Нужна или не нужна лицензия Минобороны, а также ФСТЭК и ФСБ на создание СЗИ?

Екатерина Михайлова 03.10.2011 0

Обоснование необходимости получения
СПЕЦИАЛЬНОГО РАЗРЕШЕНИЯ (ЛИЦЕНЗИИ)
на проведение работ, связанных с использованием сведений, составляющих государственную тайну, а также с созданием средств защиты информации, относящихся к компетенции соответствующих государственных органов РФ


(Министерства обороны Российской Федерации, ФСБ РФ, ФСТЭК России, СВР России)

 

На основании Конституции РФ, Доктрины информационной безопасности Российской Федерации, утвержденной Президентом РФ 09.09.2000 г. № Пр-1895 (опубликована в Российской газете 28.09.2000 N 187), Федерального закона РФ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона РФ от 21.07.1993 г. № 5485-1 «О государственной тайне» следует, что законодатель вправе устанавливать перечень сведений, которые могут быть отнесены к государственной тайне, регулировать отношения, связанные с их рассекречиванием и защитой, определять порядок допуска и доступа предприятий, учреждений, организаций и граждан к таким сведениям.

Согласно ст. 2 ФЗ «О государственной тайне» государственная тайна представляет собой защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

В обязанность органов государственной власти, предприятий, учреждений и организаций включается обеспечение защиты сведений, составляющих государственную тайну, в соответствии с возложенными на них задачами и в пределах своей компетенции. В зависимости от объема работ с использованием сведений, составляющих государственную тайну, руководителями органов государственной власти, предприятий, учреждений и организаций создаются структурные подразделения по защите государственной тайны, функции которых определяются указанными руководителями в соответствии с нормативными документами, утверждаемыми Правительством РФ, и с учетом специфики проводимых ими работ. В соответствии со ст. 20 ФЗ «О государственной тайне» защита государственной тайны является видом основной деятельности органа государственной власти, предприятия, учреждения или организации.

Указом Президента РФ от 30.11.1995 г. № 1203 утвержден Перечень сведений, отнесенных к государственной тайне, в том числе к государственной тайне относятся «Сведения, раскрывающие методы, способы или средства защиты информации, содержащей сведения, составляющие государственную тайну, планируемые и (или) проводимые  мероприятия по защите информации от несанкционированного доступа, иностранных технических разведок и утечки по техническим каналам, а также данные о финансировании этой деятельности, если эти данные раскрывают перечисленные сведения» (п. 102 раздела IV), далее — сведения о СЗИ.  Полномочиями по распоряжению сведениями о СЗИ наделены следующие государственные органы: Министерство обороны Российской Федерации, Служба внешней разведки Российской Федерации, Федеральная служба безопасности Российской Федерации, Федеральная служба охраны Российской Федерации, Федеральная служба по техническому и экспортному контролю Российской Федерации, Федеральная таможенная служба Российской Федерации.

Помимо того что к полномочиям должностных лиц органов государственной власти, наделяемых полномочиями по отнесению сведений к государственной тайне, отнесена разработка (получение) засекреченных сведений в соответствии с их отраслевой, ведомственной принадлежностью, они вправе также принимать решения о засекречивании информации, которая находится в собственности предприятий, учреждений, организаций и граждан, если эта информация включает сведения, составляющие государственную тайну.

Также положения 4 части Гражданского кодекса Российской Федерации (гл. 72 Патентное право, в частности параграф 7 — особенности правовой охраны и использования секретных изобретений) распространяются на секретные изобретения (изобретения, содержащие сведения, составляющие государственную тайну) с особенностями их правовой охраны и использования. Секретные изобретения классифицируются по степени секретности на изобретения «особой важности» или «совершенно секретно», а также на секретные изобретения, которые относятся к средствам вооружения и военной техники и к методам и средствам в области разведывательной, контрразведывательной и оперативно-розыскной деятельности и для которых установлена степень секретности «секретно».

Органы государственной власти, предприятия, учреждения и организации могут передавать сведения, содержащие государственную тайну, организациям, не состоящим в отношениях подчиненности и не выполняющим совместных работ (с санкции органа государственной власти, в распоряжении которого находятся эти сведения), также сведения, составляющие государственную тайну, в связи с выполнением совместных и других работ. При этом органы государственной власти, предприятия, учреждения и организации, запрашивающие сведения, составляющие государственную тайну, обязаны создать условия, обеспечивающие защиту этих сведений. Их руководители несут персональную ответственность за несоблюдение установленных ограничений по ознакомлению со сведениями, составляющими государственную тайну.

В соответствии с вышеизложенным следует, что обязательным условием для передачи сведений, составляющих государственную тайну, органам государственной власти, предприятиям, учреждениям и организациям является наличие лицензии на проведение работ со сведениями соответствующей степени секретности.

Данное требование изложено в ст. 27 ФЗ «О государственной тайне», в которой определены условия допуска предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, а именно осуществление данных работ возможно при наличии лицензии на соответствующий вид деятельности.

Условия и порядок получения лицензий на проведение вышеуказанных работ (услуг) установлены в Положении о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, утвержденном Постановлением Правительства РФ от 15.04.1995 № 333 (далее – Положение о лицензировании).

Рассматривая вопрос необходимости получения предприятиями, учреждениями и организациями лицензии на деятельность по созданию средств защиты информации*, законодатель возложил данные обязанности на органы, уполномоченные на ведение данного лицензионного вида деятельности — ФСТЭК России, СВР России, Минобороны России, ФСБ России (абц. 3 ч. 2 Положения о лицензировании).
  

 
Лицензия также является своего рода допуском предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны.

Лицензии выдаются на основании результатов специальных экспертиз предприятий и государственной аттестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну. Специальная экспертиза предприятия проводится путем проверки выполнения требований нормативно-методических документов по режиму секретности, противодействию иностранным техническим разведкам и защите информации от утечки по техническим каналам, а также соблюдения других условий, необходимых для получения лицензии.

Лицензии выдаются при выполнении следующих условий:

  • соблюдение требований законодательных и иных нормативных актов Российской Федерации по обеспечению защиты сведений, составляющих государственную тайну, в процессе выполнения работ, связанных с использованием указанных сведений;
  • наличие в структуре предприятия подразделения по защите государственной тайны и необходимого числа специально подготовленных сотрудников для работы по защите информации, уровень квалификации которых достаточен для обеспечения защиты государственной тайны;
  • наличие на предприятии средств защиты информации, имеющих сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.

Руководители организаций несут персональную ответственность за подбор лиц, допускаемых к сведениям, составляющим государственную тайну, а также за создание условий, при которых граждане знакомятся только с теми сведениями, составляющими государственную тайну, и в таких объемах, которые в соответствии со ст. 25 ФЗ «О государственной тайне» необходимы для выполнения ими должностных обязанностей.

За невыполнение (нарушение) требований ФЗ «О государственной тайне» (в зависимости от квалификации нарушения) органами государственной власти, предприятиями, учреждениями, организациями и гражданами (т.е. всех лиц, которые в силу своих полномочий либо добровольно взявших на себя обязательства вступили с государством в правоотношения по защите государственной тайны) предусмотрена ответственность:

  • уголовная (наступает за разглашение государственной тайны – ст. 283 УК РФ; за утрату документов, содержащих государственную тайну – ст. 284 УК РФ); за государственную измену – ст. 275 УК РФ); за шпионаж – ст. 276 УК РФ);
  • административная (наступает за нарушение правил по защите информации, осуществление незаконной деятельности в области защиты информации** – ст. 13.12-13.14 КоАП РФ);
  • дисциплинарная (наступает за нарушение требований режима, следствием которого является прекращение действия допуска лица к государственной тайне при условии, что в трудовом договоре (контракте) были оговорены обязательства по ее защите с последующим расторжением по этому дополнительному основанию контракта и увольнением работника за однократное нарушение работником взятых на себя предусмотренных трудовым договором (контрактом) обязательств, связанных с защитой государственной тайны – ст. 23 ФЗ «О государственной тайне; п. в) ч. 6 ст. 81 ТК РФ);
  •  гражданско-правовая (характеризуется возмещением материального ущерба, условия и порядок возмещения которого регламентируются нормами ГК РФ).

 

  ________________________________________

* Под средствами защиты информации подразумеваются технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

Разберем подробнее данные понятия в целях ст. 2 ФЗ «О государственной тайне» (абц. 8):

  • Под техническими средствами понимаются изделия, оборудование, аппаратура и (или) их составные части, функционирующие на основании законов электротехники, радиотехники и (или) электроники и содержащие электронные компоненты и (или) схемы.
  • Под криптографическими средствами понимаются любые способы секретной записи и любое механическое или электрическое устройство, используемые в целях маскировки или сокрытия содержания, значимости или смысла передаваемой информации.
  • Программные средства (в данном случае) — это средства, предусматривающие определенную последовательность процедур, направленных на защиту сведений, составляющих государственную тайну. Программные средства в компьютерном смысле — это объективная форма представления совокупности данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств с целью получения определенного результата, включая подготовительные материалы, полученные в ходе разработки программы для ЭВМ, и порождаемые ею аудиовизуальные отображения.
  • К другим средствам, предназначенным для защиты сведений, составляющих государственную тайну, можно отнести, в частности, запорные средства помещений, сейфов, где хранятся искомые сведения, и многое другое. Например, средствами, в которых реализуются перечисленные средства защиты сведений, составляющих государственную тайну, являются, например, шифрованные тексты, сигнализации и т.д.
  • Средства контроля эффективности защиты информации представляют собой совокупность административных мер, осуществляемых в целях проверки и оценки фактического состояния режима секретности в ведомстве или на предприятии, своевременного выявления и предупреждения недостатков в его обеспечении. Само понятие контроля состоит в предупреждении несанкционированного доступа к защищенным данным. Контроль осуществляется, например, посредством составления списков лиц, допущенных к материалам по той или иной программе, оформления дополнительных допусков. В ходе контроля эффективности защиты информации проверяется соответствие эффективности мероприятий по защите информации установленным требованиям, нормам эффективности защиты. Средствами контроля эффективности защиты информации могут являться проведение специальных экспертиз надежности защиты информации, проверки возможности несанкционированного доступа к секретной информации и другое.

 
** Регулируется в частности ст. 13.13 КоАП РФ:

  • «2. Занятие видами деятельности, связанной с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, без лицензии влечет наложение административного штрафа на должностных лиц в размере от четырех тысяч до пяти тысяч рублей; на юридических лиц — от тридцати тысяч до сорока тысяч рублей с конфискацией созданных без лицензии средств защиты информации, составляющей государственную тайну, или без таковой.»
    Дела о данных правонарушениях рассматривают должностные лица органов, осуществляющих контроль за обеспечением защиты государственной тайны. Рассмотрение дела может быть передано судье, учитывая возможность конфискации предмета правонарушения (ч. 2 ст. 23.1). Протоколы об административных правонарушениях составляют должностные лица указанных выше органов (ч. 1 ст. 28.3), а также полиция (п. 1 ч. 2 ст. 28.3).
Tags: , , , , ,

Больше историй

Эксперты АО НПО «Эшелон» провели секцию по защите критической информационной инфраструктуры в рамках Всероссийского форума «ПРОФ-IT.2019»

Эксперты АО НПО «Эшелон» провели секцию по защите критической информационной инфраструктуры в рамках Всероссийского форума «ПРОФ-IT.2019»

echelon 18.09.2019 0

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу

adorofeev 12.08.2019 0

ФСБ: Национальному координационному центру по компьютерным инцидентам быть!

adorofeev 10.09.2018 0

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Возможно, вы пропустили

Может ли ИИ выйти за пределы человеческих возможностей? Отвечают разрушители мифов

Максим Белоногий 19.03.2024

Работа НПО «Эшелон» отмечена Государственной Думой

Максим Белоногий 28.02.2024 0

Топ-10 стран, атаковавших ресурсы «Эшелон»

Максим Белоногий 29.12.2023

Кибервойна: все только защищаются, а кто же нападает?

Максим Белоногий 04.12.2023

Сканер-ВС 6: сканирование на уязвимости никогда не было таким быстрым

Алеся Мелехина 24.11.2023 0