Сертификат соответствия на средства защиты информации

Комплексная система безопасности информации на объекте информатизации служит для обеспечения объективности оценки состояния объектов информатизации и обеспечение уровня гарантии информационной безопасности объектов информатизации путем сертификации и аттестации.

Сертификация — деятельность по подтверждению соответствия СЗИ требованиям безопасности информации. Требования определяются государственными стандартами или иными нормативными документами.

Аттестация — это комплекс организационно-технических мероприятий, в результате которых подтверждается, что ОИ соответствует требованиям стандартов или иных нормативных документов по безопасности информации.

Законодательная база сертификации средств защиты информации в Российской Федерации

1. Закон Российской Федерации 1993 года № 5076-1 «О защите прав потребителей».

2. Федеральный закон от 27 декабря 2002г. № 184-ФЗ «О техническом регулировании».

3. Закон Российской Федерации 21 июля 1993г. № 5485-1 «О государственной тайне».

4. Федеральный Закон от 27 июля 2006г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».

5. Постановление Правительства Российской Федерации от 26 июня 1995г. №608 «О сертификации средств защиты информации».

Организационные документы системы сертификации средств защиты информации ФСТЭК России

1. Положение о сертификации средств защиты информации по требованиям безопасности информации.

2. Положение об аккредитации испытательных лабораторий по сертификации средств защиты информации по требованиям безопасности информации.

3. Положение по аттестации объектов информатизации по требованиям безопасности информации.

Схемы сертификации могут быть различными: для единичных продуктов, для партии продукции, для серийного производства.

Средства защиты информации, подлежащие сертификации в системе сертификации ФСТЭК России

Сертификации в системе сертификации ФСТЭК России подлежат:

• средства противодействия иностранным техническим разведкам, а также средства контроля эффективности противодействия иностранным техническим разведкам;

• средства технической защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности технической защиты информации;

• средства обеспечения безопасности информационных технологий, включая защищенные средства обработки информации.

(п.3 Положения о системе сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. № 55).

По окончании срока действия сертификата соответствия заявитель вправе подать заявку на продление срока действия сертификата соответствия. Средство защиты информации может применяться по окончании срока действия сертификата соответствия при условии соблюдения требований по безопасности информации и осуществления заявителем его технической поддержки.

(п.15 Положения о системе сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. № 55).

Требования о необходимости применения сертифицированных средств защиты информации вытекают из пункта 8 статьи 14 Федерального закона «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ:

«Технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании».

В соответствии с пунктом 3 статьи 7 Федерального закона «О техническом регулировании» от 27 декабря 2002 г. № 184-ФЗ оценка соответствия проводится в формах государственного контроля (надзора), испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме.

Кроме того, согласно пункта 3 статьи 19 Федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ обеспечение безопасности персональных данных достигается применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

На интернет-портале Федеральной службы по техническому и экспортному контролю (ФСТЭК России) разделе «Реестр сертифицированных средств защиты информации» на сегодняшний день представлено свыше 1400 сертифицированных средств защиты.

Срок действия сертификата соответствия

Согласно пункту 8 «Положения о сертификации средств защиты информации», утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608, срок действия сертификата не может превышать пяти лет.

Пункт 3.4.1. «Положения о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия», утвержденного приказом ФСБ России от 13 ноября 1999 г. № 564 также устанавливает срок действия сертификата не более чем на пять лет.

Согласно Пункт 14. «Положения о системе сертификации средств защиты информации», утвержденного приказом ФСТЭК России от 3 апреля 2018 г. № 55, срок действия сертификата соответствия также не может превышать пять лет.

Средство защиты информации может применяться по окончании срока действия сертификата соответствия при условии соблюдения требований по безопасности информации и осуществления заявителем его технической поддержки.

При выборе средств защиты информации следует обращать внимание на Требования к средствам защиты информации от утечки по техническим каналам:

Требования к средствам активной защиты информации от утечки по каналам ПЭМИН с изменениями , утвержденными приказом ФСТЭК России от 05.02.2016 № 04. Утверждены приказом ФСТЭК России от 04.02.2015 № 033 – применяются с 01.04.2015 (зарегистрирован Минюстом России – рег. № 35057 от 02.12.2014);

Требования к средствам активной акустической и вибрационной защиты акустической речевой информации. Утверждены приказом ФСТЭК России от 04.02.2015 № 03 – применяются с 01.07.2015 (зарегистрирован Минюстом России – рег. № 36492 от 20.03.2015);

Требования к ПЭВМ защищенным от утечки информации по каналам ПЭМИН;

Требования к пассивным средствам защиты информации за счет побочных электромагнитных наводок на линии электропитания. Утверждены Приказом ФСТЭК России от 31.09.2015 № 036 – применяются с 01.06.2016 (зарегистрирован Минюстом России – рег. № 39504 от 28.10.2015);

Требования к средствам защиты информации от утечки за счет микрофонного эффекта (планируются к утверждению в 2018 году).

Средства активной защиты от утечки по каналам ПЭМИН:

• Тип «А» – Средства активной защиты информации от утечки за счет побочных электромагнитных излучений;

• Тип «Б» – Средства активной защиты информации от утечки за счет наводок информативного сигнала на проводники, в том числе на цепи заземления и электропитания, токопроводящие линии и инженерно-технические коммуникации, выходящие за пределы контролируемой зоны.

Оба средства предназначены для защиты информации категорий: совершенно секретно, секретно, особой важности и конфиденциальной информации.

Средства активной акустической и вибрационной защиты акустической речевой информации:

• Тип «А» – Средства акустической и вибрационной защиты информации с центральным генераторным блоком и подключаемыми к нему по линиям связи пассивными (не содержащими в своей конструкции индивидуальные задающие источники шума, требующие электропитания) преобразователями;

• Тип «Б» – Средства акустической и вибрационной защиты информации с активными (содержащими в своей конструкции индивидуальные задающие источники шума преобразователями, питаемыми по линиям вторичного электропитания от центрального блока питания.

Категории защищаемой информации: совершенно секретно, секретно, особой важности и конфиденциальная информация, так же как и у пассивных средств защиты информации за счет побочных электромагнитных наводок на линии электропитания.

Требования к средствам защиты информации от утечки за счет несанкционированного доступа

1. Требования к средствам обнаружения вторжений – утверждены приказом ФСТЭК России от 6 декабря 2011 года №638 – содержит 12 методических документов, содержащих профили защиты систем обнаружения вторжений.

2. Требования к средствам антивирусной защиты — утверждены приказом ФСТЭК России от 20 марта 2012 года №28 –24 методических документов, содержащих профили защиты средств антивирусной защиты.

3. Требования к средствам доверенной загрузки — утверждены приказом ФСТЭК России от 27 сентября 2013 года №119 – содержит 10 методических документов, содержащих профили защиты средств доверенной загрузки.

4. Требования к средствам контроля съемных машинных носителей информации — утверждены приказом ФСТЭК России от 28 июля 2014 года №87 – содержит 10 методических документов, содержащих профили защиты средств контроля съемных МНИ.

5. Требования к межсетевым экранам — утверждены приказом ФСТЭК России от 9 февраля 2016 года №9 – содержит 24 методических документа, содержащих профили защиты межсетевых экранов.

6. Требования безопасности информации к операционным системам — утверждены приказом ФСТЭК России от 19 августа 2016 года №119 – содержит 18 методических документов, содержащих профили защиты операционных систем.

Требования к средствам защиты информации и схемы защиты различаются в зависимости от типа (вида) средств защиты, например, требования к системам обнаружения вторжений отличаются в зависимости от того, какая система обнаружения реализуется: уровня узла или уровня сети.

Требования к средствам антивирусной защиты делятся на четыре группы:

• Тип «А» — администрирование;

• Тип «Б» — сервера;

• Тип «В» — сетевые АРМ;

• Тип «Г» — автономные АРМ.

Требования к средствам контроля съемных машинных носителей информации различны для средств контроля подключения СМНИ и средств контроля отчуждения (переноса).

Требования к средствам доверенной загрузки различаются в зависимости от уровня загрузки:

• Уровень базовой системы ввода-вывода (BIOS);

• Уровень загрузочной записи;

• Уровень платы расширения.

Требования к межсетевым экранам устанавливают 5 типов межсетевых экранов:

• Типа А — уровня сети;

• Типа Б — уровня логических границ сети;

• Типа В — уровня узла;

• Типа Г — уровня веб-сервера;

• Типа Д — уровня промышленной сети (АСУ ТП).

С 1 декабря 2016 г. в системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 сертификация разработанных и (или) производимых межсетевых экранов осуществляется на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. № 9.

Допускается применение межсетевых экранов, сертифицированных на соответствие РД МЭ (при условии наличия действующих сертификатов соответствия требованиям по безопасности информации) в информационных (автоматизированных) системах, созданных до вступления в силу соответствующих изменений в Требования о защите информации, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17, Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. № 21.

Аттестация информационных (автоматизированных) систем после вступления в силу соответствующих изменений в Требования о защите информации, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17, Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. № 21, возможна только в случае применения в них межсетевых экранов, сертифицированных на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. № 9.

Требования безопасности информации к операционным системам устанавливают 3 типа операционных систем:

• Тип А — общего назначения;

• Тип Б – встраиваемая операционная система;

• Тип В — операционная система реального времени.

Операционные системы типа «А» устанавливаются на серверы, рабочие станции, телефоны, смартфоны.

Операционные системы типа «Б» характеризует:

• Компактность;

• Фиксированность состава решаемых задач;

• Сложность модификации;

• Отсутствие пользовательского интерфейса;

• Исполнение в различных аппаратных средах;

Операционные системы типа «Б» используются в сим-картах мобильных операторов и банковских картах.

Операционные системы типа «В» характеризует:

• Повышенные требования к отказоустойчивости и надежности;

• Приоритизация процессов;

• Выполнение определенных процессов строго в установленный интервал времени;

• Модульная архитектура;

• Повышенные требования к корректности архитектуры и реализации;

• Верификация модели и реализации.

Операционные системы типа «В» используются в системах промышленной автоматики, станках с ЧПУ и др.

Требования к средствам защиты информации предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации , заявителей на осуществление сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям безопасности информации.

Требования к средствам защиты информации от утечки за счет несанкционированного доступа

Готовы к утверждению и готовятся:

1. Требования к системам управления базами данных

2. Требования к средствам управления потоками информации

3. Требования к средствам идентификации и аутентификации;

4. Требования к средствам управления доступом;

5. Требования к средствам от несанкционированного вывода (ввода) информации (DLP-системам);

6. Требования к средствам контроля и анализа защищенности;

7. Требования к средствам мониторинга событий безопасности (SIEM);

8. Требования к средствам защиты среды виртуализации;

9. Требования к базовым системам ввода-вывода (BIOS).

Контроль отсутствия недекларированных возможностей в средствах защиты информации от утечки за счет несанкционированного доступа, сертифицированных на соответствие новым требованиям к СЗИ

Для программного обеспечения, используемого для защиты информации, отнесенной к государственной тайне, должен быть обеспечен уровень контроля не ниже:

• Первого для СЗИ, используемых для защиты информации с грифом «ОВ»;

• Второго для СЗИ, используемых для защиты информации с грифом «CC»;

• Третьего для СЗИ, используемые для защиты информации с грифом «C».

Для программного обеспечения, используемого для защиты конфиденциальной информации, должен быть обеспечен уровень контроля не ниже:

• Четвертого для СЗИ, используемых для защиты информации в государственных и муниципальных информационных системах 1 и 2 классов;

• Четвертого для СЗИ, используемых для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых актуальны угрозы 2-го типа.

Например, для средства защиты информации от несанкционированного доступа «Блокхост-сеть К»: «Настоящий сертификат удостоверяет, что средство защиты информации от несанкционированного доступа «Блокхост-сеть К» является программно-техническим средством защиты от несанкционированного доступа к информации и соответствует требованиям руководящих документов «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России. 1992) — по 3 классу защищенности, «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларированных возможностей» (Гостехкомиссия России. 1999) – по 2 уровню контроля».

В тоже время, сертификат соответствия № 3025 на программное изделие Kaspersky Endpoint Security 10 для Windows на соответствие требованиям к САВЗ 3 класса и сертификат соответствия № 3285 на программно-аппаратный комплекс ViPNet IDS 2.0 на соответствие требованиям к СОВ 4 класса не содержат информации про контроль отсутствия недекларированных возможностей.

Требования по контролю отсутствия недекларированных возможностей, конкретизированы в самих профилях защиты на средства защиты информации.

Для СЗИ 1 класса обеспечивается уровень контроля отсутствия НДВ, требуемый для защиты информации с грифом «ОВ»;

Для СЗИ 2 класса обеспечивается уровень контроля отсутствия НДВ, требуемый для защиты информации с грифом «СС»;

Для СЗИ 3 класса обеспечивается уровень контроля отсутствия НДВ, требуемый для защиты информации с грифом «С»;

Для СЗИ 4 класса обеспечивается уровень контроля отсутствия НДВ, достаточный для защиты конфиденциальной информации.

Требования по контролю отсутствия недекларированных возможностей к средствам защиты информации 5 и 6 классов не предъявляются.

Контроль отсутствия недекларированных возможностей в настоящее время ведется по руководящему документу ФСТЭК России. «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», утвержденному решением председателя Государственной технической комиссии при Президенте Российской Федерации 4 июня 1999 г. № 114. В ближайшее время ожидается принятие его «наследника»- Методики анализа уязвимостей и недекларированных возможностей программного обеспечения.

Порядок обновления сертифицированных средств защиты информации

1. Установка обновлений программного обеспечения средств защиты информации, выпускаемых разработчиками (производителями) средств защиты информации или по их поручению.

2. Получение обновления средства защиты информации.

3. Получение изменений в документацию на средство защиты информации (формуляр, паспорт, инструкции по эксплуатации).

4. При получении обновлений в виде отличном от оригинального дистрибутива (интернет, корпоративные сети, иные открытые сети и т.д.) обязательно проведение процедуры верификации (проверки контрольных сумм).

5. Внесение изменений в организационно-распорядительную документацию.

6. Установка обновления сертифицированного средства защиты информации.

Обновление версии СЗИ в рамках одного сертификата не является основанием для повторной аттестации.

Статьей 13.12 Кодекса об административных правонарушениях установлена ответственность за нарушение правил защиты информации:

Часть 2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну) – влечет наложение административного штрафа:

на граждан – в размере от 1,5 до 2,5 тысяч рублей;

на должностных лиц – от 2,5 до 3 тысяч рублей;

на юридических лиц — от 20 до 25 тысяч рублей.

Часть 4. Использование несертифицированных средств защиты информации , предназначенных для защиты информации, составляющей государственную тайну – влечет наложение административного штрафа:

на должностных лиц – от 3 до 4 тысяч рублей;

на юридических лиц — от 20 до 30 тысяч рублей.

Продление срока действия сертификата СЗИ

Вопрос продления срока действия сертификата регулируется информационным сообщением ФСТЭК России по вопросу продления сроков действия сертификатов соответствия на средства защиты информации, эксплуатируемые на объектах информатизации от 23 января 2015 г. № 240/24/223. В информационном сообщении устанавливается порядок продления сертификата соответствия на СЗИ, эксплуатирующими организациями и образец заявки на продление сертификата соответствия.

В соответствии с постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации» и Положением о сертификации средств защиты информации по требованиям безопасности информации, утвержденным приказом Гостехкомиссии России от 27 октября 1995 г. № 199, на отдельные экземпляры средств защиты информации, эксплуатируемые на объекте (объектах) информатизации, продление сроков действия сертификатов соответствия может быть обеспечено организацией, эксплуатирующей данные средства защиты, и проведено по упрощенной схеме.

Заявитель на сертификацию средства защиты информации не позднее, чем за 3 месяца до окончания срока действия сертификата соответствия принимает решение о продлении или об отказе в продлении срока действия сертификата соответствия и информирует организации, эксплуатирующие данное средство защиты информации, о принятом решении любым доступным способом, в том числе через официальный сайт заявителя в сети Интернет.

Организация, эксплуатирующая средство защиты информации, до окончания срока действия сертификата соответствия может в инициативном порядке обратиться к заявителю для получения информации о принятом заявителем решении. В случае отказа заявителя в продлении срока действия сертификата соответствия организация, эксплуатирующая средство защиты информации, самостоятельно организует продление срока действия данного сертификата соответствия.

Условия продления срока действия сертификата СЗИ

• средство защиты информации функционирует с требуемой эффективностью;

• в организации имеется в наличии эксплуатационная документация на СЗИ;

• в организации имеется в наличии эксплуатационная документация на СЗИ;

• своевременно проведен ежегодный контроль соответствия требованиям безопасности информации системы защиты информации объекта информатизации, в состав которой входит средство защиты информации.

Для продления срока действия сертификата соответствия организация, эксплуатирующая средство защиты информации, заблаговременно направляет в ФСТЭК России заявку на продление срока действия сертификата соответствия (образец заявки прилагается).

В заявке указывается: дата выдачи и номер сертификата, наименование продукции, на которую выдан сертификат, кем и когда оформлен протокол испытаний. В протоколе испытаний содержатся общие сведения об объекте контроля, сведения о проверке подсистем средства защиты информации, о подсчете контрольных сумм, делаются выводы о проведенном контроле.

В разделе «Общие сведения» приводится описание объекта контроля, где установлено средство ЗИ, назначение объекта, вид и метод контроля, цель контроля, класс защищенности от НСД, применяемые нормативные и руководящие документы.

Информация о средствах защиты от НСД, применяемых на объекте контроля оформляется в виде таблицы:

Наименование	Заводской номер	Знак соответствия	Номер сертификата соответствия	Срок действия сертификата соответствия
Secret Net 7 (пример)

Фиксация и контроль целостности информации и подсчет контрольных сумм производится при помощи специальных программ, сертифицированных ФСТЭК России.

Примеры программ:

Наименование средства	Сертификат соответствия	Назначение средства
«ФИКС» (версия 2.0.1)	№ 913 (действителен до 01.06.2019)	Программа фиксации и контроля исходного состояния программного комплекса – по 3 уровню НДВ
«Трафарет»	№ 1363 (действителен до 06.04.2019)	Программа фиксации и контроля исходного состояния программных комплексов – по 2 уровню контроля по НДВ
«ФИКС» (версия 2.0.2)	№ 1548 (действителен до 15.01.2017)	Программа фиксации и контроля исходного состояния программного комплекса – по 2 уровню НДВ
«Трафарет 2.0»	№ 2031 (действителен до 03.02.2019)	Программа фиксации и контроля исходного состояния программных комплексов – по 2 уровню контроля по НДВ

21.04.2017 ФСТЭК России опубликован новый «Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79».

Использование контрольно-измерительного и испытательного оборудования с определенными техническими характеристиками и параметрами является обязательным лицензионным условием для выполнения отдельных видов работ по технической защите конфиденциальной информации. Перечень включает наименования, технические характеристики, виды работ и услуг, в которых применяется оборудование. Из перечня убраны средства, которые в явном виде не нужны для оказания услуг по мониторингу: средства контроля целостности, средства тестирования на проникновение, межсетевые экраны и, в частности, WAF, АВЗ, средства обнаружения вторжения.

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ

от 3 февраля 2012 г. N 79

О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

Список изменяющих документов

(в ред. Постановления Правительства РФ от 15.06.2016 N 541)

В соответствии с Федеральным законом «О лицензировании отдельных видов деятельности» Правительство Российской Федерации постановляет:

1. Утвердить прилагаемое Положение о лицензировании деятельности по технической защите конфиденциальной информации.

2. Признать утратившими силу:

постановление Правительства Российской Федерации от 15 августа 2006 г. N 504 «О лицензировании деятельности по технической защите конфиденциальной информации» (Собрание законодательства Российской Федерации, 2006, N 34, ст. 3691);

пункт 18 изменений, которые вносятся в акты Правительства Российской Федерации по вопросам государственного контроля (надзора), утвержденных постановлением Правительства Российской Федерации от 21 апреля 2010 г. N 268 (Собрание законодательства Российской Федерации, 2010, N 19, ст. 2316);

пункт 20 изменений, которые вносятся в постановления Правительства Российской Федерации по вопросам государственной пошлины, утвержденных постановлением Правительства Российской Федерации от 24 сентября 2010 г. N 749 (Собрание законодательства Российской Федерации, 2010, N 40, ст. 5076).

Председатель Правительства

Российской Федерации

В.ПУТИН

Утверждено

постановлением Правительства

Российской Федерации

от 3 февраля 2012 г. N 79

ПОЛОЖЕНИЕ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

Список изменяющих документов

(в ред. Постановления Правительства РФ от 15.06.2016 N 541)

1. Настоящее Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации), осуществляемой юридическими лицами и индивидуальными предпринимателями.

2. Под технической защитой конфиденциальной информации понимается выполнение работ и (или) оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

3. Лицензирование деятельности по технической защите конфиденциальной информации (далее — лицензируемый вид деятельности) осуществляет Федеральная служба по техническому и экспортному контролю (далее — лицензирующий орган).

4. При осуществлении лицензируемого вида деятельности лицензированию подлежат:

а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:

в средствах и системах информатизации;

в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;

в помещениях со средствами (системами), подлежащими защите;

в помещениях, предназначенных для ведения конфиденциальных переговоров (далее — защищаемые помещения);

б) услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;

в) услуги по мониторингу информационной безопасности средств и систем информатизации;

г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:

средств и систем информатизации;

помещений со средствами (системами) информатизации, подлежащими защите;

защищаемых помещений;

д) работы и услуги по проектированию в защищенном исполнении:

средств и систем информатизации;

помещений со средствами (системами) информатизации, подлежащими защите;

защищаемых помещений;

е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля эффективности защиты информации).

(п. 4 в ред. Постановления Правительства РФ от 15.06.2016 N 541)

5. Лицензионными требованиями, предъявляемыми к соискателю лицензии на осуществление лицензируемого вида деятельности (далее — лицензия), являются:

а) наличие у соискателя лицензии:

юридического лица — в штате по основному месту работы в соответствии со штатным расписанием руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица, имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения — не менее 360 аудиторных часов), а также инженерно-технических работников (не менее 2 человек), имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения — не менее 360 аудиторных часов);

индивидуального предпринимателя — высшего образования по направлению подготовки (специальности) в области информационной безопасности и стажа работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или высшего образования по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стажа работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или иного высшего образования и стажа работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, а также дополнительного профессионального образования по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения — не менее 360 аудиторных часов);

б) наличие помещений, принадлежащих соискателю лицензии на праве собственности или ином законном основании, в которых созданы необходимые условия для размещения работников, производственного и испытательного оборудования для осуществления лицензируемого вида деятельности, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну;

в) наличие принадлежащего соискателю лицензии на праве собственности или ином законном основании оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе:

измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку);

программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;

г) наличие принадлежащих соискателю лицензии на праве собственности или ином законном основании автоматизированных систем, предназначенных для обработки конфиденциальной информации, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

д) наличие технической и технологической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем. Документы, содержащие информацию ограниченного доступа, должны быть получены в установленном законодательством Российской Федерации порядке.

(п. 5 в ред. Постановления Правительства РФ от 15.06.2016 N 541)

6. Лицензионными требованиями, предъявляемыми к лицензиату при осуществлении лицензируемого вида деятельности, являются:

а) выполнение работ и (или) оказание услуг лицензиатом:

юридическим лицом — с привлечением находящихся в штате лицензиата по основному месту работы в соответствии со штатным расписанием руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица, имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения — не менее 360 аудиторных часов), а также инженерно-технических работников (не менее 2 человек), имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения — не менее 360 аудиторных часов);

индивидуальным предпринимателем, имеющим высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, прошедшим обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения — не менее 360 аудиторных часов);

б) повышение квалификации по лицензируемому виду деятельности лиц, указанных в подпункте «а» настоящего пункта, не реже одного раза в 5 лет;

в) наличие помещений, принадлежащих лицензиату на праве собственности или ином законном основании, в которых созданы необходимые условия для размещения работников, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, и размещено (установлено) производственное и испытательное оборудование, необходимое для осуществления лицензируемого вида деятельности;

г) использование принадлежащего лицензиату на праве собственности или ином законном основании оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе:

измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку);

программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;

д) использование принадлежащих лицензиату на праве собственности или ином законном основании автоматизированных систем, предназначенных для обработки конфиденциальной информации, а также средств защиты такой информации, прошедших процедуру оценки соответствия, аттестованных и (или) сертифицированных по требованиям безопасности информации, в соответствии с законодательством Российской Федерации;

е) наличие технической и технологической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем. Документы, содержащие информацию ограниченного доступа, должны быть получены в установленном законодательством Российской Федерации порядке.

(п. 6 в ред. Постановления Правительства РФ от 15.06.2016 N 541)

7. Под грубым нарушением лицензионных требований понимается невыполнение лицензиатом требований, предусмотренных подпунктами «а», «в» и «г» пункта 6 настоящего Положения, повлекшее за собой последствия, предусмотренные частью 11 статьи 19 Федерального закона «О лицензировании отдельных видов деятельности».

(в ред. Постановления Правительства РФ от 15.06.2016 N 541)

8. Для получения лицензии соискатель лицензии направляет или представляет в лицензирующий орган следующие документы:

а) заявление о предоставлении лицензии, документы (копии документов), предусмотренные пунктами 1, 3 и 4 части 3 статьи 13 Федерального закона «О лицензировании отдельных видов деятельности»;

б) копии документов, подтверждающих квалификацию специалистов по защите информации (дипломов, удостоверений, свидетельств);

в) копии правоустанавливающих документов на помещения, предназначенные для осуществления лицензируемого вида деятельности, права на которые не зарегистрированы в Едином государственном реестре прав на недвижимое имущество и сделок с ним (в случае, если такие права зарегистрированы в указанном реестре, — сведения об этих помещениях);

г) копии технических паспортов и аттестатов соответствия защищаемых помещений требованиям безопасности информации;

д) копии технических паспортов автоматизированных систем, предназначенных для хранения и обработки конфиденциальной информации (с приложениями), актов классификации автоматизированных систем по требованиям безопасности информации, планов размещения основных и вспомогательных технических средств и систем, аттестатов соответствия автоматизированных систем требованиям безопасности информации или сертификатов соответствия автоматизированных систем требованиям безопасности информации, а также перечень защищаемых в автоматизированных системах ресурсов, описание технологического процесса обработки информации в автоматизированных системах;

е) копии документов, подтверждающих право соискателя лицензии на программы для электронно-вычислительных машин и базы данных, планируемые к использованию при осуществлении лицензируемого вида деятельности;

ж) документы, содержащие сведения о наличии контрольно-измерительного, производственного и испытательного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемого вида деятельности, с приложением копий документов о поверке (калибровке) и маркировании контрольно-измерительного оборудования, а также документов, подтверждающих права соискателя лицензии на использование указанного оборудования, средств защиты информации и средств контроля защищенности информации;

з) документы, содержащие сведения об имеющихся технической и технологической документации, национальных стандартах и методических документах, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, с приложением копий документов, подтверждающих, что документы, содержащие информацию ограниченного доступа, получены в установленном законодательством Российской Федерации порядке;

(в ред. Постановления Правительства РФ от 15.06.2016 N 541)

и) копии документов, подтверждающих наличие необходимой системы производственного контроля в соответствии с установленными стандартами (при выполнении работ, указанных в подпункте «в» пункта 4 настоящего Положения).

10. При намерении лицензиата выполнять новые работы и (или) оказывать новые услуги, подлежащие лицензированию в соответствии с пунктом 4 настоящего Положения, в заявлении о переоформлении лицензии указываются сведения о работах (услугах), которые лицензиат намерен выполнять (оказывать), а также следующие сведения, подтверждающие соответствие лицензиата лицензионным требованиям, установленным пунктом 6 настоящего Положения:

а) сведения, подтверждающие квалификацию специалистов по защите информации (с указанием реквизитов дипломов, удостоверений, свидетельств);

б) сведения, подтверждающие наличие аттестованных по требованиям безопасности информации защищаемых помещений;

в) сведения, подтверждающие наличие аттестованных по требованиям безопасности информации автоматизированных систем, предназначенных для хранения и обработки конфиденциальной информации, сведения о защищаемых в автоматизированных системах ресурсах;

г) утратил силу. — Постановление Правительства РФ от 15.06.2016 N 541;

д) сведения, подтверждающие наличие на праве собственности или ином законном основании оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе:

измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку);

программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;

(пп. «д» в ред. Постановления Правительства РФ от 15.06.2016 N 541)

е) сведения об имеющихся технической и технологической документации, национальных стандартах и методических документах, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения;

(в ред. Постановления Правительства РФ от 15.06.2016 N 541)

ж) утратил силу. — Постановление Правительства РФ от 15.06.2016 N 541.

11. При намерении лицензиата осуществлять лицензируемый вид деятельности по адресу места его осуществления, не указанному в лицензии, в заявлении о переоформлении лицензии указываются этот адрес и следующие сведения, подтверждающие соответствие лицензиата лицензионным требованиям, установленным пунктом 6 настоящего Положения:

а) сведения, подтверждающие наличие помещений, предназначенных для осуществления лицензируемого вида деятельности, права на которые не зарегистрированы в Едином государственном реестре прав на недвижимое имущество и сделок с ним;

б) сведения, подтверждающие наличие аттестованных по требованиям безопасности информации защищаемых помещений;

в) сведения, подтверждающие наличие аттестованных по требованиям безопасности информации автоматизированных систем, предназначенных для хранения и обработки конфиденциальной информации, и сведения о защищаемых в автоматизированных системах ресурсах;

г) сведения, подтверждающие наличие на праве собственности или ином законном основании оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе:

измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку);

программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;

(пп. «г» в ред. Постановления Правительства РФ от 15.06.2016 N 541)

д) утратил силу. — Постановление Правительства РФ от 15.06.2016 N 541.

12. Представление соискателем лицензии заявления и документов, необходимых для получения лицензии, их прием лицензирующим органом, принятие лицензирующим органом решений о предоставлении лицензии (об отказе в предоставлении лицензии), переоформлении лицензии (об отказе в переоформлении лицензии), приостановлении, возобновлении, прекращении действия лицензии, а также ведение реестра лицензий и предоставление сведений, содержащихся в реестре лицензий, выдача дубликатов и копий лицензий осуществляются в порядке, установленном Федеральным законом «О лицензировании отдельных видов деятельности».

13. При проведении проверки сведений, содержащихся в представленных соискателем лицензии (лицензиатом) документах, лицензирующий орган запрашивает необходимые для предоставления государственных услуг в области лицензирования сведения, находящиеся в распоряжении органов, предоставляющих государственные и муниципальные услуги, иных государственных органов, органов местного самоуправления либо подведомственных им организаций, в порядке, установленном Федеральным законом «Об организации предоставления государственных и муниципальных услуг».

14. Лицензионный контроль осуществляется лицензирующим органом в соответствии с Федеральным законом «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» и статьей 19 Федерального закона «О лицензировании отдельных видов деятельности».