Положение о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем
- Настоящее Положение определяет порядок лицензирования разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.
- К шифровальным (криптографическим) средствам относятся:
а) средства шифрования — аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;
б) средства имитозащиты — аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;
в) средства электронной цифровой подписи — аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;
г) средства кодирования — средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;
д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации);
е) ключевые документы (независимо от вида носителя ключевой информации). - Лицензируемая деятельность включает в себя:
а) разработку шифровальных (криптографических) средств, указанных в пункте 2 настоящего Положения;
б) разработку защищенных с использованием шифровальных (криптографических) средств информационных систем;
в) разработку защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем;
г) производство шифровальных (криптографических) средств, указанных в пункте 2 настоящего Положения;
д) изготовление с использованием шифровальных (криптографических) средств изделий, предназначенных для подтверждения прав (полномочий) доступа к информации и (или) оборудованию в информационных и телекоммуникационных системах. - Настоящее Положение не распространяется на разработку и производство:
а) портативных или мобильных радиотелефонов гражданского назначения (в том числе предназначенных для использования в коммерческих гражданских системах сотовой радиосвязи), которые не имеют функции сквозного шифрования;
б) приемной аппаратуры радиовещания, коммерческого телевидения или иной аппаратуры коммерческого типа для вещания на ограниченную аудиторию без шифрования цифрового сигнала, в которой шифрование ограничено функциями управления видео- или аудиоканалами;
в) применяемых только для банковских и финансовых операций шифровальных (криптографических) средств в составе терминалов единичной продажи (банкоматов), криптографические возможности которых не могут быть изменены пользователями;
г) шифровальных (криптографических) средств независимо от их назначения, реализующих симметричные криптографические алгоритмы и обладающих максимальной длиной криптографического ключа менее 40 бит, а также реализующих асимметричные криптографические алгоритмы, основанные либо на разложении на множители целых чисел, либо на вычислении дискретных логарифмов в мультипликативной группе конечного поля, либо на дискретном логарифме в группе, отличной от названной, и обладающих максимальной длиной криптографического ключа 128 бит. - Лицензирование разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем, осуществляется Федеральным агентством правительственной связи и информации при Президенте Российской Федерации (далее именуется — лицензирующий орган).
- Лицензионными требованиями и условиями при осуществлении разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем, являются:
а) выполнение нормативных правовых актов Российской Федерации и соблюдение государственных стандартов, относящихся к лицензируемой деятельности;
б) выполнение нормативных документов лицензирующего органа, регламентирующих осуществление лицензируемой деятельности, зарегистрированных в установленном порядке Министерством юстиции Российской Федерации, и методических документов по лицензируемой деятельности, издаваемых лицензирующим органом в пределах своей компетенции;
в) наличие принадлежащих лицензиату на праве собственности или на ином законном основании сооружений, помещений, технологического, испытательного, контрольно-измерительного оборудования и иных объектов, необходимых для осуществления лицензируемой деятельности в соответствии с установленными требованиями;
г) соответствие указанных помещений требованиям, предъявляемым к такого рода помещениям технической документацией на находящееся в них оборудование;
д) обслуживание указанного оборудования в соответствии с регламентом, предусмотренным эксплуатационной документацией;
е) проведение своевременной поверки технологического, испытательного и контрольно-измерительного оборудования, используемого при осуществлении лицензируемой деятельности;
ж) использование программ для электронно-вычислительных машин и баз данных третьими лицами (пользователями) на основании договора с правообладателем;
з) использование при осуществлении лицензируемой деятельности криптографических алгоритмов, утвержденных в качестве государственных стандартов или определенных утвержденными Правительством Российской Федерации по представлению Федерального агентства правительственной связи и информации при Президенте Российской Федерации перечнями;
и) наличие системы поэкземплярного учета шифровальных (криптографических) средств и документации к ним;
к) установление порядка доступа лиц к конфиденциальной информации, связанной с осуществлением лицензируемой деятельности, и обеспечение контролируемого допуска персонала лицензиата к работам, связанным с такой информацией;
л) обеспечение безопасности хранения, обработки и передачи по каналам связи конфиденциальной информации, связанной с осуществлением лицензируемой деятельности;
м) применение средств обработки информации, аттестованных в соответствии с требованиями по защите информации;
н) оборудование средствами контроля вскрытия аппаратных и программно-аппаратных шифровальных (криптографических) средств, а также системных блоков электронно-вычислительных машин с инсталлированными шифровальными (криптографическими) средствами;
о) наличие охраны и (или) специального оборудования, а также распорядка работ, исключающих неконтролируемый доступ к шифровальным (криптографическим) средствам;
п) хранение шифровальных (криптографических) средств, их отдельных узлов и блоков, дистрибутивов программных и программно-аппаратных шифровальных (криптографических) средств, инсталляционных дискет, нормативной, эксплуатационной и ключевой документации к ним в хранилищах (металлических шкафах, сейфах), оборудованных внутренними замками;
р) наличие следующего квалифицированного персонала:
руководитель и (или) лицо, уполномоченное им руководить работами по осуществлению лицензируемой деятельности, имеющие высшее профессиональное образование и (или) профессиональную подготовку в области информационной безопасности, а также стаж работы в этой области не менее 5 лет;
инженерно-технический персонал, имеющий высшее профессиональное образование или прошедший переподготовку (повышение квалификации) в области информационной безопасности с получением специализации, соответствующей виду шифровальных (криптографических) средств. - Для получения лицензии соискатель лицензии представляет в лицензирующий орган следующие документы:
а) заявление о предоставлении лицензии с указанием:
лицензируемой деятельности;
наименования, организационно-правовой формы и места нахождения — для юридического лица;
фамилии, имени, отчества, места жительства, данных документа, удостоверяющего личность, — для индивидуального предпринимателя;
б) копии учредительных документов и свидетельства о государственной регистрации соискателя лицензии в качестве юридического лица либо копия свидетельства о государственной регистрации соискателя лицензии в качестве индивидуального предпринимателя (с предъявлением оригинала в случае, если копия не заверена нотариусом);
в) копия свидетельства о постановке соискателя лицензии на учет в налоговом органе (с предъявлением оригинала в случае, если копия не заверена нотариусом);
г) документ, подтверждающий уплату лицензионного сбора за рассмотрение заявления о предоставлении лицензии;
д) сведения о квалификации работников соискателя лицензии, подписанные руководителем (лицом, его замещающим) и заверенные печатью юридического лица или индивидуального предпринимателя. - Документы принимаются по описи, копия которой с отметкой о дате приема документов направляется (вручается) соискателю лицензии.
За предоставление недостоверных или искаженных сведений соискатель лицензии несет ответственность в соответствии с законодательством Российской Федерации. - Лицензирующий орган вправе запрашивать у соискателя лицензии подтверждение соответствия лицензируемой деятельности лицензионным требованиям и условиям.
- Лицензирующий орган в течение 60 дней со дня поступления заявления со всеми необходимыми документами принимает решение о предоставлении или об отказе в предоставлении лицензии и направляет (вручает) соискателю лицензии соответствующее уведомление (в случае отказа в предоставлении лицензии — с указанием причин отказа).
- Решение о предоставлении либо об отказе в предоставлении лицензии принимается по результатам проверки достоверности представленных сведений и соответствия соискателя лицензии лицензионным требованиям и условиям.
В случае если представленной в соответствии с пунктом 7 настоящего Положения информации недостаточно, проверка проводится по месту нахождения соискателя лицензии.
Проверка достоверности представленных сведений и проверка соответствия соискателя лицензии лицензионным требованиям и условиям по месту его нахождения проводятся должностными лицами лицензирующего органа на основании предписания лицензирующего органа в согласованные с соискателем лицензии сроки. Продолжительность проверки не должна превышать 30 дней.
Соискатель лицензии обязан предоставить проверяющим беспрепятственный доступ к необходимой документации, связанной с лицензируемой деятельностью, объектам, на которых или с помощью которых будет осуществляться лицензируемая деятельность, документации на эти объекты, обеспечить условия проведения проверки и присутствие при этом соответствующих должностных лиц. - Лицензия выдается на 5 лет.
Срок действия лицензии по его окончании может быть продлен по заявлению лицензиата в порядке, предусмотренном для переоформления лицензии. - Лицензирующий орган ведет реестр лицензий, в котором указываются:
а) наименование лицензирующего органа;
б) сведения о лицензиате:
наименование, организационно-правовая форма, место нахождения — для юридического лица;
фамилия, имя, отчество, место жительства, данные документа, удостоверяющего личность, — для индивидуального предпринимателя;
в) код лицензиата по Общероссийскому классификатору предприятий и организаций и идентификационный номер налогоплательщика;
г) лицензируемая деятельность;
д) срок действия лицензии;
е) номер лицензии;
ж) дата принятия решения о предоставлении лицензии;
з) дата предоставления лицензии;
и) сведения о регистрации лицензии в реестре лицензий;
к) основания и даты приостановления и возобновления действия лицензии;
л) основание и срок продления лицензии;
м) основание и дата аннулирования лицензии. - Ведение реестра лицензий осуществляется уполномоченными должностными лицами лицензирующего органа. Данные вносятся в реестр не позднее 3 дней с даты подписания лицензии или даты принятия руководством лицензирующего органа решения о приостановлении, возобновлении действия или аннулировании лицензии.
- Контроль за выполнением лицензиатом лицензионных требований и условий осуществляется в форме проверок в порядке, определяемом руководителем лицензирующего органа.
О проведении проверки лицензирующий орган уведомляет лицензиата не позднее чем за 10 дней до ее начала.
Плановая проверка проводится не чаще одного раза в 2 года по утвержденному лицензирующим органом плану.
Внеплановая проверка проводится лицензирующим органом в случае:
получения от юридических лиц, индивидуальных предпринимателей, органов государственной власти информации о нарушении лицензиатом лицензионных требований и условий;
обращения граждан, юридических лиц и индивидуальных предпринимателей с жалобами на нарушения их прав и законных интересов действиями (бездействием) лицензиатов, которые связаны с невыполнением лицензиатами лицензионных требований и условий.
Продолжительность проверки не должна превышать 30 дней.
Лицензиат обязан предоставить проверяющим беспрепятственный доступ к необходимой документации по лицензируемой деятельности, объектам, на которых или с помощью которых осуществляется лицензируемая деятельность, документации на эти объекты, обеспечить условия проведения проверки и присутствие при этом соответствующих должностных лиц.
По результатам проверки оформляется акт, в котором указываются конкретные нарушения и срок их устранения.
С актом проверки в обязательном порядке должен быть ознакомлен лицензиат. - Лицензиат уведомляет лицензирующий орган об устранении нарушений лицензионных требований и условий в установленный актом проверки срок.
По решению лицензионного органа проверка устранения лицензиатом нарушений лицензионных требований и условий осуществляется в течение 15 дней со дня получения от лицензиата уведомления об устранении нарушений. - Принятие решений о предоставлении, переоформлении, приостановлении действия, аннулировании лицензии, а также взимание лицензионных сборов осуществляются в порядке, установленном Федеральным законом «О лицензировании отдельных видов деятельности».