- •Лекція 20 комерційна діяльність в галузі кзі
- •20.1 Вимоги щодо провадженя комерційної діяльності в галузі кзі
- •20.2 Кваліфікаційні вимоги до виконавців
- •20.3 Вимоги до організації-ліцензіата
- •20.4 Обладнання приміщень та наявність техніки
- •20.5 Структура відділу криптологічного забезпечення підприємства
- •20.6 Розподіл функціональних обов’язків у виробничих групах
- •20.7 Типовий пакет документації, щодо ліцензування підприємницікої діяльності в галузі кзі
- •20.7.1 Організаційно-розпорядчі документи керівника підприємства
- •20.7.2 Звітні документи, що надаються до державного органу ліцензування
20.3 Вимоги до організації-ліцензіата
В установчих документах суб'єкта господарювання повинно бути передбачено здійснення господарської діяльності у галузі КЗІ (крім банківських установ).
Суб'єкту господарювання необхідно визначити у документальному вигляді партнерів, що здійснюють постачання елементної бази та окремих комплектуючих виробів для криптосистем і засобів КЗІ, що виготовляються.
Порядок розробки суб'єктом господарювання криптосистем і засобів КЗІ повинен відповідати вимогам державних стандартів.
Порядок виробництва криптосистем і засобів КЗІ повинен відповідати вимогам стандартів системи розробки і поставлення продукції на виробництво.
Суб'єкт господарювання повинен здійснювати ввезення на територію України, вивезення з території України криптосистем і засобів КЗІ за погодженням з Держслужбою.
Для провадження робіт у галузі криптографічного захисту інформації, що належить до державної таємниці, спеціалісти повинні мати допуск до державної таємниці, оформлений у встановленому законодавством України порядку.
Для провадження господарської діяльності у галузі КЗІ суб'єкт господарювання повинен мати затверджене керівником внутрішнє положення, у якому повинні бути визначені:
- підрозділ (підрозділи), який безпосередньо здійснюватиме господарську діяльність у галузі КЗІ, його організаційно-штатна структура та завдання;
- конкретні інструкції щодо порядку та правил проведення робіт у галузі КЗІ;
- функціональні обов'язки та кваліфікаційні вимоги до спеціалістів, які залучаються до виконання робіт у галузі КЗІ;
- відповідальність цих спеціалістів за забезпечення збереження інформації з обмеженим доступом при виконанні робіт.
Суб'єкт господарювання повинен вести облік повного обсягу робіт у галузі КЗІ, що виконуються.
Для організації виробничої діяльності суб'єкт господарювання повинен мати та використовувати інформаційну базу нормативно-правових актів і нормативних документів, у тому числі внутрішніх інструкцій та положень, що (залежно від вибраною діяльності) містить:
- документи з питань ліцензування господарської діяльності;
- документи з порядку проведення заявлених робіт;
- технічну та експлуатаційну документацію на криптосистеми і засоби КЗІ, відповідні інструкції та графіки проведення технічного обслуговування апаратури, що потребує періодичного технічного обслуговування;
- інструкції щодо забезпечення безпеки експлуатації криптосистем і засобів КЗІ та порядку постачання, обліку, зберігання та використання ключових документів;
- методики проведення досліджень;
- нормативні документи щодо підготовки відповідних договорів на ввезення, вивезення криптосистем і засобів КЗІ, тощо.
20.4 Обладнання приміщень та наявність техніки
Для організації досліджень, розробки та виробництва засобів КЗІ суб'єкт господарювання повинен мати приміщення та виробничі потужності зокрема:
- дослідне виробництво, випробувальну базу;
- обладнані робочі місця для збирання та налагодження макетів розроблених криптосистем і засобів КЗІ;
- налагоджувальні стенди, призначені для здійснення моделювання роботи апаратури;
- інформаційно-обчислювальні комплекси, оснащені сучасними апаратними та програмними засобами, технічні засоби вимірювання і контролю, перевірені, згідно з діючими нормативними вимогами;
- інструмент, оснащене виробництво, ліцензійне програмне забезпечення, тощо.
Для провадження робіт у галузі криптографічного захисту інформації, що належить до державної таємниці, суб'єкт господарювання повинен мати власні виробничі потужності, а також атестовані на відповідність вимогам нормативних документів з питань технічного захисту інформації приміщення та (або) об'єкти електронно-обчислювальної техніки.