- •Глава 9. Лицензирование и сертификация деятельности в области защиты информации
- •Правовая основа системы лицензирования и сертификации в рф
- •Лицензирование деятельности по защите информации
- •Сертификация средств защиты информации
- •9.1. Правовая основа системы лицензирования и сертификации в рф
- •9.2. Лицензирование деятельности по защите информации
- •9.3. Сертификация средств защиты информации
- •Контрольные вопросы
Лицензирование и сертификация деятельности в области защиты информации
Глава 9. Лицензирование и сертификация деятельности в области защиты информации
Правовая основа системы лицензирования и сертификации в рф
Лицензирование деятельности по защите информации
Сертификация средств защиты информации
9.1. Правовая основа системы лицензирования и сертификации в рф
защита информации является общегосударственной проблемой, т.к. это напрямую связано с обеспечением его суверенитета. Такое регулирование опирается на государственную систему безопасности и на свод законов по лицензированию деятельности в сфере защиты информации.
Лицензия – выдаваемое уполномоченным лицом (лицензиаром) юридическим и физическим лицам (лицензиатам) разрешение на совершение определенных действий, без которого совершение таких действий признается неправомерным [27].
Лицензирование – это процесс, осуществляемый в отношении таких категорий, как «деятельность» (виды деятельности) и «субъект» (физическое лицо, предприятие, организация или иное юридическое лицо), когда некоторый субъект в результате проведения комплекса мероприятий, состав, правила и порядок осуществления которых предписываются законодательными и нормативными актами, получает право на осуществление определенного вида деятельности. Это право закрепляется и оформляется в виде официальных документов, виды и статус которых также предписываются нормативными актами. За органом, уполномоченным на проведение лицензионной деятельности, закрепляется право на осуществление контроля за деятельностью лицензиата. Важно подчеркнуть, что активную роль в процессе лицензирования играют обе стороны: орган, наделяющий кого-либо правом деятельности, и субъект, получающий указанное право. Получить право на осуществление деятельности, подлежащей лицензированию, может не каждый, а лишь субъект, отвечающий определенным критериям, которые заранее определяются правилами проведения лицензирования и требованиями к предприятию-заявителю. Таким образом, субъектом лицензирования становится лишь то физическое или юридическое лицо, которое представляет все необходимые и правильно оформленные документы и удовлетворяет соответствующим критериям [27].
Сертификация – это подтверждение соответствия продукции или услуг установленным требованиям или стандартам.
Сертификат на средство защиты информации – документ, подтверждающий соответствие средства ЗИ требованиям по безопасности информации.
Законодательной и нормативной базой лицензирования и сертификации в области 3И являются следующие документы [22].
Законы РФ:
"О государственной тайне" № 5485-1 от21.07.93;
"О сертификации продукции и услуг" № 5485-1 от 10.06.93;
"О защите прав потребителей" № 2300-1 от 07.02.92,
"Об информации, информатизации и защите информации" № 24-ФЗ от 20.02.95;
"О стандартизации" № 5154-1 от 10.06.93.
"О федеральных органах правительственной связи и информации" № 4524-1 от 19.02.93.
Постановления Правительства РФ:
"О лицензировании отдельных видов деятельности" № 1418 от 24.12.94;
"О лицензировании деятельности предприятий..." № 333 от 15.04.95;
"О сертификации средств ЗИ" № 608 от 26.06.95.
А также Указы Президента РФ и ряд подзаконных актов.
Полный перечень видов деятельности в области защиты информации, подлежащих обязательному государственному лицензированию, определён в Законе РФ "О государственной тайне" и Федеральном законе "О лицензировании отдельных видов деятельности". В законе РФ "О государственной тайне" определены лицензируемые виды деятельности в области защиты информации, содержащей сведения, отнесённые к государственной тайне, а в Законе РФ "О лицензировании отдельных видов деятельности" – в области защиты конфиденциальной информации.
В ст. 27 Закона РФ "О государственной тайне" указано, что допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, осуществляется путём получения ими лицензий в порядке, устанавливаемом Правительством РФ. Во исполнение данной статьи закона Правительством РФ было принято Постановление "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" (№ 333 от 15.04.95), которым было утверждено одноимённое Положение.
Согласно этому Положению, лицензия на проведение работ связанных с государственной тайной, выдается на основании результатов специальной экспертизы предприятия, учреждения и организации и государственной аттестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну, расходы по проведению которых относятся на счет предприятия, учреждения, организации, получающих лицензию. Лицензия выдается претенденту при соблюдении им следующих условий [22]:
выполнения требований нормативных документов по обеспечению защиты сведений, составляющих государственную тайну, в процессе выполнения работ, связанных с использованием указанных сведений;
наличия в их структуре подразделений по защите государственной тайны и специально подготовленных сотрудников для работы по защите информации, количество и уровень квалификации которых достаточны для обеспечения защиты государственной тайны;
наличия у них сертифицированных средств защиты информации.
Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Сертификация осуществляется на основании требований государственных стандартов и иных нормативных документов.