ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2019
Просмотров: 12451
Скачиваний: 24
311
• ежегодно представлять непосредственно в государственный орган по
лицензированию или в лицензионный центр сведения о количестве
выполненных работ по конкретным видам указанной в лицензии
деятельности.
Лицензиаты имеют право пользоваться нормативно-методическими
документами
соответствующих
государственных
органов
по
лицензированию, обращаться к ним за необходимыми консультациями и
содействием, а также ссылаться в официальных документах и рекламных
материалах на полученную лицензию [63].
Лицензиаты несут юридическую и финансовую ответственность за полноту и
качество выполнения работ и обеспечение сохранности государственных и
коммерческих секретов, доверенных им в ходе практической деятельности
[63].
Предприятия-потребители имеют право обращаться [63]:
• в государственный орган по лицензированию или в лицензионный центр с
рекламациями на некачественно выполненные лицензиатами работы по
защите информации;
• в судебные органы в установленном порядке.
Порядок проведения лицензирования
предприятий-заявителей в области
защиты информации включает следующие действия [63]:
• проведение экспертизы заявителя;
• подачу, рассмотрение заявления на лицензирование, оформление и выдачу
лицензий;
• продление срока действия лицензий;
• учет лицензиатов и информирование в сфере лицензирования.
Экспертиза предприятия-заявителя осуществляется экспертной комиссией
соответствующего лицензионного центра на основании заявки предприятия,
содержащей лицензируемые виды деятельности и перечни необходимых для
их обеспечения производственного и испытательного оборудования,
нормативной и методической документации, имеющейся на предприятии.
Результатом работы комиссии является экспертное заключение, в котором
дается оценка возможности заявителя осуществлять работы в избранном
виде деятельности по защите информации. Заключение утверждается
руководителем соответствующего лицензионного центра и действует в
течение трех месяцев со дня его выдачи [63].
Экспертиза проводится на основе хозяйственного договора между
лицензионным центром и предприятием-заявителем [63]. Оплата работы
членов экспертной комиссии проводится лицензионным центром.
312
Заявление на получение лицензии подается в государственный орган по
лицензированию и принимается к рассмотрению только при наличии всех
требуемых документов [63].
Орган, выдающий лицензию, вправе провести проверку достоверности
представляемых сведений.
Оформление лицензии и ее выдача (уведомление об отказе в выдаче)
производится в тридцатидневный срок со дня подачи заявления со всеми
необходимыми документами [63].
Для рассмотрения спорных вопросов, возникающих при экспертизе
предприятия-заявителя, может проводиться дополнительная независимая
экспертиза. Состав экспертной комиссии формируется государственным
органом по лицензированию по согласованию с предприятием-заявителем.
Заключение экспертной комиссии является определяющим для принятия
соответствующего решения в связи с заявлением о выдаче лицензии [63].
Время, затраченное на экспертизу, в срок, установленный для выдачи
лицензии, не включается.
Финансирование издержек за проведение дополнительной независимой
экспертизы несет сторона, признанная виновной в конфликте.
Действия органов, осуществляющих лицензирование, могут быть
обжалованы в судебных органах в установленном порядке.
Органы, выдавшие лицензию, приостанавливают или прекращают действие
лицензии досрочно в случаях [63]:
• по заявлению владельца лицензии;
• ликвидации юридического лица или прекращения действия документа об
индивидуальной трудовой деятельности;
• несоблюдения владельцем лицензии условий по поддержанию нормативной
базы и технической оснащенности на уровне требований по обеспечению
безопасности информации;
• несообщения в установленные сроки органу, выдавшему лицензию,
информации, предусмотренной Положением.
О приостановлении или прекращении действия лицензии ее владелец
информируется в письменном виде органом, выдавшим лицензию, не
позднее пяти дней со дня принятия решения. В десятидневный срок после
получения уведомления владелец лицензии обязан сдать ее в орган,
выдавший лицензию [63].
Учет лицензиатов ведется государственными органами по лицензированию
на основании сведений, поступающих от лицензионных центров [63].
Контроль и надзор за полнотой и качеством проводимых лицензиатами работ
в области защиты информации осуществляется [63]:
313
• Гостехкомиссией России, ФАПСИ и отраслевыми органами контроля в
пределах их компетенции в ходе плановых проверок состояния защиты
информации на предприятиях-потребителях, воспользовавшихся услугами
лицензиатов;
• при контроле государственными органами по лицензированию и
лицензионными центрами качества выполненных лицензиатами работ по
рекламациям предприятий-потребителей.
5.1.2. Сертификация средств защиты информации
Порядок сертификации средств защиты информации в Российской
Федерации и ее учреждениях за рубежом устанавливает
Положение о
сертификация средств защиты информации
[65].
Технические, криптографические, программные и другие средства,
предназначенные для защиты сведений, составляющих государственную
тайну, средства, в которых они реализованы, а также средства контроля
эффективности защиты информации являются
средствами защиты
информации
[65].
Указанные средства подлежат обязательной сертификации, которая
проводится в рамках систем сертификации средств защиты информации.
Система сертификации средств защиты информации представляет собой
совокупность
участников
сертификации,
осуществляющих
ее
по
установленным правилам (далее именуется - система сертификации) [65].
Системы сертификации создаются Государственной технической комиссией
при Президенте Российской Федерации, Федеральным агентством
правительственной связи и информации при Президенте Российской
Федерации, Федеральной службой безопасности Российской Федерации,
Министерством обороны Российской Федерации, полномочными проводить
работы по сертификации средств защиты информации в пределах
компетенции, определенной для них законодательными и иными
нормативными актами Российской Федерации (далее именуются -
федеральные органы по сертификации
)
[65].
Сертификация средств защиты информации осуществляется на основании
требований государственных стандартов, нормативных документов,
утверждаемых Правительством Российской Федерации и федеральными
органами по сертификации в пределах их компетенции.
Координацию работ по организации сертификации средств защиты
информации осуществляет Межведомственная комиссия по защите
государственной тайны (далее именуется -
Межведомственная комиссия
)*
[65]. *Функции Межведомственной комиссии по защите государственной
314
тайны в соответствии с Указом Президента Российской Федерации от 30
марта 1994 г. № 614 временно возложены на Гостехкомиссию Российской
Федерации.
В каждой системе сертификации разрабатываются и согласовываются с
Межведомственной комиссией положение об этой системе сертификации, а
также перечень средств защиты информации, подлежащих сертификации, и
требования, которым эти средства должны удовлетворять.
Участниками сертификации средств защиты информации являются [65]:
• федеральный орган по сертификации;
• центральный
орган
системы
сертификации
(создаваемый
при
необходимости) - орган, возглавляющий систему сертификации однородной
продукции;
• органы по сертификации средств защиты информации - органы,
проводящие сертификацию определенной продукции;
• испытательные лаборатории - лаборатории, проводящие сертификационные
испытания (отдельные виды этих испытаний) определенной продукции;
• изготовители - продавцы, исполнители продукции.
Центральные органы системы сертификации, органы по сертификации
средств защиты информации и испытательные лаборатории проходят
аккредитацию на право проведения работ по сертификации, в ходе которой
федеральные органы по сертификации определяют возможности выполнения
этими органами и лабораториями работ по сертификации средств защиты
информации и оформляют официальное разрешение на право проведения
указанных работ. Аккредитация проводится только при наличии у указанных
органов и лабораторий лицензии на соответствующие виды деятельности
[65].
Федеральный орган по сертификации
в пределах своей компетенции [65]:
• создает
системы
сертификации;
осуществляет
выбор
способа
подтверждения соответствия средств защиты информации требованиям
нормативных документов;
• устанавливает правила аккредитации центральных органов систем
сертификации, органов по сертификации средств защиты информации и
испытательных лабораторий; • определяет центральный орган для каждой
системы сертификации
• выдает сертификаты и лицензии на применение знака соответствия;
• ведет
государственный
реестр
участников
сертификации
и
сертифицированных средств защиты информации;
• осуществляет государственные контроль и надзор за соблюдением
участниками сертификации правил сертификации и за сертифицированными
315
средствами защиты информации, а также устанавливает порядок
инспекционного контроля;
• рассматривает апелляции по вопросам сертификации;
• представляет на государственную регистрацию в Комитет Российской
Федерации по стандартизации, метрологии и сертификации системы
сертификации и знак соответствия;
• устанавливает порядок признания зарубежных сертификатов;
• приостанавливает или отменяет действие выданных сертификатов.
Центральный орган системы сертификации
[65]:
• организует работы по формированию системы сертификации и руководство
ею, координирует деятельность органов по сертификации средств защиты
информации и испытательных лабораторий, входящих в систему
сертификации;
• ведет учет входящих в систему сертификации органов по сертификации
средств защиты информации и испытательных лабораторий, выданных и
аннулированных сертификатов и лицензий на применение знака
соответствия;
• обеспечивает участников сертификации информацией о деятельности
системы сертификации.
При отсутствии в системе сертификации центрального органа его функции
выполняются федеральным органом по сертификации.
Органы по сертификации средств защиты информации
[65]:
• сертифицируют средства защиты информации, выдают сертификаты и
лицензии на применение знака соответствия с представлением копий в
федеральные органы по сертификации и ведут их учет;
• приостанавливают либо отменяют действие выданных ими сертификатов и
лицензий на применение знака соответствия;
• принимают решение о проведении повторной сертификации при
изменениях в технологии изготовления и конструкции (составе)
сертифицированных средств защиты информации;
• формируют
фонд
нормативных
документов,
необходимых
для
сертификации;
• представляют изготовителям по их требованию необходимую информацию
в пределах своей компетенции.
Испытательные лаборатории
проводят сертификационные испытания
средств защиты информации и по их результатам оформляют заключения и
протоколы, которые направляют в соответствующий орган по сертификации
средств защиты информации и изготовителям [65]. Испытательные
лаборатории несут ответственность за полноту испытаний средств защиты
информации и достоверность их результатов.