Дата принятия: 30.04.2002

ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ
№290
30 апреля 2002 г.
г. Москва

«О лицензировании деятельности по технической защите конфиденциальной информации»

В соответствии с Федеральным законом «О лицензировании отдельных видов деятельности» Правительство Российской Федерации постановляет:
Утвердить прилагаемое Положение о лицензировании деятельности по технической защите конфиденциальной информации.

Председатель Правительства
Российской Федерации
М. КАСЬЯНОВ

УТВЕРЖДЕНО
Постановлением Правительства
Российской Федерации от 30 апреля 2002 г. №290

Положение о лицензировании деятельности по технической защите конфиденциальной информации
  1. Настоящее Положение определяет порядок лицензирования деятельности юридических лиц и индивидуальных предпринимателей по технической защите конфиденциальной информации.

    В настоящем Положении под объектами лицензирования понимаются хозяйствующие субъекты всех правовых форм существования определенных ГК и другими правовыми актами РФ. При этом подразумевается, что лицензированию подлежит только деятельность по технической защите информации, то есть использование технических (аппаратных или программных) средств защиты информации.

  2. Конфиденциальной является информация, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничен в соответствии с законодательством Российской Федерации. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по защите ее от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на нее в целях уничтожения, искажения или блокирования доступа к ней.

    Перечень сведений, относимых к конфиденциальной информации, определяется Законом РФ «Об информации, информатизации и защите информации», а также указом президента № 188 от 6-го марта 1997 года «Об утверждении перечня сведений конфиденциального характера».

    К такому перечню относятся сведения:

    • о фактах, событиях, обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральным законом случаях;
    • составляющие тайну следствия и судопроизводства;
    • служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Конституцией РФ и федеральными законами (служебная тайна);
    • связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее);
    • связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и федеральными законами (коммерческая тайна);
    • о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
  3. Лицензирование деятельности по технической защите конфиденциальной информации осуществляет Государственная техническая комиссия при Президенте Российской Федерации (далее именуется — лицензирующий орган).
  4. Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:
    1. осуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование по специальности «компьютерная безопасность», «комплексное обеспечение информационной безопасности автоматизированных систем» или «информационная безопасность телекоммуникационных систем», либо специалистами, прошедшими переподготовку по вопросам защиты информации;

      Согласно общему перечню специальностей высшего профессионального образования существует шесть специальностей в направлении защиты информации. Настоящее Постановление предписывает обязательное наличие одной из трех вышеуказанных специальностей высшего профессионального образования, но конкретные специальности переподготовки не оговорены. Переподготовка по вопросам защиты информации позволяет получить новую квалификацию в рамках существующего диплома о высшем образовании. При этом Постановление позволяет пройти переподготовку по ЛЮБОЙ программе в области защиты информации.

    2. соответствие производственных помещений, производственного и контрольно-измерительного оборудования техническим нормам и требованиям, установленным государственными стандартами Российской Федерации, руководящими и нормативно-методическими документами, утвержденными приказами Государственной технической комиссии при Президенте Российской Федерации, которые зарегистрированы в Министерстве юстиции Российской Федерации;

      Требования данного пункта подразумевают обязательную аттестацию объектов и помещений, где обрабатывается конфиденциальная информация на соответствие СТРК (Специальные требования и рекомендации по технической защите конфиденциальной информации). Для проведения аттестации необходимо обратиться в региональное управление Государственной технической комиссии при Президенте Российской Федерации либо в организацию, имеющую Лицензию и Аттестат аккредитации Гостехкомиссии РФ как органа, уполномоченного на право проведения аттестаций.

    3. использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации;

      Требования данного пункта подразумевают использование только сертифицированных средств при построении защищенных автоматизированных систем, а также построение данной системы на основании действующих ГОСТов и Руководящих документов Государственной технической комиссии при Президенте Российской Федерации.

    4. использование третьими лицами программ для электронно — вычислительных машин или баз данных на основании договора с их правообладателем.

      Требования данного пункта подразумевают наличие договора купли-продажи, аренды и прочих законных оснований приобретения и использования программного обеспечения.

    5. Для получения лицензии соискатель лицензии представляет в лицензирующий орган следующие документы:
      • заявление о выдаче лицензии с указанием: наименования, организационно-правовой формы и места нахождения — для юридического лица; фамилии, имени, отчества, места жительства, данных документа, удостоверяющего личность, — для индивидуального предпринимателя;
      • копии учредительных документов и свидетельства о государственной регистрации соискателя лицензии — юридического лица;
      • копия свидетельства о государственной регистрации соискателя лицензии — индивидуального предпринимателя;
      • копия свидетельства о постановке соискателя лицензии на учет в налоговом органе с указанием идентификационного номера налогоплательщика;
      • документ, подтверждающий уплату лицензионного сбора за рассмотрение заявления о выдаче лицензии;
      • сведения о квалификации специалистов по защите информации соискателя лицензии. Если копии документов не заверены нотариально, вместе с копиями предъявляются оригиналы.
    6. При предоставлении лицензии лицензирующий орган имеет право провести проверку соответствия соискателя лицензии указанным в пункте 4 настоящего Положения лицензионным требованиям и условиям, а также запросить у соискателя лицензии сведения, подтверждающие возможность соблюдения таких требований и условий.
    7. Лицензирующий орган в срок, не превышающий шестидесяти дней с даты получения документов, предусмотренных пунктом 5 настоящего Положения, принимает решение о выдаче или об отказе в выдаче лицензии и направляет (вручает) соискателю лицензии уведомление о выдаче лицензии либо об отказе в выдаче лицензии с указанием причин отказа.
    8. Срок действия лицензии составляет пять лет и может быть продлен по заявлению лицензиата в порядке, предусмотренном для переоформления лицензии. Переоформление лицензии осуществляется в течение десяти дней со дня получения лицензирующим органом соответствующего заявления.
    9. Лицензирующий орган ведет реестр лицензий, в котором указываются:
      • наименование лицензирующего органа;
      • наименование, организационно-правовая форма, место нахождения юридического лица, фамилия, имя, отчество, место жительства индивидуального предпринимателя, а также данные документа, удостоверяющего его личность;
      • идентификационный номер налогоплательщика;
      • код лицензиата по Общероссийскому классификатору предприятий и организаций;
      • лицензируемая деятельность;
      • срок действия лицензии;
      • дата принятия решения о выдаче лицензии;
      • номер лицензии и дата ее выдачи;
      • сведения о регистрации лицензии в реестре;
      • основания и даты приостановления и возобновления действия лицензии;
      • основания и сроки продления лицензии;
      • основание и дата аннулирования лицензии.
    10. Контроль за выполнением лицензиатом лицензионных требований и условий осуществляется лицензирующим органом. Плановая проверка выполнения лицензиатом лицензионных требований и условий проводится не чаще одного раза в год. Деятельность лицензиата, при проведении плановой проверки которой выявлены нарушения лицензионных требований и условий, подлежит внеплановой проверке, предметом которой является контроль исполнения предписаний об устранении выявленных нарушений. Внеплановая проверка выполнения лицензиатом лицензионных требований и условий проводится лицензирующим органом также в случае: получения информации от юридических лиц, индивидуальных предпринимателей, органов государственной власти о нарушении лицензиатом лицензионных требований и условий; обращения граждан, юридических лиц и индивидуальных предпринимателей с жалобами на нарушения их прав и законных интересов в связи с невыполнением лицензиатом лицензионных требований и условий, его бездействием, а также получения иной информации, подтверждаемой документами и другими доказательствами, свидетельствующими о наличии признаков таких нарушений. Продолжительность проверки выполнения лицензиатом лицензионных требований и условий не должна превышать одного месяца. По результатам проверки оформляется соответствующий акт. В акте указываются конкретные нарушения лицензионных требований и условий и устанавливается срок их устранения. Лицензиат в обязательном порядке знакомится с актом.
    11. Принятие решения о выдаче лицензии, переоформление, приостановление действия и аннулирование лицензии, а также взимание лицензионных сборов осуществляются в порядке, установленном Федеральным законом «О лицензировании отдельных видов деятельности» и настоящим Положением.
      • Настоящее Положение определяет порядок лицензирования деятельности юридических лиц и индивидуальных предпринимателей по разработке и (или) производству средств защиты конфиденциальной информации.
      • Лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации осуществляет Государственная техническая комиссия при Президенте Российской Федерации, а в части разработки и (или) производства средств защиты конфиденциальной информации, устанавливаемых на объектах Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации и Высшего Арбитражного Суда Российской Федерации, — Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (далее именуются — лицензирующие органы).
      • Лицензионными требованиями и условиями при осуществлении деятельности по разработке и (или) производству средств защиты конфиденциальной информации, отнесенных к компетенции Государственной технической комиссии при Президенте Российской Федерации, являются:
        • выполнение требований государственных стандартов Российской Федерации, конструкторской, программной и технологической документации, единой системы измерений, системы разработки и запуска в производство средств защиты конфиденциальной информации, а также иных нормативных правовых актов;
        • осуществление лицензируемой деятельности специалистами, имеющими высшее техническое образование или прошедшими профессиональную подготовку в области защиты информации;
        • соответствие производственного, испытательного, контрольно-измерительного оборудования и производственных помещений техническим нормам и требованиям, установленным государственными стандартами Российской Федерации и иными нормативными правовыми актами;
        • использование программ для электронно-вычислительных машин или баз данных третьими лицами (пользователями), осуществляемое на основании договора с правообладателем.
      • Лицензионными требованиями и условиями при осуществлении деятельности по разработке и (или) производству средств защиты конфиденциальной информации, отнесенных к компетенции Федерального агентства правительственной связи и информации при Президенте Российской Федерации, являются:
        • соблюдение нормативных правовых актов и стандартов Российской Федерации, относящихся к лицензируемой деятельности, нормативных и методических документов, регламентирующих осуществление лицензируемой деятельности;
        • соблюдение лицензиатом режима конфиденциальности при обращении со сведениями, которые ему доверены или стали известны по работе: обеспечение ограничения круга лиц, допущенных к конфиденциальной информации, установление порядка допуска лиц к работам, связанным с использованием конфиденциальной информации, организация обеспечения безопасности ее хранения, обработки и передачи по каналам связи и установление обладателем конфиденциальной информации требований к обеспечению безопасности этой информации;
        • наличие условий, предотвращающих несанкционированный доступ к средствам защиты конфиденциальной информации, обеспечивающих хранение нормативной и эксплуатационной документации, инсталляционных дискет и дистрибутивов программных и программно — аппаратных средств защиты конфиденциальной информации в металлических шкафах (хранилищах, сейфах), оборудованных внутренними замками, а также хранение дубликатов ключей от металлических шкафов (хранилищ, сейфов) и входных дверей в сейфе ответственного лица, назначенного руководством лицензиата;
        • соответствие помещений (производственная площадь, состояние помещений, обеспечиваемые в них условия) требованиям технической и технологической документации на оборудование, размещаемое в этих помещениях и используемое для осуществления лицензируемой деятельности;
        • соответствие производственного, технологического, испытательного и контрольно-измерительного оборудования требованиям, установленным государственными стандартами Российской Федерации и нормативными правовыми актами, относящимися к лицензируемой деятельности;
        • аттестование средств обработки информации, используемых для разработки средств защиты конфиденциальной информации, а также для автоматизированного учета в соответствии с требованиями по защите информации с использованием лицензионных программного обеспечения для электронно-вычислительных машин и баз данных;
        • выполнение требований государственных стандартов Российской Федерации, конструкторской, программной и технологической документации, единой системы измерений, системы разработки и запуска в производство средств защиты конфиденциальной информации, в соответствии с которыми конструкторская документация лицензиата имеет номер, зарегистрированный в государственном реестре разрабатывающих предприятий, а нормативные правовые акты по разработке, конструкторская документация и технические условия обеспечивают соответствие показателей продукции нормам и требованиям, установленным Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в пределах его компетенции;
        • наличие системы учета изменений, внесенных в техническую и конструкторскую документацию, и системы учета готовой продукции;
        • наличие у руководителя лицензиата и (или) уполномоченного им лица высшего образования и (или) профессиональной подготовки в области защиты информации с квалификацией «специалист по защите информации» и производственным стажем в области лицензируемой деятельности не менее 5 лет;
        • наличие у инженерно-технического персонала, осуществляющего работы в области лицензируемой деятельности, высшего образования и (или) профессиональной подготовки со специализацией, соответствующей выполняемым работам.
      • Для получения лицензии соискатель лицензии представляет в соответствующий лицензирующий орган следующие документы:
        • заявление о предоставлении лицензии с указанием:
          • лицензируемой деятельности;
          • наименования, организационно-правовой формы и места нахождения — для юридического лица;
          • фамилии, имени, отчества, места жительства, данных документа, удостоверяющего личность, — для индивидуального предпринимателя;
        • заверенные копии учредительных документов и свидетельства о государственной регистрации соискателя лицензии в качестве юридического лица;
        • заверенная копия свидетельства о государственной регистрации гражданина в качестве индивидуального предпринимателя;
        • заверенная копия свидетельства о постановке соискателя лицензии на учет в налоговом органе с указанием идентификационного номера налогоплательщика;
        • документ, подтверждающий уплату лицензионного сбора за рассмотрение лицензирующим органом заявления о предоставлении лицензии;
        • сведения о квалификации специалистов по разработке и (или) производству средств защиты конфиденциальной информации соискателя лицензии.

        Если копии документов не заверены нотариально, вместе с копиями предъявляются оригиналы.

      • Лицензирующий орган вправе запрашивать у соискателя лицензии подтверждение соответствия лицензируемой деятельности лицензионным требованиям и условиям.
      • Лицензирующий орган принимает решение о предоставлении или об отказе в предоставлении лицензии в течение 60 дней с даты получения от соискателя лицензии документов, предусмотренных пунктом 5 настоящего Положения, и направляет (вручает) соискателю лицензии документ о предоставлении лицензии либо уведомление об отказе в предоставлении лицензии с указанием причин отказа.

        В случае необходимости лицензирующий орган организует проведение проверки соискателя лицензии с целью определения достоверности сведений в представленных документах и их соответствия лицензионным требованиям и условиям.

      • Срок действия лицензии — 5 лет. По заявлению лицензиата он может быть продлен в порядке, предусмотренном для переоформления лицензии, в течение 10 дней с даты получения лицензирующим органом заявления.
      • Лицензирующий орган формирует и ведет реестр лицензий, в котором указываются:
        • наименование лицензирующего органа;
        • сведения о лицензиате:
          • наименование, организационно-правовая форма, место нахождения юридического лица;
          • фамилия, имя, отчество, место жительства, данные документа, удостоверяющего личность, индивидуального предпринимателя;
        • код лицензиата по Общероссийскому классификатору предприятий и организаций и идентификационный номер налогоплательщика;
        • лицензируемая деятельность;
        • срок действия лицензии;
        • номер лицензии;
        • дата принятия решения о предоставлении лицензии;
        • дата выдачи лицензии;
        • сведения о регистрации лицензии в реестре лицензий;
        • основания и даты приостановления и возобновления действия лицензии;
        • основания и сроки продления лицензии;
        • основание и дата аннулирования лицензии.
      • Контроль за выполнением лицензиатом лицензионных требований и условий осуществляется лицензирующим органом, выдавшим лицензию.
      • Проверка выполнения лицензиатом лицензионных требований и условий проводится в порядке, определяемом руководителем лицензирующего органа.

        Плановые проверки проводятся не чаще одного раза в год.

        В случае если в результате проверки выявлены нарушения лицензионных требований и условий, лицензиат подлежит внеплановой проверке в целях контроля за исполнением предписаний об устранении выявленных нарушений.

        Внеплановые проверки соблюдения лицензиатом лицензионных требований и условий проводятся лицензирующим органом также в случае:

        • получения от юридических лиц, индивидуальных предпринимателей и органов государственной власти информации о нарушении лицензиатом лицензионных требований и условий;
        • обращения граждан, юридических лиц и индивидуальных предпринимателей с жалобами на нарушение их прав и законных интересов действием (бездействием) лицензиата, связанным с невыполнением им лицензионных требований и условий, а также получения иной информации, подтверждаемой документами и другими доказательствами, свидетельствующими о наличии признаков таких нарушений.

        Продолжительность проверки не должна превышать один месяц.

        По результатам проверки оформляется акт о выполнении (невыполнении) лицензиатом лицензионных требований и условий с указанием конкретных нарушений и сроком их устранения.

        Лицензиат в обязательном порядке знакомится с актом.

      • Принятие решения о предоставлении лицензии, переоформление лицензии, приостановление действия лицензии, ее аннулирование и взимание лицензионных сборов осуществляются в порядке, установленном Федеральным законом «О лицензировании отдельных видов деятельности».

    Источник: Официальные документы Гостехкомисии России