Центр Мониторинга компьютерных атак и управления инцидентами
Постановление правительства №313 от 16.04.2012
1. Положение о лицензировании деятельности по разработке,
производству,распространению шифровальных(криптографических)
средств
июль 2012
2. ¡ О чём это Положение?
¡ Чтоявляетсяшифровальнымсредством?
¡ На какие случаиПоложениенераспространяется?
¡ Чтосоставляет лицензируемуюдеятельность?
¡ Лицензирующийорган?
¡ Какие требованияк лицензиатам?
¡ Соответствиевидовдеятельностиитребований
¡ Чтонужнопредоставить?
¡ Как проверяютсяпредоставленныесведений?
¡ Можноли переоформить местоосуществлениядеятельности?
¡ Порядокпредоставления,приёмаиобработкизаявлений
¡ Лицензионный контроль
¡ Стоимость
2
3. ¡ О порядкелицензированиядеятельностипо
§ Разработке,Производству,Распространению
▪ Шифровальных средств
▪ Информационных и телекоммуникационных систем (защищенных с
использованием шифровальных средств)
§ Выполнению работ,оказанию услуг
▪ в области шифрования информации
§ Техническому обслуживанию
▪ Шифровальных средств
▪ Информационных и телекоммуникационных систем, защищенных с
использованием шифровальных средств
▪ За исключением случая, если Техническое обслуживание осуществляется
для обеспечения собственных нужд юридического лица или
индивидуального предпринимателя
§ осуществляемой юридическими лицами и индивидуальными
предпринимателями.
3
4. ¡ а) Аппаратные, программные и программно-аппаратные средства, реализующие
алгоритмы криптографического преобразования информации для ограничения доступак
ней
¡ б) Аппаратные,программные и программно-аппаратные средства имитозащиты,
реализующие алгоритмы криптографического преобразования информации для ее защиты
в) Средства электронной подписи
¡ г) Средства кодирования, в которыхчасть криптографических преобразований
информации осуществляетсяс использованием ручных операций или с использованием
автоматизированных средств
¡ д) Аппаратные,программные, программно-аппаратные средства изготовления ключевых
документов
¡ е) Электронныедокументы на любых носителях информации (включая бумажные),
содержащиеключевую информацию
¡ ж) Устройства и их компоненты,обеспечивающие возможностьпреобразования
информации в соответствии с алгоритмами криптографического преобразования
информации без использования программ для ЭВМ
¡ з) Программы для ЭВМ и их части, обеспечивающие возможность преобразования
информации в соответствии с алгоритмами криптографического преобразования
и) Программно-аппаратные шифровальные устройства и их компоненты (за исключением
информационных и телекоммуникационныхсистем), обеспечивающие возможность
преобразования информации в соответствиис алгоритмами криптографического
преобразования информации с использованием программ для ЭВМ, предназначенных для
осуществления этих преобразований информации или их части.
4
5. ¡ Аппаратные устройства,программыдляЭВМ,любые их части
и компоненты, которые
§ шифруют информацию
§ реализуют имитозащитуинформации
§ изготавливают ключевую информацию
¡ Любые носителиключевойинформации(ключевые
документы)
¡ Средстваэлектроннойподписи
¡ Реализующиекриптографическиеалгоритмы
§ Автоматизированые и ручные средства кодирования
§ Устройства и их компоненты,без использованияпрограмм для
ЭВМ
§ Программы дляЭВМ и их части
§ Программно-аппаратные устройства и ихкомпоненты с
использованием программ дляЭВМили их частей (за
исключением информационныхи телекоммуникационныхсистем)
5
7. ¡ а) Шифровальные средствадля защитыгостайны
¡ б) Шифровальные средства, реализующие
§ симметричный криптографический алгоритм с длиной ключа неболее 56 бит
§ ассиметричный криптографический алгоритм, основанный наметоде
▪ разложения на множители целых чисел , размером не более 512 бит
▪ вычисления дискретных логарифмов в мультипликативной группе конечного поля размера не более 512 бит либо в иной
группе размера не более 112 бит
¡ в) Товары, имеющие
§ функцию аутентификации (нет шифрования файлов или текстов: только паролей, персональных идентификационных
номеров и т.п.)
§ электронную подпись
¡ г) Шифровальные средства, являющиеся компонентом операционной системы
¡ д) Персональные смарт-карты, используемые дляниже указанных пунктов «е» - «и» или дляширокого
общедоступного применения, криптографические возможностикоторыхнедоступныпользователю
¡ е) Приемная аппаратура длярадиовещания, телевидения или аналогичная с ограниченной аудиторией
без шифрования сигнала
¡ ж) Оборудование, криптографические возможностикоторого недоступныпользователю,реализующее:
§ исполнениепрограммного обеспечения взащищенном от копирования виде
§ обеспечение доступак защищенному от копирования содержимому
§ контролькопирования аудио- и видеоинформации, защищенной авторскими правами
¡ з) Шифровальное оборудование в составе банкоматов, POS-терминалов и терминалов оплаты
¡ и) Мобильные радиоэлектронные средствагражданского назначения, которые не способнык сквозному
шифрованию междуабонентами
¡ к) Беспроводноеоборудование с максимальной дальностью беспроводного действиябез усиления и
ретрансляции менее 400 м
¡ л) Шифровальные средства длязащиты технологических каналов информационно-
телекоммуникационных систем исетей связи, не относящихся ккритически важным объектам
¡ м) Товары, у которых криптографическая функция гарантированно заблокирована производителем
7
10. ¡ Разработка
§ 1. Шифровальныхсредств.
§ 2. Информационныхсистем, защищенныхс использованиемшифр. средств
§ 3. Телекоммуникационныхсистем, защищенныхс использованиемшифр. средств.
§ 4. Средств изготовленияключевых документов.
¡ Модернизация
§ 5. Шифровальных средств.
§ 6. Средств изготовленияключевых документов.
¡ Производство
§ 7. Шифровальных средств (включаятиражирование).
§ 8. Информационныхсистем, защищенных с использованиемшифр. средств.
§ 9. Телекоммуникационныхсистем,защищенных с использованиемшифр. средств.
§ 10. Средств изготовленияключевых документов.
§ 11. Изготовлениесиспользованиемшифровальных средств изделий,
предназначенныхдля подтверждения прав доступа.
10
11. ¡ Монтаж, установка (инсталляция),наладка
§ 12. Шифровальныхсредств.
§ 13. Информационныхсистем, защищенных с использованиемшифр. средств.
§ 14. Телекоммуникационныхсистем,защищенных с использованиемшифр.
средств.
§ 15. Средств изготовленияключевыхдокументов.
¡ Ремонт
§ 16. Шифровальных средств.
¡ Ремонт, сервисное обслуживание
§ 17. Информационныхсистем, защищенных с использованиемшифр. средств.
§ 18. Телекоммуникационныхсистем, защищенныхс использованиемшифр. средств.
§ 19. Средств изготовленияключевыхдокументов.
¡ Работы по обслуживанию
§ 20. Шифровальныхсредств, предусмотренные техническойи эксплуатационной
документациейнаэти средства).
11
12. ¡ Передача
§ 21. Шифровальныхсредств.
§ 22. Информационныхсистем, защищенных с использованиемшифр. средств.
§ 23. Телекоммуникационныхсистем, защищенныхс использованиемшифр.
средств.
§ 24. Средств изготовленияключевых документов.
¡ Предоставление юридическими физическим лицам
§ 25.Услуг по шифрованиюинформации,несодержащейсведений, составляющих
гостайну,с использованиемшифр. средств, а также ИП.
§ 26. Услуг по имитозащитеинформации,не содержащейсведений,составляющих
гостайну,с использованиемшифр. средств, а также ИП.
§ 27. Защищенных с использованиемшифр. средств каналовсвязидля передачи
информации.
¡ Изготовление и распределение
§ 28. Ключевых документови(или) исходнойключевойинформациидля выработки
ключевых документов.
12
13. ¡ Федеральнаяслужба безопасности
РоссийскойФедерации
§ Телефон доверия: +7 (495) 224-2222
(круглосуточно)
§ Сайт: http://www.fsb.ru
§ Электронный адрес: fsb@fsb.ru
§ Почтовый адрес: г.Москва. 107031,
ул.БольшаяЛубянка, дом 1/3
13
14. ¡ а) наличиезаконного основанияна использование
необходимых помещений,оборудованияииных объектов
¡ б) выполнениетребованийпообеспечению информационной
безопасности,устанавливаемыхвсоответствиисо
статьями 112 и 13 ФЗ «О федеральнойслужбебезопасности»
¡ в) наличиеусловийдлясоблюденияконфиденциальности
информации, всоответствиис требованиямиФЗ
«Об информации,информационныхтехнологияхио защите
информации»
¡ г) наличиедопуска к выполнению работ и оказанию услуг,
связанных с использованиемсведений,составляющих
государственнуютайну (дляпунктов1,4 - 6, 16 и 19)
14
15. ¡ д) наличие в штате квалифицированного персонала:
§ руководитель и (или) лицо, уполномоченное руководить: высшее образование и (или)
прошедшие переподготовку по направлению «Информационная безопасность» свыше
1000 аудиторных часов, стажв областивыполняемых работ не менее 5 лет (для
пунктов 1, 4 - 6, 16и 19)
§ руководитель и (или) лицо, уполномоченное руководить: высшее образование и (или)
прошедшие переподготовку по направлению «Информационная безопасность» свыше
500 аудиторных часов, стаж в области выполняемых работ не менее 3 лет (для
пунктов 2, 3, 7 - 15, 17, 18,20,25 - 28)
§ руководитель и (или) лицо, уполномоченное руководить: высшее или среднее
образование и (или) прошедшие переподготовку понаправлению «Информационная
безопасность» свыше 100 аудиторных часов (для пунктов 21-24)
§ инженерно-технические работники (минимум 2 человека): высшее образование и (или)
прошедшие переподготовку по направлению «Информационная безопасность» свыше
1000 аудиторных часов, стажв областивыполняемых работ не менее 5 лет (для
пунктов 1, 4 - 6, 16и 19)
§ инженерно-технический работник (минимум 1 человека): высшее образование и (или)
прошедшие переподготовку по направлению «Информационная безопасность» свыше
500 аудиторных часов, стаж в области выполняемых работ не менее 3 лет (для
пунктов 2, 3, 7 - 15, 17, 18,20,25 - 28)
§ инженерно-технический работник: высшее или среднее образование по направлению
«Информационная безопасность» (для пунктов 21-24)
15
16. ¡ е) наличиеприборови оборудования,прошедшихповерку и
калибровку в соответствиисФЗ «Об обеспечении единства
измерений», принадлежащихназаконном основаниии
необходимых длявыполнения работ и оказания услуг(для
пунктов 1 - 11, 16 - 19)
¡ ж) представлениевлицензирующийорганперечня
шифровальныхсредств,втомчислеиностранного
производства,не имеющих сертификатаФедеральнойслужбы
безопасностиРоссийскойФедерации,технической
документации,определяющейсостав,характеристикии
условияэксплуатацииэтихсредств,и(или) образцов
шифровальныхсредств;
¡ з) использованиепредназначенныхдля осуществления
лицензируемойдеятельностипрограммдляэлектронных
вычислительныхмашини баз данных,принадлежащихна
законном основании.
16
17. Деятельность Требования
Для всех видов • 6.а) наличие законного основания на использование
необходимых помещений, оборудования и иных
объектов
• 6.б) выполнение требований ст 112 и 13 ФЗ
«О федеральной службе безопасности»
• 6.в) наличие условий для соблюдения требований
конфиденциальности поФЗ «Об информации,
информационных технологиях и о защите информации»
• 6.ж) представление перечня шифровальных средств, не
имеющих сертификатаФСБ с технической документацией
и (или) их образцов
• 6.з) использование принадлежащихна законном
основании предназначенныхдля осуществления
лицензируемой деятельности программ для ЭВМ и баз
данных
17
18. Деятельность Требования
• Разработка шифровальных
средств (п.1) и средств
изготовления ключевых
документов (п.4).
• Модернизация шифровальных
средств (п.5) и средств
изготовления ключевых
документов (п.6)
• Ремонт шифровальныхсредств
(п.16).
• Ремонт и сервисное
обслуживание средств
изготовления ключевых
документов (п.19).
• 6.г) наличие допуска к выполнению
работ и оказанию услуг, связанныхс
использованиемсведений,
составляющихгосударственную
тайну
• 6.д) руководитель: 1000 аудиторных
часов, стаж 5 лет, 2 инженера: 1000
аудиторныхчасов, стаж 5 лет
• 6.е) наличие приборов и
оборудования, прошедших поверку и
калибровку
18
19. Деятельность Требования
• Разработка информационных(п.2) и телекоммуникационных
(п.3) систем
• Производство шифровальныхсредств (п.7), информационных
(п.8) и телекоммуникационных(п.9) систем, средств
изготовленияключевых документов(п.10).
• Изготовлениеизделий,предназначенныхдля подтверждения
прав доступа(п.11).
• Монтаж,установка(инсталляция),наладкашифровальных
средств (п.12), информационных(п.13)и
телекоммуникационных(п.14) систем, средств изготовления
ключевых документов(п.15).
• Ремонт, сервисное обслуживаниеинформационных(п.17) и
телекоммуникационных(п.18) систем.
• Обслуживаниешифровальных средств, предусмотренное
документацией(п.20).
• Предоставлениеуслуг по шифрованию(п.25)и имитозащите
(п.26), каналовсвязи (п.27)
• Изготовлениеираспределение ключевых документов(п.28).
6.д) руководитель:500
аудиторных часов, стаж
3 года,инженер: 500
аудиторных часов, стаж 3
года
6.е) наличие приборови
оборудования,
прошедших поверку и
калибровку(кроме
пунктов 12-15, 20, 25-28)
19
20. Деятельность Требования
• Передача шифровальныхсредств
(п.21), информационных(п.22)и
телекоммуникационных(п.23)
систем, защищенныхс
использованиемшифровальных
средств, средств изготовления
ключевых документов (п.24).
6.д) руководитель: 100 аудиторных
часов, инженер: образование по ИБ
20
21. ¡ Документы, указанные в п. 1, 3 и 4 части 3
статьи 13 ФЗ «О лицензировании
отдельных видов деятельности»
¡ Документы, подтверждающиевыполнение
требований в зависимостиот выбранных
видов деятельности
21
22. ¡ Лицензирующий орган запрашивает
необходимые сведения у органов:
§ предоставляющих государственные услуги
§ предоставляющих муниципальные услуги
§ местного самоуправления либо
подведомственных государственным органам
или органам местного самоуправления
организаций
§ иных государственных органов
22
23. ¡ Да, в заявлении о переоформлении лицензии
указываются:
§ новый адрес
§ сведенияо законном основаниина владениеи
использованиепомещенийи иных объектов по месту
осуществлениялицензируемойдеятельности
§ сведенияподтверждающиеналичие условийдля
соблюденияконфиденциальностив соответствиисФЗ
«Об информации, информационныхтехнологияхи о
защите информации»
§ сведенияо наличии допускак выполнениюработи
оказанию услуг,связанныхс использованием
сведений, составляющихгостайну(дляпунктов1, 4 - 6,
16 и 19)
23
24. ¡ Да, в заявлении о переоформлении лицензии
указываются:
§ сведенияо работахи услугах,которые лицензиат
намерен выполнятьиоказывать
§ сведенияо законном основаниина владениеи
использованиепомещенийи иных объектов по месту
осуществлениялицензируемойдеятельности
§ сведенияподтверждающиеналичие условийдля
соблюденияконфиденциальностив соответствиисФЗ
«Об информации, информационныхтехнологияхи о
защите информации»
§ Сведения, подтверждающиевыполнениетребованийв
зависимостиот выбранныхвидов деятельности
24
25. ¡ Под грубым нарушением лицензионных
требований понимается невыполнение требований
§ О наличии законного основанияна владениеи
использованиепомещений,оборудованияи иных
объектов, необходимых для осуществления
лицензируемойдеятельности
§ О наличии допускак выполнениюработи оказанию
услуг,связанныхс использованиемсведений,
составляющихгосударственнуютайну(для пунктов 1,
4 - 6, 16 и 19)
§ О наличие в штатетребуемоголицензиата
квалифицированногоперсонала
25
27. ¡ Лицензионный контроль осуществляется в
порядке, предусмотренном Федеральным
законом «О защите прав юридических лиц и
индивидуальных предпринимателей при
осуществлении государственного контроля
(надзора) и муниципального контроля», с
учетом особенностей организации и
проведения проверок, установленных
статьей 19 Федерального закона
«О лицензировании отдельных видов
деятельности».
27
28. ¡ В соответствиисзаконодательствомРоссийскойФедерациио
налогахи сборах:
§ Предоставление лицензии - 2 600 рублей
§ Переоформление документа,подтверждающегоналичие
лицензии,и (или) приложенияк такому документув связи с
внесением дополнений в сведенияобадресахмест
осуществлениялицензируемого вида деятельности,о
выполняемыхработахи об оказываемыхуслугахв составе
лицензируемого вида деятельности,в том числе о реализуемых
образовательныхпрограммах,- 2 600 рублей
§ Переоформление документа,подтверждающегоналичие
лицензии,и (или) приложенияк такому документув других
случаях- 200 рублей
§ Выдача дубликатадокумента,подтверждающего наличие
лицензии,- 200 рублей
§ Продление срока действиялицензии - 200рублей
28