Документ описывает лицензирование в области информационной безопасности согласно федеральному закону от 4 мая 2011 г. n 99-фз, охватывающий требования к лицензиям на определенные виды деятельности, включая шифрование и защиту информации. Также указаны виды деятельности, требующие лицензирования, и условия, необходимые для получения лицензий от ФСТЭК и ФСБ, включая квалификационные требования к персоналу и необходимую документацию. Лицензирование проводится для обеспечения безопасности и защиты конфиденциальной информации, с основной целью предотвращения несанкционированного доступа к ней.

1. Лицензирование в
области ИБ
Алексей Кураленко, преподаватель каф.РЗИ

2. Федеральный закон от 4 мая 2011 г. N 99-ФЗ
"О лицензировании отдельных видов деятельности"
Лицензия - специальное разрешение на право
осуществления юридическим лицом или индивидуальным
предпринимателем конкретного вида деятельности (выполнения
работ, оказания услуг, составляющих лицензируемый вид
деятельности), которое подтверждается документом,
выданным лицензирующим органом на бумажном носителе или в
форме электронного документа, подписанного электронной
подписью, в случае, если в заявлении о предоставлении лицензии
указывалось на необходимость выдачи такого документа в форме
электронного документа;

3. Виды деятельности
1) разработка, производство, распространение шифровальных (криптографических)
средств, информационных систем и телекоммуникационных систем, защищенных с
использованием шифровальных (криптографических) средств, выполнение работ,
оказание услуг в области шифрования информации, техническое обслуживание
шифровальных (криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств (за исключением случая, если техническое
обслуживание шифровальных (криптографических) средств, информационных
систем и телекоммуникационных систем, защищенных с использованием
шифровальных (криптографических) средств, осуществляется для обеспечения
собственных нужд юридического лица или индивидуального предпринимателя);
2) разработка, производство, реализация и приобретение в целях продажи
специальных технических средств, предназначенных для негласного получения
информации;
3) деятельность по выявлению электронных устройств, предназначенных для
негласного получения информации (за исключением случая, если указанная
деятельность осуществляется для обеспечения собственных нужд юридического
лица или индивидуального предпринимателя);
4) разработка и производство средств защиты конфиденциальной информации;
5) деятельность по технической защите конфиденциальной информации;

4. Под технической защитой конфиденциальной
информации понимается выполнение работ и (или)
оказание услуг по ее защите от несанкционированного
доступа, от утечки по техническим каналам, а также от
специальных воздействий на такую информацию в целях
ее уничтожения, искажения или блокирования доступа к
ней
Лицензирование ФСТЭК

5. Постановление Правительства РФ от 3 февраля
2012 г. N 79 «О лицензировании деятельности по
технической защите конфиденциальной
информации»
Административный регламент ФСТЭК России по
предоставлению государственной услуги по
лицензированию деятельности по технической
защите конфиденциальной информации,
утвержденный приказом ФСТЭК России от 12 июля
2012 г. N 83

6. Виды деятельности
а) контроль защищенности конфиденциальной информации от утечки по
техническим каналам в:
средствах и системах информатизации;
технических средствах (системах), не обрабатывающих конфиденциальную
информацию, но размещенных в помещениях, где она обрабатывается;
помещениях со средствами (системами), подлежащими защите;
помещениях, предназначенных для ведения конфиденциальных переговоров
(далее - защищаемые помещения);
б) контроль защищенности конфиденциальной информации от
несанкционированного доступа и ее модификации в средствах и системах
информатизации;
в) сертификационные испытания на соответствие требованиям по безопасности
информации продукции, используемой в целях защиты конфиденциальной
информации (технических средств защиты информации, защищенных технических
средств обработки информации, технических средств контроля эффективности
мер защиты информации, программных (программно-технических) средств
защиты информации, защищенных программных (программно-технических)
средств обработки информации, программных (программно-технических) средств
контроля защищенности информации);

7. Виды деятельности
г) аттестационные испытания и аттестация на соответствие требованиям по
защите информации:
средств и систем информатизации;
помещений со средствами (системами) информатизации, подлежащими защите;
защищаемых помещений;
д) проектирование в защищенном исполнении:
средств и систем информатизации;
помещений со средствами (системами) информатизации, подлежащими защите;
защищаемых помещений;
е) установка, монтаж, испытания, ремонт средств защиты информации
(технических средств защиты информации, защищенных технических средств
обработки информации, технических средств контроля эффективности мер
защиты информации, программных (программно-технических) средств защиты
информации, защищенных программных (программно-технических) средств
обработки информации, программных (программно-технических) средств
контроля защищенности информации).

8. Лицензионные требования
а) наличие у соискателя лицензии:
юридического лица - специалистов, находящихся в штате соискателя лицензии,
имеющих высшее профессиональное образование в области технической
защиты информации либо высшее техническое или среднее профессиональное
(техническое) образование и прошедших переподготовку или повышение
квалификации по вопросам технической защиты информации;
индивидуального предпринимателя - высшего профессионального образования
в области технической защиты информации либо высшего технического или
среднего профессионального (технического) образования при условии
прохождения им переподготовки или повышения квалификации по вопросам
технической защиты информации;
б) наличие помещений для осуществления лицензируемого вида деятельности,
соответствующих установленным законодательством техническим нормам и
требованиям по технической защите информации и принадлежащих соискателю
лицензии на праве собственности или на ином законном основании;
в) наличие на праве собственности или на ином законном основании
контрольно-измерительного оборудования (прошедшего в соответствии
с законодательством метрологическую поверку (калибровку) и маркирование),
производственного и испытательного оборудования, соответствующего
требованиям по техническим характеристикам и параметрам

9. Лицензионные требования
г) наличие на праве собственности или на ином законном основании средств
контроля защищенности информации от несанкционированного доступа,
сертифицированных по требованиям безопасности информации, в
соответствии с перечнем
д) наличие автоматизированных систем, предназначенных для обработки
конфиденциальной информации, а также средств защиты такой информации,
прошедших процедуру оценки соответствия (аттестованных и (или)
сертифицированных по требованиям безопасности информации) в
соответствии с законодательством Российской Федерации;
е) наличие предназначенных для осуществления лицензируемого вида
деятельности программ для электронно-вычислительных машин и баз
данных, принадлежащих соискателю лицензии на праве собственности или
на ином законном основании;
ж) наличие технической документации, национальных стандартов и
методических документов, необходимых для выполнения работ и (или)
оказания услуг,
з) наличие системы производственного контроля в соответствии с
установленными стандартами

10. Заявитель направляет во ФСТЭК
а) заявление о предоставлении лицензии
б) копии документов, подтверждающих квалификацию специалистов по защите
информации (дипломов, удостоверений, свидетельств);
в) копии правоустанавливающих документов на помещения, предназначенные
для осуществления лицензируемого вида деятельности, права на которые не
зарегистрированы в Едином государственном реестре прав на недвижимое
имущество и сделок с ним (в случае, если такие права зарегистрированы в
указанном реестре, - сведения об этих помещениях);
г) копии технических паспортов и аттестатов соответствия защищаемых
помещений требованиям безопасности информации;
д) копии технических паспортов автоматизированных систем, предназначенных
для хранения и обработки конфиденциальной информации (с приложениями),
актов классификации автоматизированных систем по требованиям
безопасности информации, планов размещения основных и вспомогательных
технических средств и систем, аттестатов соответствия автоматизированных
систем требованиям безопасности информации или сертификатов
соответствия автоматизированных систем требованиям безопасности
информации, а также перечень защищаемых в автоматизированных системах
ресурсов, описание технологического процесса обработки информации в
автоматизированных системах;

11. Заявитель направляет во ФСТЭК
е) копии документов, подтверждающих право соискателя лицензии на
программы для электронно-вычислительных машин и базы данных,
планируемые к использованию при осуществлении лицензируемого вида
деятельности;
ж) документы, содержащие сведения о наличии контрольно-измерительного,
производственного и испытательного оборудования, средств защиты
информации и средств контроля защищенности информации, необходимых
для осуществления лицензируемого вида деятельности, с приложением
копий документов о поверке (калибровке) и маркировании контрольно-
измерительного оборудования, а также документов, подтверждающих права
соискателя лицензии на использование указанного оборудования, средств
защиты информации и средств контроля защищенности информации;
з) документы, содержащие сведения об имеющихся технической
документации, национальных стандартах и методических документах,
необходимых для выполнения работ и (или) оказания услуг
и) копии документов, подтверждающих наличие необходимой системы
производственного контроля в соответствии с установленными стандартами
к) Квитанцию об оплате госпошлины

12. Лицензирование ФСБ
Постановление Правительства РФ от 16 апреля 2012 г. N 313
"Об утверждении Положения о лицензировании деятельности по
разработке, производству, распространению шифровальных
(криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с использованием
шифровальных (криптографических) средств, выполнению работ,
оказанию услуг в области шифрования информации, техническому
обслуживанию шифровальных (криптографических) средств,
информационных систем и телекоммуникационных систем,
защищенных с использованием шифровальных (криптографических)
средств (за исключением случая, если техническое обслуживание
шифровальных (криптографических) средств, информационных систем
и телекоммуникационных систем, защищенных с использованием
шифровальных (криптографических) средств, осуществляется для
обеспечения собственных нужд юридического лица или
индивидуального предпринимателя)"

13. Перечень выполняемых работ и
оказываемых услуг
1. Разработка шифровальных (криптографических) средств.
2. Разработка защищенных с использованием шифровальных (криптографических)
средств информационных систем.
3. Разработка защищенных с использованием шифровальных (криптографических)
средств телекоммуникационных систем.
4. Разработка средств изготовления ключевых документов.
5. Модернизация шифровальных (криптографических) средств.
6. Модернизация средств изготовления ключевых документов.
7. Производство (тиражирование) шифровальных (криптографических) средств.
8. Производство защищенных с использованием шифровальных
(криптографических) средств информационных систем.
9. Производство защищенных с использованием шифровальных
(криптографических) средств телекоммуникационных систем.
10. Производство средств изготовления ключевых документов.
11. Изготовление с использованием шифровальных (криптографических) средств
изделий, предназначенных для подтверждения прав (полномочий) доступа к
информации и (или) оборудованию в информационных и телекоммуникационных
системах.
12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических)
средств.

14. Перечень выполняемых работ и
оказываемых услуг
13. Монтаж, установка (инсталляция), наладка защищенных с использованием
шифровальных (криптографических) средств информационных систем.
14. Монтаж, установка (инсталляция), наладка защищенных с использованием
шифровальных (криптографических) средств телекоммуникационных систем.
15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых
документов.
16. Ремонт шифровальных (криптографических) средств.
17. Ремонт, сервисное обслуживание защищенных с использованием
шифровальных (криптографических) средств информационных систем.
18. Ремонт, сервисное обслуживание защищенных с использованием
шифровальных (криптографических) средств телекоммуникационных систем.
19. Ремонт, сервисное обслуживание средств изготовления ключевых
документов.
20. Работы по обслуживанию шифровальных (криптографических) средств,
предусмотренные технической и эксплуатационной документацией на эти
средства (за исключением случая, если указанные работы проводятся для
обеспечения собственных нужд юридического лица или индивидуального
предпринимателя).
21. Передача шифровальных (криптографических) средств.

15. Перечень выполняемых работ и
оказываемых услуг
22. Передача защищенных с использованием шифровальных (криптографических)
средств информационных систем.
23. Передача защищенных с использованием шифровальных (криптографических)
средств телекоммуникационных систем.
24. Передача средств изготовления ключевых документов.
25. Предоставление услуг по шифрованию информации, не содержащей сведений,
составляющих государственную тайну, с использованием шифровальных
(криптографических) средств в интересах юридических и физических лиц, а также
индивидуальных предпринимателей.
26. Предоставление услуг по имитозащите информации, не содержащей сведений,
составляющих государственную тайну, с использованием шифровальных
(криптографических) средств в интересах юридических и физических лиц, а также
индивидуальных предпринимателей.
27. Предоставление юридическим и физическим лицам защищенных с
использованием шифровальных (криптографических) средств каналов связи для
передачи информации.
28. Изготовление и распределение ключевых документов и (или) исходной ключевой
информации для выработки ключевых документов с использованием аппаратных,
программных и программно-аппаратных средств, систем и комплексов изготовления и
распределения ключевых документов для шифровальных (криптографических)
средств.

16. Требования к штату
руководитель и (или) лицо, уполномоченное руководить работами в
рамках лицензируемой деятельности, имеющие высшее профессиональное
образование по направлению подготовки "Информационная безопасность" в
соответствии с Общероссийским классификатором специальностей и (или)
прошедшие переподготовку по одной из специальностей этого направления
(нормативный срок - свыше 1000 аудиторных часов), а также имеющие стаж в
области выполняемых работ в рамках лицензируемой деятельности не менее
5 лет (только для работ и услуг, указанных в п. 1, 4 - 6, 16,19);
руководитель и (или) лицо, уполномоченное руководить работами в
рамках лицензируемой деятельности, имеющие высшее профессиональное
образование по направлению подготовки "Информационная безопасность" и (или)
прошедшие переподготовку по одной из специальностей этого направления
(нормативный срок - свыше 500 аудиторных часов), а также имеющие стаж в
области выполняемых работ в рамках лицензируемой деятельности не менее
3 лет (только для работ и услуг, указанных в п. 2, 3, 7 - 15, 17, 18, 20, 25 -
28 перечня);
руководитель и (или) лицо, уполномоченное руководить работами
в рамках лицензируемой деятельности, имеющие высшее или среднее
профессиональное образование по направлению подготовки "Информационная
безопасность" и (или) прошедшие переподготовку по одной из специальностей
этого направления (нормативный срок - свыше 100 аудиторных часов) (только для
работ и услуг, указанных в п. 21 - 24 перечня);

17. Требования к штату
инженерно-технические работники (минимум 2 человека), имеющие
высшее профессиональное образование по направлению
подготовки "Информационная безопасность" в соответствии с Общероссийским
классификатором специальностей и (или) прошедшие переподготовку по одной из
специальностей этого направления (нормативный срок - свыше 1000 аудиторных
часов), а также имеющие стаж в области выполняемых работ в рамках
лицензируемой деятельности не менее 5 лет (только для работ и услуг, указанных
в пунктах 1, 4 - 6, 16 и 19 );
инженерно-технический работник (минимум 1 человек), имеющий высшее
профессиональное образование по направлению подготовки "Информационная
безопасность" и (или) прошедший переподготовку по одной из специальностей
этого направления (нормативный срок - свыше 500 аудиторных часов), а также
имеющий стаж в области выполняемых работ в рамках лицензируемой
деятельности не менее 3 лет (только для работ и услуг, указанных в пунктах 2, 3, 7
- 15, 17, 18, 20, 25 - 28 перечня);
инженерно-технический работник, имеющий высшее или среднее
профессиональное образование по направлению подготовки "Информационная
безопасность" (только для работ и услуг, указанных в пунктах 21 - 24 );

18. Заявитель направляет в ФСБ
а) Заявление
б) копии правоустанавливающих документов на помещения, здания,
сооружения и иные объекты по месту осуществления лицензируемой
деятельности, права на которые не зарегистрированы в Едином
государственном реестре прав на недвижимое имущество и сделок с ним;
в) копии внутренних распорядительных документов, подтверждающих наличие
условий для соблюдения конфиденциальности информации, необходимых для
выполнения работ и оказания услуг, г) копии документов, подтверждающих
нахождение в штате соискателя лицензии на основной работе сотрудников,
определенных подпунктом "д" пункта 6 настоящего Положения;
д) копии документов государственного образца (дипломы, аттестаты,
свидетельства) об образовании, о переподготовке, повышении квалификации
по направлению "Информационная безопасность" в соответствии с
Общероссийским классификатором специальностей сотрудников
е) копии трудовых книжек сотрудников

19. Заявитель направляет в ФСБ
ж) копии должностных инструкций сотрудников
з) копии документов, подтверждающих наличие у соискателя лицензии
приборов и оборудования, прошедших поверку и калибровку ",
принадлежащих ему на праве собственности или ином законном основании и
необходимых для выполнения работ и оказания услуг, указанных в пунктах 1 -
11,16 - 19 ;
и) сведения о документах, подтверждающих право собственности или иное
законное основание на владение и использование помещений, зданий,
сооружений и иных объектов по месту осуществления лицензируемой
деятельности, права на которые зарегистрированы в Едином государственном
реестре прав на недвижимое имущество и сделок с ним;
к) сведения о документе, подтверждающем наличие условий для соблюдения
конфиденциальности информации, необходимых для выполнения работ и
оказания услуг
л) сведения о документе, подтверждающем наличие допуска к выполнению
работ и оказанию услуг, связанных с использованием сведений,
составляющих государственную тайну (при выполнении работ и оказании
услуг, указанных в пунктах 1,4 - 6, 16 и 19 )
м) квитанцию об оплате госпошлины

20. Благодарю за внимание!