ЛИЦЕНЗИОННАЯ ПАЛАТА УКРАИНЫ
ДЕПАРТАМЕНТ СПЕЦИАЛЬНЫХ ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ
И ЗАЩИТЫ ИНФОРМАЦИИ СБ УКРАИНЫ
ПРИКАЗ
от 13 октября 1998 г. N 92/80
г.Киев
Зарегистрировано
в Министерстве юстиции Украины
23 октября 1998 г. N 682/3122
( Приказ утратил силу на основании Приказа Госкомпредпринимательства
N 89/67 від 29.12.2000 )
Об утверждении Инструкции об условиях и правилах
осуществления предпринимательской деятельности (лицензионных
условиях), связанной с разработкой, изготовлением, ввозом, вывозом,
реализацией и использованием средств
технической защиты информации, а также с предоставлением услуг
по технической защите информации, и контроле за их соблюдением
В соответствии с Законами Украины "О предпринимательстве", "Об информации", "О защите информации в автоматизированных системах" и "О государственной тайне", Положением о технической защите информации в Украине, утвержденным Постановлением Кабинета Министров Украины от 9 сентября 1994 года N 632, Положением о Лицензионной палате Украины, утвержденным Указом Президента Украины от 16 июля 1997 года N 648/97, и во исполнение Постановления Кабинета Министров Украины от 3 июля 1998 года N 1020 "О порядке лицензирования предпринимательской деятельности" приказываем:
1. Утвердить Инструкцию об условиях и правилах осуществления предпринимательской деятельности (лицензионных условиях), связанной с разработкой, изготовлением, ввозом, вывозом, реализацией и использованием средств технической защиты информации, а также с предоставлением услуг по технической защите информации, и контроле за их соблюдением (прилагается).
2. Управлению лицензирования предпринимательской деятельности Лицензионной палаты, Главному управлению технической защиты информации Департамента специальных телекоммуникационных систем и защиты информации СБ Украины в установленном порядке в пятидневный срок представить Инструкцию на государственную регистрацию в Министерство юстиции Украины.
3. Управлению лицензирования предпринимательской деятельности Лицензионной палаты довести к сведению работников управлений Лицензионной палаты, представительств Лицензионной палаты Автономной Республики Крым, областей, городов Киева и Севастополя Инструкцию об условиях и правилах осуществления предпринимательской деятельности (лицензионных условиях), связанной с разработкой, изготовлением, ввозом, вывозом, реализацией и использованием средств технической защиты информации, а также с предоставлением услуг по технической защите информации, и контроле за их соблюдением.
4. Предусмотреть в планах-графиках:
Управлению контрольной работы Лицензионной палаты - проверку соблюдения порядка выдачи лицензий Департаментом специальных телекоммуникационных систем и защиты информации СБ Украины;
Управлению контрольной работы Лицензионной палаты и Главному управлению технической защиты информации Департамента специальных телекоммуникационных систем и защиты информации СБ Украины - проверку субъектов предпринимательской деятельности по вопросу соблюдения условий и правил проведения деятельности в области технической защиты информации.
5. Заместителю руководителя Департамента специальных телекоммуникационных систем и защиты информации СБ Украины - начальнику Главного управления технической защиты информации обеспечить публикацию в средствах массовой информации Инструкции об условиях и правилах осуществления деятельности, связанной с разработкой, изготовлением, ввозом, вывозом, реализацией и использованием средств технической защиты информации, а также с предоставлением услуг по технической защите информации, и контроле за их соблюдением.
6. Инструкцию об условиях и правилах осуществления деятельности в области технической зашиты информации и контроле за их соблюдением, утвержденную Приказом Государственной службы Украины по вопросам технической защиты информации от 23 мая 1994 г. N 46 и зарегистрированную в Министерстве юстиции Украины 1 июня 1994 года N 120/329, считать утратившей силу.
7. Контроль за исполнением настоящего приказа возложить на заместителя Председателя Лицензионной палаты Украины и первого заместителя руководителя Департамента специальных телекоммуникационных систем и защиты информации СБ Украины.
Председатель Лицензионной палаты Украины С.Третьяков.
Руководитель Департамента специальных телекоммуникационных
систем и защиты информации СБ Украины Г.Лазарев.
Утверждено
приказом Лицензионной палаты Украины,
Департамента специальных телекоммуникационных
систем и защиты информации СБ Украины
13 октября 1998 г. N 92/80
Инструкция
об условиях и правилах осуществления
предпринимательской деятельности (лицензионных
условиях), связанной с разработкой, изготовлением, ввозом, вывозом, реализацией и использованием средств
технической защиты информации, а также с предоставлением услуг по технической защите
информации, и контроле за их соблюдением
1. Общие положения
1.1. Инструкция разработана в соответствии с Законами Украины "О предпринимательстве", "Об информации", "О защите информации в автоматизированных системах" и "О государственной тайне", Положением о технической защите информации в Украине, утвержденным Постановлением Кабинета Министров Украины от 9 сентября 1994 года N 632, Положением о порядке лицензирования предпринимательской деятельности, утвержденным Постановлением Кабинета Министров Украины от 3 июля 1998 года N 1020.
1.2. Инструкция определяет лицензионные условия осуществления деятельности, связанной с разработкой, изготовлением, ввозом, вывозом, реализацией и использованием средств технической защиты информации, предоставлением услуг по технической защите информации, а также устанавливает порядок контроля за соблюдением лицензионных условий этой деятельности.
1.3. В пределах указанной деятельности, которая подлежит лицензированию, выполняются следующие виды работ:
1.3.1. Исследование объектов информационной деятельности и информационных систем относительно безопасности информации, предоставление консультативных услуг по технической защите информации.
1.3.2. Разработка, внедрение, аттестация, обслуживание систем технической защиты информации от технических разведок и специальных воздействий на объектах информационной деятельности.
1.3.3. Разработка, внедрение, сопровождение систем технической защиты информации в информационных системах.
1.3.4. Обнаружение и блокировка утечки речевой и видовой информации через закладные устройства на объектах информационной деятельности.
1.3.5. Разработка, изготовление, использование и реализация средств обеспечения технической защиты информации.
1.3.6. Ввоз, вывоз средств технической защиты информации.
1.4. Субъектами предпринимательской деятельности, которым предоставляется право на осуществление деятельности в области технической защиты информации, могут быть граждане-предприниматели и юридические лица всех форм собственности, которые создали условия в соответствии с требованиями этой Инструкции.
1.5. Выдача, переоформление, приостановление, аннулирование и возобновление действия лицензий на осуществление деятельности в области технической защиты информации проводится Департаментом специальных телекоммуникационных систем и защиты информации Службы безопасности Украины (далее - Департамент) в соответствии с Положением о порядке лицензирования предпринимательской деятельности, утвержденным постановлением Кабинета Министров Украины от 3 июля 1998 года N 1020.
1.6. Департамент после приема заявления и проверки сведений, которые приводятся в представленных материалах, проверяет созданные заявителем условия для осуществления деятельности в области технической защиты информации. Результаты проверки оформляются актом. К акту прилагаются материалы, которые подтверждают способность выполнения заявителем лицензионных условий проведения выбранных видов работ.
1.7. При осуществлении нескольких видов работ выдается одна лицензия.
2. Термины и определения
В настоящей Инструкции термины и определения употребляются в следующем значении:
объект информационной деятельности - среда, инженерно-техническое сооружение, помещение с установленной контролируемой зоной, где осуществляется административная, финансово-экономическая, производственная, научно-технологическая и другая деятельность, связанная с информацией, которая подлежит защите;
информационная система - автоматизированная система, компьютерная сеть, система связи;
исследование объектов информационной деятельности, информационных систем относительно безопасности информации - изучение и анализ проектной, программной документации, технологических процессов, информационных потоков, условий функционирования объектов информационной деятельности, информационных систем с целью определения угрозы безопасности информации относительно ее утечки, блокировки или нарушения целостности;
консультативные услуги в области технической защиты информации разработка рекомендаций относительно организации (создания) системы технической защиты информации объекта информационной деятельности или информационной системы на основании материалов их исследования; оценка возможного ущерба, нанесенного реализацией угрозы информации; определение и технико-экономическое обоснование требуемого уровня защиты информации и соответствующих мероприятий; предоставление методической помощи по разработке нормативно-правовых актов, нормативных документов, проектной и рабочей документации при создании средств и систем защиты информации для объектов и информационных систем, проведение экспертизы таких документов; организация курсов, семинаров и др. за пределами государственных заведений образования; распространение нормативных документов системы технической защиты информации в Украине;
разработка средства обеспечения или системы технической защиты информации - создание или модернизация аппаратного, аппаратно-программного или программного средства обеспечения технической защиты информации или системы технической защиты информации от технических разведок, специальных воздействий или несанкционированного доступа, которые связаны с: составлением технического задания, эскизным, техническим (эскизно-техническим), рабочим проектированием; разработкой эксплуатационной документации, программ и методик приемочных (аттестационных) испытаний; изготовлением и испытанием опытных образцов, приемочными испытаниями;
внедрение системы технической защиты информации - введение в действие разработанной системы технической защиты информации на конкретном объекте информационной деятельности или в конкретной информационной системе, включая обеспечение проверки достаточности уровня защищенности информации путем ее аттестации на объекте или экспертизы в информационной системе;
аттестация системы технической защиты информации - аттестационные (первичные, периодические) испытания защищенности информации на объекте от технических разведок и специальных воздействий на соответствие требованиям нормативных документов по технической защите информации;
обслуживание системы технической защиты информации на объекте обеспечение функционирования в соответствии с эксплуатационной документацией системы технической защиты информации после ее внедрения;
сопровождение системы технической защиты информации в информационной системе - обеспечение функционирования и модернизации системы технической защиты информации после ее внедрения в информационной системе;
изготовление средств обеспечения технической защиты информации технологическая подготовка, осуществление серийного или единичного производства;
закладное устройство - тайно установленное техническое средство, которое создает угрозу для информации.
3. Условия осуществления деятельности
Для осуществления деятельности в области технической защиты информации субъект предпринимательской деятельности должен иметь:
3.1. Структурное подразделение безопасности информации, укомплектованное не менее чем тремя штатными специалистами, которые имеют полное высшее образование (специалист или магистр) по направлению деятельности, повысили квалификацию по вопросам технической защиты информации на курсах последипломного образования, получили свидетельство государственного образца и обладают практическими навыками выполнения работ в области технической защиты информации в соответствии с нормативными документами.
3.2. Нормативные документы согласно рекомендованному Департаментом перечню и средства измерений и контроля в объеме, достаточном для проведения выбранного вида работы по технической защите информации.
3.3. Производственную базу, которая позволяет в соответствии с государственными стандартами Украины организовать изготовление средств обеспечения технической защиты информации (для вида работы определенного в подпункте 1.3.5 настоящей Инструкции).
3.4. Соответствующее разрешение на осуществление деятельности, связанной с государственное тайной, при этом не менее трех ведущих специалистов должны быть оформлены для допуска к государственной тайне (для получения лицензии с правом осуществления деятельности по технической защите информации, составляющей государственную тайну).
3.5. Материалы, подтверждающие способность выполнения заявителем лицензионных условий для проведения выбранных видов работ.
К таким материалам относятся:
для всех видов работ - сведения о субъекте предпринимательской деятельности по форме (прилагается); справка о внесении в Единый государственный реестр предприятий и организаций Украины; соответствующее разрешение на право осуществления деятельности, связанной с государственной тайной (для получения лицензии с правом осуществления деятельности по технической защите информации, составляющей государственную тайну);
для вида работы, определенного в подпункте 1.3.1 настоящей Инструкции, нормативно-правовые акты, методики проведения исследований объекта информационной деятельности (информационной системы), оценки риска реализации угрозы; разработанные рекомендации по организации (созданию) системы технической защиты информации объекта информационной деятельности (информационной системы), документы по вопросам технической защиты информации собственной разработки;
для вида работы, определенного в подпункте 1.3.2 настоящей Инструкции, материалы приемочных (аттестационных) испытаний, разработанных и (или) внедренных заявителем систем технической защиты информации; конструкторская документация на системы защиты, которые предназначаются к внедрению обслуживанию;
для вида работы, определенного в подпункте 1.3.3 настоящей Инструкции, краткое техническое описание системы технической защиты информации, которая разработана или разрабатывается заявителем; заключение органа оценки (собственная оценка согласно нормативным документам по технической защите информации) защищенности информации в информационной системе, в которую заявитель внедрил систему технической защиты информации;
для вида работы, определенного в подпункте 1.3.4 настоящей Инструкции, методики собственной разработки обнаружения утечки речевой или видовой информации через закладные устройства на объект информационной деятельности;
для вида работы, определенного в подпункте 1.3.5 настоящей Инструкции, материалы приемочных испытаний проведенных разработок в области технической защиты информации или аналогичных по сложности из смежных отраслей; материалы квалификационных испытаний средств, поставленных на производство; конструкторская документация на средства обеспечения технической защиты информации, которые предусмотрено внедрить в производство.
3.6. Для осуществления деятельности, связанной с ввозом, вывозом средств технической защиты информации субъект предпринимательской деятельности должен определить партнеров по осуществлению заявленной деятельности.
4. Правила осуществления деятельности
При осуществлении деятельности в соответствии с полученной лицензией субъект предпринимательской деятельности должен соблюдать следующие правила:
предоставлять услуги по технической защите информации только по письменно заключенным хозяйственным договорам;
выполнять требования нормативных документов по технической защите информации;
использовать средства обеспечения технической защиты информации, которые имеют сертификат соответствия требованиям технической защиты информации или временное разрешение Департамента на их применение;
использовать метрологически проверенную контрольно-измерительную аппаратуру.
5. Особые условия осуществления деятельности
5.1. В зависимости от важности информации для личности, общества, государства и правового режима доступа к информации устанавливаются особые условия осуществления деятельности в области технической защиты информации:
с предоставлением права осуществления деятельности по технической защите информации всех видов, независимо от того, где она циркулирует, в том числе информации, составляющей государственную тайну;
с предоставлением права осуществления деятельности по технической защите конфиденциальной информации, которая не является собственностью государства, и открытой информации, важной для личности и общества, если она циркулирует вне пределов государственных органов и учреждений.
5.2. Выполнение работ по защите секретной информации разрешается в пределах срока действия соответствующего разрешения на осуществление деятельности, связанной с государственной тайной.
5.3. При выполнении работ субъект предпринимательства обязан срочно информировать Департамент об обнаружении закладных устройств на объектах, на которых циркулирует информация, составляющая государственную тайну, а также в государственных органах и учреждениях.
5.4. Право осуществления деятельности, предоставленное в соответствии с настоящей Инструкцией, не распространяется на сферу криптографической защиты информации.
6. Права субъектов предпринимательской деятельности при осуществлении
деятельности в области технической защиты информации
Субъект предпринимательской деятельности при осуществлении деятельности в области технической защиты информации имеет право:
получать информацию от Департамента относительно нормативного обеспечения деятельности в области технической защиты информации;
обжаловать действия Департамента в порядке, установленном законом.
7. Контроль за соблюдением лицензионных условий и правил
осуществления предпринимательской деятельности в области
технической защиты информации
7.1. Контроль за соблюдением субъектами предпринимательства лицензионных условий осуществления деятельности и качества выполненных работ в области технической защиты информации проводится Департаментом, Лицензионной палатой Украины и ее представительствами планово не более одного раза в год, а также в случаях некачественного выполнения работ, по рекламации заказчика услуг или для решения вопроса относительно возобновления действия лицензии.
Плановая выездная проверка субъекта предпринимательской деятельности проводится при условии его предварительного письменного уведомления не позднее чем за десять календарных дней до дня указанной проверки.
7.2. В случае нарушения субъектом предпринимательства лицензионных условий осуществления деятельности в области технической защиты информации Департамент выдает обязательные для выполнения распоряжения по устранению нарушений и приостанавливает действие лицензии до устранения этих нарушений.
В решении о приостановлении действия лицензии, которое направляется субъекту предпринимательства в письменной форме, отмечаются основания приостановления.
Действие лицензии возобновляется после устранения выявленных нарушений. Решение о возобновлении действия лицензии принимается Департаментом на основании акта проверки.
7.3. В случае повторного или грубого нарушения субъектом предпринимательства лицензионных условий осуществления деятельности в области технической защиты информации лицензия может быть аннулирована.
К грубым нарушениям относятся: невыполнение требований нормативных документов по технической защите информации;
применение на объектах, деятельность которых связана с государственной тайной, средств обеспечения технической защиты информации, которые не имеют сертификата соответствия требованиям технической защиты информации или временного разрешения Департамента на их применение;
несвоевременное информирование Департамента об обнаружении закладных устройств на объектах, деятельность которых связана с государственной тайной.
Решение об аннулировании лицензии принимается Департаментом на основании акта контрольной проверки.
В решении об аннулировании лицензии, которое направляется лицензиату в письменной форме, отмечаются основания аннулирования.
При аннулировании лицензии субъект предпринимательской деятельности имеет право обратиться в Департамент для получения новой лицензии при условии устранения нарушений.
Приложение
к пункту 3.5 Инструкции об условиях и правилах
осуществления предпринимательской деятельности
(лицензионных условиях) связанной с разработкой,
изготовлением, ввозом, вывозом, реализацией и
использованием средств технической защиты
информации, а также с предоставлением услуг по
технической защите информации, и контроле за их соблюдением
СВЕДЕНИЯ
о субъекте предпринимательской деятельности
(наименование субъекта предпринимательской деятельности)
1. Общие сведения
+----------------------------------------------------------------------------+
¦ N ¦ Сведения ¦
¦п/п¦ ¦
¦---¦------------------------------------------------------------------------¦
¦ 1 ¦ Фамилия, имя, отчество руководителя, должность ¦
¦---+------------------------------------------------------------------------¦
¦ ¦ Регистрационный номер, дата выдачи, срок действия соответствующего ¦
¦ 2 ¦ разрешения на осуществление деятельности, связанной с государственной ¦
¦ ¦ тайной ¦
¦---¦------------------------------------------------------------------------¦
¦ 3 ¦ Адрес местонахождения ¦
+---+------------------------------------------------------------------------¦
¦ 4 ¦ Номера телефонов и другие виды связи ¦
+----------------------------------------------------------------------------+
II. Сведения о специалистах структурного подразделения безопасности информации, которые занимаются деятельностью в области технической зашиты информации
+----------------------------------------------------------------------------+
¦ N ¦ ¦Фамилия, ¦ ¦Сведения о повышении ¦ ¦
¦п/п¦ ¦ имя, ¦Образование, ¦ квалификации ¦ Форма ¦
¦ ¦Должность¦отчество ¦специальность ¦ в области ТЗИ ¦ допуска ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦
+----------------------------------------------------------------------------+
III. Сведения о помещениях
+----------------------------------------------------------------------------+
¦ ¦ ¦ Характеристика помещений ¦ ¦
¦ N ¦Название помещений+------------------------------------¦ Примечание ¦
¦п/п¦ ¦ количество ¦ площадь ¦ ¦
+----------------------------------------------------------------------------+
IV. Перечень и характеристики средств измерений, вычислительной техники, вспомогательных средств
+----------------------------------------------------------------------------+
¦ N ¦ ¦ ¦ ¦ ¦
¦п/п¦ Наименование ¦ Тип ¦ Заводской номер ¦ Дата последней поверки ¦
+----------------------------------------------------------------------------+
V. Перечень имеющихся нормативно-методических документов, которые обеспечивают выполнение выбранных видов работ
+----------------------------------------------------------------------------+
¦ N ¦ Наименование ¦ Разработчик ¦
¦п/п¦ ¦ ¦
+----------------------------------------------------------------------------+
(подпись заявителя)