1. Постановление Правительства РФ от 15 апреля 1995 г. № 333 " О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны " (с изменениями от 23 апреля 1996 г., 30 апреля 1997 г., 29 июля 1998 г., 3 октября 2002 г.)
Данным Постановлением утверждено Положение о лицензировании деятельности, связанной с работой со сведениями, составляющими государственную тайну. В нем, в частности, сказано, что органами, уполномоченными на ведение лицензионной деятельности, являются:
по допуску предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну, – Федеральная служба безопасности Российской Федерации и ее территориальные органы (на территории Российской Федерации), Служба внешней разведки Российской Федерации (за рубежом);
на право проведения работ, связанных с созданием средств защиты информации, – Государственная техническая комиссия при Президенте Российской Федерации (здесь и далее следует подразумевать новое название данной организации – ФСТЭК России), Служба внешней разведки Российской Федерации, Министерство обороны Российской Федерации, Федеральная служба безопасности Российской Федерации (в пределах их компетенции);
на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны – Федеральная служба безопасности Российской Федерации и ее территориальные органы, Государственная техническая комиссия при Президенте Российской Федерации, Служба внешней разведки Российской Федерации (в пределах их компетенции).
Лицензии выдаются на основании результатов специальных экспертиз предприятий и государственной аттестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну, и при выполнении следующих условий:
соблюдение требований законодательных и иных нормативных актов Российской Федерации по обеспечению защиты сведений, составляющих государственную тайну, в процессе выполнения работ, связанных с использованием указанных сведений;
наличие в структуре предприятия подразделения по защите государственной тайны и необходимого числа специально подготовленных сотрудников для работы по защите информации, уровень квалификации которых достаточен для обеспечения защиты государственной тайны;
наличие на предприятии средств защиты информации, имеющих сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.
Срок действия лицензии устанавливается в зависимости от специфики вида деятельности, но не может быть менее трех и более пяти лет.
Государственными органами, ответственными за организацию и проведение специальных экспертиз предприятий, являются Федеральная служба безопасности Российской Федерации, Государственная техническая комиссия при Президенте Российской Федерации, Служба внешней разведки Российской Федерации, другие министерства и ведомства Российской Федерации, руководители которых наделены полномочиями по отнесению к государственной тайне сведений в отношении подведомственных им предприятий.
2. Постановление Правительства РФ от 26 июня 1995 г. № 608 " О сертификации средств защиты информации " (с изменениями от 23 апреля 1996 г., 29 марта 1999 г.).
Данным Постановлением утверждено Положение о сертификации средств защиты информации, которое устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом.
Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.
Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных ФСБ России.
Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам.
Системы сертификации создаются Государственной технической комиссией при Президенте Российской Федерации, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, Службой внешней разведки Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации.
Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством Российской Федерации и федеральными органами по сертификации в пределах их компетенции. Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны. В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.
Основными схемами проведения сертификации средств защиты информации являются:
для единичных образцов средств защиты информации – проведение испытаний этих образцов на соответствие требованиям по защите информации;
для серийного производства средств защиты информации – проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований. Кроме того, допускается предварительная проверка производства по специально разработанной программе.
Срок действия сертификата не может превышать пяти лет.
11. Постановление Правительства РФ от 10 марта 2000 г. № 214 " Об утверждении Положения о ввозе в Российскую Федерацию и вывозе из Российской Федерации специальных технических средств, предназначенных для негласного получения информации, и списка видов специальных технических средств, предназначенных для негласного получения информации, ввоз и вывоз которых подлежат лицензированию " (с изменениями от 19 октября 2000 г.).
Контроль за ввозом в Российскую Федерацию и вывозом из Российской Федерации специальных технических средств, предназначенных для негласного получения информации, не уполномоченными на осуществление оперативно-разыскной деятельности юридическими лицами обеспечивает Федеральная служба безопасности Российской Федерации и Федеральная таможенная служба Российской Федерации.
Лицензирование деятельности по ввоз указанные средств осуществляет Министерство экономического развития и торговли Российской Федерации на основании решений Центра Федеральной службы безопасности Российской Федерации по лицензированию, сертификации и защите государственной тайны.
12. Постановление Правительства РФ от 11 февраля 2002 г. № 135 " О лицензировании отдельных видов деятельности ".
Устанавливает перечень федеральных органов исполнительной власти, осуществляющих лицензирование в определенных областях, а также виды деятельности, лицензируемые органами исполнительной власти субъектов Российской Федерации.
Защиты информации в данном Постановлении касается лицензирование следующих видов деятельности.
МВД России: негосударственная (частная) охранная деятельность, негосударственная (частная) сыскная деятельность;
МЧС России: производство работ по монтажу, ремонту и обслуживанию средств обеспечения пожарной безопасности зданий и сооружений;
ФСБ России:
разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность;
деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
деятельность по распространению шифровальных (криптографических) средств;
деятельность по техническому обслуживанию шифровальных (криптографических) средств;
предоставление услуг в области шифрования информации;
разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей;
ФСТЭК России:
деятельность по технической защите конфиденциальной информации;
деятельность по разработке и (или) производству средств защиты конфиденциальной информации.
13. Постановление Правительства РФ от 30 апреля 2002 г. № 290 " О лицензировании деятельности по технической защите конфиденциальной информации ".
Положение определяет порядок лицензирования деятельности юридических и физических лиц по технической защите конфиденциальной информации.
Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по защите ее от НСД, в том числе и по техническим каналам, а также от специальных воздействий на нее в целях уничтожения, искажения или блокирования доступа к ней.
Право выдачи лицензий имеет ФСТЭК России.
Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:
а) осуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование по специальности "компьютерная безопасность", "комплексное обеспечение информационной безопасности автоматизированных систем" или "информационная безопасность телекоммуникационных систем", либо специалистами, прошедшими переподготовку по вопросам защиты информации;
б) соответствие производственных помещений, производственного, испытательного и контрольно-измерительного оборудования техническим нормам и требованиям, установленным государственными стандартами Российской Федерации и нормативно-методическими документами по технической защите информации;
в) использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации;
г) использование третьими лицами программ для электронно-вычислительных машин или баз данных на основании договора с их правообладателем.
Положение также определяет перечень необходимых документов для получения лицензии и порядок ее выдачи. Срок действия лицензии установлен в 5 лет, потом она должна переоформляться. Один раз в год производится проверка выполнения лицензионных требований.
14. Постановление Правительства РФ от 27 мая 2002 г. № 348 " Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации ".
Это Положение определяет порядок лицензирования деятельности юридических и физических лиц по разработке и (или) производству средств защиты конфиденциальной информации.
Лицензирование осуществляет ФСТЭК России, а в части разработки средств защиты для объектов Администрации Президента РФ, Совбеза РФ, Федерального Собрания РФ, Правительства РФ, Конституционного, Верховного и Высшего Арбитражного судов – ФСБ России.
Разрабатываемые устройства должны удовлетворять требованиям госстандартов РФ, соответствующей документации и иных нормативных актов, а также по уровню подготовки специалистов и выдерживать соответствие помещений и оборудования требованиям по защите информации. Для деятельности, лицензируемой ФСБ России в данной сфере набор лицензионных требований значительно шире.
Перечень необходимых документов для получения лицензии, порядок ее выдачи, срок действия лицензии и контроль за ее выполнением установлены Положением практически аналогично Постановлению № 290, рассмотренному выше.
16. Постановление Правительства РФ от 23 сентября 2002 г. № 691 " Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами ".
Данным документом утверждаются 4 положения, касающиеся лицензирования отдельных видов деятельности в области криптографических средств:
1. Положение о лицензировании деятельности по распространению шифровальных (криптографических) средств.
2. Положение о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств.
3. Положение о лицензировании предоставления услуг в области шифрования информации.
4. Положение о лицензировании разработки, производства шифровальных (криптографических) средств защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.
В перечисленных положениях дан перечень средств шифрования, имитозащиты, электронной цифровой подписи, кодирования, изготовления ключей и ключевых документов. При этом указано, что не требуется лицензирование для криптографических средств, осуществляющих преобразование информации с длиной ключа до 40 бит при использовании симметричного алгоритма и 128 бит – при использовании асимметричного алгоритма.
В качестве лицензирующего органа выступает ФСБ России. Здесь также определены лицензионные требования, а также перечень необходимых документов, представляемых в лицензионный орган и порядок рассмотрения и выдачи лицензии.
19. Постановление Правительства РФ от 30 мая 2003 г. № 313 " Об уполномоченном федеральном органе исполнительной власти в области использования электронной цифровой подписи ".
В соответствии с Федеральным законом "Об электронной цифровой подписи" функции уполномоченного федерального органа исполнительной власти в области использования электронной цифровой подписи возлагаются на Министерство информационных технологий и связи Российской Федерации. При этом его деятельность в области использования ЭЦП в органах государственной власти России должна согласовываться с ФСБ России.