Лицензирование деятельности в области защиты конфиденциальной информации

Лицензирующие органы в области ЗИ 2

Основные виды лицензий связанных с ЗИ 5. Деятельность по распространению шифровальных (криптографических) средств; 6. Деятельность по техническому обслуживанию шифровальных (криптографических) средств; 7. Предоставление услуг в области шифрования информации; 8.Разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем; 9. Деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя); 10. Деятельность по разработке и (или) производству средств защиты конфиденциальной информации; 11. Деятельность по технической защите конфиденциальной информации; 12.Разработка, производство, реализация и приобретение в целях продажи специальных технических средств (СТС), предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность; 3 ст. 17 ФЗ 128-ФЗ от 8 августа 2001 «О лицензировании отдельных видов деятельности»

Структура законодательной базы лицензирования 4

Федеральный закон от 8 августа 2001 г. N 128-ФЗ «О лицензировании отдельных видов деятельности» Статья 1. Сфера применения настоящего Федерального закона 1. Настоящий Федеральный закон регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности в соответствии с перечнем, предусмотренным пунктом 1 статьи 17 настоящего Федерального закона. 2. Действие настоящего Федерального закона не распространяется на следующие виды деятельности: … деятельность, связанная с защитой государственной тайны; 5

Статья 6. Полномочия лицензирующих органов предоставление лицензий; переоформление документов, подтверждающих наличие лицензий; приостановление действия лицензий в случае административного приостановления деятельности лицензиатов за нарушение лицензионных требований и условий и возобновление действия лицензий; прекращение действия лицензий в случае, предусмотренном пунктом 3 статьи 13 настоящего Федерального закона (ликвидация юр. лица или прекращение деятельности); ведение реестров лицензий, предоставление заинтересованным лицам сведений из реестров лицензий и иной информации о лицензировании; контроль за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности соответствующих лицензионных требований и условий; обращение в суд с заявлениями об аннулировании лицензий. 1. Лицензирующие органы осуществляют следующие полномочия: Лицензирующий орган под конкретный вид деятельности определен в Постановление Правительства РФ от 26 января 2006 г. 45 Порядок осуществления полномочий лицензирующих органов описан в тематических Постановлениях правительства РФ ФСБ России «ЦЛСЗ» - ФСТЭК России – 6

Постановление Правительства РФ от 26 января 2006 г. 45 ФСТЭК России Деятельность по технической защите конфиденциальной информации ФСТЭК России, ФСБ России Деятельность по разработке и (или) производству средств защиты конфиденциальной информации ФСБ России Разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность Деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) Деятельность по распространению шифровальных (криптографических) средств Деятельность по техническому обслуживанию шифровальных (криптографических) средств Предоставление услуг в области шифрования информации Разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем 7

Статья 7. Действие лицензии 2.Деятельность, на осуществление которой лицензия предоставлена федеральным органом исполнительной власти или органом исполнительной власти субъекта Российской Федерации, может осуществляться на всей территории Российской Федерации. 1. … Вид деятельности, на осуществление которого предоставлена лицензия, может выполняться только получившим лицензию юридическим лицом или индивидуальным предпринимателем. Представительства и филиалы, которые в соответствие со ст. 55 Гражданского кодекса РФ не являются юридическими лицами, самостоятельных лицензий получать не должны. Порядок уведомления обозначен Постановлением Правительства РФ от 26 января 2006 г. N 45 «Об организации лицензирования отдельных видов деятельности» Деятельность, на осуществление которой лицензия предоставлена лицензирующим органом субъекта Российской Федерации, может осуществляться на территориях иных субъектов Российской Федерации при условии уведомления лицензиатом лицензирующих органов соответствующих субъектов Российской Федерации в порядке, установленном уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти. 8

Статья 8. Срок действия лицензии Срок действия лицензии НЕ МОЖЕТ БЫТЬ МЕНЕЕ ЧЕМ ПЯТЬ ЛЕТ. Срок действия лицензии по его окончании может быть продлен по заявлению лицензиата. Продление срока действия лицензии осуществляется в порядке переоформления документа, подтверждающего наличие лицензии. Положениями о лицензировании конкретных видов деятельности может быть предусмотрено бессрочное действие лицензии (пример – лицензирование в области финансовых рынков). 9

Статья 12. Лицензионный контроль 1. Лицензионный контроль проводится лицензирующим органом в целях проверки полноты и достоверности сведений о соискателе лицензии, содержащихся в представленных соискателем лицензии заявлении и документах, возможности выполнения им лицензионных требований и условий, а также проверки сведений о лицензиате и соблюдения им лицензионных требований и условий при осуществлении лицензируемого вида деятельности. 2. Проверка лицензирующим органом указанных в пункте 1 настоящей статьи сведений проводится путем сопоставления таких сведений со сведениями из единого государственного реестра юридических лиц или единого государственного реестра индивидуальных предпринимателей. Лицензирующий орган получает соответствующую информацию в порядке, установленном Правительством Российской Федерации, от федерального органа исполнительной власти, уполномоченного на осуществление государственной регистрации юридических лиц и индивидуальных предпринимателей. 3. К отношениям, связанным с проведением лицензирующим органом проверки возможности выполнения соискателем лицензии лицензионных требований и условий и проверки соблюдения лицензиатом указанных требований и условий при осуществлении лицензируемого вида деятельности, применяются положения Федерального закона от 26 декабря 2008 г. N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» 10

Статья 13. Приостановление действия лицензии и аннулирование лицензии 1. Приостановление действия лицензии осуществляется лицензирующим органом в случае привлечения лицензиата за нарушение лицензионных требований и условий к административной ответственности в порядке, установленном Кодексом Российской Федерации об административных правонарушениях. В случае вынесения судьей решения об административном приостановлении деятельности лицензиата за нарушение лицензионных требований и условий лицензирующий орган в течение суток со дня вступления данного решения в законную силу приостанавливает действие лицензии на срок административного приостановления деятельности лицензиата. 11 Лицензиат обязан уведомить в письменной форме лицензирующий орган об устранении им нарушения лицензионных требований и условий, повлекшего за собой административное приостановление деятельности лицензиата. Действие лицензии возобновляется лицензирующим органом со дня, следующего за днем истечения срока административного приостановления деятельности лицензиата, или со дня, следующего за днем досрочного прекращения исполнения административного наказания в виде административного приостановления деятельности лицензиата. Cрок действия лицензии на время приостановления ее действия не продлевается.

Статья 13. Приостановление действия лицензии и аннулирование лицензии 2. В случае, если в установленный судьей срок лицензиат не устранил нарушение лицензионных требований и условий, повлекшее за собой административное приостановление деятельности лицензиата, лицензирующий орган обязан обратиться в суд с заявлением об аннулировании лицензии. Лицензия аннулируется решением суда на основании рассмотрения заявления лицензирующего органа Действие лицензии прекращается со дня внесения в единый государственный реестр юридических лиц или единый государственный реестр индивидуальных предпринимателей записи о ликвидации юридического лица или прекращении его деятельности в результате реорганизации (при реорганизации возможны исключения)… либо прекращении физическим лицом деятельности в качестве индивидуального предпринимателя либо со дня окончания срока действия лицензии или … на основании представленного в лицензирующий орган заявления в письменной форме лицензиата о прекращении им осуществления лицензируемого вида деятельности, а также со дня вступления в законную силу решения суда об аннулировании лицензии.

Лицензирование технической защиты конфиденциальной информации 13

Основные документы по лицензированию ТЗКИ «О лицензировании отдельных видов деятельности» Федеральный закон от 8 августа 2001 года 128-ФЗ (с изменениями и дополнениями) «Положение о лицензировании деятельности по технической защите конфиденциальной информации» Постановления Правительства РФ от 15 августа 2006 г. 504 «Об организации лицензирования отдельных видов деятельности» Постановление Правительства РФ от 26 января 2006 г. 45 Административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации Приказ ФСТЭК России от 28 августа 2007 г. N 181

Лицензии выдаются сроком на 5 лет 1. Настоящее Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации, осуществляемой юридическими лицами и индивидуальными предпринимателями. 2. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней. 3. Лицензирование деятельности по технической защите конфиденциальной информации осуществляет Федеральная служба по техническому и экспортному контролю (далее - лицензирующий орган). Постановления Правительства РФ от 15 августа 2006 г. 504 «Положение о лицензировании деятельности по технической защите конфиденциальной информации» 15

Лицензионные требования и условия а) наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации; б) наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании; в) наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию; г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и(или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации; д) использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем; е) наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю. 16

Рекомендации по наличию оборудования Программное обеспеченье необходимое при защите информации от НСД: Ревизор-сеть или X-Spider или MaxPatrol; Ревизор 1, Ревизор Оборудование необходимое для специальных исследований (СИ) при защите информации от утечек по ТКУИ: СИ по ПЭМИН – например, «Сигурд»; СИ по АВАК – например, «Шепот»;

Нарушения при лицензировании Осуществление лицензируемой деятельности с нарушением, в том числе с грубым нарушением, лицензионных требований и условий влечет за собой ответственность, установленную законодательством Российской Федерации. При этом под грубым нарушением лицензионных требований и условий понимается невыполнение лицензиатом требований и условий, предусмотренных подпунктами "а", "в" - "д" пункта 4 (лицензионных требований) настоящего Положения. В Положении также определяются: Порядок и сроки выдачи лицензий Срок действия лицензии составляет 5 лет. Срок действия лицензии по его окончании может быть продлен по заявлению лицензиата в порядке, предусмотренном для переоформления документа, подтверждающего наличие лицензии Порядок лицензионного контроля за соблюдением лицензиатом лицензионных требований и условий Порядок и сроки размещения информации относящейся к осуществлению лицензируемой деятельности 18

Административный регламент лицензирования ТЗКИ 19 Административный регламент федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации (утвержден Приказом ФСТЭК России от 28 августа 2007 г. N 181) Описывает конкретные действия связанные с: информирование и консультирование о порядке исполнения государственной функции; рассмотрение заявления о предоставлении лицензии; проверка возможности выполнения соискателем лицензии лицензионных требований и условий; принятие решения о предоставлении лицензии; выдача документа, подтверждающего наличие лицензии; выдача дубликата и копий документа, подтверждающего наличие лицензии; продление срока действия лицензии; переоформление документа, подтверждающего наличие лицензии; контроль за соблюдением лицензиатом лицензионных требований и условий; приостановление, возобновление действия лицензии и аннулирование лицензии; ведение реестра лицензий; предоставление информации из реестра лицензий.

Место нахождения ФСТЭК России 20 Адрес: г. Москва, ул. Старая Басманная, д. 17. Почтовый адрес для направления документов и обращений: ул. Старая Басманная, д. 17, Москва, , Федеральная служба по техническому и экспортному контролю. Место нахождения экспедиции: г. Москва, Большой Козловский пер., д. 6, 4-й ОФПС. Часы работы экспедиции: Понедельник - пятница Суббота, воскресенье Выходной день Телефон справочной службы экспедиции: (495) Телефон справочной службы структурного подразделения ФСТЭК России: (499) Сайт:

Набор документов необходимый для лицензирования (ст. 9) 1. Заявление о предоставлении лицензии Приложения к заявлению: 1. копии учредительных документов (с представлением оригиналов в случае, если верность копий не засвидетельствована в нотариальном порядке) - для юридического лица; 2.документ, подтверждающий уплату государственной пошлины за рассмотрение заявления о предоставлении лицензии; 3. копии документов, подтверждающих квалификацию специалистов по защите информации (дипломов, удостоверений, свидетельств); 4. копии документов, подтверждающих право собственности, право хозяйственного ведения или оперативного управления на помещения, предназначенные для осуществления лицензируемой деятельности, либо копии договоров аренды указанных помещений или безвозмездного пользования ими; 21

Набор документов необходимый для лицензирования (ст. 9) 5. копии аттестатов соответствия защищаемых помещений требованиям безопасности информации; 6. копии технического паспорта автоматизированной системы с приложениями: акта классификации автоматизированной системы по требованиям безопасности информации, плана размещения основных и вспомогательных технических средств и систем, аттестата соответствия автоматизированной системы требованиям безопасности информации или сертификата соответствия автоматизированной системы требованиям безопасности информации, а также перечень защищаемых в автоматизированных системах ресурсов с документальным подтверждением степени конфиденциальности каждого ресурса, описание технологического процесса обработки информации в автоматизированной системе; 7. копии документов, подтверждающих право на используемые для осуществления лицензируемой деятельности программы для электронно-вычислительных машин и базы данных; 22

Набор документов необходимый для лицензирования (ст. 9) 8. копии документов, подтверждающих право на используемые для осуществления лицензируемой деятельности программы для электронно-вычислительных машин и базы данных; 9. сведения о наличии производственного и контрольно- измерительного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемой деятельности, с приложением: копий документов о поверке контрольно-измерительного оборудования; 10. сведения об имеющихся у соискателя лицензии нормативных правовых актах, нормативно-методических и методических документах по вопросам технической защиты информации. 23

Алгоритм действий при лицензировании (переоформлении) 24

Форма заявления для лицензирования 25

Форма заявления о продлении лицензии 26

27 Лицензирование в области криптографической защиты

Основные документы в области лицензирования СКЗИ «О лицензировании отдельных видов деятельности» Федеральный закон от 8 августа 2001 года 128-ФЗ (с изменениями и дополнениями) «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» Постановления Правительства РФ от 29 декабря 2007 г. 957 и от 23 сентября 2002 г. N 691 (не действует) «Об организации лицензирования отдельных видов деятельности» Постановление Правительства РФ от 26 января 2006 г. 45 Административный регламент федеральной службы безопасности российской федерации по исполнению государственной функции по лицензированию разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем Приказ ФСБ России от 24 июня 2009 г. N 286 Административный регламент ФСБ … деятельности по предоставлению услуг в области шифрования информации Приказ ФСБ России от 16 марта 2009 г. N 104 Административный регламент ФСБ … по распространению шифровальных (криптографических) средств Приказ ФСБ России от 16 марта 2009 г. N 106 Административный регламент ФСБ … по техническому обслуживанию шифровальных (криптографических) средств Приказ ФСБ России от 16 марта 2009 г. N 105

Схема применения документов при лицензировании в СКЗИ

Все лицензии выдаются сроком на 5 лет Постановление вводит в действие: Положение о лицензировании деятельности по распространению шифровальных (криптографических) средств Положение о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств Положение о лицензировании предоставления услуг в области шифрования информации Положение о лицензировании разработки, производства шифровальных (криптографических ) средств, защищенных с использованием шифровальных (криптографических ) средств информационных и телекоммуникационных систем. Постановление Правительства РФ 957 от 29 декабря 2007 г. «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами»

Положение о лицензировании деятельности по распространению шифровальных (криптографических) средств Положение определяет порядок лицензирования деятельности по распространению шифровальных (криптографических) средств, осуществляемой юридическими лицами и индивидуальными предпринимателями. К шифровальным (криптографическим) средствам (средствам криптографической защиты информации) относятся: а) средства шифрования - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации от несанкционированного доступа при ее передаче по каналам связи и (или) при ее обработке и хранении; б) средства имитозащиты - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации; в) средства электронной цифровой подписи - аппаратные, программные и аппаратно- программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи; г) средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций; д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации); е) ключевые документы (независимо от вида носителя ключевой информации).

Настоящее Положение не распространяется на деятельность по распространению: а) шифровальных (криптографических) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну; б) шифровальных (криптографических) средств, являющихся компонентами доступных для продажи без ограничений посредством розничной торговли, либо сделок по почтовым запросам, либо электронных сделок, либо сделок по телефонным заказам программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной, в том числе для проверки; в) персональных кредитных карточек со встроенной микроЭВМ, криптографические возможности которых не могут быть изменены пользователями; г) портативных или мобильных радиотелефонов гражданского назначения (в том числе предназначенных для использования в коммерческих гражданских системах сотовой радиосвязи), которые не способны к сквозному шифрованию; д) приемной и передающей аппаратуры радиовещания, коммерческого телевидения или иной аппаратуры коммерческого типа для вещания на ограниченную аудиторию без шифрования цифрового сигнала, в которой шифрование ограничено функциями управления видео- или аудиоканалами;

Настоящее Положение не распространяется на деятельность по распространению: е) специально разработанных и применяемых только для банковских и финансовых операций шифровальных (криптографических) средств в составе терминалов единичной продажи (банкоматов), криптографические возможности которых не могут быть изменены пользователями; ж) специально разработанных и применяемых только в составе контрольно-кассовых машин шифровальных (криптографических) средств защиты фискальной памяти; з) шифровальных (криптографических) средств независимо от их назначения, реализующих симметричные криптографические алгоритмы и обладающих максимальной длиной криптографического ключа менее 56 бит, а также реализующих асимметричные криптографические алгоритмы, основанные либо на разложении на множители целых чисел, либо на вычислении дискретных логарифмов в мультипликативной группе конечного поля, либо на дискретном логарифме в группе, отличной от названной, и обладающих максимальной длиной криптографического ключа 128 бит; и) беспроводного оборудования, осуществляющего шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя (за исключением оборудования, используемого на критически важных объектах); к) шифровальных (криптографических) средств, используемых для защиты технологических каналов информационно-телекоммуникационных систем и сетей, не относящихся к критически важным объектам.

ЛИЦЕНЗИОННЫЕ ТРЕБОВАНИЯ а) наличие у соискателя лицензии (лицензиата) на праве собственности или на ином законном основании помещений, технологического, испытательного, контрольно-измерительного оборудования, иных объектов и сооружений, необходимых для осуществления лицензируемой деятельности; б) наличие в штате у соискателя лицензии (лицензиата) следующего квалифицированного персонала: руководитель и (или) лицо, уполномоченное руководить работами по лицензируемой деятельности, имеющие высшее профессиональное образование и (или) профессиональную подготовку в области информационной безопасности, а также стаж работы в этой области не менее 5 лет; инженерно-технические работники, имеющие высшее профессиональное образование или прошедшие переподготовку (повышение квалификации) в области информационной безопасности с получением специализации, необходимой для работы с шифровальными (криптографическими) средствами; в) выполнение соискателем лицензии (лицензиатом) при осуществлении лицензируемой деятельности требований, устанавливаемых в соответствии со статьями 11.2 и 13 Федерального закона «О федеральной службе безопасности»; г) представление соискателем лицензии (лицензиатом) в лицензирующий орган перечня шифровальных (криптографических) средств, в том числе иностранного производства, не имеющих сертификата Федеральной службы безопасности Российской Федерации или Федерального агентства правительственной связи и информации при Президенте Российской Федерации, технической документации, определяющей состав, характеристики и условия эксплуатации этих средств, и (или) образцов шифровальных (криптографических) средств; д) использование соискателем лицензии (лицензиатом) программ для электронно-вычислительных машин и баз данных на основании договора, заключенного с правообладателем, в соответствии со статьей 14 Закона Российской Федерации "О правовой охране программ для электронных вычислительных машин и баз данных" (в соответствии со с.1286 ГК РФ ч.4 – лицензионного договора). Лицензирование деятельности по распространению шифровальных (криптографических) средств осуществляется Федеральной службой безопасности Российской Федерации (лицензирующий орган).

ВРЕЗКА: Закон РФ «О Федеральной службе безопасности» от 22 февраля 1995 г. 40-ФЗ Статья Обеспечение информационной безопасности Обеспечение информационной безопасности - деятельность органов федеральной службы безопасности, осуществляемая ими в пределах своих полномочий: при формировании и реализации государственной и научно-технической политики в области обеспечения информационной безопасности, в том числе с использованием инженерно- технических и криптографических средств; при обеспечении криптографическими и инженерно-техническими методами безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в Российской Федерации и ее учреждениях, находящихся за пределами Российской Федерации. Статья 13. Права органов федеральной службы безопасности ш) осуществлять в соответствии со своей компетенцией регулирование в области разработки, производства, реализации, эксплуатации шифровальных (криптографических) средств и защищенных с использованием шифровальных средств систем и комплексов телекоммуникаций, расположенных на территории Российской Федерации, а также в области предоставления услуг по шифрованию информации в Российской Федерации, выявления электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах; щ) осуществлять государственный контроль за организацией и функционированием криптографической и инженерно-технической безопасности информационно- телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи, контроль за соблюдением режима секретности при обращении с шифрованной информацией в шифровальных подразделениях государственных органов и организаций на территории Российской Федерации и в ее учреждениях, находящихся за пределами Российской Федерации, а также в соответствии со своей компетенцией контроль за обеспечением защиты особо важных объектов (помещений) и находящихся в них технических средств от утечки информации по техническим каналам;

Нарушения при лицензировании Осуществление лицензируемой деятельности с нарушением, в том числе с грубым нарушением, лицензионных требований и условий влечет за собой ответственность, установленную законодательством Российской Федерации. При этом под грубым нарушением понимается невыполнение лицензиатом требований и условий, предусмотренных подпунктами "а", "б", "д" пункта 4 настоящего Положения, либо одновременное нарушение 2 и более требований указанного пункта. В Положении также определяются: Порядок и сроки выдачи лицензий Срок действия лицензии составляет 5 лет. Срок действия лицензии по его окончании может быть продлен по заявлению лицензиата в порядке, предусмотренном для переоформления документа, подтверждающего наличие лицензии Порядок лицензионного контроля за соблюдением лицензиатом лицензионных требований и условий Порядок и сроки размещения информации относящейся к осуществлению лицензируемой деятельности Требование уплаты государственной пошлины за рассмотрение лицензирующим органом заявления о предоставлении лицензии, за ее предоставление или переоформление документа, подтверждающего наличие лицензии

Положение о лицензировании деятельности по ТЕХНИЧЕСКОМУ ОБСЛУЖИВАНИЮ СКЗИ 3. Деятельность по техническому обслуживанию шифровальных (криптографических) средств включает в себя: а) монтаж, установку, наладку шифровальных (криптографических) средств; б) ремонт, сервисное обслуживание шифровальных (криптографических) средств; в) утилизацию и уничтожение шифровальных (криптографических) средств; г) работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд). Согласно ПОСТАНОВЛЕНИЮ Правительства РФ от 23 сентября 2002 г. N 691 (не действует в данный момент) По разъяснениям Центра «ЛСЗ» ФСБ России, данная лицензия нужна и в случае если указанные работы выполняются организацией для собственных нужд

Лицензионные требования по ТО СКЗИ реализация криптографических алгоритмов, рекомендованных лицензирующим органом, в разрабатываемых шифровальных (криптографических) средствах, применяемых в информационно-телекоммуникационных системах и сетях критически важных объектов, федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления и организаций, осуществляющих выполнение работ или оказание услуг с использованием шифровальных (криптографических) средств для государственных и муниципальных нужд; применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации; Дополнительные лицензионные требования по сравнению с требованиями лицензии на распространение СКЗИ Терминология и сфера применения положения такая же как и в Положении о лицензировании деятельности по распространению шифровальных (криптографических) средств. Состав грубых нарушений такой же как и при лицензировании по распространению СКЗИ

Положение о лицензировании ПРЕДОСТАВЛЕНИЯ УСЛУГ в области шифрования информации - реализация криптографических алгоритмов, рекомендованных лицензирующим органом, в разрабатываемых шифровальных (криптографических) средствах, применяемых в информационно-телекоммуникационных системах и сетях критически важных объектов, федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления и организаций, осуществляющих выполнение работ или оказание услуг с использованием шифровальных (криптографических) средств для государственных и муниципальных нужд; - применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации; - обеспечение лицензиатом уничтожения исходной ключевой информации путем физического уничтожения носителя, на котором она расположена, или путем стирания (разрушения) исходной ключевой информации без повреждения носителя (для обеспечения возможности его многократного использования) в соответствии с эксплуатационной и технической документацией к соответствующим шифровальным (криптографическим) средствам, а также с указаниями организации, производившей запись исходной ключевой информации; Терминология и сфера применения положения такая же как и в Положении о лицензировании деятельности по распространению шифровальных (криптографических) средств. реализация криптографических алгоритмов, рекомендованных лицензирующим органом, в разрабатываемых шифровальных (криптографических) средствах, применяемых в информационно-телекоммуникационных системах и сетях критически важных объектов, федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления и организаций, осуществляющих выполнение работ или оказание услуг с использованием шифровальных (криптографических) средств для государственных и муниципальных нужд; применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации; ведение лицензиатом учета изготовления, выдачи, возврата и уничтожения ключевых документов; обеспечение лицензиатом уничтожения исходной ключевой информации путем физического уничтожения носителя, на котором она расположена, или путем стирания (разрушения) исходной ключевой информации без повреждения носителя (для обеспечения возможности его многократного использования) в соответствии с эксплуатационной и технической документацией к соответствующим шифровальным (криптографическим) средствам, а также с указаниями организации, производившей запись исходной ключевой информации; использование лицензиатом шифровальных (криптографических) средств иностранного производства при условии, что эти средства были ввезены на территорию Российской Федерации и распространялись в порядке, установленном нормативными правовыми актами Российской Федерации; Дополнительные лицензионные требования по сравнению с требованиями лицензии на распространение СКЗИ Состав грубых нарушений такой же как и при лицензировании по распространению СКЗИ

Положение о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем - реализация криптографических алгоритмов, рекомендованных лицензирующим органом, в разрабатываемых шифровальных (криптографических) средствах, применяемых в информационно-телекоммуникационных системах и сетях критически важных объектов, федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления и организаций, осуществляющих выполнение работ или оказание услуг с использованием шифровальных (криптографических) средств для государственных и муниципальных нужд; - применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации; - обеспечение лицензиатом уничтожения исходной ключевой информации путем физического уничтожения носителя, на котором она расположена, или путем стирания (разрушения) исходной ключевой информации без повреждения носителя (для обеспечения возможности его многократного использования) в соответствии с эксплуатационной и технической документацией к соответствующим шифровальным (криптографическим) средствам, а также с указаниями организации, производившей запись исходной ключевой информации; Терминология и сфера применения положения такая же как и в Положении о лицензировании деятельности по распространению шифровальных (криптографических) средств. реализация криптографических алгоритмов, рекомендованных лицензирующим органом, в разрабатываемых шифровальных (криптографических) средствах, применяемых в информационно-телекоммуникационных системах и сетях критически важных объектов, федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления и организаций, осуществляющих выполнение работ или оказание услуг с использованием шифровальных (криптографических) средств для государственных и муниципальных нужд; применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации; наличие у соискателя лицензии (лицензиата) допуска к проведению работ, связанных с использованием сведений, составляющих государственную тайну (только при разработке шифровальных (криптографических) средств); обеспечение соискателем лицензии (лицензиатом) контролируемого доступа персонала к конфиденциальной информации и (или) работам с шифровальными (криптографическими) средствами, а также сохранности конфиденциальной информации и шифровальных (криптографических) средств, используемых при осуществлении лицензируемой деятельности; Дополнительные лицензионные требования по сравнению с требованиями лицензии на распространение СКЗИ Состав грубых нарушений такой же как и при лицензировании по распространению СКЗИ + отсутствие лицензии на работу с гостайной

Административный регламенты ФСБ России по лицензированию в области СКЗИ. Регламенты определяет сроки и последовательность действий (административных процедур) при исполнении государственной функции по лицензированию деятельности в области СКЗИ. Государственная функция исполняется Центром по лицензированию, сертификации и защите государственной тайны Федеральной службы безопасности Российской Федерации (далее - Центр "ЛСЗ" ФСБ России), а также территориальными органами безопасности (далее - лицензирующие органы). Перечень лицензирующих органов приведен в административных регламентах и на сайте 41

Результатами исполнения государственной функции являются предоставление (отказ в предоставлении) лицензии на осуществление деятельности – не более 45 дней; продление срока действия лицензии в порядке переоформления – не более 10 дней; переоформление документа, подтверждающего наличие лицензии – не более 10 дней; приостановление действия лицензии – не позднее 1 дня; возобновление действия лицензии – не позднее 1 дня; аннулирование лицензии – не позднее 1 дня; выдача дубликата или копии документа, подтверждающего наличие лицензии – не более 10 дней; ведение реестра лицензий – не позднее 3 дней; предоставление выписки из реестра лицензий – не позднее 3 дней. 42

Заявление представляется в лицензирующий орган по месту регистрации соискателя лицензии. Для получения лицензии соискатель лицензии направляет по почте в лицензирующий орган заявление и указанные документы Перечень необходимых документов 1. Заявление о предоставлении (продлении срока действия, переоформлении документа, подтверждающего наличие) лицензии. 2. Нотариально заверенные копии учредительных документов (для юридического лица). 3.Документ, подтверждающий уплату государственной пошлины за рассмотрение заявления о предоставлении лицензии (от 10 до 1000 рублей). 4. Копии документов подтверждающие необходимый уровень подготовки персонала (руководителя и инженерно-технических работников) и стаж (Разъяснения Центра «ЛСЗ» ФСБ России выписки из трудовой книжки позволяющие явным образом идентифицировать факт работы по лицензируемому виду деятельности в области СКЗИ). 5. Копии документов, подтверждающих наличие у соискателя лицензии на праве собственности или на ином законном основании помещений, технологического, испытательного, контрольно-измерительного оборудования, иных объектов и сооружений, необходимых для осуществления лицензируемой деятельности. 43

Алгоритм действий при лицензировании 44

Форма заявление на лицензирование 45 ______ 20__ г. Начальнику (наименование N ________________ лицензирующего органа, инициалы, фамилия) (почтовый адрес лицензирующего органа) Заявление о предоставлении (продлении срока действия, переоформлении документа, подтверждающего наличие) лицензии ________________________________________________________________________ (полное, фирменное и сокращенное наименование юридического лица, его организационно-правовая форма или ФИО индивидуального предпринимателя) в лице _________________________________________________________________ (должность и ФИО руководителя или данные документа, удостоверяющего личность индивидуального предпринимателя) просит _________________________________________________________________ (предоставить лицензию, дубликат, переоформить документ, подтверждающий наличие лицензии, продлить лицензию) на _____________________________________________________________________ (указать вид деятельности*)* Местонахождение заявителя ______________________________________________ (индекс, юридический адрес**)** ________________________________________________________________________ (индекс, фактический адрес) Адреса мест осуществления лицензируемого вида деятельности _____________ ________________________________________________________________________ Телефон (факс) с указанием кода города _________________________________ ________________________________________________________________________ (ИНН и данные документа о постановке соискателя лицензии на учет в ________________________________________________________________________ налоговом органе ОГРН и данные документа, подтверждающего факт внесения ________________________________________________________________________ сведений о юридическом лице в Единый государственный реестр юридических ________________________________________________________________________ лиц, для юридического лица и данные документа, подтверждающего факт ________________________________________________________________________ внесения сведений об индивидуальном предпринимателе в Единый ________________________________________________________________________ государственный реестр индивидуальных предпринимателей, для индивидуального предпринимателя) Для взаимодействия с лицензирующим органом выделен _____________________ Должность руководителя юридического лица (индивидуальный предприниматель) _______________________________________ (должность, подпись, инициалы, фамилия) Приложение N 3 Административных регламентов ФСБ России по лицензированию в области СКЗИ