- Постановление Правительства №313
- Перечень работ, которые подлежат лицензированию
- Разъяснения к положению о лицензировании криптографических средств
- Лицензионные требования
- Какие документы подавать?
- Переоформление лицензии в связи с добавлением нового адреса
- Краткий анализ 313-го Постановления, сменившего на посту ПП-957
- Бизнес без опасности
- 25 коммент.:
Постановление Правительства РФ
от 16 апреля 2012 г. N 313
«Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»
В соответствии с Федеральным законом «О лицензировании отдельных видов деятельности» Правительство Российской Федерации постановляет:
1. Утвердить прилагаемое Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных
систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
2.
Признать утратившими силу:
постановление Правительства Российской Федерации от 29 декабря 2007 г. N 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» (Собрание законодательства Российской Федерации, 2008, N 2, ст. 86);
пункт 40 изменений, которые вносятся в акты Правительства Российской Федерации по вопросам государственного контроля (надзора), утвержденных постановлением Правительства Российской Федерации от 21 апреля 2010 г.
N 268 «О внесении изменений и признании утратившими силу некоторых актов Правительства Российской Федерации по вопросам государственного контроля (надзора)» (Собрание законодательства Российской Федерации, 2010, N 19, ст. 2316);
пункт 41 изменений, которые вносятся в постановления Правительства Российской Федерации по вопросам государственной пошлины, утвержденных постановлением Правительства Российской Федерации от 24 сентября 2010 г. N 749 (Собрание законодательства Российской Федерации, 2010, N 40, ст.
5076).
Постановление Правительства №313
Постановление Правительства №313 от 16.04.2012г. – основной документ, которым следует руководствоваться при лицензировании шифровальных средств. Оно содержит Положение о лицензировании криптографических средств и перечень работ и услуг, которые должны быть лицензированы.
Перечень работ, которые подлежат лицензированию
Приложением к положению является перечень. В нем по пунктам указаны виды работ и услуг, которые составляют лицензируемую деятельность:
- средств шифрования;
- разработка информационных систем, сохранность которых обеспечивается с помощью средств шифрования;
- разработка систем телекоммуникации, сохранность которых обеспечивается с помощью средств шифрования;
- разработка инструментов для создания ключевых документов.
- обновление средств шифрования;
- обновление инструментов для выпуска электронных документов; средств шифрования;
- выпуск информационных систем, сохранность которых обеспечивается с помощью шифрования;
- выпуск систем телекоммуникации, сохранность которых обеспечивается с помощью шифрования;
- выпуск инструментов для создания электронных документов;
- создание продуктов для доказательства доступа к данным в информационных системах и системах телекоммуникации;
- установка и наладка средств шифрования;
- установка и наладка информационных систем, сохранность которых обеспечивается с помощью шифрования;
- установка и наладка систем телекоммуникации, сохранность которых обеспечивается с помощью шифрования;
- установка и наладка средств для создания ключевых документов;
- ремонт средств шифрования;
- ремонт информационных систем, сохранность которых обеспечивается с помощью шифрования;
- ремонт систем телекоммуникации, сохранность которых обеспечивается с помощью шифрования;
- ремонт инструментов для производства электронных документов; средств шифрования; средств шифрования;
- передача информационных систем, сохранность которых обеспечивается с помощью шифрования;
- передача систем телекоммуникации, сохранность которых обеспечивается с помощью шифрования;
- передача инструментов для производства электронных документов; по криптографии информации, которая не является гостайной;
- оказание услуг по защите информации, которая не является гостайной;
- обеспечение лиц каналами связи для обмена данными, сохранность которых обеспечивается с помощью шифрования;
- создание и распространение электронных документов или сведений для создания таких документов при помощи аппаратных, программных, программно-аппаратных средств.
Разъяснения к положению о лицензировании криптографических средств
16 апреля 2012 года на смену ПП РФ №957 от 29.12.2007г. пришло ПП РФ №313. Оно внесло коррективы в порядок лицензирования средств шифрования. Попробуем разобраться подробно во всех пунктах Положения.
Лицензионные требования
Важно ознакомиться с пунктом 6: в нем указаны лицензионные требования, которые необходимо соблюдать. Лицензиат ФСБ должен:
- быть собственником или иметь договоры на помещения, оборудование и аппаратуру, которая будет использоваться в работе (для всех пунктов перечня);
- соблюдать информационную безопасность согласно Федеральному закону №40-Ф3 от 03.04.1995г. (для всех пунктов перечня);
- сохранять секретность информации согласно Федеральному закону №149-Ф3 от 27.07.2006 (для всех пунктов перечня);
- иметь допуск к гостайне (для 1, 4, 5, 6, 16, 19 пунктов);
- иметь в фирме директора, который получил высшее образование в сфере информационной безопасности, прошел не менее 1000 часов специального обучения по этому направлению, имеет непрерывный стаж в области лицензированной деятельности от 5 лет (для 1, 4, 5, 6, 16, 19 пунктов);
- иметь в фирме директора, который получил высшее образование в сфере информационной безопасности, прошел не менее 500 часов специального обучения по этому направлению, имеет непрерывный стаж в области лицензированной деятельности от 3 лет (для 2, 3, 7-15, 17, 18, 20, 25-28 пунктов);
- иметь в фирме директора, который получил высшее образование в сфере информационной безопасности и прошел не менее 100 часов специального обучения по этому направлению (для 21-24 пунктов);
- иметь в компании 2 и более инженеров, которые получили высшее образование в сфере информационной безопасности, прошли не менее 1000 часов специального обучения по этому направлению, имеют непрерывный стаж в области лицензированной деятельности от 5 лет (для 1, 4, 5, 6, 16, 19 пунктов);
- иметь в компании 2 и более инженеров, которые получили высшее образование в сфере информационной безопасности, прошли не менее 500 часов специального обучения по этому направлению, имеют непрерывный стаж в области лицензированной деятельности от 3 лет (для 2, 3, 7-15, 17, 18, 20, 25-28 пунктов);
- иметь в компании инженера, который получил высшее образование в сфере информационной безопасности (для 21-24 пунктов);
- иметь аппаратуру и инструменты, которые прошли контроль и настройку согласно Федеральному закону №102-Ф3 от26.06.2008г. (для 1-11, 16-19 пунктов);
- предоставить список средств шифрования и бумаги с их техническими свойствами;
- использовать ЭВМ и базы данных, которые находятся во владении или на другом законном основании.
Какие документы подавать?
В 7 пункте Положения перечислены документы, которые нужно подавать в лицензирующий орган вместе с заявлением:
- Копии бумаг на помещения и оборудование, которые будут задействованы в работе;
- Копии внутренних документов, которые подтверждают условия для сохранения конфиденциальности информации;
- Копии бумаг, которые подтверждают наличие сотрудников с нужной квалификацией;
- Копии должностных инструкций, трудовых книжек, аттестатов и дипломов этих работников;
- Копии документов, доказывающих наличие аппаратуры и инструментов, которые прошли контроль и настройку согласно Федеральному закону №102-Ф3 от26.06.2008г.;
- реквизиты документа, который подтверждает сохранение секретности информации согласно Федеральному закону №149-Ф3 от 27.07.2006г.;
- реквизиты документа, который подтверждает допуск к гостайне (при необходимости);
- реквизиты документов, доказывающих право владения.
Переоформление лицензии в связи с добавлением нового адреса
Пункт 9 регламентирует написание заявления лицензиатом, если он планирует проводить работы по новому адресу, который не указан в действующей лицензии. В обращении нужно указать:
- реквизиты документов, доказывающих право владения.
- реквизиты документа, который подтверждает сохранение конфиденциальности информации согласно Федеральному закону №149-Ф3 от 27.07.2006г.;
- реквизиты документа, который подтверждает наличие допуска к гостайне (при необходимости).
Краткий анализ 313-го Постановления, сменившего на посту ПП-957
16 апреля закончилась эпоха 957-го Постановления Правительства «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами». Ему на смену пришло новое Постановление № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, ехническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».
- Расширен перечень того, что попадает в определение «шифровальные (криптографические) средства (СКЗИ)». Новых три элемента — аппаратные шифровальные средства, программные шифровальные средства и программно-аппаратные шифровальные средства. На мой взгляд это было лишним, т.к. эти три новых определения покрываются подпунктом а), вводящим определение средств шифрования. Но видимо у разработчиков были причины вносить три новых определения. Кстати, в новой редакции были растолкованы термины, ранее неопределенные, например, «ключевые документы».
- На два пункта был расширен перечень средств, на которые Положение не распространяется. В частности это «товары, содержащие шифровальные (криптографические) средства, имеющие либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющие электронную подпись» (в), «оборудование, криптографические возможности которого недоступны пользователю, специально разработанное и ограниченное для осуществления следующих функций. » (ж) и «товары, у которых криптографическая функция гарантированно заблокирована производителем» (м). А также были уточнены имеющиеся ранее исключения. Исключены из исключений контрольно-кассовые машины.
- Положение не распространяется на деятельность, связанную с электронной подписью. Т.е. теперь эта деятельность не лицензируется ФСБ. По крайней мере это вытекает из статьи 3в.
- Перечень лицензируемых работ и услуг был вынесен в приложение для облегчения понимания. Из 30 видов в проекте осталось 28. Но все равно немало.
- Жесткие требования к квалификации персонала. В зависимости от вида лицензируемых работ и услуг необходимо иметь высшее профессиональное образование по специальности, переподотовку в течение 1000 (500 или 100) аудиторных часов и иметь стаж 5 (3) года. При требования к квалификации я уже писал . Так что ничего нового. Но зато появилась ясность.Кстати, 1000 аудиторных часов — это полноценный институтский курс по информационной безопасности, читаемый в течении 5-6 лет! Где руководители будут получать такое обучение? Ни один учебный центр не в состоянии не то что появившийся спрос удовлетворить, но и вообще реализовать это требование. 1000 часов! Это к слову 125 полностью загруженных (по 8 часов) рабочих дней.
Замечания по отсутствию обоснования установленного количества часов также не устранено. Как и замечание по используемому контрольно-измерительному оборудованию. Требование заменить 56 бит на 64 и добавить упоминание продуктов для «mass-market», как того требовали Вассенаарские соглашения (1996 год), которые подписала и Россия.
Видимо авторы, как это часто бывает, посчитали устранять эти замечания нецелесообразными ;-( А жаль.
Из занятного. Постановление называется «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств. «.
Т.е. слово распространение в названии есть. А вот по тексту Постановления оно нигде больше не встречается.
Нигде. На это указывало и Минэкономразвития. Но все осталось без изменения.
Получается, что деятельности по распространению СКЗИ теперь выпала из лицензирования. А может термин «распространение» был заменен на «передача»? Но это не очевидно. Например, разместив на сайте СКЗИ и дав возможность ее скачивать всем своим клиентам и контрагентам, я осуществляю распространение, но не передачу СКЗИ.
Тут есть о чем подумать.
Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!
Бизнес без опасности
16 апреля закончилась эпоха 957-го Постановления Правительства «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами». Ему на смену пришло новое Постановление № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, ехническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».
- Расширен перечень того, что попадает в определение «шифровальные (криптографические) средства (СКЗИ)». Новых три элемента — аппаратные шифровальные средства, программные шифровальные средства и программно-аппаратные шифровальные средства. На мой взгляд это было лишним, т.к. эти три новых определения покрываются подпунктом а), вводящим определение средств шифрования. Но видимо у разработчиков были причины вносить три новых определения. Кстати, в новой редакции были растолкованы термины, ранее неопределенные, например, «ключевые документы».
- На два пункта был расширен перечень средств, на которые Положение не распространяется. В частности это «товары, содержащие шифровальные (криптографические) средства, имеющие либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющие электронную подпись» (в), «оборудование, криптографические возможности которого недоступны пользователю, специально разработанное и ограниченное для осуществления следующих функций. » (ж) и «товары, у которых криптографическая функция гарантированно заблокирована производителем» (м). А также были уточнены имеющиеся ранее исключения. Исключены из исключений контрольно-кассовые машины.
- Положение не распространяется на деятельность, связанную с электронной подписью. Т.е. теперь эта деятельность не лицензируется ФСБ. По крайней мере это вытекает из статьи 3в.
- Перечень лицензируемых работ и услуг был вынесен в приложение для облегчения понимания. Из 30 видов в проекте осталось 28. Но все равно немало.
- Жесткие требования к квалификации персонала. В зависимости от вида лицензируемых работ и услуг необходимо иметь высшее профессиональное образование по специальности, переподотовку в течение 1000 (500 или 100) аудиторных часов и иметь стаж 5 (3) года. При требования к квалификации я уже писал. Так что ничего нового. Но зато появилась ясность.Кстати, 1000 аудиторных часов — это полноценный институтский курс по информационной безопасности, читаемый в течении 5-6 лет! Где руководители будут получать такое обучение? Ни один учебный центр не в состоянии не то что появившийся спрос удовлетворить, но и вообще реализовать это требование. 1000 часов! Это к слову 125 полностью загруженных (по 8 часов) рабочих дней.
Замечания по отсутствию обоснования установленного количества часов также не устранено. Как и замечание по используемому контрольно-измерительному оборудованию. Требование заменить 56 бит на 64 и добавить упоминание продуктов для «mass-market», как того требовали Вассенаарские соглашения (1996 год), которые подписала и Россия.
Видимо авторы, как это часто бывает, посчитали устранять эти замечания нецелесообразными ;-( А жаль.
Из занятного. Постановление называется «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств. «.
Т.е. слово распространение в названии есть. А вот по тексту Постановления оно нигде больше не встречается.
Нигде. На это указывало и Минэкономразвития. Но все осталось без изменения.
Получается, что деятельности по распространению СКЗИ теперь выпала из лицензирования. А может термин «распространение» был заменен на «передача»? Но это не очевидно. Например, разместив на сайте СКЗИ и дав возможность ее скачивать всем своим клиентам и контрагентам, я осуществляю распространение, но не передачу СКЗИ.
Тут есть о чем подумать.
25 коммент.:
Требования по повышению квалификации сильно ударят по финансовому сектору. Найти персонал в регионе с указанными требованиями практически невозможно.
В статье 3в сказано «товаров, . . . . имеющих электронную подпись».
А про средства ЭЦП, их использование там ничего нет.
Никак не пойму что значит «техническое обслуживание шифровальных средств». Кто-нибудь может растолковать?
Алексей, а вы не в курсе: ПП по уровням защищенности и требованиям будут проходить оценку регулирующего воздействия в МЭР?
конечно же ПП распространяется на электронную подпись и эта деятельность как и раньше лицензируется.
см. пункт 2в
От себя добавлю:
1. ошибка со статьей 112 ФЗ о ФСБ все еще существует. Это плохо.
2.
Что конкретно (какие действия и мероприятия) подразумевается под пунктами 6б и 6в непонятно — а это основные требования для получения лицензий. Как такое могли пропустить — явная коррупционная составляющая Или не прав?
3. в названии: «.
(за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)» — не раскрыто и непонятно. Если есть в ФЗ о лицензировании, что тогда в название пихать, при этом в пункте 3 «Настоящее Положение не распространяется. » ничего подобного не указано.
Хочу отметить, что насколько мне известно, названия НЕ являются нормами права. Вывод понятен. Хотя конечно п20 перечня немного понижает градус, но не снимает.
4.
аналоги и замены направлению «Информационная безопасность» не определены и непонятны (по крайне мере мне)
5. пункт 10ж — от слова жесть
6. разделение п 12 и 15 перечня — зачем это надо?
Определение «ключевой документ» было в 152-ФАПСИ.
Ключевой документ — физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости — контрольную, служебную и технологическую информацию.
Почему, когда появляется на множественное число, смысл становится другим:
ключевые документы — электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах.
Алексей, отсутствие требований аттестации как то прокомментируете?
Алексей, по поводу ЭП — Вы не правы (наверное слишком бегло прочитали). П.2в к криптографическим средствам относит средства электронной подписис. А в п.3в ключевым является «за исключением . имеющих ЭП»
Сергей, это Вы не правы п.2 всего лишь дает определение, что такое шифровальные средства и логично, что ЭП туда попадает. А вот пункт 3в читается так: «Настоящее Положение не распространяется на деятельность с использованием товаров, содержащих шифровальные (криптографические) средства, имеющих либо функцию аутентификации. либо имеющих электронную подпись».
Коллеги, п.2в всего лишь дает определение. Под него попадает и шифрование в банкоматах. Только оно исключено из лицензирование в п.3. С ЭП тот же вариант. И это кстати, логично в свете последних веяний, когда УЦ, их аккредитация, ЭП отдаются на откур Минкомсвязи
Ak-Kedul: Действия в соответствие с эксплуатационной документацией. А вообще вот тут (http://blogs.cisco.ru/2011/11/11/%d0%be%d0%b1-%d0%b8%d0%bc%d0%bf%d0%be%d1%80%d1%82%d0%b5-%d1%88%d0%b8%d1%84%d1%80%d0%be%d0%b2%d0%b0%d0%bb%d1%8c%d0%bd%d1%8b%d1%85-%d1%81%d1%80%d0%b5%d0%b4%d1%81%d1%82%d0%b2/), на слайде 34, дано определение этого термина по ГОСТу.
Сергей: Да, будут.
Фин: Не, не прокомментирую. Когда Сиско получала лицензию ФСБ, мы аттестовывали помещение.
В отношении исключений ключевая все-таки фраза «. на деятельность с использованием». Деятельность с использованием ЭП и раньше не требовала наличие лицензии у владельца ЭП. А вот УЦ, если он занимается не только выпуском СКП, но и генерацией ключевой пары, не попадающей под исключение п.3б, такую лицензию иметь должен.
«3в: товаров, имеющих электронную подпись.»
это означает что «товары» подписаны электронной подписью.
сам факт наличия у чего-либо электронной подписи имеет мало чего общего с деятельностью в области электронной подписи.
«И это кстати, логично в свете последних веяний, когда УЦ, их аккредитация, ЭП отдаются на откур Минкомсвязи»
требования к средствам УЦ, средствам ЭП, формат сертификата КЭП, оценка соответствия и т.д. — все в ведении ФСБ
Направил запрос в контору для уточнения
pushkinist прав, ни какого отношения товар с ЭП не имеет к деятельности. Например, многое ПО (его компоненты в виде исполняемых файлов, файлов библиотек и т.п.)подписаны ЭП.
Т.е., например, передавать/распространять такие товары можно без лицензии.
В конторе тоже считают, что на деятельность с ЭП не распространяется
Но 3в к этому не имеет отношения, там об ином. )
В отмененном положении (Постановление правительства №957-2007г.) одним из лицензионных требований являлось:
«-применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации».
Иные требования по соблюдению конфиденциальности и разграничению доступа не регламентировались.
В ходе проверки лицензиата (соискателя) осуществлялся контроль наличия объекта информатизации и аттестата соответствия на него. Этим все и ограничивалось.
В связи с принятием нового Постановления от 16.04.2012 № 313 лицензионные требования изменились (расширились):
наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;
Т.е. это больше (шире), чем наличие аттестованной АС, речь идет о наличии системы конфиденциальности в масштабах всей организации, которая должна соответствовать требованиям, установленным Федеральным законом «Об информации, информационных технологиях и о защите информации»:
— ограничения обладателем информации круга лиц имеющих доступ к информации ограниченного распространения;
— принятие определенных правовых, организационных и технических мер;
— установление ответственности за нарушения конфиденциальности.
Так же, при подаче заявления соискателю лицензии необходимо представить:
«- копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;»
Таким образом:
— до проведения аттестации АС в организации должна быть создана (регламентирована внутренними распорядительными документами) и функционировать (включая установку средств защиты от НСД и проведение аттестации АС) система обеспечения конфиденциальности.
— внутренние распорядительные документы, регламентирующие соблюдение конфиденциальности информации будут рассматриваться (проверяться) ФСБ.
В отмененном положении (Постановление правительства №957-2007г.) одним из лицензионных требований являлось:
«-применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации».
Иные требования по соблюдению конфиденциальности и разграничению доступа не регламентировались.
В ходе проверки лицензиата (соискателя) осуществлялся контроль наличия объекта информатизации и аттестата соответствия на него. Этим все и ограничивалось.
В связи с принятием нового Постановления от 16.04.2012 № 313 лицензионные требования изменились (расширились):
наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;
Так же, при подаче заявления соискателю лицензии необходимо представить:
«- копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации,
Таким образом:
— до проведения аттестации АС и подачи заявления в лицензирующий орган в организации должна быть создана (регламентирована внутренними распорядительными документами) и функционировать (включая установку средств защиты от НСД и проведение аттестации АС) система обеспечения конфиденциальности.
— внутренние распорядительные документы, регламентирующие соблюдение конфиденциальности информации будут рассматриваться (проверяться) ФСБ.
В отмененном положении (Постановление правительства №957-2007г.) одним из лицензионных требований являлось:
«-применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации».
Иные требования по соблюдению конфиденциальности и разграничению доступа не регламентировались.
В ходе проверки лицензиата (соискателя) осуществлялся контроль наличия объекта информатизации и аттестата соответствия на него. Этим все и ограничивалось.
В связи с принятием нового Постановления от 16.04.2012 № 313 лицензионные требования изменились (расширились):
наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;
Так же, при подаче заявления соискателю лицензии необходимо представить:
«- копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации,
Таким образом:
— до проведения аттестации АС и подачи заявления в лицензирующий орган в организации должна быть создана (регламентирована внутренними распорядительными документами) и функционировать (включая установку средств защиты от НСД и проведение аттестации АС) система обеспечения конфиденциальности.
— внутренние распорядительные документы, регламентирующие соблюдение конфиденциальности информации будут рассматриваться (проверяться) ФСБ.
Для обработки сведений составляющих ГТ применимо данное 313-Постановление ? Не требуется лицензирование деятельности по .. производству .. информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ в области шифрования информации,
для случая, если техническое обслуживание ..
осуществляется для обеспечения собственных нужд юридического лица ?
Там вроде ГТ выведена
Вопросы лицензирования по защите ГТ регулируются другим постановлением- ПП № 333-95 года.