Положение о государственном лицензировании деятельности в области защиты информации (утв. решением Государственной технической комиссии при Президенте РФ и Федерального агентства правительственной связи и информации при Президенте РФ от 27.04.1994 N 10) (с изменениями и дополнениями от 24.06.1997 N 60)

1. Общие положения

1.1. Настоящее Положение устанавливает основные принципы, организационную структуру системы государственного лицензирования деятельности юридических лиц - предприятий, организаций и учреждений (далее - предприятий) независимо от их организационно-правовой формы по защите информации, циркулирующей в технических средствах и помещениях, а также порядок лицензирования и контроля за деятельностью предприятий, получивших лицензию.

1.2. В настоящем Положении используются следующие основные понятия:

лицензирование в области защиты информации - деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации;

лицензия в области защиты информации - оформленное соответствующим образом разрешение на право проведения тех или иных работ в области защиты информации;

лицензиат в области защиты информации - сторона, получившая право на проведение работ в области защиты информации;

защита информации - комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.;

эффективность защиты информации - степень соответствия достигнутых результатов действий по защите информации поставленной цели защиты;

контроль эффективности защиты информации - проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты;

безопасность информации - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования и т.п.;

шифровальные средства: - реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для защиты информации (в т.ч. и входящие в системы и комплексы защиты информации от НСД), циркулирующей в технических средствах, при ее обработке, хранении и передаче по каналам связи, включая шифровальную технику;

- реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и "электронной подписи";

- аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для изготовления и распределения ключевых документов, используемых в шифровальных средствах, независимо от вида носителя ключевой информации;

охраняемые сведения - сведения, составляющие государственную и иную охраняемую законом тайны;

аттестация объекта в защищенном исполнении - официальное подтверждение наличия на объекте защиты необходимых и достаточных условий, обеспечивающих выполнение установленных требований руководящих документов и норм эффективности защиты информации;

техническое средство обработки информации (ТСОИ) - техническое средство, предназначенное для приема, накопления, хранения, поиска, преобразования, отображения и передачи информации по каналам связи.

1.3. Система государственного лицензирования деятельности предприятий в области защиты информации является составной частью государственной системы защиты информации. Деятельность системы лицензирования организуют государственные органы по лицензированию, которыми являются Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России) и Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ).

1.4. Государственные органы по лицензированию в пределах их компетенции, установленной законодательством Российской Федерации, осуществляют лицензирование деятельности в области защиты информации в соответствии с перечнями видов деятельности, приведенными в Приложении 1.

1.5. Лицензия на право деятельности по защите информации (далее - лицензия) выдается предприятию государственным органом по лицензированию по представлению органа государственной власти Российской Федерации на конкретные виды деятельности на три года, по истечении которых осуществляется ее перерегистрация в порядке, установленном для выдачи лицензии.

1.6. Лицензия выдается подавшему заявку на ее получение предприятию-заявителю, располагающему производственной и испытательной базой, нормативной и методической документацией, научным и инженерно-техническим персоналом, при условии их соответствия требованиям государственного органа по лицензированию на основании результатов экспертизы деятельности предприятия по заявленному направлению работ. С этими требованиями заявитель имеет право ознакомиться в государственном органе по лицензированию.

1.7. Для получения лицензии представляются: заявление; представление органа государственной власти Российской Федерации; материалы экспертизы, подтверждающие наличие необходимых условий для проведения работ по заявленным видам деятельности, а также профессиональную пригодность руководителя предприятия-заявителя, или лиц, уполномоченных им для руководства лицензируемой деятельностью; копии документов о государственной регистрации предпринимательской деятельности и устава предприятия.

1.8. Отказ в выдаче лицензии производится в случаях, если: отсутствуют необходимые условия для проведения работ по заявленному виду деятельности; профессиональная подготовка руководителя предприятия-заявителя, или лиц, уполномоченных им для руководства лицензируемой деятельностью, не соответствует установленным требованиям; в представленных для получения лицензии документах указаны недостоверные сведения; заявитель в установленном законом порядке признан виновным в недобросовестной конкуренции в лицензируемой деятельности.

1.9. Лицензия выдается за плату, размер которой устанавливается государственными органами по лицензированию по согласованию с Министерством финансов Российской Федерации.

1.10. Предприятия, осуществляющие деятельность по защите информации, виды которой указаны в Приложении 1 настоящего Положения, без лицензии, несут ответственность, предусмотренную законодательством Российской Федерации.

2. Организационная структура системы государственного лицензирования

2.1. Организационную структуру системы государственного лицензирования деятельности предприятий в области защиты информации образуют: государственные органы по лицензированию; лицензионные центры; предприятия-заявители.

2.2. Государственные органы по лицензированию в пределах своей компетенции осуществляют следующие функции: организуют обязательное государственное лицензирование деятельности предприятий; выдают государственные лицензии предприятиям-заявителям; осуществляют научно-методическое руководство лицензионной деятельностью; утверждают перечни лицензионных центров; согласовывают составы экспертных комиссий, представляемые лицензионными центрами; осуществляют контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации; обеспечивают публикацию необходимых сведений о лицензионной деятельности; рассматривают спорные вопросы, возникающие в ходе экспертизы предприятия-заявителя.

2.3. Лицензионные центры осуществляют следующие функции: формируют экспертные комиссии и представляют их состав на согласование с руководителями соответствующих государственных органов по лицензированию и отраслей промышленности; планируют и проводят работы по экспертизе заявителей; контролируют полноту и качество выполненных лицензиатами работ; систематизируют отчеты лицензиатов и ежегодно представляют сводный отчет в соответствующие государственные органы по лицензированию; принимают участие в работе соответствующих государственных органов по лицензированию при рассмотрении спорных вопросов, возникающих в процессе экспертизы предприятия-заявителя, и фактов некачественной работы лицензиатов.

2.3.1. Лицензионные центры могут создаваться при государственных органах по лицензированию, в регионах и отраслях промышленности (ведомствах) Российской Федерации. Лицензионные центры при государственных органах по лицензированию создаются приказами руководителей этих органов. Отраслевые лицензионные центры создаются совместными решениями руководителей комитетов (министерств) и соответствующих государственных органов по лицензированию. Региональные лицензионные центры создаются совместными решениями органов регионального управления и соответствующих государственных органов по лицензированию. Организация взаимодействия отраслевых, региональных лицензионных центров с соответствующими органами управления отражается в указанных решениях. Лицензионные центры могут формироваться из состава специальных центров Гостехкомиссии России, центров правительственной связи ФАПСИ, отраслевых и региональных учреждений, предприятий и организаций по защите информации.

2.3.2. Для всестороннего обследования предприятий-заявителей с целью оценки их возможностей проводить работы по защите информации в избранном направлении при лицензионных центрах создаются экспертные комиссии. Они формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, Вооруженных Сил, органов государственного управления, других организаций и учреждений. Экспертные комиссии создаются по одному или нескольким направлениям защиты информации.

2.4. Лицензиаты обязаны: осуществлять свою деятельность в строгом соответствии с требованиями нормативных документов по защите информации; обеспечивать тайну переписки, телефонных переговоров, документальных и иных сообщений физических и юридических лиц, пользующихся их услугами; ежегодно представлять непосредственно в государственный орган по лицензированию или в лицензионный центр сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности.

2.4.1. Лицензиаты имеют право пользоваться нормативно-методическими документами соответствующих государственных органов по лицензированию, обращаться к ним за необходимыми консультациями и содействием, а также ссылаться в официальных документах и рекламных материалах на полученную лицензию.

2.4.2. Лицензиаты несут юридическую и финансовую ответственность за полноту и качество выполнения работ и обеспечение сохранности государственных и коммерческих секретов, доверенных им в ходе практической деятельности.

2.5. Предприятия-потребители имеют право обращаться: в государственный орган по лицензированию или в лицензионный центр с рекламациями на некачественно выполненные лицензиатами работы по защите информации; в судебные органы в установленном порядке.

3. Порядок проведения лицензирования и контроля за деятельностью лицензиатов

3.1. Порядок проведения лицензирования предприятий-заявителей в области защиты информации включает следующие действия: проведение экспертизы заявителя; подачу, рассмотрение заявления на лицензирование, оформление и выдачу лицензий; продление срока действия лицензий; учет лицензиатов и информирование в сфере лицензирования.

3.1.1. Экспертиза предприятия-заявителя осуществляется экспертной комиссией соответствующего лицензионного центра на основании заявки предприятия, содержащей лицензируемые виды деятельности и перечни необходимых для их обеспечения производственного и испытательного оборудования, нормативной и методической документации, имеющейся на предприятии. Результатом работы комиссии является экспертное заключение, в котором дается оценка возможности заявителя осуществлять работы в избранном виде деятельности по защите информации. Заключение утверждается руководителем соответствующего лицензионного центра и действует в течение трех месяцев со дня его выдачи. Экспертиза проводится на основе хозяйственного договора между лицензионным центром и предприятием-заявителем. Оплата работы членов экспертной комиссии проводится лицензионным центром.

3.1.2. Заявление на получение лицензии (Приложение 2) подается в государственный орган по лицензированию и принимается к рассмотрению только при наличии всех перечисленных в п. 1.7 документов. Орган, выдающий лицензию, вправе провести проверку достоверности представляемых сведений.

3.1.3. Оформление лицензии (Приложение 3) и ее выдача (уведомление об отказе в выдаче) производится в тридцатидневный срок со дня подачи заявления со всеми необходимыми документами.

3.1.4. Для рассмотрения спорных вопросов, возникающих при экспертизе предприятия-заявителя, может проводиться дополнительная независимая экспертиза. Состав экспертной комиссии формируется государственным органом по лицензированию по согласованию с предприятием-заявителем. Заключение экспертной комиссии является определяющим для принятия соответствующего решения в связи с заявлением о выдаче лицензии. Время, затраченное на экспертизу, в срок, установленный для выдачи лицензии, не включается. Финансирование издержек за проведение дополнительной независимой экспертизы несет сторона, признанная виновной в конфликте.

3.1.5. Действия органов, осуществляющих лицензирование, могут быть обжалованы в судебных органах в установленном порядке.

3.1.6. Органы, выдавшие лицензию, приостанавливают или прекращают действие лицензии досрочно в случаях:

по заявлению владельца лицензии;

ликвидации юридического лица или прекращения действия документа об индивидуальной трудовой деятельности;

несоблюдения владельцем лицензии условий по поддержанию нормативной базы и технической оснащенности на уровне требований по обеспечению безопасности информации;

несообщения в установленные сроки органу, выдавшему лицензию, информации, предусмотренной настоящим Положением.

О приостановлении или прекращении действия лицензии ее владелец информируется в письменном виде органом, выдавшим лицензию, не позднее пяти дней со дня принятия решения. В десятидневный срок после получения уведомления владелец лицензии обязан сдать ее в орган, выдавший лицензию.

3.1.7. Учет лицензиатов ведется государственными органами по лицензированию на основании сведений, поступающих от лицензионных центров.

3.2. Контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации осуществляется: Гостехкомиссией России, ФАПСИ и отраслевыми органами контроля в пределах их компетенции в ходе плановых проверок состояния защиты информации на предприятиях-потребителях, воспользовавшихся услугами лицензиатов; при контроле государственными органами по лицензированию, лицензионными центрами качества выполненных лицензиатами работ по рекламациям предприятий-потребителей.