Вопросы лицензирования деятельности организаций по технической защите конфиденциальной информации

Перечень лицензионных требований и условий, предъявляемых к соискателям лицензии (лицензиатам)
Перечень документов и сведений, которые необходимо представить для получения лицензии
Порядок рассмотрения заявлений и принятия по ним решений
Порядок продления срока действия, переоформления, приостановления действия, аннулирования лицензии
Определение грубых нарушений лицензионных требований и условий

П. 2. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней

а) наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации, либо имеющих высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;
б) наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;
в) наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;

г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;
д) использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;
е)  наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю.

ж) сведения (копии документов) по аттестованной автоматизированной системе, используемой для осуществления лицензируемой деятельности:
технический паспорт автоматизированной системы с приложениями,
акт классификации автоматизированной системы по требованиям безопасности информации,
план размещения основных и вспомогательных технических средств и систем, аттестат соответствия автоматизированной системы требованиям безопасности информации (сертификат соответствия автоматизированной системы требованиям безопасности информации),
перечень защищаемых в автоматизированной системе ресурсов с документальным подтверждением степени конфиденциальности каждого ресурса,
описание технологического процесса обработки информации в автоматизированной системе;

з) копии документов, подтверждающих право на используемые для осуществления лицензируемой деятельности программы для электронно-вычислительных машин и базы данных;
и) сведения о наличии производственного и контрольно-измерительного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемой деятельности, с приложением копий документов о поверке контрольно-измерительного оборудования;
к) сведения об имеющихся у соискателя лицензии (лицензиата) нормативных правовых актах, нормативно-методических и методических документах по вопросам технической защиты информации.

ФЗ «О лицензировании отдельных видов деятельности»
регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности.

ФЗ «О техническом регулировании»
регулирует отношения, возникающие при: разработке, принятии, применении и исполнении обязательных и добровольных требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации; выполнению работ или оказанию услуг; оценке соответствия.

Система лицензирования

Система сертификации

«О перечне сведе-ний, отнесенных к государственной тайне»
(Указ Президента РФ от 11.02.2006 № 90)

«Об утверждении перечня сведений конфиденциально-го характера»
(Указ Президента РФ от 06.03.1997 № 188)

Информация ограниченного
доступа

Информация,
содержащая
сведения
конфиденциаль-
ного характера

Информация,
составляющая
государственную
тайну

Сертификация и сертификационные испытания
технических средств защиты информации;
защищенных технических средств обработки информации;
технических средств контроля эффективности мер защиты информации;
программных (программно-технических) средств защиты информации от НСД;
защищенных программных (программно-технических) средств обработки информации;
программных (программно-технических) средств контроля защищенности информации от НСД.
Контроль защищенности информации, аттестация средств и систем на соответствие требованиям по защите информации
автоматизированных систем различного уровня и назначения;
систем связи, приема, обработки и передачи данных;
систем отображения и размножения;
технических средств (систем), не обрабатывающих защищаемую информацию, но размещенные
в помещениях, где она обрабатывается;
помещений со средствами (системами), подлежащими защите;
помещений, предназначенных для ведения конфиденциальных переговоров.
Специсследования на ПЭМИН технических средств обработки информации
Проектирование объектов в защищенном исполнении
автоматизированных систем различного уровня и назначения;
систем связи, приема, обработки и передачи данных;
систем отображения и размножения;
помещений со средствами (системами), подлежащими защите;
помещений, предназначенных для ведения конфиденциальных переговоров

Режим защиты конфиденциальной информации устанавливается собственником информационных ресурсов или уполномоченным лицом в соответствии с законодательством Российской Федерации.
Уровень технической защиты конфиденциальной информации, а также перечень необходимых мер защиты определяется дифференцированно - по результатам обследования объекта информатизации, с учетом соотношения затрат на организацию защиты информации и величины ущерба, который может быть нанесен собственнику информационных ресурсов