Общий порядок лицензирования
Лицензирование деятельности в области защиты информации представляет собой определенную форму государственного контроля и должно обеспечить не только допуск организаций, соответствующих определенным требованиям и условиям, к осуществлению определенных видов деятельности, но и повышение качества непосредственно мероприятий и услуг по технической защите информации.
Государственная система лицензирования деятельности в области технической защиты информации включает в себя две составляющие:
· допуск предприятий и организаций к оказанию услуг по защите информации;
· контроль качества и эффективности оказываемых услуг в процессе их деятельности.
Рассмотрим основные понятия в области лицензирования.
Лицензия - специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.
Лицензируемый вид деятельности - вид деятельности, на осуществление которого на территории Российской Федерации требуется получение лицензии.
Лицензирование - мероприятия, связанные с предоставлением лицензий, переоформлением документов, подтверждающих наличие лицензий, приостановлением действия лицензий в случае административного приостановления деятельности лицензиатов за нарушение лицензионных требований и условий, возобновлением или прекращением действия лицензий, аннулированием лицензий, контролем лицензирующих органов за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности соответствующих лицензионных требований и условий, ведением реестров лицензий, а также с предоставлением в установленном порядке заинтересованным лицам сведений из реестров лицензий и иной информации о лицензировании.
Лицензионные требования и условия - совокупность установленных положениями о лицензировании конкретных видов деятельности требований и условий, выполнение которых лицензиатом обязательно при осуществлении лицензируемого вида деятельности.
Лицензирующие органы - федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, осуществляющие лицензирование в соответствии с ФЗ "О лицензировании отдельных видов деятельности" от 8 августа 2001г.
Лицензиат - юридическое лицо или индивидуальный предприниматель, имеющие лицензию на осуществление конкретного вида деятельности;
Соискатель лицензии - юридическое лицо или индивидуальный предприниматель, обратившиеся в лицензирующий орган с заявлением о предоставлении лицензии на осуществление конкретного вида деятельности.
Реестр лицензий - совокупность данных о предоставлении лицензий, переоформлении документов, подтверждающих наличие лицензий, приостановлении и возобновлении действия лицензий и об аннулировании лицензий.
Срок действия лицензии не может быть более 5 лет. По истечении этого срока лицензия может быть продлена по заявлению лицензиата.
Порядок получения лицензии следующий:
Соискатель лицензии отправляет в лицензирующий орган заявление о предоставлении лицензии, в котором указываются:
· для юридического лица: полное и сокращенное наименование и организационно-правовая форма, адреса, где планируется ведениелицензируемого вида деятельности, государственный регистрационный номер записи о создании юр.лица и данные документа, подтверждающего внесение в реестр юридических лиц РФ.
· для индивидуального предпринимателя: полное ФИО, место жительства, адреса мест, где планируется ведение лицензируемой деятельности, данные документа, удостоверяющего личность (например, паспорта), государственный регистрационный номер записи о регистрации и данные документа, подтверждающего факт внесения сведений об индивидуальном предпринимателе в единый государственный реестр индивидуальных предпринимателей.
· ИНН и данные документа, подтверждающего постановку соискателя на учет в налоговом органе.
· лицензируемый вид деятельности.
К заявлению соискатель должен приложить следующие документы:
· копии учредительных документов (для юридического лица);
· документ, подтверждающий уплату государственной пошлины за рассмотрение лицензирующим органом заявления о предоставлении лицензии;
· копии документов, перечень которых определяется положением о лицензировании конкретного вида деятельности и которые свидетельствуют о наличии у соискателя лицензии возможности выполнения лицензионных требований и условий, в том числе документов, наличие которых при осуществлении лицензируемого вида деятельности предусмотрено федеральными законами.
· Решение о предоставлении лицензии (или отказе) принимается в срок, не превышающий 5 дней со дня поступления документов. Уведомление о принятии решения вручается или отправляется соискателю в письменной форме. Если решение отрицательное, должны указываться причины отказа и реквизиты акта проверки возможности выполнения соискателем лицензии лицензионных требований и условий, если причиной отказа является невозможность выполнения соискателем лицензии указанных требований и условий. Соискатель лицензии должен заплатить государственную пошлину за получение лицензии и в течение трех дней после оплаты может получить лицензию.
· Причинами отказа в получении лицензии могут быть:
· наличие в документах, представленных соискателем лицензии, недостоверной или искаженной информации;
· несоответствие соискателя лицензии, принадлежащих ему или используемых им объектов лицензионным требованиям и условиям.
Перечислим пункты, которые должны содержать решение о предоставлении лицензии и в документе, подтверждающем наличие лицензии:
· наименование лицензирующего органа;
· полное и (в случае, если имеется) сокращенное наименование, в том числе фирменное наименование, и организационно-правовая форма юридического лица, место его нахождения, адреса мест осуществления лицензируемого вида деятельности, государственный регистрационный номер записи о создании юридического лица;
· ФИО индивидуального предпринимателя, место его жительства, адреса мест осуществления лицензируемого вида деятельности, данные документа, удостоверяющего его личность, основной государственный регистрационный номер записи о государственной регистрации индивидуального предпринимателя;
· лицензируемый вид деятельности;
· срок действия лицензии;
· ИНН;
· номер лицензии;
· дата принятия решения о предоставлении лицензии.
Лицензирующий орган вправе приостановить действие лицензии или аннулировать ее. Приостановление действия лицензии осуществляется по решению суда в случае выявления нарушений лицензионных требований и условий в течение суток со дня принятия судом решение. Действие лицензии возобновляется, если лицензиат уведомляет в письменном виде об устранении нарушений. Если лицензиат не устраняет нарушения в установленный судом срок, лицензирующий орган может обратиться в суд, по решению которого лицензия может быть аннулирована.
Действие лицензии прекращается в следующих случаях:
· ликвидация юридического или физического лица.
· окончание срока действия лицензии или принятие решения о досрочном прекращении действия лицензии на основании представленного в лицензирующий орган заявления в письменной форме лицензиата.
· решение суда об аннулировании лицензии.
Лицензирующие органы обязаны вести специальные реестры лицензий на виды деятельности, лицензирование которых они осуществляют. В реестре указывается следующая информация:
· полное и (в случае, если имеется) сокращенное наименование, в том числе фирменное наименование, и организационно-правовая форма юридического лица, место его нахождения, адреса мест осуществления лицензируемого вида деятельности, государственный регистрационный номер записи о создании юридического лица;
· фамилия, имя и (в случае, если имеется) отчество индивидуального предпринимателя, место его жительства, адреса мест осуществления лицензируемого вида деятельности, данные документа, удостоверяющего его личность, основной государственный регистрационный номер записи о государственной регистрации индивидуального предпринимателя;
· лицензируемый вид деятельности (с указанием выполняемых работ и оказываемых услуг при осуществлении видов деятельности, указанных в пункте 2 статьи 17 настоящего Федерального закона);
· срок действия лицензии;
· идентификационный номер налогоплательщика;
· номер лицензии;
· дата принятия решения о предоставлении лицензии;
· сведения о регистрации лицензии в реестре лицензий;
· основание и срок приостановления и возобновления действия лицензии;
· основание и дата аннулирования лицензии;
· основание и срок применения упрощенного порядка лицензирования;
· сведения об адресах мест осуществления лицензируемого вида деятельности;
· сведения о выдаче документа, подтверждающего наличие лицензии;
· основание и дата прекращения действия лицензии;
· иные сведения, определенные положениями о лицензировании конкретных видов деятельности.
Информация из реестра лицензий является открытой для физических и юридических лиц. Выписку можно получить за установленную плату в 10 рублей в течение трех дней после подачи заявления.
Перечислим виды деятельности, относящиеся к защите информации, на осуществление которых требуется получение лицензии:
· деятельность по распространению шифровальных (криптографических) средств;
· деятельность по техническому обслуживанию шифровальных (криптографических) средств;
· предоставление услуг в области шифрования информации;
· разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
· деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
· деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
· деятельность по технической защите конфиденциальной информации;
· разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющимипредпринимательскую деятельность.
Важным пунктом в контексте данного курса является необходимость получения лицензии на осуществление деятельности по технической защите конфиденциальной информации.
Контроль за соблюдением лицензионных требований и условий
Функция контроля за соблюдением лицензиатом лицензионных требований и условий осуществляет лицензирующий орган, то есть в случае технической защиты конфиденциальной информации – ФСТЭК. Способом контроля являются плановые и внеплановые проверки, которые проводятся в порядке, установленным ФЗ-№294 "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".
Целью плановой проверки является проверка соблюдения лицензиатом лицензионных требований и условий в процессе осуществления деятельности по технической защите конфиденциальной информации. В отношении одного юридического лица или индивидуального предпринимателя она может проводиться не чаще одного раза в течение трех лет. Плановые проверки осуществляются в соответствии с ежегодным планом проверок, который публикуется на официальном сайте ФСТЭК России.
Лицензиат включается в плановую проверку в случае истечения трех лет со дня:
· государственной регистрации лицензиата;
· окончания проведения последней плановой проверки лицензиата.
Лицензиат уведомляется не позднее трех рабочих дней до проведения проверки.
Предметом внеплановой проверки является соблюдение лицензиатом лицензионных требований и условий, выполнение предписаний об устранении выявленных нарушений, проведение мероприятий по обеспечению безопасности государства.
Основанием для проведения внеплановой проверки является:
1. истечение срока исполнения ранее выданного лицензиату предписания об устранении выявленного нарушения лицензионных требований и условий;
2. поступление в ФСТЭК России обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах:
o возникновения угрозы причинения вреда безопасности государства;
o причинение вреда безопасности государства.
Плановая и внеплановые проверки проводятся в документарной или выездной формах. Документарная проверка проверяет документылицензиата и осуществляется по месту нахождения ФСТЭК. В ходе выездной проверки проверяются не только документы лицензиата, но и соответствие его лицензионным требованиям и условиям.
Срок проведения каждой из проверок не может превышать 20 рабочих дней. По результатам проверки составляется акт в двух экземплярах, к которому прилагаются протоколы (заключения) проведенных исследований (испытаний) и экспертиз.
Подводя итог, можно сказать, что процесс получения лицензии на техническую защиту конфиденциальной информации является весьма трудоемким, длительным и, что не маловажно, затратным, ведь для получения лицензии необходимо выполнить все лицензионные требования и условия. Самым продолжительным по времени является обучение специалистов на курсах повышения квалификации. Несмотря на то, что количество организаций, имеющих дело с конфиденциальной информацией, достаточно велико, специалистов с высшим профессиональным образованием в области ТЗИ может позволить себе далеко не каждая из них. Частные курсы по повышению квалификации, утвержденные ФСТЭК, как правило, рассчитаны на 72 часа. Самым затратным в экономическом плане требованием является проведение аттестации объектов информатизации (автоматизированной системы и защищенного помещения), предназначенных для обработки конфиденциальной информации. Более того, возникает проблема приобретения контрольно-измерительного оборудования, которое после аттестации вообще не нужно, если только организация не собирается оказывать услуги по аттестации объектов информатизации. Альтернативный вариант – взять такое оборудование в аренду, но это тоже стоит денег. Таким образом, продолжительность процесса лицензирования может занять от 2 до 6 месяцев и повлечь за собой значительные материальные затраты. Вариантом решения данной проблемы является аутсорсинг. Аутсорсинг (от англ. outsourcing) дословно "использование внешних источников". Аутсорсинг предполагает передачу от компании-заказчика сторонней организации(подрядчику) определенных функций уставной деятельности, например, техническую защиту конфиденциальной информации. При этом подрядчик использует свои программные, технические и другие средства защиты, лицензии, аттестаты и т.п., а также несет ответственность за результат выполнения своей работы.
84. Сертификация, стандартизация, аккредитация в информационной сфере
сертификация – это процедура подтверждения соответствия, посредством которой независимая от изготовителя (продавца) и потребителя (покупателя) организация удостоверяет в письменной форме, что продукция соответствует установленным требованиям. Если говорить о сертификации применительно к средствам защиты информации, то это деятельность по подтверждению их соответствия требованиям технических регламентов, национальных стандартов или иных нормативных документов по защите информации.
Саму систему сертификации представляет ФСТЭК России, которому подведомственны аккредитованные органы по сертификации средств защиты информации и испытательные лаборатории.
Вся система сертификации обеспечивает достижение прежде всего национальной безопасности в сфере информатизации. Не менее важным является формирование и осуществление единой научно - технической и промышленной политики в сфере информатизации. А так же содействие формированию рынка защищенных информационных технологий и средств их обеспечения, регулирование и контроль разработки, а также последующего производства средств защиты информации, помощь потребителям в компетентном выборе средств защиты информации, защита потребителя от недобросовестности исполнителя (продовца, изготовителя), подтверждение показателей качества продукции.
Нормативная правовая база системы сертификации средств защиты информации включает в себя следующее:
Федеральный закон «О техническом регулировании» № 184-ФЗ от 27 декабря 2002 г.
Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации»
Положение о сертификации средств защиты информации по требованиям безопасности информации (приказ председателя Гостехкомиссии России от 27 октября 1995 г. № 199)
Сертификации подлежат технические, программные, программно-аппаратные средства защиты информации, средства в которых реализованы СЗИ и средства контроля эффективности защиты информации.
Срок действия сертификата составляет 3 года (в соответствии со ст. 8. «Положения о сертификации средств защиты информации» ( утв. постановлением Правительства РФ от 26 июня 1995 г. № 608, с изменениями от 23 апреля 1996 г., 29 марта 1999 г., 17 декабря 2004г.), срок действия сертификата не может превышать пяти лет). Действие сертификата может быть продлено если не изменилось, например, количество и состав изделий подлежащих сертификации, не изменились требования, предъявляемые к СЗИ при сертификации, не изменились технические условия или конструкция изделий. В противном случае, проводится первичная сертификация (то есть в полном объеме, как и при первой сертификации).
стандарт - документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт также может содержать требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения;
стандартизация - деятельность по установлению правил и характеристик в целях их добровольного многократного использования, направленная на достижение упорядоченности в сферах производства и обращения продукции и повышение конкурентоспособности продукции, работ или услуг.
Аккредитация– это набор действий или мероприятий, в процессе которого определяется подтверждение соответствия установленному стандарту. Аккредитации могут подлежать и лица, и организации, а анализу соответствия подвергаются, как правило, услуги. Наличие аккредитации позволяет потребителю сделать вывод о качестве услуг или товаров, для самостоятельной оценки которых он недостаточно компетентен. В качестве услуг, подлежащих аккредитации, в настоящее время можно выделить образовательные, лабораторные, медицинские диагностические услуги, услуги по сертификации, и др.
В соответствии с Положением о государственной аккредитации организаций, осуществляющих деятельность в области информационных технологий, утвержденным постановлением Правительства Российской Федерации от 6 ноября 2007 года №758, государственную аккредитацию может получить российская организация, осуществляющая деятельность в области информационных технологий, независимо от организационно-правовой формы и формы собственности при условии, что данная организация осуществляет разработку и реализацию программ для ЭВМ и баз данных на материальном носителе или в электронном виде по каналам связи независимо от вида договора и (или) оказывает услуги (выполняет работы) по адаптации программ ЭВМ и баз данных (программных средств и информационных продуктов вычислительной техники), установке, тестированию и сопровождению программ ЭВМ и баз данных.