Студопедия

Главная страница Случайная страница

Разделы сайта

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Правовое регулирование лицензионной и сертификационной деятельности в сфере информационной безопасности


⇐ ПредыдущаяСтр 34 из 52Следующая ⇒




 

Лицензия — специальное разрешение на право осуществления юридическим лицом или индивидуальным предпринимателем конкретного вида деятельности (выполнения работ, оказания услуг, составляющих лицензируемый вид деятельности), которое подтверждается документом, выданным лицензирующим органом на бумажном носителе или в форме электронного документа, подписанного электронной подписью, в случае, если в заявлении о предоставлении лицензии указывалось на необходимость выдачи такого документа в форме электронного документа.

Разрабатывать, производить и реализовывать средства защиты информации может только предприятие, имеющее лицензию на эти виды деятельности. Лицензии выдаются на ограниченный срок, если условия для заявленного вида деятельности удовлетворят орган по лицензированию. При этом в течение срока действия лицензии орган по лицензированию следит за неизменностью (не ухудшением) условий заявленного вида деятельности.

Закон о лицензировании отдельных видов деятельности устанавливает правовую основу работы лицензирующих органов, регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности. При этом его действие не затрагивает деятельность, связанную с защитой государственной тайны. Согласно указанному Закону обязательному лицензированию подлежат следующие виды деятельности:

- разработка, производство, распространение шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг
в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

- разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации;

- деятельность по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

- разработка и производство средств защиты конфиденциальной информации;

- деятельность по технической защите конфиденциальной информации и т. д.

Постановление Правительства РФ от 15.04.1995 № 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» вводит перечень органов исполнительной власти, осуществляющих лицензирующую деятельность.

Положение о лицензировании деятельности по разработке
и (или) производству средств защиты конфиденциальной информации, утвержденное постановлением Правительства РФ от 31.08.2006 № 532, определяет порядок лицензирования деятельности по разработке и (или) производству средств защиты конфиденциальной информации, осуществляемой юридическими лицами и индивидуальными предпринимателями, которым предусматриваются лицензионные требования и условия к соискателям, а также перечень документов, представляемых для получения лицензии.

Лицензирование осуществляется ФСТЭК России, а в части разработки и (или) производства средств защиты конфиденциальной информации, устанавливаемых на объектах Администрации Президента РФ, Совета Безопасности, Федерального Собрания, Правительства РФ, Конституционного Суда РФ, Верховного Суда РФ и Высшего Арбитражного Суда РФ, — ФСБ России, СВР России (за рубежом).

При рассмотрении заявления о предоставлении лицензии лицензирующие органы в пределах своей компетенции проводят проверку достоверности сведений о соискателе лицензии.

Решение о предоставлении или об отказе в предоставлении лицензии принимается в срок, не превышающий 45 дней с даты поступления в лицензирующий орган заявления о предоставлении лицензии и документов. В случае утраты документа, подтверждающего наличие лицензии, на основании письменного заявления лицензиата в течение десяти дней с даты получения заявления выдается его дубликат.

Срок действия лицензии составляет пять лет и по его окончании может быть продлен по заявлению лицензиата.

Ранее выданные лицензии на осуществление деятельности по разработке и (или) производству средств защиты конфиденциальной информации действительны до окончания указанного
в них срока.

Переоформление документа, подтверждающего наличие лицензии, приостановление, возобновление ее действия, аннулирование лицензии, а также ведение реестра лицензий и предоставление сведений, содержащихся в реестре лицензий, осуществляются в порядке, установленном Законом о лицензировании отдельных видов деятельности.

Порядок лицензирования деятельности по распространению шифровальных (криптографических) средств, осуществляемой юридическими лицами и индивидуальными предпринимателями, определяет Положение о лицензировании деятельности по распространению шифровальных (криптографических) средств, утвержденное постановлением Правительства РФ от 29.12.2007 № 957.

К шифровальным (криптографическим) средствам (средствам криптографической защиты информации) относятся средства шифрования, имитозащиты, электронной цифровой подписи, кодирования криптографического преобразования информации, изготовления ключевых документов и ключевые документы.Лицензирование деятельности по распространению шифровальных (криптографических) средств осуществляется ФСБ России.Лицензионными требованиями и условиями при распространении шифровальных (криптографических) средств являются: - наличие у соискателя лицензии на праве собственности или на ином законном основании помещений, технологического, испытательного, контрольно-измерительного оборудования, иных объектов и сооружений, необходимых для осуществления лицензируемой деятельности; - наличие в штате у соискателя лицензии квалифицированного персонала; - выполнение соискателем лицензии при осуществлении лицензируемой деятельности требований, устанавливаемых в соответствии со ст. 12 и 13 Федерального закона от 03.04.1995 № 40-ФЗ «О Федеральной службе безопасности».Для получения лицензии соискатель лицензии представляет по установленной форме в лицензирующий орган заявление о предоставлении лицензии, которое подписывается руководителем постоянно действующего исполнительного органа юридического лица или иным имеющим право действовать от имени этого юридического лица лицом либо индивидуальным предпринимателем, и документы, предусмотренные п. 3 ст. 13 Закона о лицензировании отдельных видов деятельности.Срок действия лицензии составляет пять лет. Срок действия лицензии по его окончании может быть продлен по заявлению лицензиата в порядке, предусмотренном для переоформления документа, подтверждающего наличие лицензии.Принятие лицензирующим органом решения о предоставлении лицензии (об отказе в предоставлении лицензии), переоформлении документа, подтверждающего наличие лицензии, приостановлении, возобновлении действия осуществляются в порядке, установленном Законом о лицензировании отдельных видов деятельности.Положение о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств определяет порядок лицензирования деятельности по техническому обслуживанию шифровальных (криптографических) средств, осуществляемой юридическими лицами и индивидуальными предпринимателями.Лицензирование деятельности по техническому обслуживанию шифровальных (криптографических) средств осуществляется Федеральной службой безопасности Российской Федерации.Положение о лицензировании предоставления услуг в области шифрования информации, утвержденное постановлением Правительства РФ от 29.12.2007 № 957, определяет порядок лицензирования предоставления услуг в области шифрования информации, осуществляемых юридическими лицами и индивидуальными предпринимателями.На предоставление услуг в области шифрования информации
с использованием шифровальных (криптографических) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну, указанное Положение не распространяется.Лицензирование предоставления услуг в области шифрования информации осуществляется ФСБ России.Положение о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем, утвержденное постановлением Правительства РФ от 29.12.2007 № 957, определяет порядок лицензирования разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем, осуществляемых юридическими лицами и индивидуальными предпринимателями.

Наличие сертификата у продукта, обеспечивающего информационную безопасность, подтверждает его соответствие определенным требованиям, изложенным в нормативных актах ФСТЭК России, а также отсутствие в продукте незадекларированных возможностей.

Согласно ст. 2 Закона о техническом регулировании под сертификацией понимается форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.

Сертификат соответствия — документ, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов, сводам правил или условиям договоров.

Под системой сертификации понимается совокупность правил выполнения работ по сертификации, ее участников и правил функционирования системы сертификации в целом.

Орган по сертификации — юридическое лицо или индивидуальный предприниматель, аккредитованные в установленном порядке для выполнения работ по сертификации.

Оценка соответствия — прямое или косвенное определение соблюдения требований, предъявляемых к объекту.

Подтверждение соответствия — документальное удостоверение соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров.

Технический регламент — документ, который принят международным договором РФ, ратифицированным в порядке, установленном законодательством РФ, федеральным законом, указом Президента РФ или постановлением Правительства РФ и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования. (см. Закон о техническом регулировании).

Согласно ст. 20, 21 указанного Закона подтверждение соответствия на территории РФ может носить как добровольный, так и обязательный характер.

Добровольное подтверждение соответствия осуществляется
в форме добровольной сертификации.

Добровольное подтверждение соответствия осуществляется по инициативе заявителя на условиях договора между заявителем
и органом по сертификации. Добровольное подтверждение соответствия может осуществляться для установления соответствия национальным стандартам, стандартам организаций, системам добровольной сертификации, условиям договоров.

Орган по сертификации осуществляет подтверждение соответствия объектов добровольного подтверждения соответствия; выдает сертификаты соответствия на объекты, прошедшие добровольную сертификацию; предоставляет заявителям право на применение знака соответствия, если применение знака соответствия предусмотрено соответствующей системой добровольной сертификации; приостанавливает или прекращает действие выданных им сертификатов соответствия.

Обязательное подтверждение соответствия осуществляется
в форме принятия декларации о соответствии (декларирование соответствия) и в форме обязательной сертификации.

В соответствии с п. 1, 2 ст. 23 Закона о техническом регулировании обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента.

Объектом обязательного подтверждения соответствия может быть только продукция, выпускаемая в обращение на территории России.

Форма и схемы обязательного подтверждения соответствия могут устанавливаться только техническим регламентом с учетом степени риска недостижения целей технических регламентов[17].

Согласно п. 1, 2 ст. 25, п. 1 ст. 26 Закона о техническом регулировании обязательная сертификация осуществляется органом по сертификации, аккредитованным в порядке, установленном Правительством РФ, на основании договора с заявителем. Схемы сертификации, применяемые для сертификации определенных видов продукции, устанавливаются соответствующим техническим регламентом.

Соответствие продукции требованиям технических регламентов подтверждается сертификатом соответствия, выдаваемым заявителю органом по сертификации.

Федеральные органы исполнительной власти вправе издавать в сфере технического регулирования акты только рекомендательного характера, за исключением случаев, установленных ст. 5 Закона о техническом регулировании, в которой определены особенности технического регулирования в отношении оборонной продукции (работ, услуг) и продукции (работ, услуг), сведения о которой составляют государственную тайну.

Постановление Правительства РФ от 26.06.1995 № 608 «О сертификации средств защиты информации» является основным документом, регламентирующим деятельность органов по сертификации средств защиты информации.

Для подтверждения соответствия характеристик продукта требованиям, изложенным в стандартах по обеспечению информационной безопасности, в отношении него проводится процедура сертификации. В России функционируют четыре федеральные системы сертификации по требованиям безопасности информации, что определено указанным выше Постановлением. В каждой есть собственные специфические закрытые особенности, за исключением открытой добровольной системы сертификации ФСТЭК России, ее нормативные правовые акты открыто публикуются. При этом средства криптографической защиты информации имеет право сертифицировать только ФСБ России, а остальные службы производят сертификацию продуктов, не содержащих криптографического функционала. Сертификацию организуют органы по сертификации, а сертификационные испытания проводят аккредитованные лаборатории по методикам, утвержденным Органом по сертификации.

Сначала лаборатория готовит протоколы испытаний на основе завершенных испытаний и техническое заключение. Далее результаты испытаний проверяют эксперты, отдельно назначенные Органом по сертификации. При положительных выводах технического заключения и экспертов Орган по сертификации принимает решение о выдаче сертификата на определенный срок (3–5 лет). Сертификация осуществляется либо партии изделий (фиксированной), либо по схеме «тип образца». В итоге в случае сертификации по схеме «тип образца» может быть принято решение о выдаче лицензии на применение так называемого знака соответствия, но только если производство сертифицированной продукции удовлетворяет требованиям Органа по сертификации. В период действия сертификата Органом по сертификации проводится периодический инспекционный контроль производимой продукции, допускающий отзыв лицензии на применение знака соответствия в случае грубых нарушений, вплоть до приостановки действия выданного сертификата.

Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации подлежат обязательной сертификации в соответствии с Положением о сертификации средств защиты информации, утвержденным названным Постановлением. Сертификация указанных средств проводится
в рамках систем сертификации средств защиты информации.

Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам.

Системы сертификации создаются ФСТЭК России, ФСБ России, Минобороны России, СВР России, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными правовыми актами.

Согласно п. 7 данного Положения изготовители вправе производить (реализовывать) средства защиты информации только при наличии сертификата. Порядок получения сертификата установлен п. 8–9 соответствующего Положения, условия приостановления действия сертификата или его аннулирования определены п. 10.

Согласно приказу ФСБ России от 13.11.1999 № 564 «Об утверждении Положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия» обязательная сертификация в системе сертификации СЗИ-ГТ проводится на основании Закона о государственной тайне, Федерального закона от 03.04.1995 № 40-ФЗ «Об органах федеральной службы безопасности в Российской Федерации» и постановления Правительства РФ «О сертификации средств защиты информации».Указанное Положение устанавливает основные принципы, организационную структуру системы сертификации СЗИ-ГТ, порядок проведения сертификации этих средств, порядок регистрации сертифицированных средств, а также порядок проведения инспекционного контроля за сертифицированными средствами.Целями создания системы сертификации являются: - реализация требований ст. 28 Закона о государственной тайне; - обеспечение национальной безопасности в сфере информатизации; - формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом требований системы защиты государственной тайны; - регулирование и контроль разработки, а также последующего производства СЗИ-ГТ; - защита потребителя от недобросовестности изготовителя (продавца, исполнителя); - подтверждение показателей качества продукции, заявленных изготовителями.Органы по сертификации системы сертификации СЗИ-ГТ проводят обязательную сертификацию средств защиты информации, используемых при работе со сведениями, составляющими государственную тайну, в том числе иностранного производства.По правилам системы сертификации СЗИ-ГТ по инициативе разработчика, изготовителя или потребителя может также проводиться добровольная сертификация средств защиты информации, не предназначенных для работы со сведениями, составляющими государственную тайну.Сертификация СЗИ-ГТ осуществляется аккредитованными органами по сертификации, а испытания проводятся в аккредитованных испытательных центрах (лабораториях).Организационную структуру системы сертификации образуют: ФСБ России, центральный орган системы сертификации (создается при необходимости), органы по сертификации СЗИ-ГТ, испытательные центры (лаборатории), учебно-методический центр, заявители (разработчики, изготовители, продавцы, потребители СЗИ-ГТ).Порядок проведения сертификации включает следующие действия: - подачу и рассмотрение заявки на сертификацию СЗИ-ГТ; - испытания сертифицируемых СЗИ-ГТ и анализ состояния их производства; - экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата соответствия и лицензии на право применения знака соответствия; - осуществление инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными СЗИ-ГТ, информирование о результатах сертификации СЗИ-ГТ; - рассмотрение апелляций.Заявитель для получения сертификата соответствия направляет в орган по сертификации системы сертификации СЗИ-ГТ заявку на проведение сертификации продукции.Орган по сертификации СЗИ-ГТ в месячный срок после получения заявки направляет заявителю решение на проведение сертификации. После получения решения заявителю необходимо представить в испытательный центр (лабораторию) или (в отдельных случаях) в орган по сертификации средство защиты информации согласно техническому заданию, техническому описанию, техническим условиям или программе и методикам испытаний на это средство, а также комплект технической и эксплуатационной документации на сертифицируемое средство защиты информации.Испытания сертифицируемых средств защиты информации проводятся на образцах, конструкция (состав) и технология изготовления которых должны быть такими же, как и у образцов, поставляемых потребителю (заказчику), по программам и методикам испытаний, согласованным с заявителем и утвержденным органом по сертификации.Сроки проведения испытаний могут быть установлены в договоре между заявителем и испытательным центром (лабораторией).Результаты испытаний оформляются протоколами и техническим заключением, которые направляются испытательным центром (лабораторией) органу по сертификации и заявителю.Срок действия сертификата соответствия устанавливается не более чем на пять лет.Получение изготовителем СЗИ-ГТ сертификата соответствия при обязательной сертификации дает ему право применения знака соответствия системы сертификации СЗИ-ГТ.При возникновении спорных вопросов в деятельности участников сертификации заинтересованная сторона может подать апелляцию в центральный орган системы сертификации, ФСБ России или Межведомственную комиссию по защите государственной тайны. Апелляция рассматривается в месячный срок с привлечением заинтересованных сторон.Положение о знаках соответствия системы сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, утвержденное приказом ФСБ России от 13.11.1999 № 564, устанавливает форму, размеры, технические требования и правила применения знаков соответствия обязательной и добровольной сертификации продукции в системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну.

В целях обеспечения компетентности экспертов Системы сертификации ГОСТ Р и создания условий для оценки и подтверждения их компетентности в рамках Системы добровольной сертификации экспертов Системы сертификации ГОСТ Р (введена постановлением Госстандарта России от 14.07.2000 № 46 «О создании
и государственной регистрации Системы добровольной сертификации экспертов Системы сертификации ГОСТ Р») Государственным комитетом Российской Федерации по стандартизации и метрологии были утверждены Общие требования к компетентности экспертов Системы сертификации ГОСТ Р.

Постановление Госстандарта России от 09.06.2001 № 53 «Об утверждении общих требований к компетентности экспертов системы сертификации ГОСТ Р» устанавливает общие требования
к компетентности экспертов, выполняющих работы для целей сертификации в Системе сертификации ГОСТ Р, и предназначено
в том числе для использования в качестве нормативной базы Системы добровольной сертификации экспертов Системы сертификации ГОСТ Р.

Требования к компетентности экспертов в части специальностей высшего профессионального образования, работ и профессий для конкретных областей сертификации экспертов разрабатываются в порядке, установленном указанным Положением.

Документ предназначен для применения центральными органами по сертификации, испытательными лабораториями (центрами), организациями, осуществляющими подготовку экспертов в области сертификации, аккредитации, испытаний, иными организациями
и предприятиями, осуществляющими, использующими и контролирующими деятельность по сертификации в рамках Системы сертификации ГОСТ Р.

Эксперты Системы сертификации ГОСТ Р осуществляют свою деятельность по следующим направлениям: сертификация систем качества, продукции, производств, работ и услуг, аккредитация органов по сертификации, испытательных (измерительных) лабораторий (центров), испытания.

Эксперт, независимо от направления его деятельности, должен обладать необходимой компетентностью для выполнения своих функций, иметь высшее профессиональное образование, подтвержденное документом государственного образца, иметь предшествующий, не менее чем четырехлетний документально подтвержденный стаж практической работы в области его сертификации по нескольким или одному из следующих видов деятельности: разработка, производство, испытания (оценка), приемка, внедрение, эксплуатация (использование), выполнение работ, оказание услуг, преподавательская, консультационная деятельность, государственный контроль и надзор.

Эксперт, независимо от направления его деятельности и области сертификации, должен знать законодательство РФ, постановления Правительства РФ, относящиеся к области сертификации; направления и основные принципы международного сотрудничества в области сертификации; международную, региональную, зарубежную практику сертификации; общие правила и рекомендации по сертификации в Российской Федерации; правила, порядки и руководящие документы Системы сертификации ГОСТ Р; психологические аспекты работы с кадрами.



⇐ Предыдущая29303132333435363738Следующая ⇒




© 2023 :: MyLektsii.ru :: Мои Лекции
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав.
Копирование текстов разрешено только с указанием индексируемой ссылки на источник.