Организационная структура системы государственного лицензирования в области защиты информации кратко

Обновлено: 05.07.2024

Соответствующими указами Президентом определены федеральные органы исполнительной власти, реализующие полномочия по защите информации:

ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:

обеспечения безопасности критической информационной инфраструктуры Российской Федерации;

противодействия иностранным техническим разведкам на территории Российской Федерации;

обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации;

защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;

осуществления экспортного контроля.

Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения государственными органами и организациями.

ФСТЭК России осуществляет методическое руководство деятельностью государственных органов и организаций в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации.

Основными задачами ФСБ России в области защиты информации являются:

обеспечение в пределах своих полномочий защиты сведений, составляющих государственную тайну, и противодействия иностранным организациям, осуществляющим техническую разведку;

формирование и реализация в пределах своих полномочий государственной и научно-технической политики в области обеспечения информационной безопасности;

организация в пределах своих полномочий обеспечения криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в Российской Федерации и ее учреждениях за рубежом.

Различие компетенций вышеперечисленных органов исполнительной власти заключается в следующем:

ФСТЭК России формирует требования и производит контроль мероприятий по защите информации некриптографическими методами (разграничение прав пользователей, защита информации от побочных электромагнитных излучений, защита речевой информации и др.);

ФСБ России формирует требования и производит контроль мероприятий по защите информации криптографическими методами (защита каналов связи, электронная подпись).

Защита информации некриптографическими методами является наиболее массовым видом при создании защищенных информационных систем.

2. Нормативно-правовая база защиты информации

Основой для формирования государственной политики и развития общественных отношений в области обеспечения информационной безопасности, а также для выработки мер по совершенствованию системы обеспечения информационной безопасности является Доктрина информационной безопасности Российской Федерации, утвержденная Указом Президента РФ от 5 декабря 2016 г. № 646.

Организация работ по защите информации в органах исполнительной власти осуществляется их руководителями. Для организации и проведения работы по защите информации создаются специальные подразделения по защите информации (или штатные специалисты).

В органах исполнительной власти субъекта может циркулировать два вида информации подлежащей обязательной защите в соответствии с действующим законодательством:

персональные данные (любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу);

Для вышеперечисленных видов информации должны в обязательном порядке применяться меры по защите информации.

Защита сведений, отнесенных к государственной тайне, осуществляется в соответствии с законом РФ от 21.07.1993 N 5485-1 (ред. от 29.07.2018) "О государственной тайне" и инструкцией по обеспечению режима секретности в РФ от 05.01.2004 3-1.

Одна из основных целей защиты информации – это предотвращение ее утечки по техническим каналам.

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

3. Требования по защите информации

Конкретные требования по защите информации, которые должен обеспечить обладатель информации, отражены в руководящих документах ФСТЭК и ФСБ России. Документы также делятся на ряд направлений:

защита информации при обработке сведений, составляющих государственную тайну;

защита конфиденциальной информации (в т.ч. персональных данных);

защита информации в ключевых системах информационной инфраструктуры.

Конкретные требования по защите информации определены в руководящих документах ФСТЭК России.

При создании и эксплуатации государственных информационных систем (а это все информационные системы областных органов исполнительной власти) методы и способы защиты информации должны соответствовать требованиям ФСТЭК и ФСБ России.

4. Аттестация объектов информатизации

Основной единицей в терминах защиты информации принято считать объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров (если упрощенно, объекты информатизации – это автоматизированные системы, на которых обрабатывается защищаемая информация и защищаемые помещения, в которых ведутся конфиденциальные переговоры).

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки конфиденциальной информации, информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.

Пpи аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок пpи специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

Аттестация проводится органом по аттестации (организация, имеющая лицензии ФСТЭК России).

Расходы по проведению всех видов работ и услуг по аттестации объектов информатизации оплачивают заявители.

Для проведения аттестации объектов информатизации, на которых обрабатывается:

информация, содержащая сведения, составляющие государственную тайну, требуется лицензия ФСТЭК России на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны (в части технической защиты информации);

конфиденциальная информация требуется лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав pазpаботчиков аттестуемых объектов информатизации и их компонент.

5. Сертификация средств защиты информации

Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных ФСБ России.

На аттестованных объектах информатизации должны применяться сертифицированные по требованиям безопасности информации средства защиты информации. Сертификация средств защиты осуществляется испытательными лабораториями.

Федеральными органами по сертификации являются ФСТЭК России и ФСБ России в части:

разработки и производства средств защиты информации, составляющей государственную тайну;

разработки и производства средств защиты конфиденциальной информации.

6. Построение системы защиты информации в организации

Вопросы создания и непосредственного руководства подразделениями по защите информации в органах государственной власти возлагаются на руководителей органов государственной власти или их заместителей.

Для организации и проведения работ по защите информации создаются специальные подразделения по защите информации (или штатные специалисты).

7. Контроль состояния защиты информации

Контроль состояния защиты информации (далее - контроль) осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки защиты ее от иностранных технических разведок.

Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информации, решений ФСТЭК России, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения утвержденных требований и норм по защите информации.

Контроль организуется ФСТЭК России, ФСБ России, другими органами государственной власти, входящими в государственную систему защиты информации, и предприятиями в соответствии с их компетенцией.

ФСТЭК России организует контроль силами центрального аппарата и территориальных Управлений ФСТЭК России.

Центральный аппарат ФСТЭК России осуществляет в пределах своей компетенции контроль в органах государственной власти и на предприятиях, обеспечивает методическое руководство работами по контролю.

Территориальные управления ФСТЭК России, в пределах своей компетенции осуществляют контроль в органах государственной власти и на предприятиях, расположенных в зонах ответственности этих управлений.

Органы государственной власти организуют и осуществляют контроль на подчиненных им предприятиях через свои подразделения по защите информации. Повседневный контроль за состоянием защиты информации на предприятиях проводится силами их подразделений по защите информации.

Контроль на предприятиях негосударственного сектора при выполнении работ с использованием сведений, отнесенных к государственной или служебной тайнам, осуществляется органами государственной власти, ФСТЭК России, ФСБ России и заказчиком работ в соответствии с их компетенцией.

Защита информации считается эффективной, если принимаемые меры соответствуют установленным требованиям или нормам.

Несоответствие мер установленным требованиям или нормам по защите информации является нарушением.

Лицензирование деятельности в области защиты информации представляет собой определенную форму государственного контроля и должно обеспечить не только допуск организаций, соответствующих определенным требованиям и условиям, к осуществлению определенных видов деятельности, но и повышение качества непосредственно мероприятий и услуг по технической защите информации.

Основополагающим федеральным законом в области лицензирования является Федеральный закон от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности". Рассмотрим основные понятия в области лицензирования.

Лицензия - специальное разрешение на право осуществления юридическим лицом или индивидуальным предпринимателем конкретного вида деятельности (выполнения работ , оказания услуг, составляющих лицензируемый вид деятельности ), которое подтверждается документом, выданным лицензирующим органом на бумажном носителе или в форме электронного документа, подписанного электронной подписью, в случае, если в заявлении о предоставлении лицензии указывалось на необходимость выдачи такого документа в форме электронного документа.

Лицензирование - деятельность лицензирующих органов по предоставлению, переоформлению лицензий, продлению срока действия лицензий в случае, если ограничение срока действия лицензий предусмотрено федеральными законами, осуществлению лицензионного контроля, приостановлению, возобновлению, прекращению действия и аннулированию лицензий, формированию и ведению реестра лицензий, формированию государственного информационного ресурса, а также по предоставлению в установленном порядке информации по вопросам лицензирования.

Лицензирующие органы - уполномоченные федеральные органы исполнительной власти и (или) их территориальные органы, а в случае передачи осуществления полномочий Российской Федерации в области лицензирования органам государственной власти субъектов Российской Федерации органы исполнительной власти субъектов Российской Федерации, осуществляющие лицензирование .

Соискатель лицензии - юридическое лицо или индивидуальный предприниматель, обратившиеся в лицензирующий орган с заявлением о предоставлении лицензии.

Лицензиат - юридическое лицо или индивидуальный предприниматель, имеющие лицензию;

Лицензионные требования - совокупность требований, которые установлены положениями о лицензировании конкретных видов деятельности, основаны на соответствующих требованиях законодательства Российской Федерации и направлены на обеспечение достижения целей лицензирования.

В ст.12 Федерального закона перечислены виды деятельности, на которые требуется лицензия . В контексте информационной безопасности лицензия требуется на следующие виды деятельности:

• разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
• разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации;
• деятельность по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
• разработка и производство средств защиты конфиденциальной информации;
• деятельность по технической защите конфиденциальной информации[91].

Лицензия является бессрочной.

Перечислим общий порядок получения лицензии, описанный в ст. 13 ФЗ:

К заявлению соискатель должен приложить копии документов в соответствии с положением о лицензировании конкретного вида деятельности и опись прилагаемых документов. Следует отметить, что в последних редакциях закона предусмотрена электронная отправка документов в лицензирующий орган с электронной подписью соискателя. В течение трех рабочих дней лицензирующий орган принимает решение о соответствии предоставленных документов. В случае принятия документов на рассмотрение в срок не позднее 45 рабочих дней принимается решение об отказе или предоставлении лицензии соискателю. Решение о предоставлении лицензии или об отказе в ее предоставлении оформляется приказом (распоряжением) лицензирующего органа.

Уведомление о принятии решения вручается или отправляется соискателю в письменной форме. Если решение отрицательное, должны указываться причины отказа и реквизиты акта проверки возможности выполнения соискателем лицензии лицензионных требований и условий, если причиной отказа является невозможность выполнения соискателем лицензии указанных требований и условий.

Причинами отказа в получении лицензии могут быть:

• наличие в документах, представленных соискателем лицензии, недостоверной или искаженной информации;
• несоответствие соискателя лицензии, принадлежащих ему или используемых им объектов лицензионным требованиям и условиям;
• если у соискателя ранее была лицензия на этот же вид деятельности и она была аннулирована.

Лицензирующими органами в области защиты информации являются ФСБ и ФСТЭК. В области технической защиты конфиденциальной информации, которой посвящен данный курс, - ФСТЭК. Требования для получения лицензии устанавливаются положениями о лицензировании конкретных видов деятельности, утверждаемыми Правительством РФ. Лицензирование в области технической защиты конфиденциальной информации осуществляется на основании "Положения о лицензировании деятельности по технической защите конфиденциальной информации" от 03.02.2012 (далее - Положение).

В соответствии с Положением к юридическому лицу - соискателю лицензии -предъявляются следующие требования:

• В штате по основному месту работы в соответствии со штатным расписанием руководителя и(или) уполномоченного руководить работами лица, имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения - не менее 360 аудиторных часов).
• Не менее двух инженерно-технических работников имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения - не менее 360 аудиторных часов).
• Наличие помещений, принадлежащих на праве собственности или ином законном основании, в которых созданы необходимые условия для осуществления лицензируемого вида деятельности;
• Наличие необходимого оборудования, принадлежащего на праве собственности или ином законном основании, в соответствии с перечнем, определяемым ФСТЭК, в том числе:
  • измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку);
  • программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения.

  Для получения лицензии соискатель отправляет в ФСТЭК:

  Лицензионный контроль также осуществляет ФСТЭК в соответствии с Федеральным законом "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" и статьей 19 Федерального закона "О лицензировании отдельных видов деятельности".

  "…получение юридическим лицом лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации является обязательным в случае, если эта деятельность направлена на получение прибыли от выполнения работ или оказания услуг по технической защите конфиденциальной информации и (или) она необходима для достижения целей деятельности, предусмотренных в учредительных документах юридического лица, а также, если это юридическое лицо (уполномоченное лицо) обеспечивает техническую защиту конфиденциальной информации при ее обработке в соответствии с Федеральным законом "Об информации, информационных технологиях и о защите информации" по поручению обладателя информации конфиденциального характера и (или) заказчика информационной системы".

  Таким образом, если ТКЗИ не приносит прибыли и не направлена на достижение целей деятельности, предусмотренных в учредительных документах, лицензия на ТКЗИ не нужна. Если же юридическое лицо оказывает услуги или выполняет работы по ТКЗИ - то получение лицензии является обязательным в соответствии с ФЗ "О лицензировании отдельных видов деятельности" и Гражданским кодексом РФ.

  В области технической защиты конфиденциальной информации ФСТЭК также осуществляет лицензирование деятельности по разработке и(или) производству средств защиты конфиденциальной информации в соответствии с Постановлением Правительства РФ от 3 марта 2012 г. N 171 "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации".

  Лицензией называется разрешение на право проведения работ в области защиты информации. Лицензия выдается на конкретные виды деятельности на три года, по истечении которых осуществляется ее перерегистрация в порядке, установленном для выдачи лицензии.

  Лицензия выдается в том случае, если предприятие, подавшее заявку на получение лицензии, имеет условия для проведения лицензирования: производственную и испытательную базу, нормативную и методическую документацию, располагает научным и инженерно-техническим персоналом.

  Организационную структуру системы государственного лицензирования деятельности предприятий в области защиты информации образуют:

  · государственные органы по лицензированию;

  Государственные органы по лицензированию:

  · организуют обязательное государственное лицензирование деятельности предприятий;

  · выдают государственные лицензии предприятиям-заявителям;

  · согласовывают составы экспертных комиссий, представляемые лицензионными центрами;

  · осуществляют контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации.

  · формируют экспертные комиссии и представляют их состав на согласование руководителям соответствующих государственных органов по лицензированию, которыми являются ФСТЭК и ФСБ;

  · планируют и проводят работы по экспертизе предприятий-заявителей;

  · контролируют полноту и качество выполненных лицензиатами работ.

  Лицензионные центры при государственных органах по лицензированию создаются приказами руководителей этих органов. Экспертные комиссии формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, органов государственного управления, других организаций и учреждений. Экспертные комиссии создаются по одному или нескольким направлениям защиты информации.

  Лицензированию ФСТЭК России подлежат:

  · сертификация, сертификационные испытания защищенных технических средств обработки информации (ТСОИ), технических и программных средств защиты, средств контроля эффективности мер защиты информации, программных средств обработки, защиты и контроля защищенности;

  · аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, объектов ВТ и выделенных помещений на соответствие требованиям руководящих и нормативных документов по безопасности информации;

  · разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных объектов информатики, технических средств защиты и контроля эффективности мер защиты информации, защищенных прог­раммных средств обработки, защиты и контроля защищенности информации;

  · проведение специальных исследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ;

  · проектирование объектов в защищенном исполнении.

  На орган по лицензированию возлагается:

  · разработка правил, процедур и нормативно-методических документов по вопросам проведения лицензирования;

  · осуществление научно-методического руководства лицензионной деятельностью;

  · публикация необходимых сведений о системе лицензирования;

  · рассмотрение заявлений организаций и воинских частей о выдаче лицензий;

  · согласование заявлений с воинскими частями, ответственными за соответствующие направления защиты информации;

  · согласование состава экспертных комиссий;

  · организация и проведение специальных экспертиз;

  · принятие решения о выдаче лицензии;

  · принятие решения о приостановлении, возобновлении действия лицензии или ее аннулировании;

  · ведение реестра выданных, приостановленных, возобновленных и аннулированных лицензий;

  · приобретение, учет и хранение бланков лицензий;

  · организация работы аттестационных центров;

  · осуществление контроля за полнотой и качеством проводимых лицензиатами работ.

  · деятельность по распространению шифровальных (криптографических) средств;

  · деятельность по техническому обслуживанию шифровальных (криптографических) средств;

  · предоставление услуг в области шифрования информации;

  · разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

  · деятельность по разработке и (или) производству средств защиты конфиденциальной информации; деятельность по технической защите конфиденциальной информации;

  · деятельность по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

  В рамках рассматриваемых видов деятельности были выпущены отдельные постановления Правительства Российской Федерации, разъясняющие порядок лицензирования. Среди них:

  В соответствии с этими документами лицензиаты обязаны ежегодно представлять в орган по лицензированию или аттестационный центр сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности. Лицензиаты несут ответственность за полноту и качество выполняемых работ, обеспечение сохранности государственной тайны, доверенной им в ходе практической деятельности.

  © 2022 Научная библиотека

  Копирование информации со страницы разрешается только с указанием ссылки на данный сайт

  Подборка наиболее важных документов по запросу Лицензирование в области защиты информации (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).

  Формы документов: Лицензирование в области защиты информации

  Статьи, комментарии, ответы на вопросы: Лицензирование в области защиты информации

  Путеводитель по спорам в сфере закупок (44-ФЗ). Установление в документации о закупке требования о наличии у участников лицензии на проведение работ, которые связаны с использованием сведений, составляющих государственную тайну Заказчик пояснил, что требование о наличии лицензии обусловлено тем, что закупаемые услуги связаны с обслуживанием и контролем защищенности средств защиты информации. Установленное требование не противоречит положениям Закона N 44-ФЗ.

  Открыть документ в вашей системе КонсультантПлюс:
  Вопрос: Об органах, уполномоченных в сфере лицензирования деятельности по защите информации с использованием шифровальных (криптографических) средств и в сфере использования электронной подписи.
  (Письмо ФНС России от 02.12.2020 N ПА-3-24/7970@) Вопрос: Об органах, уполномоченных в сфере лицензирования деятельности по защите информации с использованием шифровальных (криптографических) средств и в сфере использования электронной подписи.

  Читайте также:

    
  • Экономическое развитие постсоветской россии кратко
    
  • Принцип действия аппарата киппа кратко
    
  • Стихи школьной программы старших классов ссср 8 класс
    
  • Отчет по профилактике семейного неблагополучия в детском саду
    
  • Методики наблюдения за детьми с умственной отсталостью для воспитателей школ интернатов