Постановление правительства 313 от 16.04 2012

Постановление Правительства РФ
от 16 апреля 2012 г. N 313

«Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»

В соответствии с Федеральным законом «О лицензировании отдельных видов деятельности» Правительство Российской Федерации постановляет:
1. Утвердить прилагаемое Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных
систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
2.

Признать утратившими силу:
постановление Правительства Российской Федерации от 29 декабря 2007 г. N 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» (Собрание законодательства Российской Федерации, 2008, N 2, ст. 86);
пункт 40 изменений, которые вносятся в акты Правительства Российской Федерации по вопросам государственного контроля (надзора), утвержденных постановлением Правительства Российской Федерации от 21 апреля 2010 г.

N 268 «О внесении изменений и признании утратившими силу некоторых актов Правительства Российской Федерации по вопросам государственного контроля (надзора)» (Собрание законодательства Российской Федерации, 2010, N 19, ст. 2316);
пункт 41 изменений, которые вносятся в постановления Правительства Российской Федерации по вопросам государственной пошлины, утвержденных постановлением Правительства Российской Федерации от 24 сентября 2010 г. N 749 (Собрание законодательства Российской Федерации, 2010, N 40, ст.

5076).

Постановление Правительства №313

Постановление Правительства №313 от 16.04.2012г. – основной документ, которым следует руководствоваться при лицензировании шифровальных средств. Оно содержит Положение о лицензировании криптографических средств и перечень работ и услуг, которые должны быть лицензированы.

Перечень работ, которые подлежат лицензированию

Приложением к положению является перечень. В нем по пунктам указаны виды работ и услуг, которые составляют лицензируемую деятельность:

    средств шифрования;
  1. разработка информационных систем, сохранность которых обеспечивается с помощью средств шифрования;
  2. разработка систем телекоммуникации, сохранность которых обеспечивается с помощью средств шифрования;
  3. разработка инструментов для создания ключевых документов.
  4. обновление средств шифрования;
  5. обновление инструментов для выпуска электронных документов; средств шифрования;
  6. выпуск информационных систем, сохранность которых обеспечивается с помощью шифрования;
  7. выпуск систем телекоммуникации, сохранность которых обеспечивается с помощью шифрования;
  8. выпуск инструментов для создания электронных документов;
  9. создание продуктов для доказательства доступа к данным в информационных системах и системах телекоммуникации;
  10. установка и наладка средств шифрования;
  11. установка и наладка информационных систем, сохранность которых обеспечивается с помощью шифрования;
  12. установка и наладка систем телекоммуникации, сохранность которых обеспечивается с помощью шифрования;
  13. установка и наладка средств для создания ключевых документов;
  14. ремонт средств шифрования;
  15. ремонт информационных систем, сохранность которых обеспечивается с помощью шифрования;
  16. ремонт систем телекоммуникации, сохранность которых обеспечивается с помощью шифрования;
  17. ремонт инструментов для производства электронных документов; средств шифрования; средств шифрования;
  18. передача информационных систем, сохранность которых обеспечивается с помощью шифрования;
  19. передача систем телекоммуникации, сохранность которых обеспечивается с помощью шифрования;
  20. передача инструментов для производства электронных документов; по криптографии информации, которая не является гостайной;
  21. оказание услуг по защите информации, которая не является гостайной;
  22. обеспечение лиц каналами связи для обмена данными, сохранность которых обеспечивается с помощью шифрования;
  23. создание и распространение электронных документов или сведений для создания таких документов при помощи аппаратных, программных, программно-аппаратных средств.

Разъяснения к положению о лицензировании криптографических средств

16 апреля 2012 года на смену ПП РФ №957 от 29.12.2007г. пришло ПП РФ №313. Оно внесло коррективы в порядок лицензирования средств шифрования. Попробуем разобраться подробно во всех пунктах Положения.

Лицензионные требования

Важно ознакомиться с пунктом 6: в нем указаны лицензионные требования, которые необходимо соблюдать. Лицензиат ФСБ должен:

  • быть собственником или иметь договоры на помещения, оборудование и аппаратуру, которая будет использоваться в работе (для всех пунктов перечня);
  • соблюдать информационную безопасность согласно Федеральному закону №40-Ф3 от 03.04.1995г. (для всех пунктов перечня);
  • сохранять секретность информации согласно Федеральному закону №149-Ф3 от 27.07.2006 (для всех пунктов перечня);
  • иметь допуск к гостайне (для 1, 4, 5, 6, 16, 19 пунктов);
  • иметь в фирме директора, который получил высшее образование в сфере информационной безопасности, прошел не менее 1000 часов специального обучения по этому направлению, имеет непрерывный стаж в области лицензированной деятельности от 5 лет (для 1, 4, 5, 6, 16, 19 пунктов);
  • иметь в фирме директора, который получил высшее образование в сфере информационной безопасности, прошел не менее 500 часов специального обучения по этому направлению, имеет непрерывный стаж в области лицензированной деятельности от 3 лет (для 2, 3, 7-15, 17, 18, 20, 25-28 пунктов);
  • иметь в фирме директора, который получил высшее образование в сфере информационной безопасности и прошел не менее 100 часов специального обучения по этому направлению (для 21-24 пунктов);
  • иметь в компании 2 и более инженеров, которые получили высшее образование в сфере информационной безопасности, прошли не менее 1000 часов специального обучения по этому направлению, имеют непрерывный стаж в области лицензированной деятельности от 5 лет (для 1, 4, 5, 6, 16, 19 пунктов);
  • иметь в компании 2 и более инженеров, которые получили высшее образование в сфере информационной безопасности, прошли не менее 500 часов специального обучения по этому направлению, имеют непрерывный стаж в области лицензированной деятельности от 3 лет (для 2, 3, 7-15, 17, 18, 20, 25-28 пунктов);
  • иметь в компании инженера, который получил высшее образование в сфере информационной безопасности (для 21-24 пунктов);
  • иметь аппаратуру и инструменты, которые прошли контроль и настройку согласно Федеральному закону №102-Ф3 от26.06.2008г. (для 1-11, 16-19 пунктов);
  • предоставить список средств шифрования и бумаги с их техническими свойствами;
  • использовать ЭВМ и базы данных, которые находятся во владении или на другом законном основании.
Читайте также:  Расстояние между жилым домом и хозпостройками

Какие документы подавать?

В 7 пункте Положения перечислены документы, которые нужно подавать в лицензирующий орган вместе с заявлением:

  • Копии бумаг на помещения и оборудование, которые будут задействованы в работе;
  • Копии внутренних документов, которые подтверждают условия для сохранения конфиденциальности информации;
  • Копии бумаг, которые подтверждают наличие сотрудников с нужной квалификацией;
  • Копии должностных инструкций, трудовых книжек, аттестатов и дипломов этих работников;
  • Копии документов, доказывающих наличие аппаратуры и инструментов, которые прошли контроль и настройку согласно Федеральному закону №102-Ф3 от26.06.2008г.;
  • реквизиты документа, который подтверждает сохранение секретности информации согласно Федеральному закону №149-Ф3 от 27.07.2006г.;
  • реквизиты документа, который подтверждает допуск к гостайне (при необходимости);
  • реквизиты документов, доказывающих право владения.

Переоформление лицензии в связи с добавлением нового адреса

Пункт 9 регламентирует написание заявления лицензиатом, если он планирует проводить работы по новому адресу, который не указан в действующей лицензии. В обращении нужно указать:

  • реквизиты документов, доказывающих право владения.
  • реквизиты документа, который подтверждает сохранение конфиденциальности информации согласно Федеральному закону №149-Ф3 от 27.07.2006г.;
  • реквизиты документа, который подтверждает наличие допуска к гостайне (при необходимости).

Краткий анализ 313-го Постановления, сменившего на посту ПП-957

16 апреля закончилась эпоха 957-го Постановления Правительства «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами». Ему на смену пришло новое Постановление № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, ехническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».

  • Расширен перечень того, что попадает в определение «шифровальные (криптографические) средства (СКЗИ)». Новых три элемента — аппаратные шифровальные средства, программные шифровальные средства и программно-аппаратные шифровальные средства. На мой взгляд это было лишним, т.к. эти три новых определения покрываются подпунктом а), вводящим определение средств шифрования. Но видимо у разработчиков были причины вносить три новых определения. Кстати, в новой редакции были растолкованы термины, ранее неопределенные, например, «ключевые документы».
  • На два пункта был расширен перечень средств, на которые Положение не распространяется. В частности это «товары, содержащие шифровальные (криптографические) средства, имеющие либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющие электронную подпись» (в), «оборудование, криптографические возможности которого недоступны пользователю, специально разработанное и ограниченное для осуществления следующих функций. » (ж) и «товары, у которых криптографическая функция гарантированно заблокирована производителем» (м). А также были уточнены имеющиеся ранее исключения. Исключены из исключений контрольно-кассовые машины.
  • Положение не распространяется на деятельность, связанную с электронной подписью. Т.е. теперь эта деятельность не лицензируется ФСБ. По крайней мере это вытекает из статьи 3в.
  • Перечень лицензируемых работ и услуг был вынесен в приложение для облегчения понимания. Из 30 видов в проекте осталось 28. Но все равно немало.
  • Жесткие требования к квалификации персонала. В зависимости от вида лицензируемых работ и услуг необходимо иметь высшее профессиональное образование по специальности, переподотовку в течение 1000 (500 или 100) аудиторных часов и иметь стаж 5 (3) года. При требования к квалификации я уже писал . Так что ничего нового. Но зато появилась ясность.Кстати, 1000 аудиторных часов — это полноценный институтский курс по информационной безопасности, читаемый в течении 5-6 лет! Где руководители будут получать такое обучение? Ни один учебный центр не в состоянии не то что появившийся спрос удовлетворить, но и вообще реализовать это требование. 1000 часов! Это к слову 125 полностью загруженных (по 8 часов) рабочих дней.

Замечания по отсутствию обоснования установленного количества часов также не устранено. Как и замечание по используемому контрольно-измерительному оборудованию. Требование заменить 56 бит на 64 и добавить упоминание продуктов для «mass-market», как того требовали Вассенаарские соглашения (1996 год), которые подписала и Россия.

Видимо авторы, как это часто бывает, посчитали устранять эти замечания нецелесообразными ;-( А жаль.

Из занятного. Постановление называется «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств. «.

Т.е. слово распространение в названии есть. А вот по тексту Постановления оно нигде больше не встречается.

Нигде. На это указывало и Минэкономразвития. Но все осталось без изменения.

Получается, что деятельности по распространению СКЗИ теперь выпала из лицензирования. А может термин «распространение» был заменен на «передача»? Но это не очевидно. Например, разместив на сайте СКЗИ и дав возможность ее скачивать всем своим клиентам и контрагентам, я осуществляю распространение, но не передачу СКЗИ.

Тут есть о чем подумать.

Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!

Бизнес без опасности

16 апреля закончилась эпоха 957-го Постановления Правительства «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами». Ему на смену пришло новое Постановление № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, ехническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».

  • Расширен перечень того, что попадает в определение «шифровальные (криптографические) средства (СКЗИ)». Новых три элемента — аппаратные шифровальные средства, программные шифровальные средства и программно-аппаратные шифровальные средства. На мой взгляд это было лишним, т.к. эти три новых определения покрываются подпунктом а), вводящим определение средств шифрования. Но видимо у разработчиков были причины вносить три новых определения. Кстати, в новой редакции были растолкованы термины, ранее неопределенные, например, «ключевые документы».
  • На два пункта был расширен перечень средств, на которые Положение не распространяется. В частности это «товары, содержащие шифровальные (криптографические) средства, имеющие либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющие электронную подпись» (в), «оборудование, криптографические возможности которого недоступны пользователю, специально разработанное и ограниченное для осуществления следующих функций. » (ж) и «товары, у которых криптографическая функция гарантированно заблокирована производителем» (м). А также были уточнены имеющиеся ранее исключения. Исключены из исключений контрольно-кассовые машины.
  • Положение не распространяется на деятельность, связанную с электронной подписью. Т.е. теперь эта деятельность не лицензируется ФСБ. По крайней мере это вытекает из статьи 3в.
  • Перечень лицензируемых работ и услуг был вынесен в приложение для облегчения понимания. Из 30 видов в проекте осталось 28. Но все равно немало.
  • Жесткие требования к квалификации персонала. В зависимости от вида лицензируемых работ и услуг необходимо иметь высшее профессиональное образование по специальности, переподотовку в течение 1000 (500 или 100) аудиторных часов и иметь стаж 5 (3) года. При требования к квалификации я уже писал. Так что ничего нового. Но зато появилась ясность.Кстати, 1000 аудиторных часов — это полноценный институтский курс по информационной безопасности, читаемый в течении 5-6 лет! Где руководители будут получать такое обучение? Ни один учебный центр не в состоянии не то что появившийся спрос удовлетворить, но и вообще реализовать это требование. 1000 часов! Это к слову 125 полностью загруженных (по 8 часов) рабочих дней.
Читайте также:  Что нужно для снятия автомобиля с учета

Замечания по отсутствию обоснования установленного количества часов также не устранено. Как и замечание по используемому контрольно-измерительному оборудованию. Требование заменить 56 бит на 64 и добавить упоминание продуктов для «mass-market», как того требовали Вассенаарские соглашения (1996 год), которые подписала и Россия.

Видимо авторы, как это часто бывает, посчитали устранять эти замечания нецелесообразными ;-( А жаль.

Из занятного. Постановление называется «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств. «.

Т.е. слово распространение в названии есть. А вот по тексту Постановления оно нигде больше не встречается.

Нигде. На это указывало и Минэкономразвития. Но все осталось без изменения.

Получается, что деятельности по распространению СКЗИ теперь выпала из лицензирования. А может термин «распространение» был заменен на «передача»? Но это не очевидно. Например, разместив на сайте СКЗИ и дав возможность ее скачивать всем своим клиентам и контрагентам, я осуществляю распространение, но не передачу СКЗИ.

Тут есть о чем подумать.

25 коммент.:

Требования по повышению квалификации сильно ударят по финансовому сектору. Найти персонал в регионе с указанными требованиями практически невозможно.

В статье 3в сказано «товаров, . . . . имеющих электронную подпись».
А про средства ЭЦП, их использование там ничего нет.

Никак не пойму что значит «техническое обслуживание шифровальных средств». Кто-нибудь может растолковать?

Алексей, а вы не в курсе: ПП по уровням защищенности и требованиям будут проходить оценку регулирующего воздействия в МЭР?

конечно же ПП распространяется на электронную подпись и эта деятельность как и раньше лицензируется.
см. пункт 2в

От себя добавлю:
1. ошибка со статьей 112 ФЗ о ФСБ все еще существует. Это плохо.
2.

Что конкретно (какие действия и мероприятия) подразумевается под пунктами 6б и 6в непонятно — а это основные требования для получения лицензий. Как такое могли пропустить — явная коррупционная составляющая ;) Или не прав?
3. в названии: «.

(за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)» — не раскрыто и непонятно. Если есть в ФЗ о лицензировании, что тогда в название пихать, при этом в пункте 3 «Настоящее Положение не распространяется. » ничего подобного не указано.

Хочу отметить, что насколько мне известно, названия НЕ являются нормами права. Вывод понятен. Хотя конечно п20 перечня немного понижает градус, но не снимает.
4.

аналоги и замены направлению «Информационная безопасность» не определены и непонятны (по крайне мере мне)
5. пункт 10ж — от слова жесть :)
6. разделение п 12 и 15 перечня — зачем это надо?

Определение «ключевой документ» было в 152-ФАПСИ.
Ключевой документ — физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости — контрольную, служебную и технологическую информацию.
Почему, когда появляется на множественное число, смысл становится другим:
ключевые документы — электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах.

Алексей, отсутствие требований аттестации как то прокомментируете?

Алексей, по поводу ЭП — Вы не правы (наверное слишком бегло прочитали). П.2в к криптографическим средствам относит средства электронной подписис. А в п.3в ключевым является «за исключением . имеющих ЭП»

Сергей, это Вы не правы ;-) п.2 всего лишь дает определение, что такое шифровальные средства и логично, что ЭП туда попадает. А вот пункт 3в читается так: «Настоящее Положение не распространяется на деятельность с использованием товаров, содержащих шифровальные (криптографические) средства, имеющих либо функцию аутентификации. либо имеющих электронную подпись».

Коллеги, п.2в всего лишь дает определение. Под него попадает и шифрование в банкоматах. Только оно исключено из лицензирование в п.3. С ЭП тот же вариант. И это кстати, логично в свете последних веяний, когда УЦ, их аккредитация, ЭП отдаются на откур Минкомсвязи

Читайте также:  Меня не берут на работу никуда

Ak-Kedul: Действия в соответствие с эксплуатационной документацией. А вообще вот тут (http://blogs.cisco.ru/2011/11/11/%d0%be%d0%b1-%d0%b8%d0%bc%d0%bf%d0%be%d1%80%d1%82%d0%b5-%d1%88%d0%b8%d1%84%d1%80%d0%be%d0%b2%d0%b0%d0%bb%d1%8c%d0%bd%d1%8b%d1%85-%d1%81%d1%80%d0%b5%d0%b4%d1%81%d1%82%d0%b2/), на слайде 34, дано определение этого термина по ГОСТу.

Сергей: Да, будут.

Фин: Не, не прокомментирую. Когда Сиско получала лицензию ФСБ, мы аттестовывали помещение.

В отношении исключений ключевая все-таки фраза «. на деятельность с использованием». Деятельность с использованием ЭП и раньше не требовала наличие лицензии у владельца ЭП. А вот УЦ, если он занимается не только выпуском СКП, но и генерацией ключевой пары, не попадающей под исключение п.3б, такую лицензию иметь должен.

«3в: товаров, имеющих электронную подпись.»

это означает что «товары» подписаны электронной подписью.
сам факт наличия у чего-либо электронной подписи имеет мало чего общего с деятельностью в области электронной подписи.

«И это кстати, логично в свете последних веяний, когда УЦ, их аккредитация, ЭП отдаются на откур Минкомсвязи»

требования к средствам УЦ, средствам ЭП, формат сертификата КЭП, оценка соответствия и т.д. — все в ведении ФСБ

Направил запрос в контору для уточнения ;-)

pushkinist прав, ни какого отношения товар с ЭП не имеет к деятельности. Например, многое ПО (его компоненты в виде исполняемых файлов, файлов библиотек и т.п.)подписаны ЭП.
Т.е., например, передавать/распространять такие товары можно без лицензии.

В конторе тоже считают, что на деятельность с ЭП не распространяется

Но 3в к этому не имеет отношения, там об ином. )

В отмененном положении (Постановление правительства №957-2007г.) одним из лицензионных требований являлось:
«-применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации».
Иные требования по соблюдению конфиденциальности и разграничению доступа не регламентировались.
В ходе проверки лицензиата (соискателя) осуществлялся контроль наличия объекта информатизации и аттестата соответствия на него. Этим все и ограничивалось.

В связи с принятием нового Постановления от 16.04.2012 № 313 лицензионные требования изменились (расширились):
наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;
Т.е. это больше (шире), чем наличие аттестованной АС, речь идет о наличии системы конфиденциальности в масштабах всей организации, которая должна соответствовать требованиям, установленным Федеральным законом «Об информации, информационных технологиях и о защите информации»:
— ограничения обладателем информации круга лиц имеющих доступ к информации ограниченного распространения;
— принятие определенных правовых, организационных и технических мер;
— установление ответственности за нарушения конфиденциальности.

Так же, при подаче заявления соискателю лицензии необходимо представить:
«- копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;»
Таким образом:
— до проведения аттестации АС в организации должна быть создана (регламентирована внутренними распорядительными документами) и функционировать (включая установку средств защиты от НСД и проведение аттестации АС) система обеспечения конфиденциальности.
— внутренние распорядительные документы, регламентирующие соблюдение конфиденциальности информации будут рассматриваться (проверяться) ФСБ.

В отмененном положении (Постановление правительства №957-2007г.) одним из лицензионных требований являлось:
«-применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации».
Иные требования по соблюдению конфиденциальности и разграничению доступа не регламентировались.
В ходе проверки лицензиата (соискателя) осуществлялся контроль наличия объекта информатизации и аттестата соответствия на него. Этим все и ограничивалось.

В связи с принятием нового Постановления от 16.04.2012 № 313 лицензионные требования изменились (расширились):
наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;
Так же, при подаче заявления соискателю лицензии необходимо представить:
«- копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации,
Таким образом:
— до проведения аттестации АС и подачи заявления в лицензирующий орган в организации должна быть создана (регламентирована внутренними распорядительными документами) и функционировать (включая установку средств защиты от НСД и проведение аттестации АС) система обеспечения конфиденциальности.
— внутренние распорядительные документы, регламентирующие соблюдение конфиденциальности информации будут рассматриваться (проверяться) ФСБ.

В отмененном положении (Постановление правительства №957-2007г.) одним из лицензионных требований являлось:
«-применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации».
Иные требования по соблюдению конфиденциальности и разграничению доступа не регламентировались.
В ходе проверки лицензиата (соискателя) осуществлялся контроль наличия объекта информатизации и аттестата соответствия на него. Этим все и ограничивалось.

В связи с принятием нового Постановления от 16.04.2012 № 313 лицензионные требования изменились (расширились):
наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;
Так же, при подаче заявления соискателю лицензии необходимо представить:
«- копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации,
Таким образом:
— до проведения аттестации АС и подачи заявления в лицензирующий орган в организации должна быть создана (регламентирована внутренними распорядительными документами) и функционировать (включая установку средств защиты от НСД и проведение аттестации АС) система обеспечения конфиденциальности.
— внутренние распорядительные документы, регламентирующие соблюдение конфиденциальности информации будут рассматриваться (проверяться) ФСБ.

Для обработки сведений составляющих ГТ применимо данное 313-Постановление ? Не требуется лицензирование деятельности по .. производству .. информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ в области шифрования информации,
для случая, если техническое обслуживание ..

осуществляется для обеспечения собственных нужд юридического лица ?

Там вроде ГТ выведена

Вопросы лицензирования по защите ГТ регулируются другим постановлением- ПП № 333-95 года.

Adblock
detector