Положение о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем

  1. Настоящее Положение определяет порядок лицензирования разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.
  2. К шифровальным (криптографическим) средствам относятся:

    а) средства шифрования — аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;
    б) средства имитозащиты — аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;
    в) средства электронной цифровой подписи — аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;
    г) средства кодирования — средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;
    д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации);
    е) ключевые документы (независимо от вида носителя ключевой информации).

  3. Лицензируемая деятельность включает в себя:

    а) разработку шифровальных (криптографических) средств, указанных в пункте 2 настоящего Положения;
    б) разработку защищенных с использованием шифровальных (криптографических) средств информационных систем;
    в) разработку защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем;
    г) производство шифровальных (криптографических) средств, указанных в пункте 2 настоящего Положения;
    д) изготовление с использованием шифровальных (криптографических) средств изделий, предназначенных для подтверждения прав (полномочий) доступа к информации и (или) оборудованию в информационных и телекоммуникационных системах.

  4. Настоящее Положение не распространяется на разработку и производство:

    а) портативных или мобильных радиотелефонов гражданского назначения (в том числе предназначенных для использования в коммерческих гражданских системах сотовой радиосвязи), которые не имеют функции сквозного шифрования;
    б) приемной аппаратуры радиовещания, коммерческого телевидения или иной аппаратуры коммерческого типа для вещания на ограниченную аудиторию без шифрования цифрового сигнала, в которой шифрование ограничено функциями управления видео- или аудиоканалами;
    в) применяемых только для банковских и финансовых операций шифровальных (криптографических) средств в составе терминалов единичной продажи (банкоматов), криптографические возможности которых не могут быть изменены пользователями;
    г) шифровальных (криптографических) средств независимо от их назначения, реализующих симметричные криптографические алгоритмы и обладающих максимальной длиной криптографического ключа менее 40 бит, а также реализующих асимметричные криптографические алгоритмы, основанные либо на разложении на множители целых чисел, либо на вычислении дискретных логарифмов в мультипликативной группе конечного поля, либо на дискретном логарифме в группе, отличной от названной, и обладающих максимальной длиной криптографического ключа 128 бит.

  5. Лицензирование разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем, осуществляется Федеральным агентством правительственной связи и информации при Президенте Российской Федерации (далее именуется — лицензирующий орган).
  6. Лицензионными требованиями и условиями при осуществлении разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем, являются:

    а) выполнение нормативных правовых актов Российской Федерации и соблюдение государственных стандартов, относящихся к лицензируемой деятельности;
    б) выполнение нормативных документов лицензирующего органа, регламентирующих осуществление лицензируемой деятельности, зарегистрированных в установленном порядке Министерством юстиции Российской Федерации, и методических документов по лицензируемой деятельности, издаваемых лицензирующим органом в пределах своей компетенции;
    в) наличие принадлежащих лицензиату на праве собственности или на ином законном основании сооружений, помещений, технологического, испытательного, контрольно-измерительного оборудования и иных объектов, необходимых для осуществления лицензируемой деятельности в соответствии с установленными требованиями;
    г) соответствие указанных помещений требованиям, предъявляемым к такого рода помещениям технической документацией на находящееся в них оборудование;
    д) обслуживание указанного оборудования в соответствии с регламентом, предусмотренным эксплуатационной документацией;
    е) проведение своевременной поверки технологического, испытательного и контрольно-измерительного оборудования, используемого при осуществлении лицензируемой деятельности;
    ж) использование программ для электронно-вычислительных машин и баз данных третьими лицами (пользователями) на основании договора с правообладателем;
    з) использование при осуществлении лицензируемой деятельности криптографических алгоритмов, утвержденных в качестве государственных стандартов или определенных утвержденными Правительством Российской Федерации по представлению Федерального агентства правительственной связи и информации при Президенте Российской Федерации перечнями;
    и) наличие системы поэкземплярного учета шифровальных (криптографических) средств и документации к ним;
    к) установление порядка доступа лиц к конфиденциальной информации, связанной с осуществлением лицензируемой деятельности, и обеспечение контролируемого допуска персонала лицензиата к работам, связанным с такой информацией;
    л) обеспечение безопасности хранения, обработки и передачи по каналам связи конфиденциальной информации, связанной с осуществлением лицензируемой деятельности;
    м) применение средств обработки информации, аттестованных в соответствии с требованиями по защите информации;
    н) оборудование средствами контроля вскрытия аппаратных и программно-аппаратных шифровальных (криптографических) средств, а также системных блоков электронно-вычислительных машин с инсталлированными шифровальными (криптографическими) средствами;
    о) наличие охраны и (или) специального оборудования, а также распорядка работ, исключающих неконтролируемый доступ к шифровальным (криптографическим) средствам;
    п) хранение шифровальных (криптографических) средств, их отдельных узлов и блоков, дистрибутивов программных и программно-аппаратных шифровальных (криптографических) средств, инсталляционных дискет, нормативной, эксплуатационной и ключевой документации к ним в хранилищах (металлических шкафах, сейфах), оборудованных внутренними замками;
    р) наличие следующего квалифицированного персонала:
    руководитель и (или) лицо, уполномоченное им руководить работами по осуществлению лицензируемой деятельности, имеющие высшее профессиональное образование и (или) профессиональную подготовку в области информационной безопасности, а также стаж работы в этой области не менее 5 лет;
    инженерно-технический персонал, имеющий высшее профессиональное образование или прошедший переподготовку (повышение квалификации) в области информационной безопасности с получением специализации, соответствующей виду шифровальных (криптографических) средств.

  7. Для получения лицензии соискатель лицензии представляет в лицензирующий орган следующие документы:

    а) заявление о предоставлении лицензии с указанием:
    лицензируемой деятельности;
    наименования, организационно-правовой формы и места нахождения — для юридического лица;
    фамилии, имени, отчества, места жительства, данных документа, удостоверяющего личность, — для индивидуального предпринимателя;
    б) копии учредительных документов и свидетельства о государственной регистрации соискателя лицензии в качестве юридического лица либо копия свидетельства о государственной регистрации соискателя лицензии в качестве индивидуального предпринимателя (с предъявлением оригинала в случае, если копия не заверена нотариусом);
    в) копия свидетельства о постановке соискателя лицензии на учет в налоговом органе (с предъявлением оригинала в случае, если копия не заверена нотариусом);
    г) документ, подтверждающий уплату лицензионного сбора за рассмотрение заявления о предоставлении лицензии;
    д) сведения о квалификации работников соискателя лицензии, подписанные руководителем (лицом, его замещающим) и заверенные печатью юридического лица или индивидуального предпринимателя.

  8. Документы принимаются по описи, копия которой с отметкой о дате приема документов направляется (вручается) соискателю лицензии.
    За предоставление недостоверных или искаженных сведений соискатель лицензии несет ответственность в соответствии с законодательством Российской Федерации.
  9. Лицензирующий орган вправе запрашивать у соискателя лицензии подтверждение соответствия лицензируемой деятельности лицензионным требованиям и условиям.
  10. Лицензирующий орган в течение 60 дней со дня поступления заявления со всеми необходимыми документами принимает решение о предоставлении или об отказе в предоставлении лицензии и направляет (вручает) соискателю лицензии соответствующее уведомление (в случае отказа в предоставлении лицензии — с указанием причин отказа).
  11. Решение о предоставлении либо об отказе в предоставлении лицензии принимается по результатам проверки достоверности представленных сведений и соответствия соискателя лицензии лицензионным требованиям и условиям.
    В случае если представленной в соответствии с пунктом 7 настоящего Положения информации недостаточно, проверка проводится по месту нахождения соискателя лицензии.
    Проверка достоверности представленных сведений и проверка соответствия соискателя лицензии лицензионным требованиям и условиям по месту его нахождения проводятся должностными лицами лицензирующего органа на основании предписания лицензирующего органа в согласованные с соискателем лицензии сроки. Продолжительность проверки не должна превышать 30 дней.
    Соискатель лицензии обязан предоставить проверяющим беспрепятственный доступ к необходимой документации, связанной с лицензируемой деятельностью, объектам, на которых или с помощью которых будет осуществляться лицензируемая деятельность, документации на эти объекты, обеспечить условия проведения проверки и присутствие при этом соответствующих должностных лиц.
  12. Лицензия выдается на 5 лет.
    Срок действия лицензии по его окончании может быть продлен по заявлению лицензиата в порядке, предусмотренном для переоформления лицензии.
  13. Лицензирующий орган ведет реестр лицензий, в котором указываются:

    а) наименование лицензирующего органа;
    б) сведения о лицензиате:
    наименование, организационно-правовая форма, место нахождения — для юридического лица;
    фамилия, имя, отчество, место жительства, данные документа, удостоверяющего личность, — для индивидуального предпринимателя;
    в) код лицензиата по Общероссийскому классификатору предприятий и организаций и идентификационный номер налогоплательщика;
    г) лицензируемая деятельность;
    д) срок действия лицензии;
    е) номер лицензии;
    ж) дата принятия решения о предоставлении лицензии;
    з) дата предоставления лицензии;
    и) сведения о регистрации лицензии в реестре лицензий;
    к) основания и даты приостановления и возобновления действия лицензии;
    л) основание и срок продления лицензии;
    м) основание и дата аннулирования лицензии.

  14. Ведение реестра лицензий осуществляется уполномоченными должностными лицами лицензирующего органа. Данные вносятся в реестр не позднее 3 дней с даты подписания лицензии или даты принятия руководством лицензирующего органа решения о приостановлении, возобновлении действия или аннулировании лицензии.
  15. Контроль за выполнением лицензиатом лицензионных требований и условий осуществляется в форме проверок в порядке, определяемом руководителем лицензирующего органа.
    О проведении проверки лицензирующий орган уведомляет лицензиата не позднее чем за 10 дней до ее начала.
    Плановая проверка проводится не чаще одного раза в 2 года по утвержденному лицензирующим органом плану.
    Внеплановая проверка проводится лицензирующим органом в случае:
    получения от юридических лиц, индивидуальных предпринимателей, органов государственной власти информации о нарушении лицензиатом лицензионных требований и условий;
    обращения граждан, юридических лиц и индивидуальных предпринимателей с жалобами на нарушения их прав и законных интересов действиями (бездействием) лицензиатов, которые связаны с невыполнением лицензиатами лицензионных требований и условий.
    Продолжительность проверки не должна превышать 30 дней.
    Лицензиат обязан предоставить проверяющим беспрепятственный доступ к необходимой документации по лицензируемой деятельности, объектам, на которых или с помощью которых осуществляется лицензируемая деятельность, документации на эти объекты, обеспечить условия проведения проверки и присутствие при этом соответствующих должностных лиц.
    По результатам проверки оформляется акт, в котором указываются конкретные нарушения и срок их устранения.
    С актом проверки в обязательном порядке должен быть ознакомлен лицензиат.
  16. Лицензиат уведомляет лицензирующий орган об устранении нарушений лицензионных требований и условий в установленный актом проверки срок.
    По решению лицензионного органа проверка устранения лицензиатом нарушений лицензионных требований и условий осуществляется в течение 15 дней со дня получения от лицензиата уведомления об устранении нарушений.
  17. Принятие решений о предоставлении, переоформлении, приостановлении действия, аннулировании лицензии, а также взимание лицензионных сборов осуществляются в порядке, установленном Федеральным законом «О лицензировании отдельных видов деятельности».