Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации

Лицензирование деятельности по технической защите конфиденциальной информации (ТЗКИ) осуществляется на основании Постановления Правительства РФ № 79 от 3 февраля 2012 года «О Лицензировании деятельности по технической защите конфиденциальной информации». Постановление утверждает новое положение о лицензировании деятельности по ТЗКИ.

ООО «Лаборатория ВС» осуществляет подготовку требуемого заявительского пакета документов, аттестационным испытаниям необходимых автоматизированных систем и защищаемых помещений для обработки (обсуждения) конфиденциальной информации, обеспечение контрольно-измерительным оборудованием, оказанием консультационной и методической помощи Заказчикам.

До 2012 года лицензии по ТЗКИ не имели подпунктов и в лицензии было указано только: лицензия на деятельность по технической защите конфиденциальной информации. В связи с тем, что для участия в ряде государственных тендеров все чаще стало встречаться требование о наличии лицензии по ТЗКИ, многие организации стали заявляться на получение этой лицензии и, соответственно, сталкиваться со множеством трудностей, связанных с ее получением. С выходом нового ПП РФ № 79 от 3 февраля 2012 года «О Лицензировании деятельности по технической защите конфиденциальной информации» в лицензию были внесены изменения – на лицевой стороне бланка лицензии стал указываться перечень работ и услуг, на которые распространяется указанная лицензия. Теперь организация – соискатель лицензии может выбрать необходимые ей пункты лицензии.

При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг:

а) контроль защищенности конфиденциальной информации от утечки по техническим каналам в:

  1. средствах и системах информатизации;
  2. технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
  3. помещениях со средствами (системами), подлежащими защите;
  4. помещениях, предназначенных для ведения конфиденциальных переговоров (далее — защищаемые помещения);

б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;

в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации:

  1. технических средств защиты информации;
  2. защищенных технических средств обработки информации;
  3. технических средств контроля эффективности мер защиты информации;
  4. программных (программно-технических) средств защиты информации;
  5. защищенных программных (программно-технических) средств обработки информации;
  6. программных (программно-технических) средств контроля защищенности информации);

г) аттестационные испытания и аттестация на соответствие требованиям по защите информации:

  1. средств и систем информатизации;
  2. помещений со средствами (системами) информатизации, подлежащими защите;
  3. защищаемых помещений;

д) проектирование в защищенном исполнении:

  1. средств и систем информатизации;
  2. помещений со средствами (системами) информатизации, подлежащими защите;
  3. защищаемых помещений;

е) установка, монтаж, испытания, ремонт средств защиты информации

  1. технических средств защиты информации;
  2. защищенных технических средств обработки информации;
  3. технических средств контроля эффективности мер защиты информации;
  4. программных (программно- технических) средств защиты информации;
  5. защищенных программных (программно-технических) средств обработки информации;
  6. программных (программно-технических) средств контроля защищенности информации).

Для осуществления заявленных видов деятельности у соискателя лицензии должна иметься литература (в том числе ограниченного распространения), обученные специалисты, контрольно-измерительное и испытательное оборудование. При этом перечень необходимой литературы для осуществления деятельности по технической защите конфиденциальной информации изложен в «Перечне технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. No 79», утвержденном директором ФСТЭК России от 16 марта 2012 года. Указанный перечень опубликован на официальном сайте ФСТЭК России (http://fstec.ru).

Для получения лицензии литературу (руководящие и методические документы, методики оценки, специальные требования) ограниченного распространения необходимо заказывать официально через территориальные органы ФСТЭК России по Федеральным округам, согласно территориальной принадлежности заявителя. Легитимность приобретения литературы подтверждается оформленными счетами, сопроводительными письмами и накладными на получение. ГОСТы ограниченного распространения приобретаются заявителем у организаций, имеющих полномочия на их официальное распространение. Легитимность приобретения литературы также подтверждается сопроводительными документами.

Организация – соискатель лицензии, должна иметь в штате не менее двух специалистов, находящихся в штате соискателя лицензии, имеющих высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации. При этом подтверждением повышения квалификации специалистов служит удостоверение государственного образца по программе, согласованной ФСТЭК России. Список организаций, проводящих курсы повышения квалификации по необходимым программам публикуется на официальном сайте ФСТЭК России (http://fstec.ru).

Необходимость наличия у организации — соискателя лицензии контрольно-измерительного и испытательного оборудования определяется на основании заявленных пунктов лицензии, указанных в Заявлении о предоставлении лицензии. Необходимость наличия того или иного оборудования у организации определяется в соответствии с «Перечнем контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности
по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79», утвержденным директором ФСТЭК России 3 апреля 2012 года. Указанный перечень опубликован на официальном сайте ФСТЭК России (http://fstec.ru).

В соответствии с «Перечнем…» организация может получить лицензию без наличия оборудования по следующим пунктам:

б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;

д) проектирование в защищенном исполнении:

  1. средств и систем информатизации;
  2. помещений со средствами (системами), подлежащими защите;
  3. защищаемых помещений;

е) установка, монтаж, испытания, ремонт средств защиты информации:

  1. программных (программно-технических) средств защиты информации;
  2. защищенных программных (программно-технических) средств обработки информации;
  3. программных (программно-технических) средств контроля защищенности информации).

Это самый простой, с точки зрения получения вид лицензии.

Обязательным условием получения лицензии являются также наличие:

  1. аттестованной по требованиям безопасности информации автоматизированной системы;
  2. защищаемого помещения.

В соответствии с п. 8 пп. «Д» «Положения о лицензировании деятельности по технической защите конфиденциальной информации» на аттестованную автоматизированную систему необходимо предоставить:

  1. копию технического паспорта (с приложениями);
  2. копию акта классификации;
  3. план размещения основных и вспомогательных технических средств и систем;
  4. аттестат соответствия требованиям безопасности информации или сертификатов соответствия автоматизированных систем требованиям безопасности информации;
  5. перечень защищаемых ресурсов;
  6. описание технологического процесса обработки информации.

Аттестованной автоматизированной системой может быть – автономная ПЭВМ, локальная вычислительная сеть.
В соответствии с п. 8 пп. «Г» «Положения о лицензировании деятельности по технической защите конфиденциальной информации» на защищаемое помещение необходимо предоставить:

  1. копию технического паспорта;
  2. копию аттестата соответствия.

Защищаемым помещением может служить кабинет руководителя, комната для переговоров, другое помещение, соответствующее требованиям по звуко(вибро)изоляции, имеющее аттестат соответствия по требованиям безопасности информации.