1 Вопросы лицензирования деятельности организаций по технической защите конфиденциальной информации Заместитель начальника отдела лицензирования ФСТЭК России М.Ю. Старченко

2 ЛИЦЕНЗИРОВАНИЕ - мероприятия, связанные с предоставлением лицензий, переоформлением документов, подтверждающих наличие лицензий, приостановлением действия лицензий в случае административного приостановления деятельности лицензиатов за нарушение лицензионных требований и условий, возобновлением или прекращением действия лицензий, аннулированием лицензий, контролем лицензирующих органов за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности соответствующих лицензионных требований и условий, ведением реестров лицензий, а также с предоставлением в установленном порядке заинтересованным лицам сведений из реестров лицензий и иной информации о лицензировании

3 НОРМАТИВНО-ПРАВОВАЯ БАЗА ЛИЦЕНЗИРОВАНИЯ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ 1. Федеральный закон от 8 августа 2001 г. 128-ФЗ «О лицензировании отдельных видов деятельности» 2. Федеральный закон от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и о защите информации» 3. Указ Президента Российской Федерации от 6 марта 1997 г. 188 «Об утверждении перечня сведений конфиденциального характера» 4. Постановление Правительства Российской Федерации от 26 января 2006 г. 45 «Об организации лицензирования отдельных видов деятельности» 45 «Об организации лицензирования отдельных видов деятельности» 5. Постановление Правительства Российской Федерации от 15 августа 2006 г. 504 «О лицензировании деятельности по технической защите конфиденциальной информации» 504 «О лицензировании деятельности по технической защите конфиденциальной информации» 6. Постановление Правительства Российской Федерации от 11 апреля 2006 г. 208 «Об утверждении формы бланка документа, подтверждающего наличие лицензии» 208 «Об утверждении формы бланка документа, подтверждающего наличие лицензии» 7. Приказ ФСТЭК России от 28 августа 2007 г. 181 «Об утверждении Административного регламента ФСТЭК России об исполнении государственной функции по лицензированию деятельности по технической защите конфиденциальной информации»

4 Постановление Правительства Российской Федерации 504 «О лицензировании деятельности по технической защите конфиденциальной информации» Перечень лицензионных требований и условий, предъявляемых к соискателям лицензии (лицензиатам) Перечень документов и сведений, которые необходимо представить для получения лицензии Порядок рассмотрения заявлений и принятия по ним решений Порядок продления срока действия, переоформления, приостановления действия, аннулирования лицензии Определение грубых нарушений лицензионных требований и условий

5 Постановление Правительства Российской Федерации 504 «О лицензировании деятельности по технической защите конфиденциальной информации» П. 2. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней

6 Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются: а) наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации, либо имеющих высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации; б) наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании; в) наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;

7 Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются: г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации; д) использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем; е) наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю.

8 Перечень документов и сведений, которые необходимо представить в ФСТЭК России для получения лицензии а) заявление о предоставлении лицензии; б) копии учредительных документов (с представлением оригиналов в случае, если верность копий не засвидетельствована в нотариальном порядке) - для юр.лица; в) документ, подтверждающий уплату государственной пошлины за предоставление лицензии, (в размере 2600 руб. – в соответствии с п. 92 статьи Налогового Кодекса, вступ. в силу с 28 января 2010 г.); г) копии документов, подтверждающих квалификацию специалистов по защите информации (дипломов, удостоверений, свидетельств), а также документы, подтверждающие что указанные специалисты являются штатными сотрудниками соискателя лицензии (лицензиата);

9 Перечень документов и сведений, которые необходимо представить в ФСТЭК России для получения лицензии д) копии документов, подтверждающих право собственности, право хозяйственного ведения или оперативного управления на помещения, предназначенные для осуществления лицензируемой деятельности, либо копии договоров аренды указанных помещений или безвозмездного пользования ими; е) копии аттестатов соответствия защищаемых помещений соискателя лицензии (лицензиата) требованиям безопасности информации;

10 Перечень документов и сведений, которые необходимо представить в ФСТЭК России для получения лицензии ж) сведения (копии документов) по аттестованной автоматизированной системе, используемой для осуществления лицензируемой деятельности: технический паспорт автоматизированной системы с приложениями, технический паспорт автоматизированной системы с приложениями, акт классификации автоматизированной системы по требованиям безопасности информации, акт классификации автоматизированной системы по требованиям безопасности информации, план размещения основных и вспомогательных технических средств и систем, аттестат соответствия автоматизированной системы требованиям безопасности информации (сертификат соответствия автоматизированной системы требованиям безопасности информации), план размещения основных и вспомогательных технических средств и систем, аттестат соответствия автоматизированной системы требованиям безопасности информации (сертификат соответствия автоматизированной системы требованиям безопасности информации), перечень защищаемых в автоматизированной системе ресурсов с документальным подтверждением степени конфиденциальности каждого ресурса, перечень защищаемых в автоматизированной системе ресурсов с документальным подтверждением степени конфиденциальности каждого ресурса, описание технологического процесса обработки информации в автоматизированной системе; описание технологического процесса обработки информации в автоматизированной системе;

11 Перечень документов и сведений, которые необходимо представить в ФСТЭК России для получения лицензии з) копии документов, подтверждающих право на используемые для осуществления лицензируемой деятельности программы для электронно-вычислительных машин и базы данных; и) сведения о наличии производственного и контрольно-измерительного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемой деятельности, с приложением копий документов о поверке контрольно-измерительного оборудования; к) сведения об имеющихся у соискателя лицензии (лицензиата) нормативных правовых актах, нормативно-методических и методических документах по вопросам технической защиты информации.

12 Порядок рассмотрения заявлений Проверка полноты представленных в заявлении сведений Проверка наличия необходимых документов Экспертиза представленных документов Принятие решения о предоставлении (об отказе в предоставлении) лицензии Уведомление соискателя лицензии (лицензиата) о принятом решении Оформление документа, подтверждающего наличие лицензии

13 Порядок продления срока действия, переоформления, приостановления действия, аннулирования лицензии Продление срока действия – заявление и пакет документов, установленный постановлением 504. Переоформление – заявление и документы, подтверждающие основание и результат изменений (при реорганизации в форме преобразования, изменении наименования, адреса места нахождения, адресов мест осуществления лицензируемой деятельности – для юридического лица; изменения имени или места жительства, адресов мест осуществления лицензируемой деятельности – для индивидуального предпринимателя). Приостановление - за нарушение лицензионных требований и условий. Аннулирование - решением суда на основании рассмотрения заявления лицензирующего органа, если нарушения лицензионных требований и условий не устранены. Прекращение действия – по заявлению лицензиата.

14 Компетенция ФСТЭК России по государственному контролю в области законодательства об административных правонарушениях Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) – статья АК РФ. Нарушение (в том числе грубое) условий, предусмотренных лицензией на осуществление деятельности в области защиты информации – пункты 1, 3 статьи АК РФ. Использование не сертифицированных (не аттестованных информационных систем), баз и банков данных, а также не сертифицированных средств защиты информации, если они подлежат обязательной сертификации – пункт 2 статьи АК РФ. Занятие видами деятельности в области защиты информации без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна) – пункт 1 статьи АК РФ.

15 Указ Президента Российской Федерации от 16 августа 2004 года Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления и организациями.

16 Директор ФСТЭК России Григоров Сергей Иванович Заместитель директора, курирующий вопросы лицензирования, Гапонов Александр Ефимович Начальник отдела лицензирования Чугунов Владимир Сергеевич, т. (495) Дежурный по отделу лицензирования, т. (499) Почтовый адрес: ул. Старая Басманная, д. 17, Москва, Официальный сайт

17 Вопросы? Старченко М.Ю., (499) ,

18 ФЕДЕРАЛЬНЫЕ ЗАКОНЫ, РЕГЛАМЕНТИРУЮЩИЕ ОРГАНИЗАЦИЮ СИСТЕМ ЛИЦЕНЗИРОВАНИЯ И СЕРТИФИКАЦИИ ФСТЭК РОССИИ Закон Российской Федерации «О государственной тайне» регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации ФЗ «О лицензировании отдельных видов деятельности» регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности. ФЗ «О техническом регулировании» регулирует отношения, возникающие при: разработке, принятии, применении и исполнении обязательных и добровольных требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации; выполнению работ или оказанию услуг; оценке соответствия. Система лицензированияСистема сертификации

19 Категории информации Общедоступная информация Нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина… информация о состоянии окружающей среды… информация о деятельности госорганов и органов местного самоуправления, об использовании бюджетных средств (кроме гостайны и служебной информации)… информация, накапливаемая в открытых фондах библиотек и архивов, … иная информация, недопустимость ограничения доступа к которой установлена федеральными законами. (Федеральный закон от ФЗ) «О перечне сведе- ний, отнесенных к государственной тайне» (Указ Президента РФ от ) «Об утверждении перечня сведений конфиденциально- го характера» (Указ Президента РФ от ) Информация ограниченного доступа Информация, содержащая сведения конфиденциаль- ного характера Информация, составляющая государственную тайну

20 ВИДЫ ДЕЯТЕЛЬНОСТИ, ЛИЦЕНЗИРОВАНИЕ КОТОРЫХ ОСУЩЕСТВЛЯЕТ ФСТЭК РОССИИ Техническая защита конфиденциальной информации Разработка и (или) производство средств защиты конфиденциальной информации Проведение работ, связанных с использованием сведений, составляющих государственную тайну Проведение работ, связанных с созданием средств защиты информации Осуществление мероприятий и (или) оказание услуг по защите государственной тайны: - в части технической защиты информации; - в части противодействия иностранным техническим разведкам; - в части проведения специальных экспертиз организаций – соискателей лицензий ФСТЭК России.

21 РАБОТЫ И УСЛУГИ, ПОДЛЕЖАЩИЕ ЛИЦЕНЗИРОВАНИЮ ПРИ ОСУ ЩЕСТВЛЕНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ ИНФОРМАЦИИ Сертификация и сертификационные испытания технических средств защиты информации; защищенных технических средств обработки информации; технических средств контроля эффективности мер защиты информации; программных (программно-технических) средств защиты информации от НСД; защищенных программных (программно-технических) средств обработки информации; программных (программно-технических) средств контроля защищенности информации от НСД. Контроль защищенности информации, аттестация средств и систем на соответствие требованиям по защите информации автоматизированных систем различного уровня и назначения; систем связи, приема, обработки и передачи данных; систем отображения и размножения; технических средств (систем), не обрабатывающих защищаемую информацию, но размещенные в помещениях, где она обрабатывается; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для ведения конфиденциальных переговоров. Специсследования на ПЭМИН технических средств обработки информации Проектирование объектов в защищенном исполнении автоматизированных систем различного уровня и назначения; систем связи, приема, обработки и передачи данных; систем отображения и размножения; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для ведения конфиденциальных переговоров

22 Указ Президента Российской Федерации От 16 августа 2004 года 1085 Вопросы Федеральной службы по техническому и экспортному контролю 1. Утвердить прилагаемое Положение о Федеральной службе по техническому и экспортному контролю. … 5. Определить, что Федеральная служба по техническому и экспортному контролю, ее территориальные органы и подведомственные ей организации являются правопреемниками Государственной технической комиссии при Президенте Российской Федерации, ее территориальных органов и подведомственных ей организаций. … 8. Правительству Российской Федерации: 1) в 3-месячный срок привести свои акты в соответствие с настоящим Указом, а также представить предложения по приведению актов Президента Российской Федерации в соответствие с настоящим Указом …

23 Указ Президента Российской Федерации от 16 августа 2004 года Руководство деятельностью ФСТЭК России осуществляет Президент Российской Федерации. 4. Основными задачами ФСТЭК являются: 1) реализация в пределах своей компетенции государственной политики в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации; … 4) осуществление самостоятельного нормативно- правового регулирования вопросов: - обеспечения безопасности информации в ключевых системах информационной инфраструктуры; … - технической защиты информации; … - осуществления экспортного контроля …

24 Указ Президента Российской Федерации от 16 августа 2004 года Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления и организациями.

25 Указ Президента Российской Федерации от 16 августа 2004 года ФСТЭК России осуществляет следующие полномочия: … 2) разрабатывает и вносит в установленном порядке Президенту Российской Федерации и в Правительство Российской Федерации проекты законодательных и иных нормативных правовых актов Российской Федерации по вопросам своей деятельности; 3) издает нормативные правовые акты по вопросам своей деятельности; 4) разрабатывает и утверждает в пределах своей компетенции методические документы, организует их издание …; … 8) осуществляет в пределах своей компетенции … контроль за соблюдением лицензионных требований и условий, а также рассмотрение дел об административных правонарушениях;

26 Указ Президента Российской Федерации от 16 августа 2004 года ФСТЭК России осуществляет следующие полномочия: … 12) организует и проводит лицензирование деятельности по осуществлению мероприятий и (или) оказанию услуг в области защиты государственной тайны (…), по созданию средств защиты информации, содержащей сведения, составляющие государственную тайну, по технической защите конфиденциальной информации, по разработке и (или) производству средств защиты конфиденциальной информации, а также лицензирование иных видов деятельности в соответствии с законодательством Российской Федерации; … 40) осуществляет методическое руководство подготовкой, переподготовкой и повышением квалификации специалистов, работающих в области обеспечения безопасности информации в ключевых объектах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации;

27 Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) (Утверждены приказом Гостехкомиссии России от г. 282) Информационные ресурсы, являющиеся собственностью государства и находящиеся в ведении органов государственной власти и организаций в соответствии с их компетенцией, а также персональные данные подлежат учету и защите. При проведении работ по защите негосударственных информационных ресурсов, составляющих коммерческую тайну, банковскую тайну и т.д., требования настоящего документа носят рекомендательный характер.

28 ФЗ 149-ФЗ «Об информации, информационных технологиях и о защите информации» Технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании (статья 14, пункт 8) В случае отсутствия требований технических регламентов в отношении продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, обязательными являются требования к продукции, ее характеристикам и требования к процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, установленные федеральными органами исполнительной власти… (статья 5 ФЗ «О техническом регулировании»)

29 ФЗ 149-ФЗ «Об информации, информационных технологиях и о защите информации» Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям (статья 16, пункт 5) Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную (КОАП) или уголовную ответственность в соответствии с законодательством Российской Федерации (статья 17, пункт 1)

30 Режим защиты конфиденциальной информации - система организационных, технических и иных мер, направленная на обеспечение безопасности информации Режим защиты конфиденциальной информации устанавливается собственником информационных ресурсов или уполномоченным лицом в соответствии с законодательством Российской Федерации. Уровень технической защиты конфиденциальной информации, а также перечень необходимых мер защиты определяется дифференцированно - по результатам обследования объекта информатизации, с учетом соотношения затрат на организацию защиты информации и величины ущерба, который может быть нанесен собственнику информационных ресурсов

31 ОСНОВНЫЕ РУКОВОДЯЩИЕ ДОКУМЕНТЫ ФСТЭК (Гостехкомиссии) РОССИИ 1992 год Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации Автоматизированные системы. Защита от несанкционированного доступа к информа- ции. Классификация автоматизированных систем и требования по защите информации 1997 год Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации 1999 год Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей

Сертифицированные средства измерений и расчета… 1. Программа оценки и контроля выполнения норм по акустической каналу «БИКАР» 2. Программа управления системой "ШЕПОТ" и расчета оценки защищенности ВП по в/акустическому каналу «АКУСТИКА» 3. Комплекс программных и аппаратных средств для проведения специсследований «ЛЕГЕНДА» 4. Программа расчета показателей защищенности информации объектов ВТ от утечки по каналу ПЭМИ «РОСА» версия Программно-аппаратный комплекс «СИГУРД» и расчета оценки защищенности технических средств по каналу ПЭМИН 6. Программно-аппаратный комплекс «НАВИГАТОР»

Сертифицированные средства испытаний СЗИ и контроля защищенности АС 1. Анализаторы исходных текстов программ «АИСТ» 2. Анализаторы уязвимостей средств защиты СВТ от НСД «НКВД , », «РЕВИЗОР 1ХР, 2ХР» 3. Программа фиксации и контроля исходного состояния программного комплекса «ФИКС 2.0.2» 4. Эмулятор ПЭВМ «EMU» (Intel x86) 5. Программа поиска информации на дисках «TERRIER 3.0» 6.Сетевые сканеры защищенности «ТСП 3и», «РЕВИЗОР СЕТИ», «ISS» 7.Анализатор сетевого трафика «АСТРА 1.0»

34 Закон «О государственной тайне» от Статья 28 Порядок задания требований и оценка соответствия средств защиты информации и объектов информатизации Порядок задания требований к объектам информатизации и средствам защиты информации, а также обязательной оценки соответствия этим требованиям устанавливается нормативными документами, утверждаемыми Правительством Российской Федерации. Средства защиты информации и объекты информатизации подлежат обязательной оценке соответствия требованиям технических регламентов и (или) нормативно-методических документов по защите информации, содержащей сведения, составляющие государственную тайну. Организация обязательной оценки соответствия средств защиты информации и объектов информатизации требованиям технических регламентов и (или) нормативно-методических документов по защите информации возлагается на уполномоченные федеральные органы исполнительной власти в соответствии с их компетенцией, определенной законодательством Российской Федерации. Координация работ по организации обязательной оценки соответствия средств защиты информации и объектов информатизации возлагается на Межведомственную комиссию по защите государственной тайны.