Лицензирование деятельности в области защиты информации
К государственным органам по лицензированию относятся ФСБ, СВР, Гостехкомисся РФ при Президенте РФ и ФАПСИ. Они организуют обязательное государственное лицензирование деятельности предприятий и выда ют государственные лицензии предприятиям изготовителям. Государственные органы обеспечивают: во пер вых, публикацию сведений о лицензионной деятельности; во вторых, разрабатывают и утверждают норма тивно методические документы (НМД); в третьих, на них возлагается контроль и надзор за полнотой и каче ством проводимых работ в области защиты информации. Рассмотрим сферы полномочий государственных органов по лицензированию.
ФСБ и СВР уполномочены на ведение лицензионной деятельности:
•по допуску предприятий к проведению работ, связанных с использованием сведений, составляющих ГТ; Примечание: Лицензирование предприятий ФСБ, МО, ФАПСИ, ФПС (федеральной пограничной службы), СВР, Гостехкомисси РФ по допуску к проведению работ, связанных с использованием сведений, состав ляющих ГТ, осуществляется руководителями данных министерств (ведомств).
•на право осуществления мероприятий и (или) оказания услуг в области защиты ГТ. Причём, на территории РФ лицензирование осуществляет ФСБ, за рубежом СВР.
Гостехкомисся РФ при Президенте РФ и ФАПСИ при Президенте РФ уполномочены на ведение лицензионной деятельности на право:
•ведения работ, связанных с созданием средств защиты информации;
•осуществления мероприятий и (или) оказания услуг в области защиты ГТ.
Между Гостехкомиссей РФ и ФАПСИ существует разделение сфер лицензионной деятельности. Лицензированию в ФАПСИ подлежат работы, связанные с разработкой и испытаниями средств криптографи ческой защиты информации, а также средств и комплексов телекоммуникаций (средств защиты информации) высших органов государственной власти РФ. Кроме этого, ФАПСИ выдает лицензию на право проведения ра бот по выявлению электронных устройств перехвата информации в помещениях и технических средствах го сударственных структур на территории РФ.
Гостехкомисся РФ может выдать лицензию для осуществления следующих видов деятельности:
1.Сертификация (сертификационные испытания) ТСОИ и средств защиты информации.
2.Аттестование систем связи и управления, АСУ, а также помещений для ведения переговоров, содержа щих охраняемые сведения.
3.Разработка, производство и обслуживание защищённых ТСОИ (средств защиты информации).
4.Проведение спец. исследований на ПЭМИН ТСОИ.
5.Проектирование защищённых объектов.
6.Подготовка и переподготовка кадров в области защиты информации по вышеперечисленным видам де
ятельности.
Лицензионные центры формируются из состава территориальных органов ФСБ, специальных центров Гостех комиссии РФ, центров правительственной связи ФАПСИ, отраслевых и региональных учреждений, предприя тий и организаций по защите информации.
Лицензионные центры создаются:
•при государственных органах по лицензированию;
•в отраслях (министерствах);
•в регионах.
Так, в С З регионе аккредитованы три лицензионных центра ведомственной принадлежности:
1.НИИ проблем автоматизации (Роскоминформ).
2.Санкт Петербургский государственный электротехнический университет (Госкомвуз России).
3.Академия региональных проблем информатики и управления (Ассоциация экономического взаимодей
ствия территорий Северо запада).
ВЛИЦЕНЗИИ указывается перечень разрешенных видов деятельности.
2.Основания и порядок получения лицензии
Чтобы разрешить предприятию работать со сведениями, содержащими ГТ, т.е. выдать ему ЛИЦЕНЗИЮ, необхо димо провести экспертизу (проверку) данного предприятия. Другими словами, выяснить, как на данном пред приятии выполняются требования по защите информации, как строго соблюдается режим секретности и т.п.. Необходимо также установить уровень квалификации руководителя предприятия и специалистов в вопросах защиты информации.
Таким образом, основанием для получения лицензии являются результаты:
•специальной экспертизы предприятия ;
•государственной аттестации руководителей (ответственных за защиту сведений, составляющих ГТ). Рассмотрим подробнее основания для получения ЛИЦЕНЗИИ.
Специальная экспертиза
Специальная экспертиза предприятия проводится путём проверки выполнения требований НМД:
1)по режиму секретности ;
2)по ПД ТСР иностранных государств;
3)по защите информации от утечки по техническим каналам.
15.4
Лицензирование деятельности в области защиты информации
Кто организует и проводит специальную экспертизу?
Это государственные органы (ФСБ, ФАПСИ, Гостехкомиссии РФ, СВР) и другие министерства (ведомства) РФ, руководители которых наделены полномочиями по отнесению сведений к ГТ. Эти министерства (ведомства) организуют специальную экспертизу в отношении подведомственных им предприятий.
Для проведения специальной экспертизы указанные государственные органы могут создавать региональные и отраслевые АТТЕСТАЦИОННЫЕ ЦЕНТРЫ, которые также получают соответствующую ЛИЦЕНЗИЮ. Непосредственно проводят экспертизу экспертные комиссии, создаваемые при государственных и аттеста ционных центрах.
Чем определяется порядок проведения специальной экспертизы?
В Положении о лицензировании указано, что организация и порядок проведения специальной экспертизы определяется инструкциями государственных органов. В настоящее время действует несекретная инструк ция ФСБ по проведению специальной экспертизы. Она согласована с Государственной технической комисси ей РФ и ФАПСИ.
Специальные экспертизы проводятся на основе договора между предприятием и органом, проводящим специаль ную экспертизу. Расходы за счет предприятия.
Что проверяется (оценивается) в ходе специальной экспертизы?
Специальные экспертизы проводятся путем оценки следующих трёх условий:
•выполнения требований законодательных и иных нормативных актов РФ по обеспечению защиты сведе ний, составляющих ГТ;
•достаточности количества и уровня квалификации специально подготовленных сотрудников по защите ГТ и защите информации;
•наличия сертифицированных средств защиты информации.
Какой документ оформляется ?
Результаты работы комиссии оформляются актом, в котором дается заключение о готовности предприятия осуще ствлять работы, связанные с использованием сведений, составляющих ГТ. Акт прилагается к заявлению о выдаче лицензии.
Куда обращаться для проведения специальной экспертизы?
Для проведения специальной экспертизы предприятия обращаются в ФСБ или территориальный орган по бе зопасности, которые с участием Гостехкомиссии РФ и ФАПСИ (или их органов на местах) дают соответствую щее поручение аттестационному центру (экспертной комиссии, если специальную экспертизу проводит ФСБ или территориальный орган по безопасности).
Государственная аттестация руководителей предприятий
Цель государственной аттестации проверить:
1)знание руководителями предприятия требований НМД по режиму секретности, ПД ТСР и защите информации от утечки по техническим каналам;
2)умения организовать на предприятии проведение работ по защите сведений, составляющих ГТ. Примечание 1: Перечень НМД по ЗИ от ТСР иностранных государств и от её утечки по техническим кана лам утвержден решением Гостехкомиссии N32 от 14.3.95г.
Примечание 2: От государственной аттестации освобождаются руководители предприятий, имеющие сви детельство об окончании учебных заведений, уполномоченных осуществлять подготовку специалистов по ЗИ. Перечень таких учебных заведений утвержден Межведомственной комиссией по защите ГТ.
Чем определяется порядок проведения аттестации?
Организация и порядок аттестации определяется «Инструкцией о порядке проведения государственной аттеста ции руководителей предприятий, учреждений и организаций, ответственных за защиту сведений, составляющих ГТ», утвержденной Председателем ГТК 17.10.95г.
|
|
Заявление |
Копии, |
|
|
|
|
|
о выдаче |
справки, |
|
|
|
|
|
лицензии |
и т.п. |
|
|
|
|
Результаты |
|
|
Результаты |
|
|
|
Специальной |
Лицензия официальный документ, |
Государственной |
|
||
|
АТТЕСТАЦИИ |
|
||||
По |
разрешающий конкретный вид |
По |
||||
ЭКСПЕРТИЗЫ |
руководителя |
|||||
деятельности в течении |
||||||
инструкции |
предприятия |
предприятия |
инструкции |
|||
установленного срока |
||||||
ФСБ |
|
|
ГТК |
|||
|
(3 5 лет) |
|
||||
|
|
|
|
|||
Рис.2. Основания для получения лицензии
15.5