Проект Постановления Правительства Российской Федерации "О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79, и Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 марта 2012 г. № 171" (подготовлен ФСТЭК России 30.12.2015)
Досье на проект
Правительство Российской Федерации постановляет:
Утвердить прилагаемые изменения, которые вносятся в акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности.
Председатель Правительства Российской Федерации |
Д.Медведев |
Утверждены
постановлением Правительства
Российской Федерации
от "___"_________2016 г. N___
Изменения, которые вносятся в акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности
1. В Положении о лицензировании деятельности по технической защите конфиденциальной информации, утвержденном постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79 (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863):
а) пункт 4 изложить в следующей редакции:
"4. При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг (за исключением случаев, если указанные виды работ и услуг выполняются и (или) оказываются для обеспечения собственных нужд юридического лица или индивидуального предпринимателя):
а) контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
средствах и системах информатизации;
технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
помещениях со средствами (системами), подлежащими защите;
помещениях, предназначенных для ведения конфиденциальных переговоров (далее - защищаемые помещения);
б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
в) мониторинг информационной безопасности средств и систем информатизации;
г) аттестационные испытания и аттестация на соответствие требованиям по защите информации:
средств и систем информатизации;
помещений со средствами (системами) информатизации, подлежащими защите;
защищаемых помещений;
д) проектирование в защищенном исполнении:
средств и систем информатизации;
помещений со средствами (системами) информатизации, подлежащими защите;
защищаемых помещений;
е) установка, монтаж, наладка, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).";
б) пункт 5 изложить в следующей редакции:
"5. Лицензионными требованиями, предъявляемыми к соискателю лицензии на осуществление деятельности по технической защите конфиденциальной информации (далее - лицензия), являются:
а) наличие у соискателя лицензии:
юридического лица - в штате на основной работе согласно штатному расписанию следующего квалифицированного персонала:
руководитель и (или) уполномоченное руководить работами по лицензируемому виду деятельности лицо, имеющие высшее профессиональное образование по направлению подготовки "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или прошедшие обучение по программам профессиональной переподготовки по одной из специальностей этого направления (нормативный срок - свыше 360 аудиторных часов) и имеющие стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или имеющие иное высшее профессиональное*образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет;
инженерно-технические работники (не менее 2 человек), имеющие высшее профессиональное образование по направлению подготовки "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или прошедшие обучение по программам профессиональной переподготовки по одной из специальностей этого направления (нормативный срок - свыше 100 аудиторных часов) и имеющие стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет;
индивидуального предпринимателя - высшего профессионального образования по направлению подготовки "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей и стажа работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или дополнительного профессионального образования по программам профессиональной переподготовки по одной из специальностей этого направления (нормативный срок - свыше 360 аудиторных часов) и стажа работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или иного высшего профессионального* образования и стажа работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет;
б) наличие помещений, принадлежащих соискателю лицензии на праве собственности или на ином законном основании, в которых созданы необходимые условия для размещения работников, производственного и испытательного оборудования для выполнения работ, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну;
в) наличие оборудования, необходимого для выполнения работ, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе:
измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку), принадлежащих соискателю лицензии на праве собственности;
программных (программно-технических) средств, включая средства контроля защищенности информации, сертифицированных по требованиям безопасности информации, средства контроля (анализа) исходных текстов программного обеспечения, принадлежащих соискателю лицензии на праве собственности или на ином законном основании;
г) наличие принадлежащих соискателю лицензии на праве собственности автоматизированных систем, предназначенных для обработки конфиденциальной информации, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;
д) наличие технической и технологической документации, национальных стандартов и методических документов, необходимых для осуществления лицензируемого вида деятельности, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем. Документы, содержащие информацию ограниченного доступа, должны быть получены в установленном законодательством Российской Федерации порядке и принадлежать соискателю лицензии на праве собственности;
е) наличие системы менеджмента информационной безопасности, созданной и функционирующей согласно требованиям национальных стандартов.";
в) пункт 6 изложить в следующей редакции:
"6. Лицензионными требованиями, предъявляемыми к лицензиату при осуществлении лицензируемого вида деятельности, являются:
а) выполнение работ и (или) оказание услуг:
юридическим лицом - с привлечением находящихся в штате лицензиата на основной работе согласно штатному расписанию следующего квалифицированного персонала:
руководитель и (или) уполномоченное руководить работами по лицензируемому виду деятельности лицо, имеющие высшее профессиональное образование по направлению подготовки "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или прошедшие обучение по программам профессиональной переподготовки по одной из специальностей этого направления (нормативный срок обучения- свыше 360 аудиторных часов) и имеющие стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или имеющие иное высшее профессиональное*образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет;
инженерно-технические работники (не менее 2 человек), имеющие высшее профессиональное образование по направлению подготовки "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет или прошедшие обучение по программам профессиональной переподготовки по одной из специальностей этого направления (нормативный срок - свыше 100 аудиторных часов) и имеющие стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет;
индивидуальным предпринимателем, имеющим высшее профессиональное образование по направлению подготовки "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или прошедшим обучение по программам профессиональной переподготовки по одной из специальностей этого направления (нормативный срок - свыше 360 аудиторных часов) и имеющим стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или имеющим иное высшее профессиональное* образование, стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет.
Лица, указанные в абзацах третьем, четвертом и пятом настоящего подпункта, должны повышать квалификацию по лицензируемому виду деятельности не реже одного раза в 5 лет со сроком обучения не менее 72 аудиторных часов;
б) наличие помещений, принадлежащих лицензиату на праве собственности или на ином законном основании, в которых созданы необходимые условия для размещения работников, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, и размещено (установлено) производственное и испытательное оборудование, необходимое для выполнения работ;
в) использование оборудования, необходимого для выполнения работ, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе:
измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку), принадлежащих лицензиату на праве собственности;
программных (программно-технических) средств, в том числе средств контроля защищенности информации, сертифицированных по требованиям безопасности информации, средств контроля (анализа) исходных текстов программного обеспечения, принадлежащих лицензиату на праве собственности или на ином законном основании;
д) использование принадлежащих лицензиату на праве собственности автоматизированных систем, предназначенных для обработки конфиденциальной информации, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;
ж) наличие технической и технологической документации, национальных стандартов и методических документов, необходимых для осуществления лицензируемого вида деятельности, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем. Документы, содержащие информацию ограниченного доступа, должны быть получены в установленном законодательством Российской Федерации порядке и принадлежать лицензиату на праве собственности;
з) наличие у лицензиата системы менеджмента информационной безопасности, созданной и функционирующей согласно требованиям национальных стандартов.";
г) подпункты "з" и "и" пункта 8 изложить в следующей редакции:
"з) сведения об имеющихся технической и технологической документации, национальных стандартах и методических документах, необходимых для выполнения работ, предусмотренных пунктом 4 настоящего Положения с приложением копий документов, подтверждающих, что документы, содержащие информацию ограниченного доступа, получены в установленном законодательством Российской Федерации порядке и принадлежат лицензиату на праве собственности;";
и) копии документов, подтверждающих наличие у лицензиата системы менеджмента информационной безопасности, созданной и функционирующей согласно требованиям национальных стандартов.";
д) в пункте 10:
подпункт "г" исключить;
подпункт "д" изложить в следующей редакции:
"д) сведения, подтверждающие наличие оборудования, необходимого для выполнения работ, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе:
измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку), принадлежащих лицензиату на праве собственности;
программных (программно-технических) средств, в том числе средств контроля защищенности информации, сертифицированных по требованиям безопасности информации, средств контроля (анализа) исходных текстов программного обеспечения, принадлежащих лицензиату на праве собственности или на ином законном основании;";
подпункт "е" после слова "технической" дополнить словами "и технологической";
подпункт "ж" изложить в следующей редакции:
"ж) сведения, подтверждающие наличие у лицензиата системы менеджмента информационной безопасности, созданной и функционирующей согласно требованиям национальных стандартов.";
е) в пункте 11:
подпункт "г" изложить в следующей редакции:
"г) сведения, подтверждающие наличие оборудования, необходимого для выполнения работ, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе:
измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку), принадлежащих лицензиату на праве собственности;
программных (программно-технических) средств, в том числе средств контроля защищенности информации, сертифицированных по требованиям безопасности информации, средств контроля (анализа) исходных текстов программного обеспечения, принадлежащих лицензиату на праве собственности или на ином законном основании;";
подпункт "д" исключить;
подпункт "и" изложить в следующей редакции:
"и) сведения, подтверждающие наличие у лицензиата системы менеджмента информационной безопасности, созданной и функционирующей согласно требованиям национальных стандартов.".
2. В Положении о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденном постановлением Правительства Российской Федерации от 3 марта 2012 г. N 171 (Собрание законодательства Российской Федерации, 2012, N 11, ст. 1297):
а) в пункте 2 слова "Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации и Высшего Арбитражного Суда Российской Федерации," заменить словами "Конституционного Суда Российской Федерации и Верховного Суда Российской Федерации,";
б) пункт 4 изложить в следующей редакции:
"4. В случае если в качестве лицензирующего органа выступает Федеральная служба по техническому и экспортному контролю, лицензионными требованиями, предъявляемыми к соискателю лицензии на осуществление деятельности по разработке и производству средств защиты конфиденциальной информации (далее - лицензия), являются:
а) наличие в штате у соискателя лицензии на основной работе согласно штатному расписанию следующего квалифицированного персонала:
руководитель и (или) уполномоченное руководить работами по лицензируемому виду деятельности лицо, имеющие высшее профессиональное образование по направлению подготовки "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или прошедшие обучение по программам профессиональной переподготовки по одной из специальностей этого направления (нормативный срок обучения - свыше 500 аудиторных часов) и имеющие стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или имеющие иное высшее профессиональное* образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 7 лет;
инженерно-технические работники (не менее 2 человек), имеющие высшее профессиональное образование по направлению подготовки "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или прошедшие обучение по программам профессиональной переподготовки по одной из специальностей этого направления (нормативный срок обучения - свыше 250 аудиторных часов) и имеющие стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет;
б) наличие помещений, принадлежащих соискателю лицензии на праве собственности или на ином законном основании, в которых созданы необходимые условия для размещения работников, производственного и испытательного оборудования, необходимого для выполнения работ, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну;
в) наличие оборудования, необходимого для выполнения работ, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе:
производственного и испытательного оборудования, принадлежащего соискателю лицензии на праве собственности;
измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку), принадлежащих соискателю лицензии на праве собственности;
программных (программно-технических) средств, в том числе средств контроля защищенности информации, сертифицированных по требованиям безопасности информации, средств контроля (анализа) исходных текстов программного обеспечения, принадлежащих соискателю лицензии на праве собственности или на ином законном основании;
г) наличие технической и технологической документации, национальных стандартов и методических документов, необходимых для осуществления лицензируемого вида деятельности, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем. Документы, содержащие информацию ограниченного доступа, должны быть получены в установленном законодательством Российской Федерации порядке и принадлежать соискателю лицензии на праве собственности;
д) наличие системы менеджмента качества, созданной и функционирующей согласно требованиям национальных стандартов, в том числе предусматривающей меры по:
разработке безопасного программного обеспечения (при выполнении работ, предусмотренных подпунктом "а" пункта 3 настоящего Положения в отношении программных (программно-технических) средств защиты, обработки и контроля защищенности информации);
обеспечению соответствия продукции требованиям безопасности информации (при выполнении работ, предусмотренных подпунктом "б" пункта 3 настоящего Положения).";
в) пункт 6 изложить в следующей редакции:
"6. В случае если в качестве лицензирующего органа выступает Федеральная служба по техническому и экспортному контролю, лицензионными требованиями, предъявляемыми к лицензиату при осуществлении лицензируемого вида деятельности, являются:
а) выполнение работ находящимся на основной работе у лицензиата согласно штатному расписанию следующим квалифицированным персоналом:
руководитель и (или) уполномоченное руководить работами по лицензируемому виду деятельности лицо, имеющие высшее профессиональное образование по направлению подготовки "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или прошедшие обучение по программам профессиональной переподготовки по одной из специальностей этого направления (нормативный срок - свыше 500 аудиторных часов) и имеющие стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или имеющие иное высшее профессиональное* образование, стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 7 лет;
инженерно-технические работники (не менее 2 человек), имеющие высшее профессиональное образование по направлению подготовки "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет или прошедшие обучение по программам профессиональной переподготовки по одной из специальностей этого направления (нормативный срок - свыше 250 аудиторных часов), имеющие стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет.
Лица, указанные в абзацах втором и третьем настоящего подпункта должны повышать квалификацию по лицензируемому виду деятельности не реже одного раза в 5 лет со сроком обучения не менее 72 аудиторных часов;
б) наличие помещений, принадлежащих лицензиату на праве собственности или на ином законном основании, в которых созданы необходимые условия для размещения работников, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, размещено (установлено) производственное и испытательное оборудование, необходимое для выполнения работ;
в) использование оборудования, необходимого для выполнения работ, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе:
производственного и испытательного оборудования, принадлежащего лицензиату на праве собственности;
измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку), принадлежащих лицензиату на праве собственности;
программных (программно-технических) средств, в том числе средств контроля защищенности информации, сертифицированных по требованиям безопасности информации, средств контроля (анализа) исходных текстов программного обеспечения, принадлежащих лицензиату на праве собственности или на ином законном основании;
г) наличие технической и технологической документации, национальных стандартов и методических документов, необходимых для осуществления лицензируемого вида деятельности, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем. Документы, содержащие информацию ограниченного доступа должны быть получены в установленном законодательством Российской Федерации порядке и принадлежать лицензиату на праве собственности;
д) наличие системы менеджмента качества, созданной и функционирующей согласно требованиям национальных стандартов, в том числе предусматривающей меры по:
разработке безопасного программного обеспечения (при выполнении работ, предусмотренных подпунктом "а" пункта 3 настоящего Положения в отношении программных (программно-технических) средств защиты, обработки и контроля защищенности информации);
обеспечению соответствия продукции требованиям безопасности информации (при выполнении работ, предусмотренных подпунктом "б" пункта 3 настоящего Положения).";
г) в пункте 9:
в подпунктах "г" и "д" слова "(в случае, если в качестве лицензирующего органа выступает Федеральная служба безопасности Российской Федерации)" исключить;
в подпункте "ж" слова "документы, содержащие" исключить;
подпункт "з" изложить в следующей редакции:
"з) сведения об имеющихся технической и технологической документации, национальных стандартах и методических документах, необходимых для выполнения работ, предусмотренных пунктом 3 настоящего Положения с приложением копий документов, подтверждающих, что документы, содержащие информацию ограниченного доступа, получены в установленном законодательством Российской Федерации порядке и принадлежат лицензиату на праве собственности (в случае, если в качестве лицензирующего органа выступает Федеральная служба по техническому и экспортному контролю);";
подпункт "и" после слов "настоящего Положения" дополнить словами "в случае, если в качестве лицензирующего органа выступает Федеральная служба безопасности Российской Федерации";
подпункт "к" после слов "настоящего Положения" дополнить словами "в случае, если в качестве лицензирующего органа выступает Федеральная служба безопасности Российской Федерации";
дополнить подпунктом "л" следующего содержания:
"л) сведения о наличии и внедрении системы менеджмента качества на соответствующие виды работ (в виде заявления соискателя лицензии на основе результатов внутреннего или внешнего аудита либо копии сертификата соответствия системы менеджмента качества).";
д) в пункте 10 слова "в подпунктах "б"- "к" пункта 9" заменить словами "в подпунктах "б"- "л" пункта 9";
е) в пункте 11:
подпункт "б" исключить;
подпункт "в" изложить в следующей редакции:
"в) сведения, подтверждающие наличие оборудования, необходимого для осуществления лицензируемого вида деятельности;";
подпункт "д" изложить в следующей редакции:
"д) сведения, подтверждающие наличие системы менеджмента качества, созданной и функционирующей согласно требованиям национальных стандартов.";
подпункт "б" исключить;
ж) пункт 13 изложить в следующей редакции:
"13. При намерении лицензиата осуществлять лицензируемый вид деятельности по адресу места его осуществления, не указанному в лицензии, в заявлении о переоформлении лицензии указываются этот адрес и следующие сведения, подтверждающие соответствие лицензиата лицензионным требованиям, установленным пунктом 6 настоящего Положения (в случае, если в качестве лицензирующего органа выступает Федеральная служба по техническому и экспортному контролю):
а) сведения, подтверждающие наличие помещений, предназначенных для осуществления лицензируемого вида деятельности, права на которые не зарегистрированы в Едином государственном реестре прав на недвижимое имущество и сделок с ним;
б) сведения, подтверждающие наличие оборудования, необходимого для осуществления лицензируемого вида деятельности;
в) сведения, подтверждающие наличие системы менеджмента качества, созданной и функционирующей согласно требованиям национальных стандартов.".
_________________________________________________________________
* По направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук в соответствии с перечнями специальностей и направлений подготовки высшего образования, утверждаемыми Министерством образования и науки Российской Федерации в соответствии с частью 8 статьи 11 Федерального закона от 29 декабря 2012 г. N 273-ФЗ "Об образовании в Российской Федерации" (Собрание законодательства Российской Федерации, 2012, N 53, ст. 7598; 2013, N 19, ст. 2326).
Обзор документа
Предложено повысить требования к соискателям лицензий и лицензиатам при осуществлении деятельности по технической защите конфиденциальной информации, а также по разработке и производству средств защиты.
Так, в штате юрлица должны находиться инженерно-технические работники (не менее 2 человек), имеющие высшее профобразование по направлению "Информационная безопасность" и стаж работы в области проводимых работ не менее 3 лет, или прошедшие обучение по программам профпереподготовки по одной из специальностей этого направления (нормативный срок - свыше 100 аудиторных часов) и имеющие стаж работы минимум 3 года.
Детализируются квалификационные требования, предъявляемые к ИП.
Уточняются положения о наличии у субъекта системы менеджмента информационной безопасности, созданной и функционирующей согласно требованиям национальных стандартов.