Защита информации: Положение о лицензировании деятельности по технической защите конфиденциальной информации. Положение о лицензии ФСТЭК.

ПОЛОЖЕНИЕ

О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ
КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

1. Настоящее Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации), осуществляемой юридическими лицами и индивидуальными предпринимателями.
2. Под технической защитой конфиденциальной информации понимается выполнение работ и (или) оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.
3. Лицензирование деятельности по технической защите конфиденциальной информации (далее — лицензируемый вид деятельности) осуществляет Федеральная служба по техническому и экспортному контролю (далее — лицензирующий орган).
4. При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг:
а) контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
средствах и системах информатизации;
технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
помещениях со средствами (системами), подлежащими защите;
помещениях, предназначенных для ведения конфиденциальных переговоров (далее — защищаемые помещения);
б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);
г) аттестационные испытания и аттестация на соответствие требованиям по защите информации:
средств и систем информатизации;
помещений со средствами (системами) информатизации, подлежащими защите;
защищаемых помещений;
д) проектирование в защищенном исполнении:
средств и систем информатизации;
помещений со средствами (системами) информатизации, подлежащими защите;
защищаемых помещений;
е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
5. Лицензионными требованиями, предъявляемыми к соискателю лицензии на осуществление деятельности по технической защите конфиденциальной информации (далее — лицензия), являются:
а) наличие у соискателя лицензии:
юридического лица — специалистов, находящихся в штате соискателя лицензии, имеющих высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;
индивидуального предпринимателя — высшего профессионального образования в области технической защиты информации либо высшего технического или среднего профессионального (технического) образования при условии прохождения им переподготовки или повышения квалификации по вопросам технической защиты информации;
б) наличие помещений для осуществления лицензируемого вида деятельности, соответствующих установленным законодательством Российской Федерации техническим нормам и требованиям по технической защите информации и принадлежащих соискателю лицензии на праве собственности или на ином законном основании;
в) наличие на праве собственности или на ином законном основании контрольно-измерительного оборудования (прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку) и маркирование), производственного и испытательного оборудования, соответствующего требованиям по техническим характеристикам и параметрам, устанавливаемым Федеральной службой по техническому и экспортному контролю (при выполнении работ и (или) оказании услуг, предусмотренных подпунктами ˮаˮ, ˮвˮ, ˮгˮ и ˮеˮ пункта 4 настоящего Положения);
г) наличие на праве собственности или на ином законном основании средств контроля защищенности информации от несанкционированного доступа, сертифицированных по требованиям безопасности информации, в соответствии с перечнем, утверждаемым Федеральной службой по техническому и экспортному контролю (при выполнении работ и (или) оказании услуг, предусмотренных подпунктами ˮбˮ, ˮвˮ и ˮгˮ пункта 4 настоящего Положения);
д) наличие автоматизированных систем, предназначенных для обработки конфиденциальной информации, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;
е) наличие предназначенных для осуществления лицензируемого вида деятельности программ для электронно-вычислительных машин и баз данных, принадлежащих соискателю лицензии на праве собственности или на ином законном основании;
ж) наличие технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с утверждаемым Федеральной службой по техническому и экспортному контролю перечнем и принадлежащих соискателю лицензии на праве собственности или на ином законном основании;
з) наличие системы производственного контроля в соответствии с установленными стандартами (при выполнении работ, указанных в подпункте ˮвˮ пункта 4 настоящего Положения).
6. Лицензионными требованиями, предъявляемыми к лицензиату при осуществлении лицензируемого вида деятельности, являются:
а) выполнение работ и (или) оказание услуг лицензиатом:
юридическим лицом — с привлечением специалистов, находящихся в штате лицензиата, имеющих высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;
индивидуальным предпринимателем — при наличии у него высшего профессионального образования в области технической защиты информации либо высшего технического или среднего профессионального (технического) образования и при условии прохождения переподготовки или повышения квалификации по вопросам технической защиты информации;
б) наличие помещений для осуществления лицензируемого вида деятельности, соответствующих установленным законодательством Российской Федерации техническим нормам и требованиям по технической защите информации и принадлежащих лицензиату на праве собственности или на ином законном основании;
в) использование на праве собственности или на ином законном основании контрольно-измерительного оборудования (прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку) и маркирование), производственного и испытательного оборудования, соответствующего требованиям по техническим характеристикам и параметрам, устанавливаемым Федеральной службой по техническому и экспортному контролю (при выполнении работ и (или) оказании услуг, предусмотренных подпунктами ˮаˮ, ˮвˮ, ˮгˮ и ˮеˮ пункта 4 настоящего Положения);
г) использование на праве собственности или на ином законном основании средств контроля защищенности информации от несанкционированного доступа, сертифицированных по требованиям безопасности информации, в соответствии с перечнем, утверждаемым Федеральной службой по техническому и экспортному контролю (при выполнении работ и (или) оказании услуг, предусмотренных подпунктами ˮбˮ, ˮвˮ и ˮгˮ пункта 4 настоящего Положения);
д) использование для обработки конфиденциальной информации автоматизированных систем и средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;
е) использование предназначенных для осуществления лицензируемого вида деятельности программ для электронно-вычислительных машин и баз данных, принадлежащих лицензиату на праве собственности или на ином законном основании;
ж) наличие технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с утверждаемым Федеральной службой по техническому и экспортному контролю перечнем и принадлежащих лицензиату на праве собственности или на ином законном основании;
з) наличие системы производственного контроля в соответствии с установленными стандартами (при выполнении работ, указанных в подпункте ˮвˮ пункта 4 настоящего Положения).
7. Под грубым нарушением лицензионных требований понимается невыполнение лицензиатом требований, предусмотренных подпунктами ˮаˮ, ˮвˮ — ˮеˮ и ˮзˮ пункта 6 настоящего Положения, повлекшее за собой последствия, предусмотренные частью 11 статьи 19 Федерального закона ˮО лицензировании отдельных видов деятельностиˮ.
8. Для получения лицензии соискатель лицензии направляет или представляет в лицензирующий орган следующие документы:
а) заявление о предоставлении лицензии, документы (копии документов), предусмотренные пунктами 1, 3 и 4 части 3 статьи 13 Федерального закона ˮО лицензировании отдельных видов деятельностиˮ;
б) копии документов, подтверждающих квалификацию специалистов по защите информации (дипломов, удостоверений, свидетельств);
в) копии правоустанавливающих документов на помещения, предназначенные для осуществления лицензируемого вида деятельности, права на которые не зарегистрированы в Едином государственном реестре прав на недвижимое имущество и сделок с ним (в случае, если такие права зарегистрированы в указанном реестре, — сведения об этих помещениях);
г) копии технических паспортов и аттестатов соответствия защищаемых помещений требованиям безопасности информации;
д) копии технических паспортов автоматизированных систем, предназначенных для хранения и обработки конфиденциальной информации (с приложениями), актов классификации автоматизированных систем по требованиям безопасности информации, планов размещения основных и вспомогательных технических средств и систем, аттестатов соответствия автоматизированных систем требованиям безопасности информации или сертификатов соответствия автоматизированных систем требованиям безопасности информации, а также перечень защищаемых в автоматизированных системах ресурсов, описание технологического процесса обработки информации в автоматизированных системах;
е) копии документов, подтверждающих право соискателя лицензии на программы для электронно-вычислительных машин и базы данных, планируемые к использованию при осуществлении лицензируемого вида деятельности;
ж) документы, содержащие сведения о наличии контрольно-измерительного, производственного и испытательного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемого вида деятельности, с приложением копий документов о поверке (калибровке) и маркировании контрольно-измерительного оборудования, а также документов, подтверждающих права соискателя лицензии на использование указанного оборудования, средств защиты информации и средств контроля защищенности информации;
з) документы, содержащие сведения об имеющихся технической документации, национальных стандартах и методических документах, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения;
и) копии документов, подтверждающих наличие необходимой системы производственного контроля в соответствии с установленными стандартами (при выполнении работ, указанных в подпункте ˮвˮ пункта 4 настоящего Положения).
9. Документы (копии документов), указанные в подпунктах ˮбˮ — ˮиˮ пункта 8 настоящего Положения, подписываются (заверяются) соискателем лицензии.
10. При намерении лицензиата выполнять новые работы и (или) оказывать новые услуги, подлежащие лицензированию в соответствии с пунктом 4 настоящего Положения, в заявлении о переоформлении лицензии указываются сведения о работах (услугах), которые лицензиат намерен выполнять (оказывать), а также следующие сведения, подтверждающие соответствие лицензиата лицензионным требованиям, установленным пунктом 6 настоящего Положения:
а) сведения, подтверждающие квалификацию специалистов по защите информации (с указанием реквизитов дипломов, удостоверений, свидетельств);
б) сведения, подтверждающие наличие аттестованных по требованиям безопасности информации защищаемых помещений;
в) сведения, подтверждающие наличие аттестованных по требованиям безопасности информации автоматизированных систем, предназначенных для хранения и обработки конфиденциальной информации, сведения о защищаемых в автоматизированных системах ресурсах;
г) сведения, подтверждающие наличие на праве собственности или на ином законном основании программ для электронно-вычислительных машин и баз данных, планируемых к использованию при осуществлении лицензируемого вида деятельности;
д) сведения, подтверждающие наличие контрольно-измерительного, производственного и испытательного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемого вида деятельности, сведения о поверке (калибровке) и маркировании контрольно-измерительного оборудования, а также сведения, подтверждающие право соискателя лицензии на использование указанного оборудования, средств защиты информации и средств контроля защищенности информации;
е) сведения об имеющихся технической документации, национальных стандартах и методических документах, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения;
ж) сведения, подтверждающие наличие необходимой системы производственного контроля в соответствии с установленными стандартами (при выполнении работ, указанных в подпункте ˮвˮ пункта 4 настоящего Положения).
11. При намерении лицензиата осуществлять лицензируемый вид деятельности по адресу места его осуществления, не указанному в лицензии, в заявлении о переоформлении лицензии указываются этот адрес и следующие сведения, подтверждающие соответствие лицензиата лицензионным требованиям, установленным пунктом 6 настоящего Положения:
а) сведения, подтверждающие наличие помещений, предназначенных для осуществления лицензируемого вида деятельности, права на которые не зарегистрированы в Едином государственном реестре прав на недвижимое имущество и сделок с ним;
б) сведения, подтверждающие наличие аттестованных по требованиям безопасности информации защищаемых помещений;
в) сведения, подтверждающие наличие аттестованных по требованиям безопасности информации автоматизированных систем, предназначенных для хранения и обработки конфиденциальной информации, и сведения о защищаемых в автоматизированных системах ресурсах;
г) сведения, подтверждающие наличие на праве собственности или на ином законном основании программ для электронно-вычислительных машин и баз данных, планируемых к использованию при осуществлении лицензируемого вида деятельности;
д) сведения, подтверждающие наличие необходимой системы производственного контроля в соответствии с установленными стандартами (при выполнении работ, указанных в подпункте ˮвˮ пункта 4 настоящего Положения).
12. Представление соискателем лицензии заявления и документов, необходимых для получения лицензии, их прием лицензирующим органом, принятие лицензирующим органом решений о предоставлении лицензии (об отказе в предоставлении лицензии), переоформлении лицензии (об отказе в переоформлении лицензии), приостановлении, возобновлении, прекращении действия лицензии, а также ведение реестра лицензий и предоставление сведений, содержащихся в реестре лицензий, выдача дубликатов и копий лицензий осуществляются в порядке, установленном Федеральным законом ˮО лицензировании отдельных видов деятельностиˮ.
13. При проведении проверки сведений, содержащихся в представленных соискателем лицензии (лицензиатом) документах, лицензирующий орган запрашивает необходимые для предоставления государственных услуг в области лицензирования сведения, находящиеся в распоряжении органов, предоставляющих государственные и муниципальные услуги, иных государственных органов, органов местного самоуправления либо подведомственных им организаций, в порядке, установленном Федеральным законом ˮОб организации предоставления государственных и муниципальных услугˮ.
14. Лицензионный контроль осуществляется лицензирующим органом в соответствии с Федеральным законом ˮО защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроляˮ и статьей 19 Федерального закона ˮО лицензировании отдельных видов деятельностиˮ.

——————————————————————