Положение о лицензировании предоставления услуг в области шифрования информации
- Настоящее Положение определяет порядок лицензирования предоставления услуг в области шифрования информации.
- К шифровальным (криптографическим) средствам относятся:
а) средства шифрования — аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;
б) средства имитозащиты — аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;
в) средства электронной цифровой подписи — аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;
г) средства кодирования — средства, реализующие алгоритмы криптографического преобразования информации и выполняющие часть преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;
д) средства для изготовления ключевых документов (независимо от вида носителя ключевой информации);
е) ключевые документы (независимо от вида носителя ключевой информации). - Деятельность по предоставлению услуг в области шифрования информации включает в себя:
а) шифрование информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц;
б) имитозащиту информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц;
в) предоставление юридическим и физическим лицам защищенных с использованием шифровальных (криптографических) средств каналов связи для передачи информации, не содержащей сведений, составляющих государственную тайну;
г) обеспечение пользователей системы электронного документооборота ключевой информацией (включая ее формирование и распределение) независимо от вида носителя ключевой информации, предназначенной для защиты информации, не содержащей сведений, составляющих государственную тайну. - Настоящее Положение не распространяется на предоставление услуг в области шифрования информации с использованием:
а) шифровальных (криптографических) средств, являющихся компонентами доступных для продажи без ограничений посредством розничной торговли, либо сделок по почтовым запросам, либо электронных сделок, либо сделок по телефонным заказам программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т. д.) на которые является доступной, в том числе для проверки;
б) персональных кредитных карточек со встроенными микроЭВМ, криптографические возможности которых не могут быть изменены пользователями;
в) портативных или мобильных радиотелефонов гражданского назначения (типа радиотелефонов, предназначенных для использования в коммерческих гражданских системах сотовой радиосвязи), которые не имеют функции сквозного шифрования;
г) приемной аппаратуры радиовещания, коммерческого телевидения или иной аппаратуры коммерческого типа для вещания на ограниченную аудиторию без шифрования цифрового сигнала, в которой шифрование ограничено функциями управления видео- или аудиоканалами;
д) специально разработанных и применяемых только для банковских и финансовых операций шифровальных (криптографических) средств в составе терминалов единичной продажи (банкоматов), криптографические возможности которых не могут быть изменены пользователями;
е) специально разработанных и применяемых только в составе контрольно-кассовых машин шифровальных (криптографических) средств защиты фискальной памяти;
ж) шифровальных (криптографических) средств (независимо от их назначения), реализующих симметричные криптографические алгоритмы и обладающих максимальной длиной криптографического ключа менее 40 бит, а также реализующих асимметричные криптографические алгоритмы, основанные либо на разложении на множители целых чисел, либо на вычислении дискретных логарифмов в мультипликативной группе конечного поля, либо на вычислении дискретных логарифмов в группе, отличной от названной, и обладающих максимальной длиной криптографического ключа 128 бит. - Лицензирование предоставления услуг в области шифрования информации осуществляется Федеральным агентством правительственной связи и информации при Президенте Российской Федерации (далее именуется — лицензирующий орган).
- Лицензионными требованиями и условиями при предоставлении услуг в области шифрования информации являются:
а) выполнение нормативных правовых актов Российской Федерации и соблюдение государственных стандартов, относящихся к лицензируемой деятельности;
б) выполнение нормативных документов лицензирующего органа, регламентирующих осуществление лицензируемой деятельности, зарегистрированных в установленном порядке Министерством юстиции Российской Федерации, и методических документов по лицензируемой деятельности, издаваемых лицензирующим органом в пределах своей компетенции;
в) представление в лицензирующий орган перечня шифровальных (криптографических) средств, используемых при осуществлении лицензируемой деятельности (с предоставлением по запросу технической документации и (или) образцов шифровальных (криптографических) средств, которые не имеют сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации);
г) использование шифровальных (криптографических) средств иностранного производства при условии, что эти средства были ввезены на территорию Российской Федерации и распространялись в порядке, установленном нормативными правовыми актами Российской Федерации;
д) наличие принадлежащих лицензиату на праве собственности или на ином законном основании сооружений, помещений, технологического, испытательного, контрольно-измерительного оборудования и иных объектов, необходимых для осуществления лицензируемой деятельности в соответствии с установленными технологическими требованиями;
е) соответствие указанных помещений требованиям, предъявляемым к такого рода помещениям технической документацией на находящееся в них оборудование;
ж) обслуживание указанного оборудования в соответствии с регламентом, предусмотренным эксплуатационной документацией;
з) проведение своевременной поверки технологического, испытательного и контрольно-измерительного оборудования, используемого при осуществлении лицензируемой деятельности;
и) использование программ для электронно-вычислительных машин или баз данных третьими лицами (пользователями), на основании договора с правообладателем;
к) наличие системы поэкземплярного учета шифровальных (криптографических) средств и документации к ним;
л) установление порядка доступа лиц к конфиденциальной информации, связанной с осуществлением лицензируемой деятельности, и обеспечение контролируемого допуска персонала лицензиата к работам, связанным с этой информацией;
м) обеспечение безопасности хранения, обработки и передачи по каналам связи конфиденциальной информации, связанной с осуществлением лицензируемой деятельности;
н) применение средств обработки информации, аттестованных в соответствии с требованиями по защите информации;
о) наличие охраны и (или) специального оборудования, а также распорядка работ, исключающих неконтролируемый доступ к шифровальным (криптографическим) средствам;
п) осуществление учета и хранения носителей ключевой информации и инсталляционных дискет, содержащих программы шифрования, специально выделенными должностными лицами, которые непосредственно работают с ними и несут персональную ответственность за сохранность носителей ключевой информации и инсталляционных дискет, содержащих программы шифрования;
р) ведение учета изготовленной для пользователей ключевой информации, регистрация выдачи ключевых документов, их возврата и уничтожения в выделенных для этих целей журналах;
с) хранение шифровальных (криптографических) средств, их отдельных узлов и блоков, дистрибутивов программных и программно-аппаратных шифровальных (криптографических) средств, инсталляционных дискет, нормативной, эксплуатационной и ключевой документации к ним в хранилищах (металлических шкафах, сейфах), оборудованных внутренними замками;
т) обеспечение раздельного безопасного хранения рабочих и резервных носителей ключевой информации, предназначенных для использования в случае компрометации рабочей ключевой информации; обеспечение условий, исключающих непреднамеренное уничтожение или иное не предусмотренное нормативной и эксплуатационной документацией на шифровальные (криптографические) средства применение носителей ключевой информации и инсталляционных дискет, содержащих программы шифрования, в случае их хранения в одном хранилище с другими документами;
у) обеспечение уничтожения исходной ключевой информации путем физического уничтожения носителя ключевой информации, на котором она расположена, или путем стирания (разрушения) исходной ключевой информации без повреждения носителя (для обеспечения возможности его многократного использования) в соответствии с эксплуатационной и технической документацией к соответствующим шифровальным (криптографическим) средствам, а также указаниями организации, производившей запись исходной ключевой информации;
ф) обеспечение условий, исключающих возможность неконтролируемого доступа к шифровальным (криптографическим) средствам при их транспортировке, а также возможность их физического повреждения и внешнего воздействия на носители ключевой информации;
х) обеспечение сохранности, целости и работоспособности шифровальных (криптографических) средств, работающего совместно с шифровальными (криптографическими) средствами оборудования, а также используемого программного обеспечения;
ц) наличие следующего квалифицированного персонала:
руководитель и (или) лицо, уполномоченное им руководить работами по осуществлению лицензируемой деятельности, имеющие высшее профессиональное образование и (или) профессиональную подготовку в области информационной безопасности, а также стаж работы в этой области не менее 5 лет;
инженерно-технический персонал, имеющий высшее профессиональное образование или прошедший переподготовку (повышение квалификации) в области информационной безопасности с получением специализации, соответствующей виду шифровальных (криптографических) средств. - Для получения лицензии соискатель лицензии представляет в лицензирующий орган следующие документы:
а) заявление о предоставлении лицензии с указанием:
лицензируемой деятельности;
наименования, организационно-правовой формы и места нахождения — для юридического лица;
фамилии, имени, отчества, места жительства, данных документа, удостоверяющего личность, — для индивидуального предпринимателя;
б) копии учредительных документов и свидетельства о государственной регистрации соискателя лицензии в качестве юридического лица либо копия свидетельства о государственной регистрации соискателя лицензии в качестве индивидуального предпринимателя (с предъявлением оригинала в случае, если копия не заверена нотариусом);
в) копия свидетельства о постановке соискателя лицензии на учет в налоговом органе (с предъявлением оригинала в случае, если копия не заверена нотариусом);
г) документ, подтверждающий уплату лицензионного сбора за рассмотрение заявления о предоставлении лицензии;
д) сведения о квалификации работников соискателя лицензии, подписанные руководителем (лицом, его замещающим) и заверенные печатью юридического лица или индивидуального предпринимателя. - Документы принимаются по описи, копия которой с отметкой о дате приема документов направляется (вручается) соискателю лицензии.
За предоставление недостоверных или искаженных сведений соискатель лицензии несет ответственность в соответствии с законодательством Российской Федерации. - Лицензирующий орган вправе запрашивать у соискателя лицензии подтверждение соответствия лицензируемой деятельности лицензионным требованиям и условиям.
- Лицензирующий орган в течение 60 дней со дня поступления заявления со всеми необходимыми документами принимает решение о предоставлении или об отказе в предоставлении лицензии и направляет (вручает) соискателю лицензии уведомление о предоставлении лицензии либо об отказе в предоставлении лицензии с указанием причин отказа.
- Решение о предоставлении либо об отказе в предоставлении лицензии принимается по результатам проверки достоверности представленных соискателем лицензии документов и проверки соответствия соискателя лицензии лицензионным требованиям и условиям.
В случае если представленной в соответствии с пунктом 7 настоящего Положения информации недостаточно, проверка проводится по месту нахождения соискателя лицензии.
Проверка достоверности представленных сведений и проверка соответствия соискателя лицензии лицензионным требованиям и условиям по месту его нахождения проводятся должностными лицами лицензирующего органа на основании предписания лицензирующего органа в согласованные с соискателем лицензии сроки. Продолжительность проверки не должна превышать 30 дней.
Соискатель лицензии обязан предоставить проверяющим беспрепятственный доступ к необходимой документации, связанной с лицензируемой деятельностью, объектам, на которых или с помощью которых будет осуществляться лицензируемая деятельность, документации на эти объекты, обеспечить условия проведения проверки и присутствие при этом соответствующих должностных лиц. - Лицензия выдается на 5 лет.
Срок действия лицензии по его окончании может быть продлен по заявлению лицензиата в порядке, предусмотренном для переоформления лицензии. - Лицензирующий орган ведет реестр лицензий, в котором указываются:
а) наименование лицензирующего органа;
б) сведения о лицензиате:
наименование, организационно-правовая форма, место нахождения — для юридического лица;
фамилия, имя, отчество, место жительства, данные документа, удостоверяющего личность, — для индивидуального предпринимателя;
в) код лицензиата по Общероссийскому классификатору предприятий и организаций и идентификационный номер налогоплательщика;
г) лицензируемая деятельность;
д) срок действия лицензии;
е) номер лицензии;
ж) дата принятия решения о предоставлении лицензии;
з) дата предоставления лицензии;
и) сведения о регистрации лицензии в реестре лицензий;
к) основания и даты приостановления и возобновления действия лицензии;
л) основание и срок продления лицензии;
м) основание и дата аннулирования лицензии. - Ведение реестра лицензий осуществляется уполномоченными должностными лицами лицензирующего органа. Данные вносятся в реестр лицензий не позднее 3 дней после подписания лицензии или даты принятия руководством лицензирующего органа решения о приостановлении, возобновлении действия или аннулировании лицензии.
- Контроль за выполнением лицензиатом лицензионных требований и условий осуществляется в форме проверок в порядке, определяемом руководителем лицензирующего органа.
О проведении проверки лицензирующий орган уведомляет лицензиата не позднее чем за 10 дней до ее начала.
Плановая проверка проводится не чаще одного раза в 2 года по утвержденному лицензирующим органом плану.
Внеплановая проверка проводится лицензирующим органом в случае:
получения от юридических лиц, индивидуальных предпринимателей, органов государственной власти информации о нарушении лицензиатом лицензионных требований и условий;
обращения граждан, юридических лиц и индивидуальных предпринимателей с жалобами на нарушения их прав и законных интересов действиями (бездействием) лицензиатов, которые связаны с невыполнением лицензиатами лицензионных требований и условий.
Продолжительность проверки не должна превышать 30 дней.
Лицензиат обязан предоставить проверяющим беспрепятственный доступ к необходимой документации, связанной с лицензируемой деятельностью, объектам, на которых или с помощью которых осуществляется лицензируемая деятельность, документации на эти объекты, обеспечить условия проведения проверки и присутствие при этом соответствующих должностных лиц.
По результатам проверки оформляется акт, в котором указываются конкретные нарушения и срок их устранения.
С актом проверки в обязательном порядке должен быть ознакомлен лицензиат. - Лицензиат уведомляет лицензирующий орган об устранении нарушений лицензионных требований и условий в установленный актом проверки срок.
По решению лицензирующего органа проверка устранения лицензиатом нарушений лицензионных требований и условий осуществляется в течение 15 дней со дня получения от лицензиата уведомления об устранении нарушений. - Принятие решений о предоставлении, переоформлении, приостановлении действия, аннулировании лицензии, а также взимание лицензионных сборов осуществляются в порядке, установленном Федеральным законом «О лицензировании отдельных видов деятельности».