КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Лицензирование деятельности в области ТЗИ
Аппаратура для выявления и параметризации опасных сигналов электромагнитной природы и измерения акустических сигналов Сертификация средств защиты информации и основные документы регламентирующие ее проведение Лицензирование деятельности в области ТЗИ Тема 7. Лицензирование деятельности и сертификация средств защиты информации. Учебные вопросы: Лицензирование деятельности в области защиты информации представляет собой определенную форму государственного контроля и должно обеспечить не только допуск организаций, соответствующих определенным требованиям и условиям, к осуществлению определенных видов деятельности, но и повышение качества непосредственно мероприятий и услуг по технической защите информации. Государственная система лицензирования деятельности в области технической защиты информации включает в себя две составляющие: допуск предприятий и организаций к оказанию услуг по защите информации; контроль качества и эффективности оказываемых услуг в процессе их деятельности. Рассмотрим основные понятия в области лицензирования. Лицензия - специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю. Лицензируемый вид деятельности - вид деятельности, на осуществление которого на территории Российской Федерации требуется получение лицензии. Лицензирование - мероприятия, связанные с предоставлением лицензий, переоформлением документов, подтверждающих наличие лицензий, приостановлением действия лицензий в случае административного приостановления деятельности лицензиатов за нарушение лицензионных требований и условий, возобновлением или прекращением действия лицензий, аннулированием лицензий, контролем лицензирующих органов за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности соответствующих лицензионных требований и условий, ведением реестров лицензий, а также с предоставлением в установленном порядке заинтересованным лицам сведений из реестров лицензий и иной информации о лицензировании. Лицензионные требования и условия - совокупность установленных положениями о лицензировании конкретных видов деятельности требований и условий, выполнение которых лицензиатом обязательно при осуществлении лицензируемого вида деятельности. Лицензирующие органы - федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, осуществляющие лицензирование в соответствии с ФЗ "О лицензировании отдельных видов деятельности" от 8 августа 2001г. Лицензирование деятельности по технической защите конфиденциальной информации осуществляет ФСТЭК России. Для получения лицензии соискателю необходимо выполнить следующие требования и условия: наличие в штате специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации; наличие у соискателя лицензии помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании; наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию; использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации; использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем; наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю [4.3] Для получения лицензии соискатель отправляет в ФСТЭК документы, рассмотренные в предыдущем разделе данной лекции. Помимо этих документов, соискатель обязан предоставить следующее: копии документов, подтверждающих квалификацию специалистов по защите информации (дипломов, удостоверений, свидетельств); копии документов, подтверждающих право собственности, право хозяйственного ведения или оперативного управления на помещения, предназначенные для осуществления лицензируемой деятельности, либо копии договоров аренды указанных помещений или безвозмездного пользования ими; копии аттестатов соответствия защищаемых помещений требованиям безопасности информации; копии технического паспорта автоматизированной системы с приложениями, акта классификации автоматизированной системы по требованиям безопасности информации, плана размещения основных и вспомогательных технических средств и систем, аттестата соответствия автоматизированной системы требованиям безопасности информации или сертификата соответствия автоматизированной системы требованиям безопасности информации, а также перечень защищаемых в автоматизированных системах ресурсов с документальным подтверждением степени конфиденциальности каждого ресурса, описание технологического процесса обработки информации в автоматизированной системе; копии документов, подтверждающих право на используемые для осуществления лицензируемой деятельности программы для электронно-вычислительных машин и базы данных; сведения о наличии производственного и контрольно-измерительного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемой деятельности, с приложением копий документов о поверке контрольно-измерительного оборудования; сведения об имеющихся у соискателя лицензии нормативных правовых актах, нормативно-методических и методических документах по вопросам технической защиты информации[4.3] ФСТЭК проверяет комплектность предоставленных документов, полноту и достоверность указанных в них сведений. Если каких-то сведений (документов) не хватает, ФСТЭК в течение 15 дней уведомляет об этом соискателя. В срок, не превышающий 45 дней после получения документов от соискателя, ФСТЭК принимает решение о выдаче лицензии. Решение оформляется соответствующим актом ФСТЭК. Лицензия выдается на 5 лет, и после окончания этого срока может быть продлена по заявлению лицензиата. Функция контроля за соблюдением лицензиатом лицензионных требований и условий осуществляет лицензирующий орган, то есть в случае технической защиты конфиденциальной информации – ФСТЭК. Способом контроля являются плановые и внеплановые проверки, которые проводятся в порядке, установленным ФЗ-№294 "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля". Целью плановой проверки является проверка соблюдения лицензиатом лицензионных требований и условий в процессе осуществления деятельности по технической защите конфиденциальной информации. В отношении одного юридического лица или индивидуального предпринимателя она может проводиться не чаще одного раза в течение трех лет. Плановые проверки осуществляются в соответствии с ежегодным планом проверок, который публикуется на официальном сайте ФСТЭК России. Лицензиат включается в плановую проверку в случае истечения трех лет со дня: государственной регистрации лицензиата; окончания проведения последней плановой проверки лицензиата. Лицензиат уведомляется не позднее трех рабочих дней до проведения проверки. Предметом внеплановой проверки является соблюдение лицензиатом лицензионных требований и условий, выполнение предписаний об устранении выявленных нарушений, проведение мероприятий по обеспечению безопасности государства. Основанием для проведения внеплановой проверки является: истечение срока исполнения ранее выданного лицензиату предписания об устранении выявленного нарушения лицензионных требований и условий; поступление в ФСТЭК России обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах: возникновения угрозы причинения вреда безопасности государства; причинение вреда безопасности государства. Плановая и внеплановые проверки проводятся в документарной или выездной формах. Документарная проверка проверяет документы лицензиата и осуществляется по месту нахождения ФСТЭК. В ходе выездной проверки проверяются не только документы лицензиата, но и соответствие его лицензионным требованиям и условиям. Срок проведения каждой из проверок не может превышать 20 рабочих дней. По результатам проверки составляется акт в двух экземплярах, к которому прилагаются протоколы (заключения) проведенных исследований (испытаний) и экспертиз. Подводя итог, можно сказать, что процесс получения лицензии на техническую защиту конфиденциальной информации является весьма трудоемким, длительным и, что не маловажно, затратным, ведь для получения лицензии необходимо выполнить все лицензионные требования и условия. Самым продолжительным по времени является обучение специалистов на курсах повышения квалификации. Несмотря на то, что количество организаций, имеющих дело с конфиденциальной информацией, достаточно велико, специалистов с высшим профессиональным образованием в области ТЗИ может позволить себе далеко не каждая из них. Частные курсы по повышению квалификации, утвержденные ФСТЭК, как правило, рассчитаны на 72 часа. Самым затратным в экономическом плане требованием является проведение аттестации объектов информатизации (автоматизированной системы и защищенного помещения), предназначенных для обработки конфиденциальной информации. Более того, возникает проблема приобретения контрольно-измерительного оборудования, которое после аттестации вообще не нужно, если только организация не собирается оказывать услуги по аттестации объектов информатизации. Альтернативный вариант – взять такое оборудование в аренду, но это тоже стоит денег. Таким образом, продолжительность процесса лицензирования может занять от 2 до 6 месяцев и повлечь за собой значительные материальные затраты. Вариантом решения данной проблемы является аутсорсинг. Аутсорсинг (от англ. outsourcing) дословно "использование внешних источников". Аутсорсинг предполагает передачу от компании-заказчика сторонней организации(подрядчику) определенных функций уставной деятельности, например, техническую защиту конфиденциальной информации. При этом подрядчик использует свои программные, технические и другие средства защиты, лицензии, аттестаты и т.п., а также несет ответственность за результат выполнения своей работы.
Дата добавления: 2014-01-07; Просмотров: 1305; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |