Техническая защита информации. Организация защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну
:Техническая защита информации. Организация защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну
Лицензирование деятельности в области защиты информации. Ответственность за правонарушения в области защиты информации
10.1. Организационно-правовые основы лицензирования деятельности в области защиты информации
Лицензирование деятельности в области защиты информации представляет собой определенную форму государственного контроля и должно обеспечить не только допуск организаций, соответствующих определенным требованиям и условиям, к осуществлению определенных видов деятельности, но и повышение качества непосредственно мероприятий и услуг по технической защите информации.
Основополагающим федеральным законом в области лицензирования является Федеральный закон от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности". Рассмотрим основные понятия в области лицензирования.
Лицензия - специальное разрешение на право осуществления юридическим лицом или индивидуальным предпринимателем конкретного вида деятельности (выполнения работ, оказания услуг, составляющих лицензируемый вид деятельности), которое подтверждается документом, выданным лицензирующим органом на бумажном носителе или в форме электронного документа, подписанного электронной подписью, в случае, если в заявлении о предоставлении лицензии указывалось на необходимость выдачи такого документа в форме электронного документа.
Лицензирование - деятельность лицензирующих органов по предоставлению, переоформлению лицензий, продлению срока действия лицензий в случае, если ограничение срока действия лицензий предусмотрено федеральными законами, осуществлению лицензионного контроля, приостановлению, возобновлению, прекращению действия и аннулированию лицензий, формированию и ведению реестра лицензий, формированию государственного информационного ресурса, а также по предоставлению в установленном порядке информации по вопросам лицензирования.
Лицензирующие органы - уполномоченные федеральные органы исполнительной власти и (или) их территориальные органы, а в случае передачи осуществления полномочий Российской Федерации в области лицензирования органам государственной власти субъектов Российской Федерации органы исполнительной власти субъектов Российской Федерации, осуществляющие лицензирование.
Соискатель лицензии - юридическое лицо или индивидуальный предприниматель, обратившиеся в лицензирующий орган с заявлением о предоставлении лицензии.
Лицензиат - юридическое лицо или индивидуальный предприниматель, имеющие лицензию;
Лицензионные требования - совокупность требований, которые установлены положениями о лицензировании конкретных видов деятельности, основаны на соответствующих требованиях законодательства Российской Федерации и направлены на обеспечение достижения целей лицензирования.
В ст.12 Федерального закона перечислены виды деятельности, на которые требуется лицензия. В контексте информационной безопасности лицензия требуется на следующие виды деятельности:
- разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
- разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации;
- деятельность по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
- разработка и производство средств защиты конфиденциальной информации;
- деятельность по технической защите конфиденциальной информации[91].
Лицензия является бессрочной.
Перечислим общий порядок получения лицензии, описанный в ст. 13 ФЗ:
- Для получения лицензии соискатель должен направить в лицензирующий орган должным образом заполненное заявление, в котором указываются:
- для юридического лица: полное и сокращенное наименование и организационно-правовая форма, адреса, где планируется ведение лицензируемого вида деятельности, государственный регистрационный номер записи о создании юр.лица и данные документа, подтверждающего внесение в реестр юридических лиц РФ, номера телефонов и адрес электронной почты юр. лица.
- для индивидуального предпринимателя: полное ФИО, место жительства, адреса мест, где планируется ведение лицензируемой деятельности, данные документа, удостоверяющего личность (например, паспорта), государственный регистрационный номер записи о регистрации и данные документа, подтверждающего факт внесения сведений об индивидуальном предпринимателе в единый государственный реестр индивидуальных предпринимателей.
- ИНН и данные документа, подтверждающего постановку соискателя на учет в налоговом органе.
- лицензируемый вид деятельности
- доказательства уплаты государственной пошлины за получение лицензии
- реквизиты документов, перечень которых определяется положением о лицензировании конкретного вида деятельности и которые свидетельствуют о соответствии соискателя лицензии лицензионным требованиям, - в отношении документов, на которые распространяется требование пункта 2 части 1 статьи 7 Федерального закона от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг".
К заявлению соискатель должен приложить копии документов в соответствии с положением о лицензировании конкретного вида деятельности и опись прилагаемых документов. Следует отметить, что в последних редакциях закона предусмотрена электронная отправка документов в лицензирующий орган с электронной подписью соискателя. В течение трех рабочих дней лицензирующий орган принимает решение о соответствии предоставленных документов. В случае принятия документов на рассмотрение в срок не позднее 45 рабочих дней принимается решение об отказе или предоставлении лицензии соискателю. Решение о предоставлении лицензии или об отказе в ее предоставлении оформляется приказом (распоряжением) лицензирующего органа.
Уведомление о принятии решения вручается или отправляется соискателю в письменной форме. Если решение отрицательное, должны указываться причины отказа и реквизиты акта проверки возможности выполнения соискателем лицензии лицензионных требований и условий, если причиной отказа является невозможность выполнения соискателем лицензии указанных требований и условий.
Причинами отказа в получении лицензии могут быть:
- наличие в документах, представленных соискателем лицензии, недостоверной или искаженной информации;
- несоответствие соискателя лицензии, принадлежащих ему или используемых им объектов лицензионным требованиям и условиям;
- если у соискателя ранее была лицензия на этот же вид деятельности и она была аннулирована.
Лицензирующими органами в области защиты информации являются ФСБ и ФСТЭК. В области технической защиты конфиденциальной информации, которой посвящен данный курс, - ФСТЭК. Требования для получения лицензии устанавливаются положениями о лицензировании конкретных видов деятельности, утверждаемыми Правительством РФ. Лицензирование в области технической защиты конфиденциальной информации осуществляется на основании "Положения о лицензировании деятельности по технической защите конфиденциальной информации" от 03.02.2012 (далее - Положение).
В соответствии с Положением к юридическому лицу - соискателю лицензии -предъявляются следующие требования:
- В штате по основному месту работы в соответствии со штатным расписанием руководителя и(или) уполномоченного руководить работами лица, имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения - не менее 360 аудиторных часов).
- Не менее двух инженерно-технических работников имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения - не менее 360 аудиторных часов).
- Наличие помещений, принадлежащих на праве собственности или ином законном основании, в которых созданы необходимые условия для осуществления лицензируемого вида деятельности;
- Наличие необходимого оборудования, принадлежащего на праве собственности или ином законном основании, в соответствии с перечнем, определяемым ФСТЭК, в том числе:
- измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку);
- программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения.
- Использование принадлежащих лицензиату на праве собственности или ином законном основании автоматизированных систем, предназначенных для обработки конфиденциальной информации, а также средств защиты такой информации, прошедших процедуру оценки соответствия, аттестованных и (или) сертифицированных по требованиям безопасности информации, в соответствии с законодательством Российской Федерации;
- Наличие технической и технологической документации, национальных стандартов и методических документов в соответствии с определенным ФСТЭК перечнем.
Для получения лицензии соискатель отправляет в ФСТЭК:
- заявление;
- копии документов, подтверждающих необходимую квалификацию у сотрудников;
- копии правоустанавливающих документов на помещения, предназначенные для осуществления лицензируемого вида деятельности, права на которые не зарегистрированы в Едином государственном реестре прав на недвижимое имущество и сделок с ним (в случае, если такие права зарегистрированы в указанном реестре, - сведения об этих помещениях);
- копии технических паспортов и аттестатов соответствия защищаемых помещений требованиям безопасности информации;
- копии технических паспортов автоматизированных систем, предназначенных для хранения и обработки конфиденциальной информации (с приложениями), актов классификации автоматизированных систем по требованиям безопасности информации, планов размещения основных и вспомогательных технических средств и систем, аттестатов соответствия автоматизированных систем требованиям безопасности информации или сертификатов соответствия автоматизированных систем требованиям безопасности информации, а также перечень защищаемых в автоматизированных системах ресурсов, описание технологического процесса обработки информации в автоматизированных системах;
- копии документов, подтверждающих право соискателя лицензии на программы для электронно-вычислительных машин и базы данных, планируемые к использованию при осуществлении лицензируемого вида деятельности;
- документы, содержащие сведения о наличии контрольно-измерительного, производственного и испытательного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемого вида деятельности, с приложением копий документов о поверке (калибровке) и маркировании контрольно-измерительного оборудования, а также документов, подтверждающих права соискателя лицензии на использование указанного оборудования, средств защиты информации и средств контроля защищенности информации;
- документы, содержащие сведения об имеющихся технической и технологической документации, национальных стандартах и методических документах, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, с приложением копий документов, подтверждающих, что документы, содержащие информацию ограниченного доступа, получены в установленном законодательством Российской Федерации порядке;
- если лицензируемый вид деятельности - "услуги по мониторингу информационной безопасности средств и систем информатизации"- копии документов, подтверждающих наличие необходимой системы производственного контроля в соответствии с установленными стандартами.
Лицензионный контроль также осуществляет ФСТЭК в соответствии с Федеральным законом "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" и статьей 19 Федерального закона "О лицензировании отдельных видов деятельности".
Следует отметить, что если трактовать ФЗ "О лицензировании отдельных видов деятельности" буквально, то лицензия нужна всем организациям, которые пытаются защитить свою информацию. По этому поводу в 2012 г. было много дискуссий и вопросов к регулятору. Результатом стало информационное сообщение ФСТЭК от 30 мая 2012 г. N 240/22/2222:
"…получение юридическим лицом лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации является обязательным в случае, если эта деятельность направлена на получение прибыли от выполнения работ или оказания услуг по технической защите конфиденциальной информации и (или) она необходима для достижения целей деятельности, предусмотренных в учредительных документах юридического лица, а также, если это юридическое лицо (уполномоченное лицо) обеспечивает техническую защиту конфиденциальной информации при ее обработке в соответствии с Федеральным законом "Об информации, информационных технологиях и о защите информации" по поручению обладателя информации конфиденциального характера и (или) заказчика информационной системы".
Таким образом, если ТКЗИ не приносит прибыли и не направлена на достижение целей деятельности, предусмотренных в учредительных документах, лицензия на ТКЗИ не нужна. Если же юридическое лицо оказывает услуги или выполняет работы по ТКЗИ - то получение лицензии является обязательным в соответствии с ФЗ "О лицензировании отдельных видов деятельности" и Гражданским кодексом РФ.
В области технической защиты конфиденциальной информации ФСТЭК также осуществляет лицензирование деятельности по разработке и(или) производству средств защиты конфиденциальной информации в соответствии с Постановлением Правительства РФ от 3 марта 2012 г. N 171 "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации".