Основные виды деятельности, лицензируемые ФСТЭК России
В соответствии с Указом Президента Российской Федерации от 16.08.2004 № 1085 «Положение о Федеральной службы по техническому контролю» на ФСТЭК России возложены задачи по реализации государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:
- обеспечения безопасности информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере;
- противодействия иностранным техническим разведкам на территории Российской Федерации;
- обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации;
- осуществления экспортного контроля.
Какие же виды деятельности подлежат лицензированию ФСТЭК России?
- Осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части противодействия иностранным техническим разведкам).
Эта лицензия будет необходима организациям (предприятиям), выполняющим работы (составные части работ, НИРы, ОКРы, НИОКРы) с образцами вооружения и военной техники, имеющими охраняемые параметры. В данной лицензии указываются конкретные виды разведок, противодействие которым будет осуществляться самостоятельно организацией (предприятием), а также могут быть указаны отдельно виды разведок, по противодействию которым организация-соискатель может оказывать услуги сторонним организациям.
- Осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации).
Эта лицензия понадобится организациям, профессионально занимающимся технической защитой информации (имеется в виду защита информации, составляющей государственную тайну). Виды работ предусмотренные данной лицензией разнообразны. Это и сертификация и сертификационные испытания (технических средств защиты информации; защищенных технических средств обработки информации; технических средств контроля защищенности информации; защищенных программных (программно-технических) средств контроля обработки информации) и контроль защищенности информации, составляющей государственную тайну и аттестация средств и систем на соответствие требованиям по безопасности информации (автоматизированных систем различного уровня и назначения; систем связи, приема, обработки и передачи данных; систем отображения и размножения; технических средств (систем), не обрабатывающих информацию, составляющую государственную тайну, но размещенных в помещениях, где она обрабатывается; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для ведения секретных переговоров) и проведение специсследований на побочные электромагнитные излучения и наводки технических средств обработки информации и проектирование объектов в защищенном исполнении. Организация соискатель лицензии вправе выбирать как полный комплект видов деятельности, так и отдельные виды в соответствии со своим профессиональным предназначением.
- Проведение работ, связанных с созданием средств защиты информации. Также как и предыдущая лицензия понадобится организациям, профессионально занимающимся технической защитой информации, поэтому эти две лицензии обычно получаются одновременно. Так же как и в предыдущей есть возможность выбора необходимых видов деятельности (разработка, установка, монтаж, испытания, наладка, сервисное обслуживание технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля защищенности информации, защищенных программных (программно-технических) средств контроля обработки информации.
Необходимо отметить, что для выполнения полного комплекта работ по аттестации объектов информатизации, включая выдачу конечного разрешительного документа – аттестата соответствия на объект информатизации, организации необходимо получить дополнительно к двум предыдущим лицензиям еще один разрешительный документ ФСТЭК России – аттестат аккредитации органа по аттестации в системе сертификации средств защиты информации № РОСС RU.0001.01БИ00. Аттестат аккредитации, кстати говоря, выдается на срок до 3 лет, в отличии от лицензий, которые выдаются на срок до 5 лет.
- На деятельность по технической защите конфиденциальной информации. Виды деятельности почти аналогичны видам деятельности лицензии по п.2, только касаются защиты конфиденциальной информации, а не информации, содержащей сведения, составляющей государственную тайну.
- На деятельность по разработке, производству средств защиты конфиденциальной информации. Виды деятельности похожи на указанные в п.3 только в части защиты именно конфиденциальной информации.
Лицензии по п.4 и п.5 получаются, как правило, одновременно, так как они «дополняют» друг друга. Эти лицензии бессрочны и получаются один раз. Наличие данных лицензий дает право организации выполнения полного комплекта работ по технической защите конфиденциальной информации (без аттестата аккредитации органа по аттестации).
- Осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны в части проведения специальных экспертиз организаций соискателей лицензий ФСТЭК России. Лицензия достаточно редко встречаемая, выдается организациям, наделенным полномочиями ФСТЭК России в части проведения специальных экспертиз, т.н. аттестационным центрам.
Считаем важным отметить, что вышеперечисленные лицензии ФСТЭК России по п.п.1,2,3,6 могут быть получены после выполнения определенных лицензионных требований, первым из которых является наличие у организации-соискателя действующей лицензии ФСБ России на осуществление работ, связанных с использованием сведений, составляющими государственную тайну. Окончание срока действия данной лицензии (приостановление действия, аннулирование) автоматически останавливает сроки действия разрешительных документов ФСТЭК России.
Остальными лицензионными требованиями являются:
готовность к осуществлению лицензируемой деятельности специалистами, имеющими высшее профессиональное образование в области защиты информации, либо специалистами, имеющими высшее или среднее профессиональное (техническое) образование и прошедшими переподготовку или повышение квалификации по вопросам технической защиты информации. Квалификация специалистов проверяется по документам о высшем (среднем) профессиональном (техническом) образовании, переподготовке или повышении квалификации по соответствующим вопросам технической защиты информации и (или) противодействия иностранным техническим разведкам (дипломам, удостоверениям, свидетельствам).
Уровень подготовки специалистов определяется на основании проверки знания нормативных правовых актов Российской Федерации, нормативных и методических документов ФСТЭК России, регламентирующих проведение конкретных работ, связанных с созданием средств защиты информации, осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны (в части технической защиты информации и (или) противодействия иностранным техническим разведкам), а также проверки практических навыков эксплуатации производственного, испытательного, контрольно-измерительного оборудования, средств защиты и средств контроля защищенности информации.
наличие нормативных правовых актов, национальных стандартов, нормативных и методических документов, необходимых для обеспечения выполнения работ, осуществления мероприятий и (или) оказания услуг по заявленному виду деятельности;
наличие производственного, испытательного и контрольно-измерительного оборудования, средств контроля защищенности информации, средств защиты информации, необходимых для выполнения работ, осуществления мероприятий и (или) оказания услуг по заявленному виду деятельности;
соответствие контрольно-измерительного и испытательного оборудования, средств контроля защищенности информации и средств защиты информации требованиям законодательства Российской Федерации о государственной тайне, о техническом регулировании и в области обеспечения единства измерений. Наличие производственного, испытательного и контрольно-измерительного оборудования, средств защиты и средств контроля защищённости информации, средств разработки средств защиты информации проверяется с учётом указанных в заявлении конкретных работ, связанных с созданием средств защиты информации, мероприятий и (или) услуг по защите государственной тайны (в части технической защиты информации и (или) противодействия иностранным техническим разведкам), а также возможности выполнения требований по организации содержания, обслуживания и поверки данного оборудования. Производственное и контрольно-измерительное оборудование, средства контроля защищённости информации должны в полном объёме обеспечивать проведение измерений параметров технических средств и контроля технических каналов утечки информации в соответствии с действующими методическими документами и национальными стандартами.
Помещения, предназначенные для проведения специальных
исследований (сертификационных испытаний) технических средств должны соответствовать требованиям нормативных правовых актов, соответствующих нормативных и методических документов.
наличие аттестованных по требованиям безопасности информации объектов информатизации, предназначенных для обработки, передачи и хранения информации, содержащей сведения, составляющую государственную тайну, помещений для ведения секретных переговоров;
наличие документов, подтверждающих право собственности или иное законное основание на владение и использование имущества, необходимого для осуществления заявленного вида деятельности.
Организация лицензирования, порядок проведения специальных экспертиз для получения лицензий ФСТЭК России (имеются в ввиду лицензии, связанные со сведениями, составляющими государственную тайну), также как и в ФСБ России регламентированы постановлением Правительства Российской Федерации от 15.04.1995 № 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и(или) оказанием услуг по защите государственной тайны» и существенно друг от друга не отличается.
Отличие состоит в том, что территориальные управления ФСБ России являются лицензирующим органом, а территориальные управления ФСТЭК России не являются. Соответственно направлять заявление на получение лицензий ФСТЭК России, а в дальнейшем и получать лицензии придется в Центральном аппарате ФСТЭК России в
г. Москва. Специальные экспертизы могут быть проведены по поручению ФСТЭК России территориальными управлениями (бесплатно) или аттестационными центрами (за деньги) или же самим Центральным аппаратом ФСТЭК России (большая редкость).
В случае проведения специальной экспертизы аттестационным центром, материалы ее сначала попадут для проверки и оформления лицензионного дела в территориальное управление ФСТЭК России.
Существующими Инструкциями и Методическими рекомендациями по порядку проведения специальных экспертиз ФСТЭК России определены временные рамки прохождения отдельных этапов лицензирования:
решение ФСТЭК России о проведении специальной экспертизы – 5 дней со дня получения заявления соискателя лицензии;
формирование экспертной комиссии территориальным управлением – 5 дней со дня получения поручения Центрального аппарата ФСТЭК России;
оформление заключения территориальным управлением – 5 дней со дня получения материалов от аттестационного центра;
оформление бланка лицензии Центральным аппаратом ФСТЭК России (или отказ в выдачи лицензии) – 5 дней со дня получения лицензионного дела от территориального управления.
Общий срок от поступления заявления до получения лицензии не должен превышать 60 дней. В зависимости от сложности и объема подлежащих экспертизе материалов срок может быть продлен еще до 30 дней (п. 6 ПП РФ № 333).
Процесс получения лицензий ФСТЭК России на деятельность по технической защите конфиденциальной информации и на разработку и производство средств защиты конфиденциальной информации иной. Регламентирован он:
Федеральным Законом от 4.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности»;
Постановлением Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации»;
Постановление Правительства РФ от 03.03.2012 № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации»;
и вышедших на основе указанных постановлений Правительства РФ приказов ФСТЭК России от 12.07.2012 № 83 «Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации» и от 12.07.2012 № 84 «Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации».
В данном случае принятие решения о предоставлении лицензий (отказе в предоставлении лицензий) принимается без проведения специальных экспертиз, а по результатам документального рассмотрения полноты и качества представленных соискателем документов (приложений к заявлению – весь исчерпывающий перечень приложений – в вышеуказанных Административных регламентах ФСТЭК России).