Основы информационной безопасности_Сычев Ю.Н_Уч.-практ. пос_ЕАОИ. Международный консорциум Электронный университет Московский государственный университет экономики, статистики и информатики

Основы информационная безопасность
246
Виды самостоятельной работы студентов:
− изучение учебного пособия «Информационная безопас- ность»;
− подготовка к участию в форуме по теме «Нормы и требования российского законодательства в области лицензирования и серти- фикации»;
− изучение дополнительной литературы;
− выполнение тестовых заданий по теме.
Методические указания по изучению вопросов темы
При изучении учебных вопросов:
 изучить тему 7 по учебному пособию «Информационная безопасность»;
 принять участие в форуме по теме «Нормы и требования рос- сийского законодательства в области лицензирования и сертифика- ции»;
 изучить дополнительные материалы.
При изучении темы необходимо:
 читать литературу:
1. Информационная безопасность: Уч. Пособие. – М.: МЭСИ,
2007.
2. Горбатов В.С. Фатьянов А.А. Правовые основы защиты ин- формации. – М.: МИФИ 1999.
3. Закон Российской Федерации от 10.06.93 «О сертификации продукции и услуг».
4. Закон «О федеральных органах правительственной связи и информации».
5. Закон «О государственной тайне».
6. Постановление Правительства от 24.12.94 №1418 «О лицензи- ровании отдельных видов деятельности».
7. Закон «Об информации, информатизации и защите инфор- мации» от 20.02.95 № 24-ФЗ.
8. Постановление от 26.06.95 № 608 «О сертификации средств защиты информации».
 посетить сайты: www.sbcinfo/index.htm.

Лицензирование и сертификация в области защиты информации
247
Вопросы темы
1. Законодательство в области лицензирования и сертификации.
2. Правила функционирования системы лицензирования.
7.1. Законодательство в области
лицензирования и сертификации
Нормы и требования российского законодательства в области лицензирования и сертификации включают в себя положения ряда нормативных актов Российской Федерации различного уровня.
Первым по времени открытым правовым нормативным актом, который бы регулировал вопросы оборота средств криптографиче- ской защиты информации, является принятое 28 мая 1991 г. поста-
новление Верховного Совета СССР № 2195-1 «О видах деятельности, ко-
торыми предприятия вправе заниматься только на основании специаль-
ных разрешений (лицензий)». Этим документом был утвержден пере- чень отдельных видов деятельности, которыми предприятия на тер- ритории страны вправе заниматься только при наличии у них спе- циального разрешения или лицензии.
19 февраля 1993 г. Верховным Советом Российской Федерации был
принят закон «О федеральных органах правительственной связи и ин-
формации» № 4524-1. Статья 11 данного закона предоставила Феде- ральному агентству права по определению порядка разработки, производства, реализации, эксплуатации шифровальных средств, предоставления услуг в области шифрования информации, а также порядка проведения работ по выявлению электронных устройств перехвата информации в технических средствах и помещениях го- сударственных структур. Одновременно Федеральному агентству этой статьей дано право осуществлять лицензирование указанных видов деятельности и сертификацию соответствующих товаров и услуг. Пунктом м) той же статьи 11 данного закона Федеральному агентству предоставлено право осуществлять лицензирование и сер- тификацию телекоммуникационных систем и комплексов высших органов государственной власти Российской Федерации и закрытых
(защищенных) с помощью шифровальных средств, систем и ком- плексов телекоммуникаций органов государственной власти субъек- тов Российской Федерации, федеральных органов исполнительной власти, а также организаций, предприятий, банков и иных учреж- дений, расположенных на территории России, независимо от их ве- домственной принадлежности и форм собственности.

Основы информационная безопасность
248
Полномочия по лицензированию деятельности в области за- щиты информации, содержащей сведения, составляющие государ- ственную тайну, а также по сертификации средств ее защиты пре- доставлены Федеральному агентству законом Российской Федерации от
21.07.93 «О государственной тайне» № 5485-1. Статья 20 этого закона определила государственные органы, ответственные за защиту та- кой информации. Статья 27 предписывает осуществлять допуск предприятий, учреждений и организаций к работам по созданию средств защиты секретной информации и оказанию услуг по защите сведений, составляющих государственную тайну, путем получения ими лицензий на данную деятельность. Статья 28 устанавливает обязательность сертификации технических средств, предназначен- ных для защиты секретных сведений, и определяет государственные органы, ответственные за проведение сертификации указанных средств (ФАПСИ, Министерство обороны, Гостехкомиссия и Мини- стерство безопасности, правопреемником которого является ФСБ).
Во исполнение этих законов в августе 1993 г. Правительством
Российской Федерации принято специальное постановление, кото- рое полностью определяет порядок создания и использования крип- тографических (шифровальных) средств, предназначенных для за- щиты информации, содержащей сведения, составляющие государ- ственную тайну, начиная от стадии подготовки технического зада- ния на проведение научно-исследовательских работ до серийного производства и установки шифровальной техники в сложные за- крытые (защищенные) системы и комплексы обработки, хранения и передачи информации.
Кроме того, в соответствии с упомянутыми законами, а также на основании закона Российской Федерации от 10.06.93 «О сертифика-
ции продукции и услуг»
№ 5151-1 ФАПСИ 15 ноября 1993 г. зарегистрировало в Госстан- дарте России «Систему сертификации средств криптографической защи-
ты информации» РОСС.RU.0001.030001. Данный документ определил организационную структуру системы сертификации шифровальных средств ФАПСИ, а также установил основные правила проведения сер- тификационных исследований и испытаний криптографических средств защиты информации и закрытых с их помощью систем и ком- плексов обработки, хранения и передачи информации.
В начале 1994 г. Президентом и Правительством был принят пакет нормативных актов, определивших порядок импорта и экс- порта шифровальных средств и нормативно-технической докумен-

Лицензирование и сертификация в области защиты информации
249
тации к ним на территории Российской Федерации. Во-первых – это
распоряжение Президента России от 11 февраля 1994 г. № 74-П «О кон-
троле за экспортом из Российской Федерации отдельных видов сырья, ма-
териалов, оборудования, технологий и научно-технической информации,
которые могут быть применены при создании вооружения и военной тех-
ники». Данным распоряжением утвержден соответствующий пере- чень, в котором, в частности, указывается, что аппаратура, узлы, компоненты, программное обеспечение и технология производства, специально разработанные или модифицированные для использо- вания в криптографии или выполнения криптоаналитических функций, подлежат экспортному контролю. Во-вторых, – постанов-
ление Правительства от 15.04.94 № 331 «О внесении дополнений и изме-
нений в постановления Правительства Российской Федерации от 06.11.92
№ 854 «О лицензировании и квотировании экспорта и импорта товаров
(работ, услуг) на территории Российской Федерации» и от 10.12.92 №
959 «О поставках продукции и отходов производства, свободная реализа-
ция которых запрещена». И, наконец, в-третьих – постановление от
01.07.94 № 758 «О мерах по совершенствованию государственного регули-
рования экспорта товаров и услуг». 31 октября 1996 г. этот перечень был дополнен постановлением Правительства N 1299, которым ут- верждено Положение «О порядке лицензирования экспорта и им- порта товаров (работ, услуг) в Российской Федерации».
Перечисленные документы установили в том числе, что ввоз и вывоз средств криптографической защиты информации (шифро- вальной техники) и нормативно-технической документации к ней в стране может осуществляться исключительнона основании лицен- зии Министерства внешних экономических связей Российской Фе- дерации, выдаваемой на основании решения ФАПСИ о выдаче ли- цензии. Кроме того, данные документы определили общий порядок выдачи экспортных лицензий на шифровальные средства, направ- ленный на предотвращение утечки секретных сведений и техноло- гий при вывозе из страны средств защиты информации.
Предоставленные Федеральному агентству законами «О фе- деральных органах правительственной связи и информации» и «О государственной тайне» права по определению порядка осуществ- ления и лицензированию деятельности в области защиты информа- ции нашли свое отражение в «Положении о государственном лицензиро-
вании деятельности в области защиты информации», которое утвержде-
но 27 апреля 1994 г. совместным решением № 10 ФАПСИ и Гостехкомис-
сии России, разграничившим сферы компетенции двух этих ведомств

Основы информационная безопасность
250 и определившим механизм практического лицензирования, дейст- вующий по настоящее время.
Обязательное государственное лицензирование деятельности в области защиты информации криптографическими методами, а также в области выявления электронных устройств перехвата ин- формации в технических средствах и помещениях государственных структур введено постановлением Правительства от 24.12.94 № 1418
«О лицензировании отдельных видов деятельности». Данное постанов- ление распространяет механизм обязательного лицензирования на все виды деятельности в области криптографической защиты ин- формации, независимо от ее характера и степени секретности, на все субъекты этой деятельности, независимо от их организационно- правовой формы, включая и физических лиц.
Новым шагом в деле правового обеспечения деятельности в области защиты информации явилось принятие Федеральным Соб- ранием России Федерального закона «Об информации, информатизации
и защите информации» от 20.02.95 № 24-ФЗ. Данный закон впервые официально вводит понятие «конфиденциальной информации», которая рассматривается как документированная информация, дос- туп к которой ограничивается в соответствии с законодательством
Российской Федерации, и устанавливает общие правовые требова- ния к организации защиты такой информации в процессе ее обра- ботки, хранения и циркуляции в технических устройствах и ин- формационных и телекоммуникационных системах и комплексах и организации контроля за осуществлением мероприятий по защите конфиденциальной информации. При этом следует подчеркнуть, что Закон не разделяет государственную и частную информацию как объект защиты в том случае, если доступ к ней ограничивается.
Кроме того, закон определяет на государственно-правовом уровне электронную цифровую подпись как средство защиты ин- формации от несанкционированного искажения, подмены (имито- защиты) и подтверждения подлинности отправителя и получателя информации (аутентификации сторон). В соответствии со ст. 5
«юридическая сила документа, хранимого, обрабатываемого и пере- даваемого с помощью автоматизированных информационных и те- лекоммуникационных систем, может подтверждаться электронной цифровой подписью». При этом «юридическая сила электронной цифровой подписи признается при наличии в автоматизированной системе программно-технических средств, обеспечивающих иден- тификацию подписи, и соблюдении установленного режима их

Лицензирование и сертификация в области защиты информации
251
использования». Далее закон раскрывает требования, предъявляе- мые к специализированным программно-техническим средствам, реализующим электронную цифровую подпись, и порядку их ис- пользования в информационно-телекоммуникационных системах.
Так, ст. 19 закона «Об информации, информатизации и защи- те информации» устанавливает обязательность сертификации средств обработки и защиты документированной информации с ограниченным доступом, предназначенных для обслуживания гра- ждан и организаций, а также обязательность получения лицензий для организаций, осуществляющих проектирование и производство средств защиты информации.
Статья 20 определяет основные цели защиты информации. В соответствии с этой статьей таковыми, в частности, являются: пре- дотвращение утечки, хищения, утраты, искажения и подделки ин- формации; предотвращение угроз безопасности личности, общества и государства; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокиро- ванию информации; защита конституционных прав граждан на со- хранение личной тайны и конфиденциальности персональных све- дений; сохранение государственной тайны и конфиденциальности информации.
Пункт 3 ст. 21 возлагает контроль за соблюдением требований к защите информации, за эксплуатацией специальных средств за- щиты информации, а также обеспечение организационных мер за- щиты информационных систем, обрабатывающих информацию с ограниченным доступом, в негосударственных структурах на орга- ны государственной власти.
Очень важна ст. 22, которая определяет права и обязанности субъектов в области защиты информации. В частности, пп. 2 и 5 обя- зывают владельца информационной системы обеспечивать необхо- димый уровень защиты конфиденциальной информации и опове- щать собственников информационных ресурсов о фактах наруше- ния режима защиты информации. Пунктом 3 риск, связанный с ис- пользованием несертифицированных информационных систем и средств их обеспечения и защиты, возлагается на собственника (вла- дельца) систем и средств. Риск, связанный с использованием ин- формации, полученной из таких систем, относится на потребителя информации. Пункт 4 устанавливает право собственника докумен- тов или информационной системы обращаться в организации, осуществляющие сертификацию средств защиты таких систем, для

Основы информационная безопасность
252 проведения анализа достаточности мер защиты его ресурсов и сис- тем и получения консультаций.
Статья 23 Закона «Об информации, информатизации и защи- те информации» посвящена защите прав субъектов в сфере инфор- мационных процессов и информатизации. Статья устанавливает, что защита прав субъектов в данной сфере осуществляется судом, арбитражным судом и третейскими судами, которые могут созда- ваться на постоянной или временной основе.
Подписанный 3 апреля 1995 г. Указ Президента Российской
Федерации № 334 «О мерах по соблюдению законности в области раз-
работки, производства, реализации и эксплуатации шифровальных
средств, а также предоставления услуг в области шифрования инфор-
мации» запрещает любую деятельность, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, предоставлением услуг в области шифрования инфор- мации, без лицензии ФАПСИ. Пункты 2, 3 данного документа устанавливают обязательное использование исключительно сер- тифицированных средств защиты информации во всех государ- ственных структурах, в том числе и в государственных банках
Российской Федерации, на предприятиях, работающих по госу- дарственному заказу, а также на предприятиях и в организациях при их информационном взаимодействии с Центральным банком
России и его структурными подразделениями. Таким образом, обязательность сертификации распространяется теперь не только на средства защиты информации, содержащей сведения, состав- ляющие государственную тайну, но и на средства защиты любой государственно значимой информации независимо от грифа ее секретности. Кроме того, Указ формирует механизм реализации перечисленных выше законодательных актов, возлагая ответст- венность за их выполнение на ФАПСИ, а также правоохрани- тельные, таможенные и налоговые органы страны.
В течение первой половины 1995 г. Правительством Россий- ской Федерации во исполнение закона «О государственной тайне»
приняты постановление от 15 апреля 1995 г. № 333 «О лицензировании
деятельности предприятий, учреждений и организаций по проведению
работ, связанных с использованием сведений, составляющих государствен-
ную тайну, созданием средств защиты информации, а также с осуществ-
лением мероприятий и (или) оказанием услуг по защите государственной
тайны» и постановление от 26.06.95 № 608 «О сертификации средств
защиты информации».

Лицензирование и сертификация в области защиты информации
253
Указанные постановления формируют механизм получения предприятиями и организациями, независимо от их организацион- но-правовой формы, лицензии на право осуществления любой дея- тельности, связанной с информацией, составляющей государствен- ную тайну, а также общий порядок сертификации средств защиты, предназначенных для защиты секретной информации. В частности, пп. 2 Положения, утвержденного постановлением № 333, устанавли- вает органы, уполномоченные на ведение лицензионной деятельно- сти, связанной с проведением работ со сведениями, составляющими государственную тайну. Таковыми являются Федеральная служба безопасности России и ее территориальные органы, ФАПСИ, Гос- техкомиссия и Служба внешней разведки. Тем же пунктом опреде- ляются полномочия перечисленных ведомств:
 выдача лицензий по допуску предприятий и организаций к проведению работ, связанных с использованием секретных сведе- ний, на территории Российской Федерации возлагается на органы
ФСБ, а за границей – СВР России;
 выдача лицензий на право создания средств защиты инфор- мации возлагается на Гостехкомиссию и ФАПСИ;
 выдача лицензий на право осуществления мероприятий и(или) оказания услуг в области защиты государственной тайны возлагается на ФСБ и ее территориальные органы, Гостехкомиссию,
ФАПСИ и СВР.
Постановление от 15.04.95 № 333 устанавливает, что лицензия на право деятельности по проведению работ, связанных с использо- ванием сведений, составляющих государственную тайну, с создани- ем средств защиты информации и оказанием услуг по защите госу- дарственной тайны, может быть выдана предприятию или органи- зации, независимо от формы его собственности, исключительно на основании результатов специальной экспертизы заявителя, в ходе которой будет установлено наличие на данном предприятии всех необходимых условий для сохранения доверенных ему секретных сведений, и государственной аттестации их руководителей, ответст- венных за защиту сведений, составляющих государственную тайну.
Постановление от 26 июня 1995 г. № 608 устанавливает общие принципы организации систем сертификации средств защиты ин- формации, содержащей сведения, составляющие государственную тайну, всеми ведомствами Российской Федерации, наделенными законом правом проводить подобную сертификацию. Статьи Поло-

Основы информационная безопасность
254 жения определяют участников системы сертификации средств за- щиты информации, их права и обязанности; схемы проведения сер- тификационных испытаний; порядок выдачи, приостановления и аннулирования сертификатов; порядок оплаты услуг по сертифи- кации, контроля за качеством сертифицированных изделий, а также ответственность сторон за выполнение ими своих обязательств в сис- теме сертификации. Кроме того, данным Положением к средствам защиты информации отнесены и средства контроля эффективности защиты информации.
Принятый Государственной Думой Федеральный закон «Об уча-
стии в международном информационном обмене» от 5 июня 1996 г. N 85-
ФЗ определяет необходимость сертификации средств международ- ного информационного обмена и необходимость лицензирования деятельности в области международного информационного обмена при работе с конфиденциальной информацией. Закон предоставля- ет ФАПСИ право участвовать в определении перечней документи- рованной информации, вывоз которой из Российской Федерации, и иностранных информационных продуктов, ввоз которых в Россий- скую Федерацию, ограничен, определять порядок лицензирования деятельности в области международного информационного обмена при работе с конфиденциальной информацией, а также определять порядок сертификации средств и аттестования систем международ- ного информационного обмена.
Перечисленные нормативные акты определили полномочия и компетенцию ФАПСИ в сфере лицензирования деятельности в области защиты и сертификации средств защиты информации.
Лицензированию Федеральным агентством в соответствии с его компетенцией подлежит деятельность по следующим направлениям:
 создание средств защиты информации;
 осуществление мероприятий и оказание услуг по защите го- сударственной тайны;
 деятельность, связанная с шифровальными средствами;
 предоставление услуг в области шифрования информации;
 выявление технических устройств скрытого съема информа- ции, электронных закладных устройств и программных закладок в технических средствах и помещениях государственных структур;
 создание систем и комплексов телекоммуникаций органов го- сударственной власти Российской Федерации;
 создание закрытых (защищенных) с использованием шифро- вальных средств систем и комплексов телекоммуникаций;

Лицензирование и сертификация в области защиты информации
255
 создание и реализация средств выявления технических уст- ройств скрытого съема информации, электронных закладных уст- ройств и программных закладок.
Указанные направления включают определенное множество отдельных видов деятельности, к которым относятся: разработка, производство, реализация (продажа), эксплуатация, монтаж, уста- новка (инсталяция), наладка, сертификационные испытания, ввоз в страну, вывоз из страны и др.
Сертификации Федеральным агентством в соответствии с его компетенцией подлежат:
 средства (системы, комплексы) криптографической защиты информации;
 средства выявления закладных устройств и программных за- кладок;
 защищенные технические средства обработки информации;
 закрытые (защищенные) информационные системы и ком- плексы телекоммуникаций.
В своей деятельности по лицензированию и сертификации
ФАПСИ руководствуется положениями указанных выше норматив- ных актов и строго придерживается исполнения предоставленных ему права и полномочий.
7.2. Правила функционирования
системы лицензирования
Рассмотрим правила построения и функционирования систе- мы лицензирования ФАПСИ, вытекающие из приведенных выше нормативных актов и основанные на правах и полномочиях, предос- тавленных ими Федеральному агентству.
1. Лицензирование в области защиты информации является обяза-
тельным.
Данное правило устанавливает, что для занятия деятельно- стью в области защиты информации необходимо получение права на ее осуществление. Причем распространяется это требование на все без исключения направления и отдельные виды деятельности.
2. Деятельность в области защиты информации физических и
юридических лиц, не прошедших лицензирование, запрещена.

Основы информационная безопасность
256
Из содержания данного правила вытекает, что субъекты, не по- лучившие право на осуществление деятельности в области защиты информации и продолжающие ее осуществлять, нарушая установлен- ный порядок, занимаются тем самым противоправной деятельностью.
В отношении таких субъектов могут быть применены санкции, преду- смотренные действующим Гражданским кодексом и законодательст- вом об административной и уголовной ответственности.
3. Лицензии ФАПСИ и решения ФАПСИ о выдаче лицензии на пра-
во осуществления деятельности в области защиты информации, лицен-
зирование которой относится к компетенции Федерального агентства,
выдаются, в основном, юридическим лицам – предприятиям, организаци-
ям и учреждениям, независимо от их организационно-правовой формы.
Данное правило лишь на первый взгляд ущемляет интересы физических лиц, которым не предоставляются права на промыш- ленную, коммерческую деятельность, связанную с шифровальными средствами. Включение данного постулата обусловлено рядом фак- торов. Во-первых, разработка (производство, монтаж, наладка и т.д.) шифровальных средств требует участия высококлассных специали- стов разного профиля. Во-вторых, требованиям, предъявляемым
ФАПСИ к заявителю, физическое лицо удовлетворить не в состоя- нии. В-третьих, для проведения работ в этой области необходимо обеспечение выполнения режимных требований и (для ознакомле- ния, например, с нормами требований по безопасности) наличия допуска к сведениям, составляющим государственную тайну. Ли- цензии выдаются конкретным юридическим лицам - предприятиям, а не министерствам, ведомствам или ассоциациям в целом. Если разрешаемая в лицензии деятельность не является для лицензиата основной, то в лицензии указывается структурное подразделение, которому предоставляется право осуществления указанного в ли- цензии вида деятельности.
4. Лицензии ФАПСИ и решения ФАПСИ о выдаче лицензии выда-
ются только предприятиям, зарегистрированным на территории Рос-
сийской Федерации.
5. Лицензия ФАПСИ выдается только на основании результатов спе-
циальной экспертизы заявителя на соответствие требованиям к предпри-
ятию на право деятельности в области защиты информации по заявленному
направлению работ и аттестации руководителя предприятия или лиц,
уполномоченных им для руководства лицензируемой деятельностью.
Данное положение устанавливает одну из основных норм, оп- ределяющих сущностные и процедурные аспекты системы лицен- зирования ФАПСИ: лицензия может быть выдана не каждому заяви-

Лицензирование и сертификация в области защиты информации
257
телю, а только предприятию, обладающему соответствующими воз- можностями, достаточными для осуществления заявленных видов деятельности. Проверка возможностей предприятия осуществляется в ходе специальной экспертизы путем экспертных оценок специали- стами специально создаваемых комиссий. С данными требованиями заявитель может быть ознакомлен в Лицензионном центре ФАПСИ.
Кроме того, по результатам специальной экспертизы заявителя оп- ределяются состав и конкретная формулировка разрешенных видов деятельности, а также условия их осуществления. Уточнение фор- мулировок для различных видов деятельности и заявителей может быть проведено с учетом следующих факторов:
 уровня конфиденциальности защищаемой информации;
 уровня секретности сведений, используемых при осуществле- нии заявляемой деятельности;
 типа используемого криптографического алгоритма;
 способа технической реализации изделия;
 уровня квалификации персонала;
 назначения изделия, наличия или отсутствия сертификата на него;
 страны – производителя изделия;
 категории помещений и технических средств.
6. Решение ФАПСИ о выдаче лицензии дается предприятию, по-
давшему заявление на его получение, на основании результатов техниче-
ской экспертизы изделия и(или) специальной экспертизы заявителя.
Основными задачами технической экспертизы являются уста- новление соответствия предъявляемого изделия заявляемым харак- теристикам (классу, типу шифровальных средств) и проверка воз- можного использования в коммерческих шифрсредствах алгоритмов и способов их реализации, составляющих государственную тайну.
7. Лицензия, выданная ФАПСИ, действует на всей территории
Российской Федерации, если иное не оговорено в ней особо.
Могут налагаться следующие ограничения:
 для региональных представителей, работающих по договорам на реализацию шифрсредств, – в рамках сферы их деятельности;
 для фирм-разработчиков, – разработка криптографических средств защиты и защищенных средств и систем в интересах регио- нальных государственных и коммерческих структур.
8. Лицензии ФАПСИ и решения ФАПСИ о выдаче лицензии подпи-
сываются генеральным директором Федерального агентства или лицом,
его замещающим, и заверяются гербовой печатью ФАПСИ.

Основы информационная безопасность
258 9. Передача лицензии другим юридическим лицам запрещена.
10. Лицензия имеет ограниченный срок действия, по истечении
которого осуществляется переоформление лицензии в порядке, преду-
смотренном для ее выдачи.
Данные нормы определены постановлением Правительства
Российской Федерации от 24.12.94 № 1418 для всех систем лицензи- рования.
11. Лицензирование осуществляется на платной основе.
Размер платы за рассмотрение заявления и за выдачу лицен- зии фиксирован. Размер платы за специальную экспертизу опреде- ляется договором на ее проведение.
12. Для получения лицензии или решения о выдаче лицензии пред-
приятие обязано представить определенный перечень документов, состав
которых определяется нормативными актами Правительства Россий-
ской Федерации и ФАПСИ.
Представляемые заявителем документы регистрируются в уполномоченном подразделении Федерального агентства по мере их поступления. Заявление регистрируется только при наличии всех требуемых для оформления лицензии документов.
13. Рассмотрение заявления и специальная экспертиза должны прово-
диться в сроки, ограниченные соответствующими нормативными актами.
На настоящий момент продолжительность рассмотрения за- явления установлена сроком 30 суток с момента поступления всех необходимых документов (с возможностью увеличения этого срока в отдельных случаях еще максимум на 60 суток). Специальная экспер- тиза имеет аналогичную продолжительность с момента заключения договора на ее проведение.
14. Отказ заявителю в выдаче лицензии должен быть мотивирован.
Заявителю может быть отказано в получении лицензии в случаях:
 если в документах, представленных заявителем, имеется не- достоверная или искаженная информация;
 отрицательного заключения по результатам специальных экспертиз, установивших несоответствие условиям, необходимым для осуществления заявленного вида деятельности и условиям безо- пасности;
 отрицательного заключения по результатам аттестации руко- водителя предприятия или лица, уполномоченного им на ведение лицензируемой деятельности;
 отрицательного заключения по результатам технических экс- пертиз.

Лицензирование и сертификация в области защиты информации
259 15. При ликвидации предприятия выданная лицензия теряет юри-
дическую силу.
В случае реорганизации предприятия, изменения его дисло- кации или наименования юридического лица, утраты лицензии осуществляется ее переоформление. Переоформление лицензии в указанных случаях, за исключением изменения наименования юри- дического лица, осуществляется в порядке, предусмотренном для ее выдачи.
16. Выданная лицензия может быть приостановлена или аннулирована.
Приостановление или аннулирование лицензии осуществля- ется в случаях:
 представления лицензиатом соответствующего заявления;
 обнаружения недостоверных данных в документах, представ- ленных для получения лицензии;
 нарушения лицензиатом условий действия лицензии;
 невыполнения лицензиатом предписаний или распоряжений государственных органов или приостановления ими деятельности предприятия в соответствии с законодательством Российской Феде- рации;
 ликвидации предприятия.
Приостановление действия лицензии влечет за собой прекра- щение деятельности лицензиата по виду деятельности (работ, услуг), указанному в лицензии, до устранения выявленных нарушений.
17. Решение ФАПСИ о выдаче лицензии на ввоз (вывоз) шифроваль-
ных средств выдается только на конкретную партию изделий. Наличие
заключенных договоров не является основанием для выдачи положительно-
го решения о возможности ввоза(вывоза) шифровальных средств.
Данные нормы соответствуют установленному порядку внеш- неэкономической деятельности. Заключаемые договора, как прави- ло, содержат статью, учитывающую форс-мажорные обстоятельства, предусматривающие возможный отказ уполномоченных государст- венных органов в выдаче лицензии на ввоз(вывоз) шифровальных средств. Конкретная партия товара определяется объемом, этапно- стью и сроками поставок, оговоренных конкретным договором.
Собственно лицензирование деятельности предприятий в об- ласти защиты информации включает следующие действия:
 выдачу лицензий (решений о выдаче лицензий) - подачу, рас- смотрение заявления на лицензирование, оформление и выдачу ли- цензий (решений о выдаче лицензий), переоформление лицензий;
 проведение специальной экспертизы заявителя;

Основы информационная безопасность
260
 проведение аттестации руководителя предприятия или лиц, уполномоченных им для руководства лицензируемой деятельностью;
 проведение технической экспертизы изделий.
Для получения лицензии заявитель представляет заявление с указанием:
 наименования и организационно-правовой формы, юридиче- ского адреса, номера расчетного счета и реквизитов соответствую- щего банка;
 вида (видов) деятельности с формулировкой видов в соответ- ствии с «Положением о государственном лицензировании в области защиты информации»;
 срока действия лицензии.
Заявление подписывается руководителем предприятия (либо лицом его замещающим) с расшифровкой подписи и заверяется ос- новной печатью предприятия. Заявление на лицензирование пода- ется на имя генерального директора Федерального агентства и на- правляется только почтой.
Переписка по рабочим материалам и конкретным вопросам, возникающим в ходе процесса лицензирования, в том числе пред- ставление дополнительных или ранее не представленных материа- лов, осуществляется с уполномоченным подразделением Лицензи- онного центра ФАПСИ.
Заявление о выдаче лицензии принимается к рассмотрению только при наличии всех необходимых, определенных норматив- ными актами документов, включающих, в первую очередь, заключе- ние по результатам специальной экспертизы, подтверждающее на- личие на предприятии необходимых условий для проведения работ по заявленным видам деятельности и соответствие их предъявляе- мым ФАПСИ требованиям, а также копию документа, подтвер- ждающего прохождение аттестации руководителем предприятия.
Заявитель несет ответственность за достоверность представленных сведений. В ходе рассмотрения заявления ФАПСИ вправе произве- сти проверку достоверности представляемых сведений.
К заявлению на получение лицензии прилагаются:
 копия свидетельства о государственной регистрации пред- приятия;
 копии учредительных документов (устава, договора и т.д.) с предъявлением оригиналов, если копии не заверены нотариусом;

Лицензирование и сертификация в области защиты информации
261
 копии документов, подтверждающих право собственности, право полного хозяйственного ведения, и (или) договора аренды на имущество, необходимое на ведение заявленной деятельности;
 справка налогового органа о постановке на учет;
 представление органов государственной власти Российской
Федерации с рекомендацией или ходатайством о выдаче лицензии;
 документ, подтверждающий оплату рассмотрения заявления.
Проведение специальной экспертизы осуществляется экс- пертными комиссиями, формируемыми либо Лицензионным цен- тром ФАПСИ, либо аттестационными центрами в рамках опреде- ленных этим центрам полномочий.
Возможны два варианта проведения лицензирования:
Первый вариант. Предприятие подает заявление на получе- ние лицензии со всеми перечисленными выше документами, считая его одновременно и заявкой на проведение специальной эксперти- зы, результаты которой затем прилагаются к поданному заявлению.
Датой принятия заявления к рассмотрению в этом случае считается дата утверждения экспертного заключения. Этот вариант является основным.
Второй вариант. Предприятие заранее, на основании отдель- ной заявки, получает экспертное заключение в Лицензионном цен- тре ФАПСИ или в рекомендованном ему аттестационном центре и вместе с другими требуемыми документами направляет его с заяв- лением. Датой принятия заявления к рассмотрению в этом случае считается дата регистрации в ФАПСИ полного пакета всех необхо- димых правильно оформленных документов.
Решение о выдаче или отказе в выдаче лицензии принимается в течение 30 дней со дня принятия заявления к рассмотрению. Выдача лицензий или мотивированных отказов в выдаче лицензий, принятие решений о приостановлении или аннулировании лицензий является прерогативой генерального директора ФАПСИ. Оформленная над- лежащим образом лицензия (подписанная генеральным директором
ФАПСИ, удостоверенная гербовой печатью Агентства, имеющая уникальный номер, проставленный срок действия и дату регистра- ции ее в Государственном реестре лицензий ФАПСИ) вручается ли- цензиату в установленном порядке. Копия лицензии хранится в Ли- цензионном центре Федерального агентства.
Лицензионный центр ФАПСИ вправе на этапе предваритель- ного рассмотрения заявления согласовать с предприятием вопрос о

Основы информационная безопасность
262 снятии заявления или изменении запрашиваемого объема работ.
Если заявление оформлено правильно и в приложении имеются все необходимые документы, то Лицензионный центр ФАПСИ регист- рирует поступившие документы и направляет заявителю уточнен- ные для него требования по конкретным видам деятельности, а так- же указывает аттестационный центр, который будет проводить спе- циальную экспертизу.
Подготовленное на основании требований обоснование необ- ходимых условий для осуществления работ по заявленным видам деятельности заявитель представляет в определенный для него атте- стационный центр, после чего заключается договор на проведение специальной экспертизы. Если представленная документация или сведения не полны, ФАПСИ не принимает такое заявление к рас- смотрению.
Организация и проведение специальных экспертиз предпри- ятий, в целом, возлагается на Лицензионный центр ФАПСИ или уполномоченный аттестационный центр.
Специальная экспертиза заявителя осуществляется на основа- нии заявки предприятия, содержащей лицензируемые виды дея- тельности и перечни необходимых для их обеспечения производст- венного и испытательного оборудования, нормативной и методиче- ской документации, имеющихся на предприятии, краткой характе- ристики состава и квалификации персонала предприятия.
Специальная экспертиза заявителя осуществляется эксперт- ной комиссией, состав которой и примерные сроки работы доводят- ся до заявителя официальным порядком.
В случае необходимости аттестация руководителей предпри- ятий или лиц, уполномоченных ими на руководство лицензируемой деятельностью, может быть проведена Лицензионным центром
ФАПСИ или аттестационным центром в ходе проведения специаль- ной экспертизы предприятия. Экспертная комиссия вправе засчи- тать в качестве документа об аттестации руководителя предприятия официальный документ о прохождении переподготовки по соответ- ствующему профилю на курсах, имеющих лицензию на осуществ- ление учебной деятельности и право квалифицировать уровень по- лученных знаний.
Расходы на специальную экспертизу, а также на аттестацию руководителя предприятия полностью относятся на счет заявителя.
Экспертиза проводится на основе хозяйственного договора между
Лицензионным центром ФАПСИ или аттестационным центром и

Лицензирование и сертификация в области защиты информации
263
предприятием-заявителем. Оплата работы членов экспертной ко- миссии производится исключительно центром, осуществлявшим экспертизу, за счет средств, получаемых в соответствии с указанным договором.
Конкретный порядок проведения специальных экспертиз зая- вителей, методические рекомендации по организации и проведе- нию аттестации руководителей предприятий или лиц, уполномо- ченных ими на руководство лицензируемой деятельностью, опреде- ляются ведомственной инструкцией, разрабатываемой Лицензион- ным центром ФАПСИ.
Целями такой экспертизы являются:
 обоснованное отнесение какого-либо аппаратного, аппарат- но-программного или программного средства или его функцио- нальной части, встроенного блока, программного модуля к катего- риям средств защиты информации, средств криптографической за- щиты информации (шифровальных средств) и(или) защищенного оборудования;
 обоснованное отнесение научно-технической и(или) норма- тивно-технической документации или технологии к категориям информации и технологии двойного применения, которые могут быть использованы при создании военной техники;
 определение уровня защищенности конфиденциальной ин- формации при ее обработке, хранении и передаче по линиям связи, а также эффективности контроля ее защиты в конкретных защи- щенных системах и комплексах телекоммуникаций, объектах ин- форматики и информационно-телекоммуникационных системах и комплексах;
 определение уровня эффективности обнаружения закладных электронных устройств перехвата информации техническими сред- ствами;
 контроль за деятельностью лицензиатов в области защиты информации.
Техническая экспертиза проводится на основании решения
Федерального агентства или Лицензионного центра ФАПСИ либо самим Лицензионным центром, либо, по его поручению, аккредито- ванными аттестационными или испытательными сертификацион- ными центрами (лабораториями), а также в предусмотренных зако- нодательными или иными нормативными актами Российской Фе-

Основы информационная безопасность
264 дерации случаях на основании обращений судебных, правоохрани- тельных, таможенных, налоговых органов или отдельных предпри- ятий, по заявлениям субъектов лицензионной и внешнеторговой деятельности в области защиты информации.
Вопросы
1. Лицензирование и сертификация в области защиты информа- ции.
2. Законодательство в области лицензирования и сертификации.
3. Нормы и требования российского законодательства в области лицензирования и сертификации.
4. Постановление Правительства РФ № 2195-1 «О видах деятель- ности, которыми предприятия вправе заниматься только на ос- новании специальных разрешений (лицензий)».
5. Закон РФ «О федеральных органах правительственной связи и информации» № 4524-1.
6. Закон Российской Федерации от 21.07.93 «О государственной тайне» № 5485-1.
7. Постановление Правительства РФ от 24.12.94 № 1418 «О лицен- зировании отдельных видов деятельности».
8. Федеральный Закон «Об информации, информатизации и за- щите информации» от 20.02.95 № 24-ФЗ?
9. Указ Президента РФ № 334 «О мерах по соблюдению законно- сти в области разработки, производства, реализации и эксплуа- тации шифровальных средств, а также предоставления услуг в области шифрования информации».
10. Постановление Правительства РФ от 15 апреля 1995 г. № 333 «О лицензировании деятельности предприятий, учреждений и ор- ганизаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением меро- приятий и (или) оказанием услуг по защите государственной тайны».
11. Постановление Правительства РФ от 26.06.95 № 608 «О серти- фикации средств защиты информации».
12. Федеральный Закон «Об участии в международном информа- ционном обмене» от 5 июня 1996 г. N 85-ФЗ.
13. Какие виды деятельности подлежат лицензированию.

Лицензирование и сертификация в области защиты информации
265 14. Какие средства подлежат сертификации Федеральным агентством.
15. Правила функционирования системы лицензирования.
16. В каких случаях заявителю может быть отказано в получении лицензии?
17. В каких случаях выданная лицензия может быть приостановле- на или аннулирована?
18. Какие документы прилагаются к заявлению на получение ли- цензии?
19. Каковы цели специальной экспертизы?
Тест
1. Сертификации подлежат:
1. средства криптографической защиты информации;
2. средства выявления закладных устройств и программных за- кладок;
3. защищенные технические средства обработки информации;
4. защищенные информационные системы и комплексы теле- коммуникаций;
5. все вышеперечисленные средства.

Лицензирование и сертификация в области защиты информации
266

Критерии безопасности компьютерных систем «Оранжевая книга».
Руководящие документы Гостехкомиссии
267