Общие принципы и правила лицензирования

Основные принципы и правила системы лицензирования

Лицензирование – это процесс, осуществляемый в отношении таких категорий, как “деятельность” (направления, виды деятельности), “субъект” (физическое лицо, предприятие, организация или иное юридическое лицо), когда некоторый субъект в результате проведения комплекса мероприятий, состав, правила и порядок которых предписываются законодательными и нормативными актами, получает право на осуществление определенного вида деятельности.

Рассматриваемые правила и принципы, положенные в основу деятельности государственных органов по лицензированию в области защиты информации и построения соответствующей системы, вытекают из приведенных выше нормативных актов и основаны на предоставленных им законодательством правах и полномочиях.

Лицензирование в области защиты информации является обязательным.

Данное правило устанавливает, что для занятия деятельностью в области защиты информации одного желания мало, а необходимо еще получение права на ее осуществление. Причем распространяется это требование на все без исключения направления и отдельные виды деятельности, которые вводятся в виде перечисления в соответствующих нормативных актах.

Деятельность в области защиты информации физических и юридических лиц, не прошедших лицензирование, запрещена.

Из данного правила вытекает, что субъекты, не получившие право на деятельность в области защиты информации и продолжающие ее осуществлять, нарушая установленный порядок, занимаются тем самым противоправной деятельностью. В отношении таких субъектов могут быть применены санкции, предусмотренные действующим Гражданским кодексом и законодательством об административной и уголовной ответственности.

Лицензии ФСБ, Гостехкомиссии и ФАПСИ и их решения о выдаче лицензии на право осуществления деятельности в области защиты информации, лицензирование которой относится к компетенции соответствующей организации, выдаются в основном юридическим лицам – предприятиям, организациям и учреждениям (далее – предприятия) независимо от их организационно-правовой формы.

Данное положение лишь на первый взгляд ущемляет интересы физических лиц, которым не предоставляются права на промышленную, коммерческую деятельность, связанную со средствами защиты информации, в первую очередь – с шифровальными средствами. Включение этого положения обусловлено рядом факторов. Во-первых, разработка (производство, монтаж, наладка и т.д.) средств защиты информации и шифровальных средств требует участия высококлассных специалистов разного профиля. Во-вторых, требования, предъявляемые, например, ФАПСИ к заявителю, физическое лицо удовлетворить просто не в состоянии. В-третьих, для проведения работ в этой области, как правило, необходимо обеспечение выполнения режимных требований и наличия допуска к сведениям, составляющим государственную тайну.

Лицензии выдаются конкретным юридическим лицам – предприятиям, а не министерствам, ведомствам или ассоциациям в целом. Если разрешаемая в лицензии деятельность не является для лицензиата основной, то в лицензии указывается структурное подразделение, которому предоставляется право осуществления данного вида деятельности.

Лицензии и решения о выдаче лицензии выдаются только предприятиям, зарегистрированным на территории Российской Федерации.

Лицензия выдается только на основании результатов специальной экспертизы заявителя на соответствие требованиям к предприятию на право деятельности в области защиты информации по заявленному направлению работ и аттестации руководителя предприятия или лиц, уполномоченных им для руководства лицензируемой деятельностью.

Данное положение устанавливает одну из основных норм, определяющих сущностные и процедурные аспекты системы лицензирования: лицензия может быть выдана не каждому заявителю, т.е. предприятию, подавшему все необходимые и правильно оформленные документы, а только предприятию, обладающему соответствующими возможностями, достаточными для осуществления заявленных видов деятельности. Проверка возможностей предприятия выполняется в ходе специальной экспертизы путем экспертных оценок специалистами специально создаваемых комиссий с учетом профиля заявляемых видов деятельности, факта удовлетворения требованиям, предъявляемым к предприятиям. С данными требованиями заявитель может быть ознакомлен в соответствующем лицензионном центре Гостехкомиссии или ФАПСИ. Кроме того, по результатам специальной экспертизы заявителя определяются состав и конкретная формулировка разрешенных видов деятельности, а также условия их осуществления. Уточнение формулировок для различных видов деятельности и заявителей может быть проведено с учетом следующих факторов: уровня конфиденциальности защищаемой информации; уровня секретности сведений, используемых при осуществлении заявляемой деятельности; типа используемого криптографического алгоритма; способа технической реализации изделия; уровня квалификации персонала; назначения изделия, наличия или отсутствия сертификата на него; страны-производителя изделия; категории помещений и технических средств.

Решение о выдаче лицензии дается предприятию, подавшему заявление на его получение, на основании результатов технической экспертизы изделия и (или) специальной экспертизы заявителя.

Основными задачами технической экспертизы являются установление соответствия предъявляемого изделия заявляемым характеристикам (класс, тип средств) и проверка возможного использования в коммерческих средствах защиты информации
(в первую очередь – в шифрсредствах) технических средств, алгоритмов, программ и способов их реализации, составляющих государственную тайну.

Лицензия действует на всей территории Российской Федерации, если иное не оговорено в ней особо.

Могут налагаться, например, следующие ограничения:

· для региональных представителей, работающих по договорам на реализацию шифрсредств, – в рамках сферы их деятельности;

· для фирм-разработчиков – создание криптографических средств защиты и защищенных средств и систем в интересах региональных государственных и коммерческих структур.

Лицензии и решения о выдаче лицензий подписываются Председателем Гостехкомиссии, Генеральным директором ФАПСИ или лицом, их замещающим, и заверяются гербовой печатью.

Передача лицензии другим юридическим лицам запрещена.

Лицензия имеет ограниченный срок действия, по истечении которого осуществляется ее переоформление в том же порядке, что и выдача.

Данные нормы определены постановлением Правительства Российской федерации от 24 декабря 1994 года № 1418 для всех систем лицензирования.

Лицензирование осуществляется на платной основе. Размер платы за рассмотрение заявления и выдачу лицензий фиксирован. Размер платы за специальную экспертизу определяется договором на ее проведение.

Для получения лицензий или решений о выдаче лицензий предприятие обязано представить определенный перечень документов, состав которых определяется нормативными актами Правительства Российской Федерации и ФАПСИ.

Представляемые заявителем документы регистрируются в уполномоченном подразделении ФАПСИ по мере их поступления. Заявление регистрируется только при наличии всех требуемых для оформления лицензии документов.

Рассмотрение заявления и специальная экспертиза должны проводиться в сроки, ограниченные соответствующими нормативными актами.

На настоящий момент продолжительность рассмотрения заявления установлена сроком 30 дней с момента поступления всех необходимых документов (с возможностью увеличения этого срока в отдельных случаях еще максимум до 60 дней). Специальная экспертиза имеет аналогичную продолжительность с момента заключения договора на ее проведение.

Отказ заявителю в выдаче лицензии должен быть мотивирован. Заявителю может быть отказано в получении лицензии в следующих случаях: при наличии в документах, представленных заявителем, недостоверной или искаженной информации; при отрицательном заключении по результатам специальных экспертиз, установивших несоответствие условиям, необходимым для осуществления заявленного вида деятельности и условиям безопасности; при отрицательном заключении по результатам аттестации руководителей предприятия или лица, уполномоченного им на ведение лицензируемой деятельности; при отрицательном заключении по результатам технических экспертиз.

При ликвидации предприятия выданная лицензия теряет юридическую силу.

В случае реорганизации предприятия, изменения его дислокации или наименования юридического лица, утраты лицензии осуществляется ее переоформление. Переоформление лицензии в указанных случаях, за исключением изменения наименования юридического лица, осуществляется в порядке, предусмотренном для ее выдачи.

Выданная лицензия может быть приостановлена или аннулирована.

Приостановление или аннулирование лицензии осуществляется в случаях:

· представления лицензиатом соответствующего заявления;

· обнаружения недостоверных данных в документах, представленных для получения лицензии;

· нарушения лицензиатом условий действия лицензии;

· невыполнения лицензиатом предписаний или распоряжений государственных органов или приостановления ими деятельности предприятия в соответствии с законодательством Российской федерации;

· ликвидации предприятия.

Приостановление действия лицензии влечет за собой прекращение деятельности лицензиата по виду деятельности, указанному в лицензии, до устранения выявленных нарушений.

Решение ФАПСИ о выдаче лицензии на ввоз (вывоз) шифровальных средств выдается только на конкретную партию изделий. Наличие заключенных договоров не является основанием для выдачи положительного решения о возможности ввоза (вывоза) шифровальных средств.

Данные нормы соответствуют установленному порядку внешнеэкономической деятельности. Заключаемые договора, как правило, содержат статью, учитывающую обстоятельства, предусматривающие возможный отказ уполномоченных государственных органов в выдаче лицензии на ввоз (вывоз) шифровальных средств. Конкретная партия товара определяется объемом, этапностью и сроками поставок, оговоренных конкретным договором.

Деятельность по лицензированию в области зашиты информации осуществляется на основании следующих принципов:

· соответствия действующим Российским законодательным и нормативным актам;

· системного и комплексного подхода к решению вопросов лицензирования и сертификации;

· обеспечения надежной защиты информации, составляющей государственную тайну, или иной конфиденциальной информации;

· дифференцированного подхода к отдельным видам деятельности и средствам защиты;

· наложения на лицензиата обязательств по выполнению требований Российского законодательства и иных нормативных актов в области защиты информации;

· соответствия заявителей и лицензиатов требованиям по профессиональной подготовке, нормативно-методической, технической и технологической оснащенности, режимным требованиям, проверяемым в ходе проведения обязательной экспертизы заявителей и постоянного контроля за деятельностью лицензиатов;

· четкой регламентации предоставляемых лицензиату прав и полномочий, а также механизма его взаимодействия с ФАПСИ;

· централизованности выдачи, приостановления и отзыва лицензий и сертификатов;

· доступности и открытости систем лицензирования и сертификации в рамках выше перечисленных принципов.

Лицензирование деятельности предприятия в области защиты информации включает следующие действия: подачу, рассмотрение заявления на лицензирование, оформление и выдачу лицензий (решений о выдаче лицензий), переоформление лицензий; проведение специальной экспертизы заявителя; проведение аттестации руководителя предприятия или лиц, уполномоченных им для руководства лицензируемой деятельности; проведение технической экспертизы изделий.