Лицензирование деятельности в области защиты государственной тайны. Специальные экспертизы и государственная аттестация руководителей

Постановление Правительства РФ от 15 апреля 1995 г. N 333 "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" в редактировании от 24.09.2010 N 749

Органами, уполномоченными на ведение лицензионной деятельности, являются:

- по допуску предприятий к проведению работ, связанных с использованием сведений, состав­ляющих государственную тайну, - Федеральная служба безопасности Российской Федерации и ее территориальные органы (на территории Российской Федерации), Служба внешней разведки Российской Федерации (за рубежом);

- на право проведения работ, связанных с созданием средств защиты информации, - Федераль­ная Служба по Экспортному и Техническому Контролю Российской Федерации, Федеральная Служба Безопасности Российской Федерации, Служба внешней разведки Российской Федера­ции, Министерство обороны Российской Федерации, (в пределах их компетенции);

- на право осуществления мероприятий и (или) оказания услуг в области защиты государствен­ной тайны - Федеральная служба безопасности Российской Федерации и ее территориальные органы, Федеральная Служба по Экспортному и Техническому Контролю Российской Федера­ции, Служба внешней разведки Российской Федерации (в пределах их компетенции).

Лицензирование деятельности предприятий Федеральной службы безопасности Россий­ской Федерации, Министерства обороны Российской Федерации, Службы внешней разведки Российской Федерации, Федеральной Службы по Экспортному и Техническому Контролю Рос­сийской Федерации по допуску к проведению работ, связанных с использованием сведений, со­ставляющих государственную тайну, осуществляется руководителями министерств и ведомств Российской Федерации, которым подчинены указанные предприятия.

Работа органов, уполномоченных на ведение лицензионной деятельности, координируется Межведомственной комиссией по защите государственной тайны.

Для получения лицензии заявитель представляет в соответствующий орган, уполномоченный на ведение лицензионной деятельности:

а) заявление о выдаче лицензии с указанием:

- наименования и организационно-правовой формы, юридического адреса предприятия, номера его расчетного счета в банке;

- вида деятельности, на осуществление которого должна быть выдана лицензия;

- срока действия лицензии;

б) копии учредительных документов (с предъявлением оригиналов, в случае если копии не заверены нотариусом);

в) копию свидетельства о государственной регистрации предприятия;

г) копии документов, подтверждающих право собственности, право полного хозяйственного ведения и (или) договора аренды на имущество, необходимое для ведения заявленного вида деятельности;

д) справку о постановке на учет в налоговом органе;

е) документ, подтверждающий оплату рассмотрения заявления. Заявитель несет ответственность за достоверность представляемых им сведений. Все документы, представленные для получения лицензии, регистрируются органом, уполномоченным на ведение лицензионной деятельности.

Орган, уполномоченный на ведение лицензионной деятельности, принимает решение о выдаче или об отказе в выдаче лицензии в течение 30 дней со дня получения заявления со всеми необходимыми документами.

В случае необходимости проведения дополнительной экспертизы предприятия решение принимается в 15-дневный срок после получения заключения экспертизы, но не позднее чем через 60 дней со дня подачи заявления о выдаче лицензии и необходимых для этого документов.

В зависимости от сложности и объема подлежащих специальной экспертизе материалов руководитель органа, уполномоченного на ведение лицензионной деятельности, может продлить срок принятия решения о выдаче или об отказе в выдаче лицензии до 30 дней.

Срок действия лицензии устанавливается в зависимости от специфики вида деятельности, но не может быть менее трех и более пяти лет.

По просьбе заявителя лицензии могут выдаваться на срок менее трех лет. Продление срока действия лицензии производится в порядке, установленном для ее получения. На каждый вид деятельности выдается отдельная лицензия. В случае если лицензируемый вид деятельности осуществляется на нескольких территориально обособленных объектах, лицензиату одновременно с лицензией выдаются заверенные копии с указанием местоположения каждого объекта. Копии лицензий регистрируются органом, уполномоченным на ведение лицензионной деятельности. Предприятие может иметь лицензии на несколько видов деятельности. Лицензии оформляются на бланках, имеющих степень защиты, соответствующую степени защиты ценной бумаги на предъявителя. Бланки лицензий являются документами строгой отчетности, имеют учетную серию и номер. Приобретение, учет и хранение бланков лицензий возлагается на органы, уполномоченные на ведение лицензионной деятельности. Лицензия выдается после представления заявителем документа, подтверждающего ее оплату, размер которой равен стоимости бланка лицензии.

Лицензия подписывается руководителем (заместителем руководителя) органа, уполномоченного на ведение лицензионной деятельности, и заверяется печатью этого органа. Копия лицензии хранится в органе, уполномоченном на ведение лицензионной деятельности. Передача лицензии другому юридическому лицу запрещена. В случае реорганизации предприятия, получившего лицензию, изменения его местонахождения или наименования, утраты им лицензии оно обязано в 15-дневный срок подать заявление о переоформлении лицензии.

Переоформление лицензии производится в порядке, установленном для ее получения.

До переоформления лицензии лицензиат осуществляет деятельность на основании ранее выданной лицензии или временного разрешения, выдаваемого органом, уполномоченным на ведение лицензионной деятельности, в случае утраты лицензии.

Орган, уполномоченный на ведение лицензионной деятельности, вправе отказать в выдаче лицензии. Письменное уведомление об отказе в выдаче лицензии с указанием причин отказа направляется заявителю в 3-дневный срок после принятия соответствующего решения.

Специальная экспертиза предприятия проводится путем проверки выполнения требований нормативно-методических документов по режиму секретности, противодействию иностранным техническим разведкам и защите информации от утечки по техническим каналам, а также соблюдения других условий, необходимых для получения лицензии.

Государственными органами, ответственными за организацию и проведение специальных экспертиз предприятий, являются Федеральная служба безопасности Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации, Государственная техническая комиссия при Президенте Российской Федерации, Служба внешней разведки Российской Федерации, другие министерства и ведомства Российской Федерации, руководители которых наделены полномочиями по отнесению к государственной тайне сведений в отношении подведомственных им предприятий.

Организация и порядок проведения специальных экспертиз предприятий определяются инструкциями, которые разрабатываются указанными государственными органами и согласовываются с Межведомственной комиссией.

Для проведения специальных экспертиз эти государственные органы могут создавать аттестационные центры, которые получают лицензии в соответствии с требованиями настоящего Положения.

Специальные экспертизы аттестационных центров проводят Федеральная служба безопасности Российской Федерации, Федеральная служба по техническому и экспортному контролю, Служба внешней разведки Российской Федерации, Министерство обороны Российской Федерации и их органы на местах (в пределах их компетенции).

Специальные экспертизы проводятся на основе договора между предприятием и органом, проводящим специальную экспертизу. Расходы по проведению специальных экспертиз относятся на счет предприятия.

Государственная аттестация руководителей предприятий организуется органами, уполномоченными на ведение лицензионной деятельности, а также министерствами и ведомствами Российской Федерации, руководители которых наделены полномочиями по отнесению к государственной тайне сведений в отношении подведомственных им предприятий. Методические рекомендации по организации и проведению государственной аттестации руководителей предприятий разрабатываются Межведомственной комиссией. Расходы по государственной аттестации руководителей предприятий относятся на счет предприятий. От государственной аттестации освобождаются руководители предприятий, имеющие свидетельство об окончании учебных заведений, уполномоченных осуществлять подготовку специалистов по вопросам защиты информации, составляющей государственную тайну. Перечень указанных учебных заведений утверждается Межведомственной комиссией по представлению органов, уполномоченных на ведение лицензионной деятельности.

Понятие сертификации по российскому законодательству. Правовая регламентация сертификационной деятельности в области защиты информации. Объекты и субъекты сертификационной деятельности их полномочия.

Понятие сертификации по российскому законодательству.

1.2. Система сертификации продукции по требованиям безопасности информации является составной частью системы сертификации продукции в Российской Федерации, действует под управлением Федеральной службой по техническому и экспортному контролю (ФСТЭК России) и подлежит государственной регистрации в установленном Госстандартом России порядке.

1.3. Под сертификацией продукции по требованиям безопасности информации понимается комплекс организационно - технических мероприятий, в результате которых посредством специального документа - сертификата и знака соответствия с определенной степенью достоверности подтверждается, что продукция соответствует требованиям государственных стандартов по безопасности информации или иных нормативных документов, утвержденных ФСТЭК России.

Правовая регламентация сертификационной деятельности в области защиты информации.

1.4. Указанная Система предусматривает сертификацию технических, программно - технических, программных средств, систем, сетей вычислительной техники и связи, средств защиты и средств контроля защищенности информации по требованиям безопасности информации.

При сертификации могут подтверждаться как отдельные характеристики, так и весь комплекс характеристик продукции, связанных с обеспечением безопасности информации.

1.5. При сертификации продукции подтверждается соответствие требованиям:

- по защите информации от несанкционированного доступа (действия), в том числе от компьютерных вирусов;

- по защите информации от ее утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН) и электроакустических преобразований.

1.6. Обязательной сертификации по требованиям безопасности информации подлежат программные продукты, средства и системы вычислительной техники и связи, в том числе иностранного производства, предназначенные для обработки (передачи) информации с ограниченным доступом (в том числе и секретной), для использования в управлении потенциально опасными объектами, а также средства защиты и контроля защищенности такой информации.

Для систем и средств, не подлежащих обязательной сертификации по требованиям безопасности информации, может проводиться добровольная сертификация на условиях договора между заявителем и органом по сертификации.

Добровольную сертификацию в праве осуществлять любое юридическое лицо, взявшее на себя функцию органа по добровольной сертификации и зарегистрировавшее систему сертификации и знак соответствия в Госстандарте России в установленном Госстандартом России порядке.

Орган по добровольной сертификации устанавливает правила проведения работ в системе сертификации, в том числе и порядок их оплаты.

Органы по обязательной сертификации также в праве проводить добровольную сертификацию при соблюдении указанных условий.

1.7. Сертификация продукции по требованиям безопасности информации базируется на действующих в стране:

- системе стандартизации и фонде нормативной документации по безопасности информации;

- системе аккредитации органов по сертификации продукции, органов инспекционного контроля и испытательных центров (лабораторий).

1.8. Основными схемами сертификации продукции по требованиям бе-зопасности информации являются:

а) для единичных образцов продукции - проведение испытаний образцов продукции на соответствие требованиям по безопасности информации;

б) для серийного производства продукции - проведение типовых испытаний образцов продукции на соответствие требованиям по безопасности информации и последующий инспекционный контроль за стабильностью характеристик сертифицированной продукции, обеспечивающих (определяющих) выполнение этих требований. Кроме того, по решению органа по сертификации допускается предварительная проверка производства по утвержденной программе. По согласованию с органом по сертификации по требованиям безопасности информации могут быть использованы и другие схемы сертификации, применяемые в международной практике.

1.9. Испытания проводятся в испытательных центрах (лабораториях), аккредитованных ФСТЭК России.

В отдельных случаях по согласованию с органом по сертификации допускается проведение испытаний на испытательной базе разработчика (изготовителя) продукции. При этом орган по сертификации определяет условия, необходимые для обеспечения объективности результатов испытаний.

1.10. Расходы по проведению всех видов работ и услуг по сертификации продукции по требованиям безопасности информации оплачивают заявители. Оплата производится по утвержденным расценкам, а при их отсутствии - по договорной цене.

1.11. Органы по сертификации и испытательные центры (лаборатории) несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав заявителя при испытаниях его продукции.

Порядок проведения сертификации включает следующие действия:

- подачу и рассмотрение заявки на сертификацию;

- предварительную проверку производства сертифицируемой продукции;

- испытания сертифицируемой продукции;

- оформление, регистрацию и выдачу сертификата соответствия и сертификационной лицензии на право использования знака соответствия;

- признание зарубежных сертификатов соответствия;

- осуществление инспекционного контроля за сертификацией и производством сертифицированной продукции;

- информирование о результатах сертификации;

- рассмотрение апелляций.

4. ТРЕБОВАНИЯ К НОРМАТИВНЫМ ДОКУМЕНТАМНА СЕРТИФИКАЦИЮ ПРОДУКЦИИ

4.1. Отечественная и импортируемая продукция сертифицируется на соответствие требованиям нормативных документов, оговоренных в договоре или контракте.

Стандарты на методы испытаний являются обязательными, если в стандарте на продукцию в части проверки требований, подлежащих обязательной сертификации, установлена ссылка на этот стандарт.

4.2. Нормативные документы для сертификации в области защиты информации определяют органы по сертификации.

4.3. При утверждении нормативных документов на продукцию экспертное заключение о них должно содержать сведения о их пригодности для целей сертификации.

При регистрации нормативных документов, используемых для целей сертификации, на титульном листе рядом с порядковым номером регистрации ставится знак "СП", что означает возможность его использования для целей сертификации в государственной системе сертификации.

4.4. Тексты нормативных документов, используемых при сертификации продукции в рамках системы, должны быть сформулированы ясно и четко, обеспечивая их точное и единообразное толкование. В разделе "Область применения" должно содержаться указание о возможности использования документа (стандарт, технические требования и т.д.) для целей сертификации.

Включаются только те показатели, характеристики и требования, которые могут быть объективно проверены (измерены непосредственно, протестированы, в том числе методом сравнения с эталоном, с получением одинаковых результатов или назначенного результата после свершения каких-либо действий в определенном порядке и т.п.).

Размерность и количественное значение характеристик должны быть заданы таким образом, чтобы имелась возможность для воспроизводимого определения с заданной или известной точностью при испытаниях.

4.5. Должны быть установлены в специальном разделе или путем ссылки на другой нормативный документ методы, условия, объем и порядок испытаний для определения показателей, характеристик и требований, проверяемых при сертификации. Содержание и изложение этих сведений должны быть таковы, чтобы свести к минимуму погрешности результатов испытаний и позволить квалифицированному персоналу любой испытательной лаборатории получать сопоставимые результаты. Должна быть указана последовательность проведения испытаний, если эта последовательность влияет на результаты испытаний.

4.6. В разделе "Маркировка" должны содержаться требования, которые обеспечивают однозначную идентификацию продукции, а также указания о способе нанесения знака соответствия, если предусматривается его использование.

Объекты и субъекты сертификационной деятельности их полномочия.

2.1. Организационную структуру системы сертификации продукции по требованиям безопасности информации образуют:

- государственные органы по сертификации продукции по требованиям безопасности информации;

- аккредитованные органы по сертификации продукции по требованиям безопасности информации;

- аккредитованные испытательные центры (лаборатории);

- заявители (разработчики, изготовители, поставщики продукции).

2.2. Государственными органами по сертификации продукции по требованиям безопасности информации является ФСТЭК России, которая в пределах своей компетенции осуществляет следующие функции:

- организуют введение обязательной сертификации продукции по требованиям безопасности информации;

- организуют и финансируют разработку основополагающих организационно - распорядительных и методических документов системы сертификации по требованиям безопасности информации;

- утверждают документы, устанавливающие порядок сертификации конкретных видов продукции по требованиям безопасности информации;

- утверждают нормативные документы на сертифицируемую продукцию;

- проводят аккредитацию органов по сертификации продукции;

- проводят аккредитацию испытательных центров (лабораторий) совместно с органами по сертификации продукции;

- признают иностранные сертификаты соответствия; - ведут Государственный Реестр Системы по сертификации, аккредитации и испытаниям;

- регистрируют и аннулируют сертификаты соответствия;

- организуют периодическую публикацию информации по сертификации;

- осуществляют взаимодействие с соответствующими уполномоченными органами других стран и международных организаций по вопросам сертификации;

- осуществляют государственный контроль и надзор и устанавливают порядок инспекционного контроля за соблюдением правил сертификации и за сертифицированной продукцией;

- рассматривают спорные вопросы, возникающие в процессе сертификации.

- организуют подготовку и аттестацию экспертов-аудиторов.

ФСТЭК России и Федеральная служба охраны могут передавать некоторые из своих функций государственного органа по сертификации продукции по требованиям безопасности информации отдельным аккредитованным органам по сертификации.

2.3. Органы по сертификации продукции по требованиям безопасности информации и испытательные центры (лаборатории) аккредитуются соответственно ФСТЭК России и Федеральной службы охраны.

В качестве таких органов могут быть назначены отраслевые, региональные научно - технические центры по защите информации, а также организации, предприятия, компетентные в выбранном направлении сертификации.

Организации, испытательные центры (лаборатории), которые претендуют на аккредитацию в Системе, должны обладать необходимой компетенцией, иметь статус юридического лица и быть независимыми настолько, чтобы их административная подчиненность, финансовое положение полностью исключали возможность коммерческого, административного или какого-либо другого воздействия на персонал, способность оказать влияние на результаты сертификации и испытаний со стороны заявителя или других заинтересованных сторон.

2.4. Орган по сертификации продукции по требованиям безопасности информации осуществляет следующие функции:

- сертифицирует продукцию, выдает сертификаты и лицензии на применение знака соответствия;

- участвует в аккредитации испытательных центров (лабораторий);

- осуществляет инспекционный контроль за стабильностью характеристик сертифицированной продукции и состоянием ее производства, а также за деятельностью испытательных центров (лабораторий);

- совместно с государственным органом по сертификации принимает участие в аттестации производства, на котором производится сертифицируемая продукция;

- организует предварительную проверку производства сертифицируемой продукции;

- определяет схему проведения сертификации с учетом предложения заявителя;

- рекомендует заявителю испытательный центр (лабораторию) для проведения испытаний;

- организует разработку стандартов и иной нормативной и организационно-распорядительной документации.

2.5. Испытательный центр (лаборатория) осуществляет следующие функции:

- проводит испытания образцов сертифицируемой продукции;

- участвует в предварительной проверке производства сертифицируемой продукции.

Испытательные центры (лаборатории) несут ответственность за полноту испытаний продукции и достоверность результатов.

2.6. Заявители:

- обеспечивают соответствие продукции требованиям нормативных документов по безопасности информации;

- вступают в договорные отношения с органом по сертификации данной продукции и рекомендованными испытательными центрами (лабораториями);

- осуществляют подготовку производства и принимают меры для обеспечения стабильности характеристик продукции, определяющих безопасность информации;

- незамедлительно извещают орган по сертификации, выдавший сертификат соответствия и сертификационную лицензию, о всех изменениях в технологии, конструкции (составе) продукции, которые могут оказать влияние на стабильность характеристик сертифицированной продукции;

- при обнаружении несоответствия сертифицированной продукции требованиям стандартов осуществляют мероприятия по ее доработке.