАПСИ.

4.Лицензии на право деятельности в области ЗИ выдаются ФАПСИ только юридическим лицам независимо от организационно - правовой формы (физические лица не в состоянии удовлетворить требованиям ФАПСИ).

5.Лицензии выдаются только предприятиям, зарегистрированным на территории РФ.

6.Лицензии ФАПСИ выдаются только на основании специальной экспертизы заявителя на соответствие предъявляемым к предприятию требованиям и аттестации руководителя предприятия.

7.Для получения лицензии предприятие обязано предъявить определенный перечень документов.

К заявлению на получение лицензии необходимо приложить, например, следующие документы:

-копия свидетельства о государственной регистрации предприятия;

-копии учредительных документов, заверенных нотариусом;

-копии документов на право собственности или аренды имущества, необходимого для ведения заявленной деятельности;

-справка налогового органа о постановке на учет;

-представление органов государственной власти РФ с ходатайством о выдаче лицензии;

-документ, подтверждающий оплату рассмотрения заявления.

Проведение экспертизы осуществляется экспертными комиссиям* Лицензионного центра ФАПСИ либо аттестационными центрами.

Например, к коммерческому банку, претендующему на получение лицензии на эксплуатацию шифровальных средств для защиты конфиденциальной информации, ФАПСИ предъявляет требования по:

Ø наличию и составу необходимых аппаратно-программных средств и помещений;

Ø размещению, охране и специальному оборудованию помещений, в которых находятся средства криптографической ЗИ;

Ø обеспечению режима и порядка доступа к средствам криптографической ЗИ;

Ø обеспечению необходимой технической и эксплуатационной документацией;

Ø уровню квалификации и подготовленности специалистов в области защиты и эксплуатации автоматизированных систем (АС);

Ø режиму эксплуатации и хранения средств криптографической ЗИ.

Система лицензирования ФАПСИ обеспечивает в отношении АС выполнение 3 основных требований к защищаемой информации:

-доступность;

-целостность;

-конфиденциальность.

Лицензирование в области производства средств ЗИ и на предмет предоставления услуг в области ЗИ производится по тем же принципам, за исключением того, что не во всех случаях здесь речь идет о работе со сведениями, составляющими государственную тайну. Поэтому при производстве средств ЗИ прежде всего проверяется научный и технологический потенциал, имеющийся у предприятия-производителя, другие производственные факторы, а также наличие и действенность системы безопасности. По организациям, оказывающим услуги в области ЗИ, может идти речь о мероприятиях по проверке компьютерной и оргтехники в отношении опасных в информационном плане излучений и наличия несанкционированных устройств, проверке помещений на предмет наличия в них устройств скрытого съема информации и т.д.