Разработка, производство, распространение, тех. об: Положение о лицензировании деятельности по разработке, производству шифровальных(криптографических)средств

Утверждено

Постановлением Правительства

Российской Федерации

от 23 сентября 2002 г. N 691

 

ПОЛОЖЕНИЕ

О ЛИЦЕНЗИРОВАНИИ РАЗРАБОТКИ, ПРОИЗВОДСТВА

ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ, ЗАЩИЩЕННЫХ

С ИСПОЛЬЗОВАНИЕМ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ)

СРЕДСТВ ИНФОРМАЦИОННЫХ И ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ

 

1. Настоящее Положение определяет порядок лицензирования разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.

2. К шифровальным (криптографическим) средствам относятся:

а) средства шифрования — аппаратные, программные и аппаратно — программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;

б) средства имитозащиты — аппаратные, программные и аппаратно — программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;

в) средства электронной цифровой подписи — аппаратные, программные и аппаратно — программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;

г) средства кодирования — средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;

д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации);

е) ключевые документы (независимо от вида носителя ключевой информации).

3. Лицензируемая деятельность включает в себя:

а) разработку шифровальных (криптографических) средств, указанных в пункте 2 настоящего Положения;

б) разработку защищенных с использованием шифровальных (криптографических) средств информационных систем;

в) разработку защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем;

г) производство шифровальных (криптографических) средств, указанных в пункте 2 настоящего Положения;

д) изготовление с использованием шифровальных (криптографических) средств изделий, предназначенных для подтверждения прав (полномочий) доступа к информации и (или) оборудованию в информационных и телекоммуникационных системах.

4. Настоящее Положение не распространяется на разработку и производство:

а) портативных или мобильных радиотелефонов гражданского назначения (в том числе предназначенных для использования в коммерческих гражданских системах сотовой радиосвязи), которые не имеют функции сквозного шифрования;

б) приемной аппаратуры радиовещания, коммерческого телевидения или иной аппаратуры коммерческого типа для вещания на ограниченную аудиторию без шифрования цифрового сигнала, в которой шифрование ограничено функциями управления видео- или аудиоканалами;

в) применяемых только для банковских и финансовых операций шифровальных (криптографических) средств в составе терминалов единичной продажи (банкоматов), криптографические возможности которых не могут быть изменены пользователями;

г) шифровальных (криптографических) средств независимо от их назначения, реализующих симметричные криптографические алгоритмы и обладающих максимальной длиной криптографического ключа менее 40 бит, а также реализующих асимметричные криптографические алгоритмы, основанные либо на разложении на множители целых чисел, либо на вычислении дискретных логарифмов в мультипликативной группе конечного поля, либо на дискретном логарифме в группе, отличной от названной, и обладающих максимальной длиной криптографического ключа 128 бит.

5. Лицензирование разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем, осуществляется Федеральным агентством правительственной связи и информации при Президенте Российской Федерации (далее именуется — лицензирующий орган).

6. Лицензионными требованиями и условиями при осуществлении разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем, являются:

а) выполнение нормативных правовых актов Российской Федерации и соблюдение государственных стандартов, относящихся к лицензируемой деятельности;

б) выполнение нормативных документов лицензирующего органа, регламентирующих осуществление лицензируемой деятельности, зарегистрированных в установленном порядке Министерством юстиции Российской Федерации, и методических документов по лицензируемой деятельности, издаваемых лицензирующим органом в пределах своей компетенции;

в) наличие принадлежащих лицензиату на праве собственности или на ином законном основании сооружений, помещений, технологического, испытательного, контрольно — измерительного оборудования и иных объектов, необходимых для осуществления лицензируемой деятельности в соответствии с установленными требованиями;

г) соответствие указанных помещений требованиям, предъявляемым к такого рода помещениям технической документацией на находящееся в них оборудование;

д) обслуживание указанного оборудования в соответствии с регламентом, предусмотренным эксплуатационной документацией;

е) проведение своевременной поверки технологического, испытательного и контрольно — измерительного оборудования, используемого при осуществлении лицензируемой деятельности;

ж) использование программ для электронно — вычислительных машин и баз данных третьими лицами (пользователями) на основании договора с правообладателем;

з) использование при осуществлении лицензируемой деятельности криптографических алгоритмов, утвержденных в качестве государственных стандартов или определенных утвержденными Правительством Российской Федерации по представлению Федерального агентства правительственной связи и информации при Президенте Российской Федерации перечнями;

и) наличие системы поэкземплярного учета шифровальных (криптографических) средств и документации к ним;

к) установление порядка доступа лиц к конфиденциальной информации, связанной с осуществлением лицензируемой деятельности, и обеспечение контролируемого допуска персонала лицензиата к работам, связанным с такой информацией;

л) обеспечение безопасности хранения, обработки и передачи по каналам связи конфиденциальной информации, связанной с осуществлением лицензируемой деятельности;

м) применение средств обработки информации, аттестованных в соответствии с требованиями по защите информации;

н) оборудование средствами контроля вскрытия аппаратных и программно — аппаратных шифровальных (криптографических) средств, а также системных блоков электронно — вычислительных машин с инсталлированными шифровальными (криптографическими) средствами;

о) наличие охраны и (или) специального оборудования, а также распорядка работ, исключающих неконтролируемый доступ к шифровальным (криптографическим) средствам;

п) хранение шифровальных (криптографических) средств, их отдельных узлов и блоков, дистрибутивов программных и программно — аппаратных шифровальных (криптографических) средств, инсталляционных дискет, нормативной, эксплуатационной и ключевой документации к ним в хранилищах (металлических шкафах, сейфах), оборудованных внутренними замками;

р) наличие следующего квалифицированного персонала:

руководитель и (или) лицо, уполномоченное им руководить работами по осуществлению лицензируемой деятельности, имеющие высшее профессиональное образование и (или) профессиональную подготовку в области информационной безопасности, а также стаж работы в этой области не менее 5 лет;

инженерно — технический персонал, имеющий высшее профессиональное образование или прошедший переподготовку (повышение квалификации) в области информационной безопасности с получением специализации, соответствующей виду шифровальных (криптографических) средств.

7. Для получения лицензии соискатель лицензии представляет в лицензирующий орган следующие документы:

а) заявление о предоставлении лицензии с указанием:

лицензируемой деятельности;

наименования, организационно — правовой формы и места нахождения — для юридического лица;

фамилии, имени, отчества, места жительства, данных документа, удостоверяющего личность, — для индивидуального предпринимателя;

б) копии учредительных документов и свидетельства о государственной регистрации соискателя лицензии в качестве юридического лица либо копия свидетельства о государственной регистрации соискателя лицензии в качестве индивидуального предпринимателя (с предъявлением оригинала в случае, если копия не заверена нотариусом);

в) копия свидетельства о постановке соискателя лицензии на учет в налоговом органе (с предъявлением оригинала в случае, если копия не заверена нотариусом);

г) документ, подтверждающий уплату лицензионного сбора за рассмотрение заявления о предоставлении лицензии;

д) сведения о квалификации работников соискателя лицензии, подписанные руководителем (лицом, его замещающим) и заверенные печатью юридического лица или индивидуального предпринимателя.

8. Документы принимаются по описи, копия которой с отметкой о дате приема документов направляется (вручается) соискателю лицензии.

За предоставление недостоверных или искаженных сведений соискатель лицензии несет ответственность в соответствии с законодательством Российской Федерации.

9. Лицензирующий орган вправе запрашивать у соискателя лицензии подтверждение соответствия лицензируемой деятельности лицензионным требованиям и условиям.

10. Лицензирующий орган в течение 60 дней со дня поступления заявления со всеми необходимыми документами принимает решение о предоставлении или об отказе в предоставлении лицензии и направляет (вручает) соискателю лицензии соответствующее уведомление (в случае отказа в предоставлении лицензии — с указанием причин отказа).

11. Решение о предоставлении либо об отказе в предоставлении лицензии принимается по результатам проверки достоверности представленных сведений и соответствия соискателя лицензии лицензионным требованиям и условиям.

В случае если представленной в соответствии с пунктом 7 настоящего Положения информации недостаточно, проверка проводится по месту нахождения соискателя лицензии.

Проверка достоверности представленных сведений и проверка соответствия соискателя лицензии лицензионным требованиям и условиям по месту его нахождения проводятся должностными лицами лицензирующего органа на основании предписания лицензирующего органа в согласованные с соискателем лицензии сроки. Продолжительность проверки не должна превышать 30 дней.

Соискатель лицензии обязан предоставить проверяющим беспрепятственный доступ к необходимой документации, связанной с лицензируемой деятельностью, объектам, на которых или с помощью которых будет осуществляться лицензируемая деятельность, документации на эти объекты, обеспечить условия проведения проверки и присутствие при этом соответствующих должностных лиц.

12. Лицензия выдается на 5 лет.

Срок действия лицензии по его окончании может быть продлен по заявлению лицензиата в порядке, предусмотренном для переоформления лицензии.

13. Лицензирующий орган ведет реестр лицензий, в котором указываются:

а) наименование лицензирующего органа;

б) сведения о лицензиате:

наименование, организационно — правовая форма, место нахождения — для юридического лица;

фамилия, имя, отчество, место жительства, данные документа, удостоверяющего личность, — для индивидуального предпринимателя;

в) код лицензиата по Общероссийскому классификатору предприятий и организаций и идентификационный номер налогоплательщика;

г) лицензируемая деятельность;

д) срок действия лицензии;

е) номер лицензии;

ж) дата принятия решения о предоставлении лицензии;

з) дата предоставления лицензии;

и) сведения о регистрации лицензии в реестре лицензий;

к) основания и даты приостановления и возобновления действия лицензии;

л) основание и срок продления лицензии;

м) основание и дата аннулирования лицензии.

14. Ведение реестра лицензий осуществляется уполномоченными должностными лицами лицензирующего органа. Данные вносятся в реестр не позднее 3 дней с даты подписания лицензии или даты принятия руководством лицензирующего органа решения о приостановлении, возобновлении действия или аннулировании лицензии.

15. Контроль за выполнением лицензиатом лицензионных требований и условий осуществляется в форме проверок в порядке, определяемом руководителем лицензирующего органа.

О проведении проверки лицензирующий орган уведомляет лицензиата не позднее чем за 10 дней до ее начала.

Плановая проверка проводится не чаще одного раза в 2 года по утвержденному лицензирующим органом плану.

Внеплановая проверка проводится лицензирующим органом в случае:

получения от юридических лиц, индивидуальных предпринимателей, органов государственной власти информации о нарушении лицензиатом лицензионных требований и условий;

обращения граждан, юридических лиц и индивидуальных предпринимателей с жалобами на нарушения их прав и законных интересов действиями (бездействием) лицензиатов, которые связаны с невыполнением лицензиатами лицензионных требований и условий.

Продолжительность проверки не должна превышать 30 дней.

Лицензиат обязан предоставить проверяющим беспрепятственный доступ к необходимой документации по лицензируемой деятельности, объектам, на которых или с помощью которых осуществляется лицензируемая деятельность, документации на эти объекты, обеспечить условия проведения проверки и присутствие при этом соответствующих должностных лиц.

По результатам проверки оформляется акт, в котором указываются конкретные нарушения и срок их устранения.

С актом проверки в обязательном порядке должен быть ознакомлен лицензиат.

16. Лицензиат уведомляет лицензирующий орган об устранении нарушений лицензионных требований и условий в установленный актом проверки срок.

По решению лицензионного органа проверка устранения лицензиатом нарушений лицензионных требований и условий осуществляется в течение 15 дней со дня получения от лицензиата уведомления об устранении нарушений.

17. Принятие решений о предоставлении, переоформлении, приостановлении действия, аннулировании лицензии, а также взимание лицензионных сборов осуществляются в порядке, установленном Федеральным законом ˮО лицензировании отдельных видов деятельностиˮ.