Лицензированием в области защиты информации называется деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации. Государственная политика в области лицензирования отдельных видов деятельности и обеспечения защиты жизненно важных интересов личности, общества и государства определяется Постановлением Правительства Российской Федерации от 24 декабря 1994 г. № 1418 «О лицензировании отдельных видов деятельности» (в ред. Постановлений Правительства РФ от 05.05.95 № 450, от 03.06.95 № 549, от 07.08.95 № 796, от 12.10.95 № 1001, от 22.04.97 № 462, от 01.12.97 № 1513, также см. постановление от 11.02.02 № 135).

Лицензией называется разрешение на право проведения работ в области защиты информации. Лицензия выдается на конкретные виды деятельности на три года, по истечении которых осуществляется ее перерегистрация в порядке, установленном для выдачи лицензии.

Лицензия выдается в том случае, если предприятие, подавшее заявку на получение лицензии, имеет условия для проведения лицензирования: производственную и испытательную базу, нормативную и методическую документацию, располагает научным и инженерно-техническим персоналом.

Организационную структуру системы государственного лицензирования деятельности предприятий в области защиты информации образуют:

· государственные органы по лицензированию;

· лицензионные центры;

· предприятия-заявители.

Государственные органы по лицензированию:

· организуют обязательное государственное лицензирование деятельности предприятий;

· выдают государственные лицензии предприятиям-заявителям;

· согласовывают составы экспертных комиссий, представляемые лицензионными центрами;

· осуществляют контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации.

Лицензионные центры:

· формируют экспертные комиссии и представляют их состав на согласование руководителям соответствующих государственных органов по лицензированию, которыми являются ФСТЭК и ФСБ;

· планируют и проводят работы по экспертизе предприятий-заявителей;

· контролируют полноту и качество выполненных лицензиатами работ.

Лицензионные центры при государственных органах по лицензированию создаются приказами руководителей этих органов. Экспертные комиссии формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, органов государственного управления, других организаций и учреждений. Экспертные комиссии создаются по одному или нескольким направлениям защиты информации.

Лицензированию ФСТЭК России подлежат:

· сертификация, сертификационные испытания защищенных технических средств обработки информации (ТСОИ), технических и программных средств защиты, средств контроля эффективности мер защиты информации, программных средств обработки, защиты и контроля защищенности;

· аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, объектов ВТ и выделенных помещений на соответствие требованиям руководящих и нормативных документов по безопасности информации;

· разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных объектов информатики, технических средств защиты и контроля эффективности мер защиты информации, защищенных прог­раммных средств обработки, защиты и контроля защищенности информации;

· проведение специальных исследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ;

· проектирование объектов в защищенном исполнении.

На орган по лицензированию возлагается:

· разработка правил, процедур и нормативно-методических документов по вопросам проведения лицензирования;

· осуществление научно-методического руководства лицензионной деятельностью;

· публикация необходимых сведений о системе лицензирования;

· рассмотрение заявлений организаций и воинских частей о выдаче лицензий;

· согласование заявлений с воинскими частями, ответственными за соответствующие направления защиты информации;

· согласование состава экспертных комиссий;

· организация и проведение специальных экспертиз;

· принятие решения о выдаче лицензии;

· выдача лицензий;

· принятие решения о приостановлении, возобновлении действия лицензии или ее аннулировании;

· ведение реестра выданных, приостановленных, возобновленных и аннулированных лицензий;

· приобретение, учет и хранение бланков лицензий;

· организация работы аттестационных центров;

· осуществление контроля за полнотой и качеством проводимых лицензиатами работ.

В соответствии со статьей 17 Федерального закона от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности» (с изменениями, введенными Федеральным законом от 02.07.2005 № 80-ФЗ) лицензированию подлежат следующие виды деятельности (в области защиты информации):

· деятельность по распространению шифровальных (криптографических) средств;

· деятельность по техническому обслуживанию шифровальных (криптографических) средств;

· предоставление услуг в области шифрования информации;

· разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

· деятельность по разработке и (или) производству средств защиты конфиденциальной информации; деятельность по технической защите конфиденциальной информации;

· деятельность по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

В рамках рассматриваемых видов деятельности были выпущены отдельные постановления Правительства Российской Федерации, разъясняющие порядок лицензирования. Среди них:

· Постановление Правительства Российской Федерации от 26.01.2006 № 45 «Об организации лицензирования отдельных видов деятельности»; Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»;

· Постановление Правительства Российской Федерации от 31.08.2006 № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»;

· Постановление Правительства Российской Федерации от 23.09.2002 № 691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».

В соответствии с этими документами лицензиаты обязаны ежегодно представлять в орган по лицензированию или аттестационный центр сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности. Лицензиаты несут ответственность за полноту и качество выполняемых работ, обеспечение сохранности государственной тайны, доверенной им в ходе практической деятельности.

Лицензированием в области защиты информации называется деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации. Государственная политика в области лицензирования отдельных видов деятельности и обеспечения защиты жизненно важных интересов личности, общества и государства определяется Постановлением Правительства Российской Федерации от 24 декабря 1994 г. № 1418 «О лицензировании отдельных видов деятельности» (в ред. Постановлений Правительства РФ от 05.05.95 № 450, от 03.06.95 № 549, от 07.08.95 № 796, от 12.10.95 № 1001, от 22.04.97 № 462, от 01.12.97 № 1513, также см. постановление от 11.02.02 № 135).

Лицензией называется разрешение на право проведения работ в области защиты информации. Лицензия выдается на конкретные виды деятельности на три года, по истечении которых осуществляется ее перерегистрация в порядке, установленном для выдачи лицензии.

Лицензия выдается в том случае, если предприятие, подавшее заявку на получение лицензии, имеет условия для проведения лицензирования: производственную и испытательную базу, нормативную и методическую документацию, располагает научным и инженерно-техническим персоналом.

Организационную структуру системы государственного лицензирования деятельности предприятий в области защиты информации образуют:

· государственные органы по лицензированию;

· лицензионные центры;

· предприятия-заявители.

Государственные органы по лицензированию:

· организуют обязательное государственное лицензирование деятельности предприятий;

· выдают государственные лицензии предприятиям-заявителям;

· согласовывают составы экспертных комиссий, представляемые лицензионными центрами;

· осуществляют контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации.

Лицензионные центры:

· формируют экспертные комиссии и представляют их состав на согласование руководителям соответствующих государственных органов по лицензированию, которыми являются ФСТЭК и ФСБ;

· планируют и проводят работы по экспертизе предприятий-заявителей;

· контролируют полноту и качество выполненных лицензиатами работ.

Лицензионные центры при государственных органах по лицензированию создаются приказами руководителей этих органов. Экспертные комиссии формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, органов государственного управления, других организаций и учреждений. Экспертные комиссии создаются по одному или нескольким направлениям защиты информации.

Лицензированию ФСТЭК России подлежат:

· сертификация, сертификационные испытания защищенных технических средств обработки информации (ТСОИ), технических и программных средств защиты, средств контроля эффективности мер защиты информации, программных средств обработки, защиты и контроля защищенности;

· аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, объектов ВТ и выделенных помещений на соответствие требованиям руководящих и нормативных документов по безопасности информации;

· разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных объектов информатики, технических средств защиты и контроля эффективности мер защиты информации, защищенных прог­раммных средств обработки, защиты и контроля защищенности информации;

· проведение специальных исследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ;

· проектирование объектов в защищенном исполнении.

На орган по лицензированию возлагается:

· разработка правил, процедур и нормативно-методических документов по вопросам проведения лицензирования;

· осуществление научно-методического руководства лицензионной деятельностью;

· публикация необходимых сведений о системе лицензирования;

· рассмотрение заявлений организаций и воинских частей о выдаче лицензий;

· согласование заявлений с воинскими частями, ответственными за соответствующие направления защиты информации;

· согласование состава экспертных комиссий;

· организация и проведение специальных экспертиз;

· принятие решения о выдаче лицензии;

· выдача лицензий;

· принятие решения о приостановлении, возобновлении действия лицензии или ее аннулировании;

· ведение реестра выданных, приостановленных, возобновленных и аннулированных лицензий;

· приобретение, учет и хранение бланков лицензий;

· организация работы аттестационных центров;

· осуществление контроля за полнотой и качеством проводимых лицензиатами работ.

В соответствии со статьей 17 Федерального закона от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности» (с изменениями, введенными Федеральным законом от 02.07.2005 № 80-ФЗ) лицензированию подлежат следующие виды деятельности (в области защиты информации):

· деятельность по распространению шифровальных (криптографических) средств;

· деятельность по техническому обслуживанию шифровальных (криптографических) средств;

· предоставление услуг в области шифрования информации;

· разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

· деятельность по разработке и (или) производству средств защиты конфиденциальной информации; деятельность по технической защите конфиденциальной информации;

· деятельность по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

В рамках рассматриваемых видов деятельности были выпущены отдельные постановления Правительства Российской Федерации, разъясняющие порядок лицензирования. Среди них:

· Постановление Правительства Российской Федерации от 26.01.2006 № 45 «Об организации лицензирования отдельных видов деятельности»; Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»;

· Постановление Правительства Российской Федерации от 31.08.2006 № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»;

· Постановление Правительства Российской Федерации от 23.09.2002 № 691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».

В соответствии с этими документами лицензиаты обязаны ежегодно представлять в орган по лицензированию или аттестационный центр сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности. Лицензиаты несут ответственность за полноту и качество выполняемых работ, обеспечение сохранности государственной тайны, доверенной им в ходе практической деятельности.

Для нормального функционирования систем электронного документооборота (ЭДО) необходимо разработать процедуры разрешения возможных конфликтов. Стороной таких конфликтов, кроме участников ЭДО и фирмы-провайдера, может быть и фирма-разработчик программного обеспечения.

Предполагается, что договор с фирмой-разработчиком учитывает наличие эталонного образца программного обеспечения, который может храниться только у фирмы - провайдера или у всех участников ЭДО. Для этого требуется выполнение двух основных условий:

должно быть документально подтверждено, что каждому участнику системы ЭДО (включая фирму - провайдер) установлено программное, соответствующее эталонному образцу;

хранение эталонных образцов организуется таким образом, чтобы исключить возможность изменения эталонного образца программного обеспечения без ведома сторон.

Такой режим может быть обеспечен системой из нескольких открытых ключей.

Сегодня, когда современные информационные технологии интенсивно внедряются во все сферы жизни и деятельности общества, национальная, и как ее часть экономическая безопасность государства начинает напрямую зависеть от обеспечения информационной безопасности. Именно поэтому с целью создания гарантий по обеспечению необходимой стойкости средств защиты информации государство берет на себя ответственность за лицензирование деятельности организаций, занимающихся защитой информации, и сертификацию соответствующих технических средств.

Сегодняшний уровень защиты от внешних информационных угроз в глобальных открытых сетях не может быть сочтен удовлетворительным: до сих пор в России отсутствует всеобъемлющая и технически выверенная стратегия в этой области. С целью изменения ситуации должен быть безотлагательно разработан и осуществлен комплекс мер в области законодательства и стандартизации средств, обеспечивающих информационную безопасность России. К первоочередным задачам в этом направлении относятся:

· принятие специального закона, аналогичного "Computer Security Act" в США, возлагающего на конкретные госструктуры ответственность за методологическую поддержку работ в области информационной безопасности;

· выработку унифицированных подходов к обеспечению безопасности для организаций различного профиля, размера и форм собственности;

· обеспечение появления на рынке достаточного числа разнообразных сертифицированных средств для решения задач информационной безопасности.

Одной из проблем в области защиты информации в России является отсутствие официальных документов с подробными рекомендациями по построению безопасных информационных систем, аналогичных разработанному, например, Американским институтом стандартных технологий (США) и британскому стандарту. Хотя в Великобритании не существует нормативных актов, требующих выполнения государственных стандартов, около 60% британских фирм и организаций добровольно используют разработанный стандарт, а остальные намерены внедрять его рекомендации в ближайшее время.

Лицензирование и сертификация в области систем обеспечения безопасности информации могут снизить остроту этой проблемы. Необходимо создание пользователю гарантий того, что используемые им средства защиты информации способны обеспечивать необходимый уровень защиты. Именно лицензирование может способствовать тому, что проблемой защиты информации будут заниматься только высококвалифицированные специалисты в этой области, а создаваемые ими продукты будут находиться на соответствующем уровне и смогут пройти сертификацию.

Без проведения сертификации невозможно оценить, содержит ли то или иное средство потенциально вредные недокументированные возможности, наличие которых особенно характерно для большинства зарубежных продуктов, способные в определенный момент привести к сбоям в работе системы и даже к необратимым для нее последствиям. Характерным примером таких недокументированных возможностей является заложенная фирмой Ericsson при разработке телефонных станций, на базе которых МПС РФ строит свою телефонную сеть, возможность блокировать их работу при получении вызова определенного телефонного номера, который фирма отказывается назвать. И этот пример не является единственным.

Процесс сертификации программного продукта занимает примерно столько же времени, сколько и его разработка, и практически невозможен без исходных текстов программ с комментариями. В то же время многие зарубежные фирмы не желают представлять исходные тексты своих программных продуктов в российские сертификационные центры. Например, несмотря на принципиальное согласие фирмы Microsoft на сертификацию в России ОC Windows NT, в которой уже выявлено более 50 ошибок, связанных с обеспечением безопасности, этот вопрос уже в течение многих месяцев не может сдвинуться с мертвой точки из-за отсутствия ее исходных текстов.

Трудности с сертификацией приводят к тому, что раньше других среди продуктов одного класса сертификат быстрее получают самые простые, в силу чего они кажутся пользователю более надежными. Длительные же сроки сертификации приводят к тому, что фирма-разработчик успевает вывести на рынок новую версию своего продукта, и процесс становится бесконечным.

Сертификацию технических средств защиты информации затруднительно проводить без соответствующих стандартов, создание которых в России не в последнюю очередь сдерживается из-за отсутствия финансовых средств. Эта проблема решается, если появляются несколько фирм, заинтересованных в сбыте, и несколько организаций, заинтересованных в использовании соответствующих технических средств. Например, плодом совместных усилий подобных организаций, фирм и ФСТЭК(ранее Гостехкомиссия (ГТК)) стала разработка Руководящего технического материала ГТК РФ "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации". Он позволил классифицировать средства, которые способны в какой-то степени обеспечить защиту корпоративных сетей от внешних вторжений.

Документ предполагает существование нескольких классов межсетевых экранов: от простейших, позволяющих только осуществлять контроль потоков информации, до самых сложных, выполняющих полное перекодирование входящей информации, полностью защищающее корпоративную сеть от воздействий извне. Уже сегодня сертификацию на соответствие техническим условиям, разработанным в соответствии с Руководящим техническим материалом, что допускается действующим законодательством, прошли такие межсетевые экраны, как Sun Screen, SKIPbridge и Pandora. Однако и при их сертификации без борьбы не обошлось.

С учетом требований информационной безопасности и мировой практики деятельности в сфере защиты информации представляется целесообразным присоединение России к сложившимся системам международной стандартизации и сертификации информационных технологий, что на практике означает:

· приведение национальных и отраслевых стандартов в соответствие с международными;

· участие представителей России в международных системах сертификации (в том числе в сертификационных испытаниях);

· возможность признания в России международных сертификатов.

Кроме того, в соответствии с действующим законодательством, любая организация, занимающаяся сбором и обработкой персональных данных (например, операций с пластиковыми карточками), должна иметь лицензию на право заниматься подобной деятельностью и использовать для этого сертифицированные средства.

ФСТЭК России (бывшая Гостехкомиссия) разработана необходимая нормативная база в области защиты информации от несанкционированного доступа. Рассмотрим структуру основных руководящих документов.

1. «Защита от несанкционированного доступа к информации. Термины и определения» – устанавливает единый терминологический стандарт в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, являющийся обязательным для применения во всех видах документации.

2. «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» – описывает основные принципы, на которых базируется проблема защиты информации от несанкционированного доступа и ее отношение к общей проблеме безопасности информации. В концепции отражены следующие вопросы: определение несанкционированного доступа, основные принципы защиты, модель нарушителя в автоматизированных системах, основные способы несанкционированного доступа, основные направления обеспечения защиты, основные характеристики технических средств защиты, классификация автоматизированных систем, организация работ по защите. Указанная концепция предназначена для заказчиков, разработчиков и пользователей средств вычислительной техники и автоматизированных систем, основное назначение которых: обработка, хранение и передача защищаемой информации.

3. «Средства защиты информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации» – устанавливает классификацию контрольно-кассовых машин, автоматизированных кассовых систем, информационных технологий и требования по защите информации, связанной с налогообложением. В соответствии с этим документом устанавливается 2 класса контрольно-кассовых машин, автоматизированных кассовых систем и информационной техники. К первому классу относятся системы, обрабатывающие информацию о денежных оборотах на сумму до 350 минимальных размеров оплаты труда в сутки, а ко второму – на сумму свыше 350 минимальных размеров оплаты труда.

4. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» – регламентирует требования защищенности средств вычислительной техники от несанкционированного доступа, применяемые к общесистемным программным средствам и операционным системам. Здесь выделяются семь классов защищенности, которые подразделяются на четыре группы. Каждый класс содержит перечень необходимых для реализации механизмов защиты информации от несанкционированного доступа.

5. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» – классифицирует автоматизированные системы в зависимости от наличия в них информации различного уровня конфиденциальности, уровней полномочий субъектов доступа, режимов обработки данных по девяти классам и оговаривает совокупность требований к каждому из них. В зависимости от особенностей обработки информации в автоматизированных системах классы делятся на три группы.

6. «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» – декларирует требования к различным классам межсетевых экранов. Всего выделяется пять классов защищенности межсетевых экранов. Классификация производится в зависимости от класса защищенности автоматизированных систем, для защиты которой используется межсетевой экран.

На основе руководящих документов и нормативной базы ФСТЭК России производится разработка, сертификация и использование средств защиты информации от несанкционированного доступа, а также лицензирование предприятий на право деятельности в области защиты информации на территории Российской Федерации.

Техническая защита конфиденциальной информации - актуальная проблема в сегодняшних реалиях. Любая организация так или иначе собирает информацию, которую не хотела бы или просто не имеет права разглашать. Утечка таких данных может иметь самые серьезные последствия.

Государство контролирует эту важную область, а главным регулирующим органом является Федеральная служба по техническому и экспортному контролю (ФСТЭК).

Компании, которые занимаются или планируют заниматься деятельностью по защите конфиденциальной информации, должны получать лицензию ФСТЭК (Федеральный закон № 99 «О лицензировании отдельных видов деятельности», Постановление правительства от 21.11.2011 г. № 957 «Об организации лицензирования отдельных видов деятельности»). Также существует лицензия ФСБ, которая необходимо компаниям, имеющим дело с государственной тайной.

Виды лицензий ФСТЭК

Если брать в расчет только деятельность, находящуюся под юрисдикцией ФСТЭК, то существует два основных вида лицензий:

Первая: Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации (ТЗКИ) . Такая лицензия необходима компаниям, работающим непосредственно с информацией. Они используют уже готовое программное обеспечение, занимаются его установкой, тестируют технику, коммуникации и специальные помещения для хранения информации и так далее. Подробный список работ, которые требуют получения лицензии на ТЗКИ, будет приведен ниже.

Вторая: Лицензия ФСТЭК на деятельность по разработке и производству средств защиты конфиденциальной информации (СЗКИ) . Организации, получающие эту лицензию, сами разрабатывают и производят средства защиты информации. Сюда включается специальное программное обеспечение и техника, предназначенная для обработки, хранения и передачи защищенной информации, а также контроля защищенности. На все ПО и технические средства, которые производятся и используются для этих целей, выдаются сертификаты ФСТЭК. Через определенные промежутки времени средства защиты проходят повторную аттестацию.

Что подразумевается под конфиденциальной информацией?

Четкого определения этого понятия в законодательстве нет: это может быть как коммерческая тайна, так и персональные данные или любая другая информация ограниченного пользования.

Существует также понятие «оператор персональных данных». Это любая организация или физическое лицо, организующее и (или) осуществляющее обработку персональных данных. По закону (ФЗ № 152 «О персональных данных») оператор ПДн обязан обеспечить их неприкосновенность, то есть провести мероприятия по технической защите информации, которые подлежат лицензированию.

На практике это не всегда означает, что ему нужно получать лицензию ФСТЭК. Оператор может привлечь для этой цели стороннюю организацию с лицензией либо назначить в своем составе структурное подразделение или должностное лицо, которое будет заниматься вопросом ТЗКИ. В таком случае это подразделение или должностное лицо также обязано иметь лицензию ФСТЭК на ТЗКИ.

Лицензия ФСТЭК на ТЗКИ. Для каких работ нужна?

Каким организациям нужно оформлять лицензию ФСТЭК на ТЗКИ? Для того чтобы это определить, необходимо сопоставить работы или услуги, которые планирует оказывать эта организация, тем, что представлены в постановлении правительства. К таким работам относятся:

• контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
  средствах и системах информатизации;
  технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
  помещениях со средствами (системами), подлежащими защите;
  помещениях, предназначенных для ведения конфиденциальных переговоров (защищаемых помещениях);
• контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
• сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);
• аттестационные испытания и аттестация на соответствие требованиям по защите информации:
  
  защищаемых помещений;
• проектирование в защищенном исполнении:
  средств и систем информатизации;
  помещений со средствами (системами) информатизации, подлежащими защите;
  защищаемых помещений;
• установка, монтаж, испытания, ремонт средств защиты информации

Получение лицензии ФСТЭК России на техническую защиту информации

ФСТЭК России рекомендует получать лицензию на техническую защиту информации своими силами, чтобы избежать неоправданных расходов и необоснованных гарантий. Как выглядит эта процедура? Чтобы получить лицензию на защиту информации, нужно выполнить два условия:

Собрать все необходимые документы . Перечень документов довольно внушительный и находится на сайте ФСТЭК России fstec.ru . Кроме того, надо заполнить заявление и оплатить госпошлину в размере 7500 рублей. После того как документы предоставлены, в течение пяти рабочих дней производится проверка полноты сведений. Затем проводится проверка, которая выявляет, соответствует ли соискатель требованиям для предоставления лицензии.

Соответствовать требованиям . Перечень требований также находится на официальном сайте ФСТЭК России. Конечно, об этом нужно позаботиться заранее перед тем как подавать документы.

Требования для получения Лицензии ФСТЭК

Если коротко изложить эти требования, то они сводятся к следующему:

• Квалифицированные сотрудники. В штате должны быть работники с высшим образованием в профильной области либо прошедшие специальную переподготовку.
• Специальные помещения для осуществления деятельности. Помещения должны соответствовать нормам и принадлежать соискателю на законном основании.
• Сертифицированное оборудование.
• Автоматизированные системы для обработки информации с сертификатами.
• Легальное программное обеспечение.
• Наличие нормативно-правовых актов и методических документов в соответствии с перечнем ФСТЭК.

После того как все требования выполнены, а документы в порядке, выдается лицензия. Срок действия лицензии на ТЗКИ не ограничен, но периодически ФСТЭК будет проводить плановые проверки. Поэтому компании нужно постоянно следить за тем, чтобы все требования ФСТЭК выполнялись.

Лицензия ФСТЭК - специальное государственное разрешение, позволяющее вести легитимную деятельность имеющее непосредственное отношение к созданию и применению программных средств или инновационных технологий. Действие лицензий распространяется на сохранение информационных данных или создание баз для их хранения.

Лицензия ФСТЭК в Москве и в других регионах России со специалистами ГК АП-Риал - беспроблемное получение лицензии. Лицензия на защиту информации - полный спектр услуг в лицензировании ФСТЭК.

Лицензирующий орган: Федеральная Служба по техническому и экспортному контролю
Срок действия лицензии: бессрочно.
Территория действия: Вся территория Российской Федерации
Срок выдачи лицензии: 45 рабочих дней.

Цена лицензии ФСТЭК (помощь в получении): от 250 000 р

Лицензия ФСТЭК России доступно для соискателей из различных регионов страны, но лицензирующим органом является исключительно Федеральная служба по техническому и экспортному контролю, расположенная в городе Москве. Период действия официального разрешения определен как бессрочный, а география влияния ограничивается официальными границами государства.

Срок, в течение которого соискатель получает разрешительную документацию, составляет 45 дней с момента подачи документов в контролирующую государственную инстанцию.

Получение различных видов лицензии ФСТЭК

Процесс лицензирования может протекать в трех вариантах:

1. Самостоятельное обращение. Назвать данный способ оптимальным сложно. Неподготовленный соискатель, как правило, упускает ряд основных моментов, связанных с приведением в необходимый вид документации и прохождением своевременного обучения сотрудников и руководителя. В связи с этим процесс получения разрешительной документации может отнять большее количество времени, и, как следствие уменьшить потенциальную прибыль предприятия.
2. Частичная передача полномочий по предлицензионной подготовке специалистам. Это более эффективный метод прохождения процедуры лицензирования. Специалист курирует процесс, направляя руководителя компании. Но, стоит отметить, что в данном случае, юридическое сопровождение не может быть полным, а соответственно, и гарантий результата, также не может быть.
3. Полное сопровождение процесса. Получение лицензии ФСТЭК при участии специалистов гарантирует успешный результат. Мы имеем не только квалифицированных специалистов, имеющих опыт ведения лицензионных дел, но и необходимую техническую и нормативно правовую базы, для обеспечения полного соответствия соискателя требованиям контролирующей инстанции.

Полный комплекс услуг позволяет нам не только помочь предприятиям получить необходимую для деятельности лицензию, но и быть готовым к возможным проверкам в ходе плановых или внеплановых инспекций.

Виды лицензии ФСТЭК

ФЗ №99 от 4.05.11г. «О лицензировании отдельных видов деятельности» четко регламентирует перечень отраслей обязательных для лицензирования. Получить лицензию ФСТЭК в первую очередь необходимо:

• для участия в государственных тендерах;
• осуществлению деятельности, связанной с разработкой и производством СКЗИ;
• осуществлению деятельности, связанной с ТЗКИ;
• при обработке персональных данных.

Лицензирование ФСТЭК России в отрасли ТЗКИ регламентируется Постановлением правительства РФ от 3 февраля 2012 года №79 «О лицензировании деятельности по технической защите конфиденциальной информации». Период действия является бессрочным, но предприятия в процессе деятельности должно быть готово к подтверждению требований, предъявляемых к лицензиатам.

Лицензирование в отрасли СКЗИ () контролируется Постановлением Правительства Российской Федерации от 3 марта 2012 года №171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации». В официальном документе определены требования к соискателям данной лицензии.

Требования для лицензии ФСТЭК в Москве

Для того чтобы соискатель получил официальное разрешение на осуществление деятельности в отрасли, ему необходимо документальное подтверждение соответствия следующим требованиям:

• Наличие сотрудников, имеющих высшее образование по направлению «Информационная безопасность». Допустимо привлечение специалистов со средним техническим образованием аналогичного профиля, при условии прохождения ими профессиональной переподготовки, длительностью не менее 360 академических часов (обязательно предъявление свидетельства об успешном завершении обучения). Также важно наличие трудового стажа в области защиты информации.
• Наличие в собственности или на правах аренды, субаренды (необходимо предоставление действующего договора аренды) помещений, необходимых для осуществления профессиональной деятельности. Рабочие помещения должны отвечать действующим государственным требованиям.
• Наличие в собственности или на правах аренды (необходимо предъявление действующего договора аренды) необходимого оборудования. Каждая техническая единица должна сопровождаться актами поверки и необходимыми сертификатами, подтверждающими верность предоставленных данных.
• Наличие актуального на сегодняшний день программного обеспечения, необходимого для ведения деятельности в отрасли.
• Наличие нормативно-методических документов с грифом «ДСП» и ГОСТов.
• Наличие аттестованного помещения и аттестованного автоматизированного рабочего места (АРМ) в соответствии с действующими требованиями

Лицензия ФСТЭК предусматривает полное соответствие лицензиата и подготовку штата, для осуществления данной деятельности.

Порядок процесса лицензирования

Лицензия ФСТЭК России при Нашем участии заключается в том, что наши специалисты берут на себя следующие обязательства:

• подготовку необходимой документации и приведение ее к установленному виду;
• проведение , если это необходимо;
• подготовка и подача заявления лицензионный орган (вне зависимости от места нахождения соискателя);
• проведение аттестации помещения и автоматизированного рабочего места;
• получение документального подтверждения о сдаче документов;
• проведение процедур по устранению обнародованных недочетов и замечаний, если в этом есть необходимость;
• получение официального разрешения (лицензии) и передача ее лицензиату.

Определенные виды лицензий ФСТЭК требуют оформления лицензии ФСБ на работу со сведениями, являющимися государственной тайной.

Мы гарантируем, соискателям, получение лицензии и полное соответствие предприятия государственным требованиям на всех этапах его дальнейшей предпринимательской активности.

Участие на выставках и конференциях в области информационной безопасности

Специалисты ГК АП-Риал регулярно посещают тематические выставки и конференции, тем самым они всегда в тренде всех нововведений в области информационной защиты. Весь полученный опыт всегда применяется на практике. Наш богатый опыт дает возможность нашим юристам провести качественную консультацию по поводу того, какое оборудование должно быть у организации занимающаяся защитой данных или же разрабатывающая средства защиты информации.

На днях наши сотрудники посещали выставку по информационной защите от «INTERPOLITEX – 2018». Организаторами выставки были силы Министерства Внутренних Дел (МВД), Федеральной Службы Безопасности (ФСБ) и Росгвардии. Фотоотчет можно посмотреть на странице.

Лицензирование деятельности по технической защите конфиденциальной информации осуществляет ФСТЭК России. Для получения лицензии соискателю необходимо выполнить следующие требования и условия:

1. наличие в штате специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;
2. наличие у соискателя лицензии помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;
3. наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;
4. использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;
5. использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;
6. наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю

Для получения лицензии соискатель отправляет в ФСТЭК документы, рассмотренные в предыдущем разделе данной лекции. Помимо этих документов, соискатель обязан предоставить следующее:

1. копии документов, подтверждающих квалификацию специалистов по защите информации (дипломов, удостоверений, свидетельств);
2. копии документов, подтверждающих право собственности, право хозяйственного ведения или оперативного управления на помещения, предназначенные для осуществления лицензируемой деятельности, либо копии договоров аренды указанных помещений или безвозмездного пользования ими;
3. копии аттестатов соответствия защищаемых помещений требованиям безопасности информации;
4. копии технического паспорта автоматизированной системы с приложениями, акта классификации автоматизированной системы по требованиям безопасности информации, плана размещения основных и вспомогательных технических средств и систем, аттестата соответствия автоматизированной системы требованиям безопасности информации или сертификата соответствия автоматизированной системы требованиям безопасности информации, а также перечень защищаемых в автоматизированных системах ресурсов с документальным подтверждением степени конфиденциальности каждого ресурса, описание технологического процесса обработки информации в автоматизированной системе;
5. копии документов, подтверждающих право на используемые для осуществления лицензируемой деятельности программы для электронно-вычислительных машин и базы данных;
6. сведения о наличии производственного и контрольно-измерительного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемой деятельности, с приложением копий документов о поверке контрольно-измерительного оборудования;
7. сведения об имеющихся у соискателя лицензии нормативных правовых актах, нормативно-методических и методических документах по вопросам технической защиты информации

ФСТЭК проверяет комплектность предоставленных документов, полноту и достоверность указанных в них сведений. Если каких-то сведений (документов) не хватает, ФСТЭК в течение 15 дней уведомляет об этом соискателя. В срок, не превышающий 45 дней после получения документов от соискателя, ФСТЭК принимает решение о выдаче лицензии. Решение оформляется соответствующим актом ФСТЭК.

Лицензия выдается на 5 лет , и после окончания этого срока может быть продлена по заявлению лицензиата .

4.3. Контроль за соблюдением лицензионных требований и условий

Функция контроля за соблюдением лицензиатом лицензионных требований и условий осуществляет лицензирующий орган, то есть в случае технической защиты конфиденциальной информации – ФСТЭК. Способом контроля являются плановые и внеплановые проверки , которые проводятся в порядке, установленным ФЗ-№294 "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".

Целью плановой проверки является проверка соблюдения лицензиатом лицензионных требований и условий в процессе осуществления деятельности по технической защите конфиденциальной информации. В отношении одного юридического лица или индивидуального предпринимателя она может проводиться не чаще одного раза в течение трех лет. Плановые проверки осуществляются в соответствии с ежегодным планом проверок, который публикуется на официальном сайте ФСТЭК России.

Лицензиат включается в плановую проверку в случае истечения трех лет со дня:

• государственной регистрации лицензиата ;
• окончания проведения последней плановой проверки лицензиата .

Лицензиат уведомляется не позднее трех рабочих дней до проведения проверки.

Предметом внеплановой проверки является соблюдение лицензиатом лицензионных требований и условий, выполнение предписаний об устранении выявленных нарушений, проведение мероприятий по обеспечению безопасности государства.

Основанием для проведения внеплановой проверки является:

1. истечение срока исполнения ранее выданного лицензиату предписания об устранении выявленного нарушения лицензионных требований и условий;
2. поступление в ФСТЭК России обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах:
   • возникновения угрозы причинения вреда безопасности государства;
   • причинение вреда безопасности государства.

Плановая и внеплановые проверки проводятся в документарной или выездной формах. Документарная проверка проверяет документы лицензиата и осуществляется по месту нахождения ФСТЭК. В ходе выездной проверки проверяются не только документы лицензиата , но и соответствие его лицензионным требованиям и условиям.

Срок проведения каждой из проверок не может превышать 20 рабочих дней. По результатам проверки составляется акт в двух экземплярах, к которому прилагаются протоколы (заключения) проведенных исследований (испытаний) и экспертиз.

Подводя итог, можно сказать, что процесс получения лицензии на техническую защиту конфиденциальной информации является весьма трудоемким, длительным и, что не маловажно, затратным, ведь для получения лицензии необходимо выполнить все лицензионные требования и условия. Самым продолжительным по времени является обучение специалистов на курсах повышения квалификации. Несмотря на то, что количество организаций, имеющих дело с конфиденциальной информацией, достаточно велико, специалистов с высшим профессиональным образованием в области ТЗИ может позволить себе далеко не каждая из них. Частные курсы по повышению квалификации, утвержденные ФСТЭК, как правило, рассчитаны на 72 часа. Самым затратным в экономическом плане требованием является проведение аттестации объектов информатизации (автоматизированной системы и защищенного помещения), предназначенных для обработки конфиденциальной информации. Более того, возникает проблема приобретения контрольно-измерительного оборудования, которое после аттестации вообще не нужно, если только организация не собирается оказывать услуги по аттестации объектов информатизации. Альтернативный вариант – взять такое оборудование в аренду, но это тоже стоит денег. Таким образом, продолжительность процесса лицензирования может занять от 2 до 6 месяцев и повлечь за собой значительные материальные затраты. Вариантом решения данной проблемы является аутсорсинг. Аутсорсинг (от англ. outsourcing) дословно "использование внешних источников". Аутсорсинг предполагает передачу от компании-заказчика сторонней организации(подрядчику) определенных функций уставной деятельности, например, техническую защиту конфиденциальной информации. При этом подрядчик использует свои программные, технические и другие средства защиты, лицензии, аттестаты и т.п., а также несет ответственность за результат выполнения своей работы.