ДЕРЖАВНИЙ КОМІТЕТ УКРАЇНИ З ПИТАНЬ
РЕГУЛЯТОРНОЇ ПОЛІТИКИ ТА ПІДПРИЄМНИЦТВА
АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ
ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
НАКАЗ
26.01.2008 N 8/216
Зареєстровано
в Міністерстві юстиції України
9 лютого 2008 р. за N 113/14804
(Наказ втратив чинність на підставі Наказу
Міністерства економічного розвитку і торгівлі України,
Адміністрації Державної служби спеціального
зв’язку та захисту інформації України
N 1222/530 від 14.10.2014)
Про затвердження Ліцензійних умов
провадження господарської діяльності
з розроблення, виробництва, використання,
експлуатації, сертифікаційних випробувань,
тематичних досліджень, експертизи, ввезення,
вивезення криптосистем і засобів криптографічного
захисту інформації, надання послуг у галузі
криптографічного захисту інформації
(крім послуг електронного цифрового підпису),
торгівлі криптосистемами і засобами
криптографічного захисту інформації
і Порядку контролю за додержанням
Ліцензійних умов провадження
господарської діяльності з розроблення,
виробництва, використання, експлуатації,
сертифікаційних випробувань, тематичних досліджень,
експертизи, ввезення, вивезення криптосистем
і засобів криптографічного захисту інформації,
надання послуг у галузі криптографічного захисту
інформації (крім послуг електронного цифрового підпису),
торгівлі криптосистемами і засобами
криптографічного захисту інформації
Відповідно до статті 8 Закону України "Про ліцензування певних видів господарської діяльності" ( 1775-14 ), статті 17, пункту 2 розділу IX "Прикінцеві та перехідні положення" Закону України "Про Державну службу спеціального зв'язку та захисту інформації України" ( 3475-15 ) та на виконання постанови Кабінету Міністрів України від 08.12.2006 N 1700 "Про внесення змін до деяких актів Кабінету Міністрів України" наказуємо:
1. Затвердити Ліцензійні умови провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису), торгівлі криптосистемами і засобами криптографічного захисту інформації (далі - Ліцензійні умови) і Порядок контролю за додержанням Ліцензійних умов провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису), торгівлі криптосистемами і засобами криптографічного захисту інформації, що додаються.
2. Департаменту ліцензування Державного комітету України з питань регуляторної політики та підприємництва (Іванченко О.Б.), Департаменту регулювання діяльності у сфері криптографічного захисту інформації Адміністрації Державної служби спеціального зв'язку та захисту інформації України (Грєбнєв В.П.) у встановленому порядку забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України.
3. Начальнику Департаменту регулювання діяльності у сфері криптографічного захисту інформації Адміністрації Державної служби спеціального зв'язку та захисту інформації України (Грєбнєв В.П.) забезпечити опублікування наказу в засобах масової інформації.
4. Визнати таким, що втратив чинність, наказ Державного комітету України з питань регуляторної політики та підприємництва, Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 29.12.2000 N 88/66 "Про затвердження Ліцензійних умов провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг в галузі криптографічного захисту інформації, торгівлі криптосистемами і засобами криптографічного захисту інформації", зареєстрований в Міністерстві юстиції України 20.01.2001 за N 49/5240 (в редакції наказу Державного комітету України з питань регуляторної політики та підприємництва, Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 15.10.2004 N 121/80).
5. Унести до наказу Державного комітету України з питань регуляторної політики та підприємництва, Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 12.12.2001 N 151/72 "Про затвердження Порядку контролю за додержанням ліцензійних умов провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг в галузі криптографічного захисту інформації, торгівлі криптосистемами і засобами криптографічного захисту інформації; розроблення, виробництва, впровадження, обслуговування, дослідження ефективності систем і засобів технічного захисту інформації, надання послуг в галузі технічного захисту інформації", зареєстрованого у Міністерстві юстиції України 27.12.2001 за N 1085/6276 (далі - Наказ), такі зміни:
5.1 У назві та пункті 1 Наказу слова "розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг в галузі криптографічного захисту інформації, торгівлі криптосистемами і засобами криптографічного захисту інформації" виключити.
6. Унести такі зміни до Порядку контролю за додержанням ліцензійних умов провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг в галузі криптографічного захисту інформації, торгівлі криптосистемами і засобами криптографічного захисту інформації; розроблення, виробництва, впровадження, обслуговування, дослідження ефективності систем і засобів технічного захисту інформації, надання послуг в галузі технічного захисту інформації, затвердженого наказом Державного комітету України з питань регуляторної політики та підприємництва, Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 12.12.2001 N 151/72 та зареєстрованого в Міністерстві юстиції України 27.12.2001 за N 1085/6276 (далі - Порядок):
6.1. У назві Порядку та додатках до нього слова "розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг в галузі криптографічного захисту інформації, торгівлі криптосистемами і засобами криптографічного захисту інформації" виключити.
6.2. У пункті 1.1 Порядку слова "з питань криптографічного захисту інформації (далі - КЗІ)" та другий абзац цього підпункту виключити.
6.3. У тексті Порядку та додатках до нього слова "галузях КЗІ, ТЗІ" замінити на слова "галузі ТЗІ".
6.4. Пункт 4.7 Порядку виключити.
7. Контроль за виконанням наказу покласти на заступника Голови Державного комітету України з питань регуляторної політики та підприємництва Приступу М.І. та першого заступника Голови Державної служби спеціального зв'язку та захисту інформації України Сирова О.І.
Голова Державного комітету України з
питань регуляторної політики та
підприємництва К.О.Ващенко
Голова Державної служби спеціального
зв'язку та захисту інформації України
Ю.Б.Чеботаренко
Затверджено
Наказ Державного комітету
України з питань
регуляторної політики
та підприємництва,
Адміністрації Державної
служби спеціального
зв'язку та захисту
інформації України
26.01.2008 N 8/216
Зареєстровано
в Міністерстві юстиції України
9 лютого 2008 р. за N 113/14804
Ліцензійні умови
провадження господарської діяльності
з розроблення, виробництва, використання,
експлуатації, сертифікаційних випробувань,
тематичних досліджень, експертизи, ввезення,
вивезення криптосистем і засобів
криптографічного захисту інформації,
надання послуг у галузі криптографічного захисту
інформації (крім послуг електронного цифрового підпису),
торгівлі криптосистемами і засобами
криптографічного захисту інформації
1. Загальні положення
1.1. Ці Ліцензійні умови розроблено відповідно до Закону України "Про ліцензування певних видів господарської діяльності" ( 1775-14 ), з урахуванням вимог Законів України "Про Державну службу спеціального зв'язку та захисту інформації України" ( 3475-15 ), "Про інформацію" ( 2657-12 ), "Про державну таємницю" ( 3855-12 ), "Про захист інформації в інформаційно-телекомунікаційних системах" ( 80/94-ВР ), Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженого Указом Президента України від 22 травня 1998 року N 505, постанов Кабінету Міністрів України від 14 листопада 2000 року N 1698 "Про затвердження переліку органів ліцензування", від 4 липня 2001 року N 756 "Про затвердження переліку документів, які додаються до заяви про видачу ліцензії для окремого виду господарської діяльності".
1.2. Ці Ліцензійні умови визначають організаційні, кваліфікаційні, технологічні та інші вимоги до суб'єктів господарювання, виконання яких є обов'язковою умовою провадження певних робіт і надання послуг у межах господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису), торгівлі криптосистемами і засобами криптографічного захисту інформації (далі господарська діяльність у галузі КЗІ).
1.3. Дія цих Ліцензійних умов поширюється на всіх суб'єктів господарювання незалежно від організаційно-правової форми та форми власності, які здійснюють господарську діяльність у галузі КЗІ.
1.4. Приймання документів, що подаються для одержання ліцензії, видачі, переоформлення та анулювання ліцензій, видача дублікатів ліцензій, ведення ліцензійних справ та ліцензійних реєстрів, контроль за додержанням Ліцензійних умов, видача розпоряджень про усунення порушень Ліцензійних умов здійснюються Адміністрацією Державної служби спеціального зв'язку та захисту інформації України як органом ліцензування в галузі КЗІ (далі - орган ліцензування) у порядку і терміни, що визначені Законом України "Про ліцензування певних видів господарської діяльності" ( 1775-14 ).
2. Терміни та визначення
У цих Ліцензійних умовах терміни та визначення вживаються у такому значенні:
ввезення, вивезення засобів КЗІ та криптосистем - фактичне переміщення через митний кордон України криптосистем і засобів КЗІ (їх частин, нормативно-технічної документації);
виробничий персонал - штатні співробітники відповідної кваліфікації, які згідно з посадовими інструкціями безпосередньо виконують окремі види (напрямки) робіт та підпорядковані керівнику робіт;
експертиза (державна експертиза у сфері КЗІ) засобів КЗІ та криптосистем - діяльність, метою якої є підготовка висновків і надання рекомендацій для прийняття рішень про використання (застосування) об'єктів експертизи, та яка включає перевірку відповідності об'єктів експертизи вимогам нормативних документів, оцінку рівня захисту інформації об'єктами експертизи або науково-технічного рівня об'єктів експертизи;
засіб КЗІ - програмний, апаратно-програмний, апаратний або інший засіб, призначений для криптографічного захисту інформації. До засобів КЗІ належать:
апаратні, програмні та апаратно-програмні засоби, що реалізовують криптографічні алгоритми перетворення інформації;
апаратні, програмні та апаратно-програмні засоби, системи і комплекси захисту від нав'язування неправдивої інформації, у тому числі засоби імітозахисту та електронного цифрового підпису, що реалізовують криптографічні алгоритми перетворення інформації;
апаратні, програмні та апаратно-програмні засоби, системи і комплекси, призначені для виготовлення та розподілу ключових документів, які використовуються в засобах КЗІ, незалежно від виду носія ключової інформації;
системи та комплекси (у тому числі ті, які входять до систем та комплексів захисту інформації від несанкціонованого доступу), до складу яких входять апаратні, програмні та апаратно-програмні засоби, що реалізовують криптографічні алгоритми перетворення інформації;
керівник робіт - штатний співробітник, який на підставі наказу суб'єкта господарювання уповноважений здійснювати керівництво окремими видами (напрямами) робіт;
ключові документи - матеріальні об'єкти із зафіксованими відповідним чином ключовими даними для подальшого практичного застосування щодо криптографічного перетворення повідомлення;
криптографічна система (криптосистема) - сукупність засобів КЗІ, необхідної ключової, нормативної, експлуатаційної, а також іншої документації (у тому числі такої, що визначає заходи безпеки), використання яких забезпечує належний рівень захищеності інформації, що обробляється, зберігається та (або) передається;
криптографічний захист інформації - вид захисту, що реалізовується за допомогою перетворень інформації з використанням спеціальних даних (ключових даних) з метою приховування (або відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства тощо;
надання послуг у галузі КЗІ - діяльність, спрямована на задоволення потреб споживачів у галузі КЗІ, що може включати здійснення криптографічного перетворення інформації, надання в користування, монтаж, налагодження, ремонт, утилізацію засобів КЗІ, забезпечення їх ключовими документами та запровадження заходів забезпечення режиму безпеки;
режим безпеки - реалізована система правових норм, організаційно-технічних заходів, яка створюється суб'єктами господарювання під час провадження робіт у галузі КЗІ з метою обмеження доступу до конфіденційної інформації;
розроблення - усі стадії робіт до серійного виробництва, а саме: прикладні наукові дослідження, вибір напрямів та проведення теоретичних (експериментальних) досліджень (фундаментальних наукових досліджень), ескізне (технічне) проектування і макетування, проектно-пошукові роботи та технологічне проектування, створення і виготовлення конструкторської документації, створення та проведення випробувань дослідних зразків, створення схеми виробництва, користування конструкторською документацією або доопрацювання дослідних зразків за результатами випробувань;
сертифікаційні випробування засобів КЗІ та криптосистем - діяльність, пов'язана з перевіркою відповідності засобів КЗІ та криптосистем вимогам, що визначені нормативними документами щодо цих засобів та систем;
торгівля засобами КЗІ та криптосистемами - будь-які операції, що здійснюються за договорами купівлі-продажу, міни, поставки та іншими цивільно-правовими договорами, які передбачають передання прав власності на засоби КЗІ та криптосистеми.
3. Особливості ліцензування та здійснення діяльності
в галузі КЗІ
3.1. Суб'єкт господарювання, який має намір провадити господарську діяльність у галузі КЗІ та відповідає цим Ліцензійним умовам, подає до органу ліцензування заяву про видачу ліцензії (додаток 1).
Суб'єкт господарювання може провадити господарську діяльність у галузі КЗІ в повному обсязі або частково, з окремих робіт, операцій, послуг (далі - роботи).
Якщо суб'єкт господарювання провадить господарську діяльність у галузі КЗІ не в повному обсязі, а частково, то ці Ліцензійні умови поширюються на нього в частині, що встановлює вимоги до провадження окремих робіт.
У разі забезпечення суб'єктом господарювання криптографічного захисту інформації клієнтів (юридичних або фізичних осіб) шляхом надання послуг з шифрування дія цих Ліцензійних умов поширюється на суб'єкт господарювання, який організовує використання, експлуатацію засобів КЗІ та встановлює відповідний режим безпеки і порядок доступу до засобів захисту інформації. Клієнти, які отримують послуги з шифрування, ліцензію на право здійснення діяльності в галузі КЗІ не одержують.
3.2. У разі наявності у суб'єкта господарювання філій, інших відокремлених підрозділів, які провадитимуть господарську діяльність у галузі КЗІ, загальне керівництво провадженням ними робіт у галузі КЗІ здійснює суб'єкт господарювання, у тому числі забезпечує їх відповідність цим Ліцензійним умовам.
3.3. У разі зміни найменування юридичної особи (якщо ця зміна не пов'язана з реорганізацією юридичної особи) або прізвища, імені та по батькові фізичної особи - суб'єкта підприємницької діяльності, місцезнаходження юридичної особи або місця проживання фізичної особи - суб'єкта підприємницької діяльності, ліцензіат зобов'язаний протягом десяти робочих днів подати органу ліцензування заяву про переоформлення ліцензії (додаток 2) разом з ліцензією, що підлягає переоформленню, та відповідними документами або їх нотаріально засвідченими копіями, які підтверджують зазначені зміни.
У разі переоформлення ліцензії у зв'язку зі змінами, пов'язаними з провадженням ліцензіатом господарської діяльності в галузі КЗІ, якщо ця зміна пов'язана з намірами ліцензіата розширити свою діяльність, подається заява про переоформлення ліцензії у зв'язку з намірами ліцензіата розширити свою діяльність (додаток 3), а ліцензія переоформляється в порядку і в строки, передбачені для видачі ліцензії.
3.4. Заява про видачу дубліката ліцензії оформляється ліцензіатом у довільній формі із зазначенням підстави видачі дубліката ліцензії.
3.5. Орган ліцензування приймає рішення про видачу ліцензії або про відмову у її видачі протягом десяти робочих днів з дати надходження заяви про видачу ліцензії та відповідних документів згідно зі статтею 10 Закону України "Про ліцензування певних видів господарської діяльності" ( 1775-14 ), а також документів відповідно до пункту 47 Переліку документів, які додаються до заяви про видачу ліцензії для окремого виду господарської діяльності, затвердженого постановою Кабінету Міністрів України від 04.07.2001 N 756 "Про затвердження Переліку документів, які додаються до заяви про видачу ліцензії для окремого виду господарської діяльності".
3.6. Засвідчена органом ліцензування копія ліцензії є документом, що підтверджує право філії або іншого відокремленого підрозділу ліцензіата на провадження певного виду господарської діяльності на підставі отриманої ліцензії. Термін дії копії ліцензії дорівнює терміну дії ліцензії, до якої вона надана.
3.7. Плата за видачу та переоформлення ліцензії, а також за видачу копії та дублікатів ліцензії вноситься суб'єктом господарювання на відповідні рахунки територіального органу Державного казначейства України за місцезнаходженням суб'єкта господарювання, розмір та порядок перерахування якої до Державного бюджету України визначаються постановою Кабінету Міністрів України від 29.11.2000 N 1755 "Про термін дії ліцензії на провадження певних видів господарської діяльності, розміри і порядок зарахування плати за її видачу".
Орган ліцензування оформляє ліцензію протягом трьох робочих днів з дня надходження документа, що підтверджує внесення плати за видачу ліцензії.
Документом, що підтверджує внесення плати за видачу ліцензії, є платіжне доручення банку, підписане уповноваженою особою суб'єкта господарювання і скріплене його печаткою, з відміткою банку про дату виконання цього платіжного доручення, або документ про грошовий поштовий переказ (квитанція, касовий чек тощо) з відміткою оператора поштового зв'язку про його виконання.
3.8. Ліцензіат не може передавати ліцензію або її копію іншій юридичній або фізичній особі для провадження господарської діяльності в галузі КЗІ.
Ліцензія зберігається за місцезнаходженням ліцензіата, а засвідчена органом ліцензування копія ліцензії зберігається за місцем провадження діяльності філії або іншого відокремленого підрозділу ліцензіата.
3.9. У разі прийняття органом ліцензування рішення про залишення заяви про видачу ліцензії без розгляду або про відмову у видачі ліцензії документи, що подавалися для одержання ліцензії, повертаються заявнику разом з повідомленням про прийняте рішення.
4. Роботи, які виконуються у межах господарської діяльності
в галузі КЗІ, що підлягає ліцензуванню
4.1. Розроблення апаратних, апаратно-програмних засобів КЗІ та криптосистем.
4.2. Розроблення програмних засобів КЗІ та криптосистем.
4.3. Виробництво апаратних, апаратно-програмних засобів КЗІ та криптосистем.
4.4. Виробництво програмних засобів КЗІ та криптосистем.
4.5. Використання, експлуатація засобів КЗІ та криптосистем.
4.6. Сертифікаційні випробування, експертиза криптосистем та засобів КЗІ.
4.7. Тематичні дослідження засобів КЗІ та криптосистем.
4.8. Надання послуг у галузі КЗІ.
4.9. Ввезення, вивезення засобів КЗІ та криптосистем.
4.10. Торгівля засобами КЗІ та криптосистемами.
5. Вимоги для провадження господарської
діяльності у галузі КЗІ
5.1. Кваліфікаційні вимоги
5.1.1. Суб'єкт господарювання має бути укомплектований спеціалістами відповідно до штатного розпису, затвердженого керівником суб'єкта господарювання, які відповідають заявленому виду діяльності та обсягу робіт (за кількістю, освітою, професійною підготовкою, кваліфікацією).
5.1.2. Спеціалісти повинні забезпечувати:
проведення повного циклу розроблення криптосистем і засобів КЗІ, що може включати або бути пов'язаний з прикладними науковими дослідженнями, вибором напрямів та проведенням теоретичних (експериментальних) досліджень (фундаментальних наукових досліджень), ескізним (технічним) проектуванням і макетуванням, проектно-пошуковими роботами та технологічним проектуванням, створенням і виготовленням конструкторської документації, створенням та проведенням випробувань дослідних зразків, схемою виробництва, користуванням конструкторською документацією або доопрацюванням дослідних зразків за результатами випробувань (для робіт, визначених пунктами 4.1, 4.2);
проведення повного циклу (всіх стадій) виробництва криптосистем і засобів КЗІ, що може включати або бути пов'язаний із впровадженням технології виробництва, комплектуванням, монтажем (у тому числі встановлення), виготовленням, контролем за забезпеченням якості та випробуванням (для робіт, визначених пунктами 4.3, 4.4);
використання криптосистем і засобів КЗІ, у тому числі їх експлуатацію, налагодження, перевірку та всі види технічного обслуговування (перевірок) відповідно до вимог технічної документації, ремонт (для робіт, визначених пунктом 4.5);
5.1.3. Спеціалісти, які забезпечують виконання робіт у галузі КЗІ, повинні мати:
керівники робіт:
повну вищу освіту за освітньо-кваліфікаційним рівнем магістр, або спеціаліст та стаж роботи не менше 3 років.
виробничий персонал:
неповну вищу (молодший спеціаліст) або базову вищу освіту за освітньо-кваліфікаційним рівнем бакалавр без вимог до стажу роботи за фахом.
Фах усіх зазначених осіб повинен бути підтверджений копією диплома державного зразка або свідоцтва встановленого зразка, засвідченою підписом керівника та печаткою суб'єкта господарювання.
Стаж за відповідним профілем роботи усіх зазначених осіб повинен бути підтверджений копією трудової книжки встановленого зразка, засвідченою підписом керівника та печаткою суб'єкта господарювання.
5.1.4. Спеціалісти повинні володіти знаннями:
основних нормативних, керівних документів, що регламентують порядок виконання робіт у галузі КЗІ (в обсязі, необхідному для їх виконання);
з питань криптографії (в обсязі, необхідному для виконання робіт);
принципів роботи і технічних характеристик необхідної контрольної, вимірювальної апаратури, засобів і комплексів обчислювальної техніки, що використовуються (для робіт, визначених пунктами 4.1-4.8);
методів проектування і розроблення криптосистем і засобів КЗІ (для робіт, визначених пунктами 4.1, 4.2);
особливостей виробництва криптосистем і засобів КЗІ (для робіт, визначених пунктами 4.3, 4.4);
експлуатаційної документації на криптосистеми і засоби КЗІ, документів щодо порядку організації експлуатації та забезпечення безпеки (для робіт, визначених пунктом 4.5);
алгебраїчних, статистичних, комбінаторних досліджень, розрахунку імовірних характеристик (для робіт, визначених пунктами 4.1, 4.2, 4.6, 4.7);
методик проведення сертифікаційних випробувань та експертизи криптосистем і засобів КЗІ (для робіт, визначених пунктом 4.6);
вимог встановленого режиму безпеки при проведенні робіт у галузі криптографічного захисту конфіденційної інформації.
Для провадження робіт у галузі криптографічного захисту інформації, що становить державну таємницю, або конфіденційної інформації, що є власністю держави, спеціалісти повинні додатково володіти знаннями:
принципів роботи, побудови та технічних характеристик різних типів засобів КЗІ і технічних засобів, що працюють спільно з ними (для робіт, визначених пунктами 4.1, 4.2, 4.6, 4.7);
основних системотехнічних і схемотехнічних рішень, архітектурно-логічної та конструктивної побудови криптосистем і засобів КЗІ (для робіт, визначених пунктами 4.1, 4.2, 4.6, 4.7);
питань захисту криптосистем і засобів КЗІ (для робіт, визначених пунктами 4.1, 4.2, 4.6, 4.7);
методик проведення тематичних досліджень (для робіт, визначених пунктом 4.7);
вимог встановленого режиму секретності (безпеки).
5.1.5. Спеціалісти повинні вміти:
користуватися на практиці всім інструментарієм, який є в наявності, у тому числі використовувати інформаційно-обчислювальні комплекси (для робіт, визначених пунктами 4.1-4.8);
проводити повний цикл заявлених робіт з урахуванням вимог режиму секретності (безпеки);
на практиці використовувати, експлуатувати криптосистеми і засоби КЗІ, які є в наявності (для робіт, визначених пунктами 4.5, 4.8);
надавати необхідні пояснення та консультації з питань, пов'язаних з криптосистемами і засобами КЗІ (для робіт, визначених пунктом 4.10).
5.2. Організаційні вимоги
5.2.1. Для провадження господарської діяльності у галузі КЗІ суб'єкт господарювання повинен мати затверджені керівником:
документи, у яких визначені:
підрозділ (підрозділи) або група співробітників, які безпосередньо організовуватимуть та забезпечуватимуть проведення робіт у галузі КЗІ, його структура (склад) та завдання;
інструкції щодо порядку проведення робіт у галузі КЗІ;
функціональні обов'язки та кваліфікаційні вимоги до спеціалістів, які залучаються до виконання робіт у галузі КЗІ;
відповідальність спеціалістів, які забезпечуватимуть проведення робіт у галузі КЗІ, за забезпечення збереження інформації з обмеженим доступом при виконанні робіт;
документ, який встановлює режим безпеки при провадженні робіт у галузі КЗІ, у тому числі порядок отримання, обліку, зберігання, транспортування, знищення засобів КЗІ та ключових документів.
Ці документи можуть бути об'єднані в один акт.
Кожен спеціаліст, що залучається до провадження господарської діяльності у галузі КЗІ, повинен бути ознайомлений під підпис із зазначеними документами у частині, що його стосується.
5.2.2. Суб'єкт господарювання повинен мати визначений у документальному вигляді перелік відомостей, які належать до інформації з обмеженим доступом.
5.2.3. Порядок розроблення та виробництва суб'єктом господарювання криптосистем і засобів КЗІ повинен відповідати вимогам стандартів системи розроблення і поставлення продукції на виробництво.
5.2.4. Суб'єкти господарювання ввозять на територію України, вивозять з території України засоби КЗІ та криптосистеми відповідно до постанови Кабінету Міністрів України від 28.01.2004 N 86 "Про затвердження Порядку здійснення державного контролю за міжнародними передачами товарів подвійного використання".
5.2.5. Для провадження робіт у галузі криптографічного захисту інформації, що становить державну таємницю, спеціалісти повинні мати допуск до державної таємниці, оформлений відповідно до статті 22 Закону України "Про державну таємницю" ( 3855-12 ).
5.2.6. Виконання робіт у галузі КЗІ за замовленнями (в інтересах) інших суб'єктів господарювання, органів державної влади, органів місцевого самоврядування або разом з іншими ліцензіатами повинно бути оформлено документально.
5.2.7. Вибір постачальника окремих комплектуючих виробів для криптосистем та засобів КЗІ, співвиконавців робіт у галузі КЗІ здійснюється ліцензіатом за погодженням із замовником цих робіт (для провадження господарської діяльності в галузі криптографічного захисту інформації, що становить державну таємницю, конфіденційної інформації, що є власністю держави).
5.2.8. Суб'єкт господарювання зобов'язаний надати органу ліцензування до 1 березня поточного року відомості про роботи в галузі КЗІ, що виконувались у попередньому році (додаток 4).
5.3. Технологічні та інші вимоги
5.3.1. Суб'єкт господарювання повинен мати власні (або такі, що використовуються на інших законних підставах) приміщення, потрібні для провадження господарської діяльності у галузі КЗІ, матеріально-технічну базу, до якої входить дослідне виробництво, випробувальна база, обладнані робочі місця для збирання та налагодження макетів розроблених криптосистем і засобів КЗІ, налагоджувальні стенди, призначені для здійснення моделювання роботи апаратури, інформаційно-обчислювальні комплекси, оснащені сучасними апаратними та програмними засобами, перевірені згідно з діючими нормативними вимогами технічні засоби вимірювання і контролю, інструмент, оснащене виробництво, ліцензійне програмне забезпечення.
Для провадження робіт у галузі криптографічного захисту інформації, що становить державну таємницю, суб'єкт господарювання повинен мати спеціальний дозвіл на провадження діяльності, пов'язаної з державною таємницею, атестовані на відповідність вимогам нормативних документів з питань технічного захисту інформації приміщення та (за наявності) об'єкти електронно-обчислювальної техніки.
Суб'єкт господарювання для проведення тематичних досліджень криптосистем і засобів КЗІ повинен мати окремі спеціалізовані приміщення, які повинні відповідати вимогам методик тематичних досліджень щодо площі, оснащення, стану та умов, які в них забезпечуються під час проведення досліджень.
Виробниче обладнання повинно:
відповідати стандарту або технічній документації на обладнання (паспорт, формуляр, технічні умови тощо);
бути перевірене (атестоване) або каліброване (для обладнання, що має метрологічні характеристики);
бути укомплектоване експлуатаційною документацією;
мати сертифікат відповідності системи державної сертифікації УкрСЕПРО (якщо продукція підлягає обов'язковій сертифікації в Україні).
Для проведення сертифікаційних випробувань криптосистем та засобів КЗІ суб'єкт господарювання повинен мати власну лабораторію. Після отримання ліцензії суб'єкт господарювання повинен протягом року пройти акредитацію на право проведення сертифікаційних випробувань криптосистем та засобів КЗІ відповідно до вимог Закону України "Про акредитацію органів з оцінки відповідності" ( 2407-14 ).
5.3.2. Суб'єкт господарювання зобов'язаний проводити роботи в галузі КЗІ за умови обов'язкової відповідності засобів КЗІ та криптосистем вимогам щодо їх сертифікації, експертизи або допуску до експлуатації.
5.3.3. Суб'єкт господарювання при провадженні господарської діяльності в галузі КЗІ повинен виконувати вимоги нормативно-правових актів і нормативних документів та мати нормативні, організаційні та методичні документи:
технічну та експлуатаційну документацію на криптосистеми і засоби КЗІ, інструкції та графіки проведення технічного обслуговування апаратури, що потребує періодичного технічного обслуговування (для робіт, визначених пунктом 4.5);
інструкції щодо забезпечення безпеки експлуатації криптосистем і засобів КЗІ та порядку постачання, обліку, зберігання та використання ключових документів, затверджені керівником організації, а також топологію мережі, де планується використання, експлуатація криптосистем і засобів КЗІ (для робіт, визначених пунктом 4.5);
методики проведення досліджень (для робіт, визначених пунктами 4.6, 4.7);
технічні умови на продукцію (послуги) (для робіт, визначених пунктом 4.3-4.10);
нормативні акти щодо підготовки договорів на ввезення, вивезення криптосистем і засобів КЗІ (для робіт, визначених пунктом 4.9);
з питань здійснення міжнародних передач товарів подвійного використання та військового призначення (для робіт, визначених пунктом 4.9);
щодо забезпечення режиму секретності та порядку поводження з інформацією, що становить державну таємницю (у разі отримання ліцензії на провадження робіт у галузі криптографічного захисту інформації, що становить державну таємницю);
щодо забезпечення режиму безпеки та порядку поводження з конфіденційною інформацією, що є власністю держави (у разі отримання ліцензії на провадження робіт у галузі криптографічного захисту конфіденційної інформації, що є власністю держави).
Суб'єкт господарювання під час проведення господарської діяльності в галузі КЗІ повинен мати чинні нормативні документи у сфері стандартизації (ГОСТ, ДСТУ тощо).
6. Особливі вимоги провадження господарської діяльності
у галузі КЗІ
6.1. Залежно від важливості інформації для особи, суспільства, держави та правового режиму доступу до інформації встановлюються особливі умови провадження робіт у межах господарської діяльності у галузі КЗІ, які відображаються у ліцензії, що видається суб'єкту господарювання:
з наданням права провадження робіт у галузі криптографічного захисту інформації, що становить державну таємницю;
з наданням права провадження робіт у галузі криптографічного захисту конфіденційної інформації, що є власністю держави;
з наданням права провадження робіт у галузі криптографічного захисту конфіденційної інформації.
6.2. Отримання суб'єктом господарювання ліцензії з наданням права провадження робіт у галузі криптографічного захисту інформації, що становить державну таємницю, також надає право провадження робіт у галузі криптографічного захисту конфіденційної інформації, у тому числі тієї, що є власністю держави.
Отримання суб'єктом господарювання ліцензії з наданням права провадження робіт у галузі криптографічного захисту конфіденційної інформації, що є власністю держави, також надає право провадження робіт у галузі криптографічного захисту конфіденційної інформації.
Отримання суб'єктом господарювання ліцензії з наданням права провадження робіт у галузі криптографічного захисту конфіденційної інформації надає право провадження робіт тільки у галузі криптографічного захисту конфіденційної інформації.
6.3. Для провадження робіт у галузі криптографічного захисту інформації, що становить державну таємницю, суб'єкти господарювання повинні забезпечити встановлений режим секретності, для провадження робіт у галузі криптографічного захисту конфіденційної інформації, у тому числі тієї, що є власністю держави, - встановлений режим безпеки, а також мати документальні підтвердження про затверджені державні завдання, програми та замовлення на виконання робіт, пов'язаних з криптографічним захистом інформації (дата затвердження, державний замовник, найменування, вид, гриф обмеження доступу, термін виконання робіт), до реалізації яких передбачається залучити суб'єкта господарювання.
Провадження робіт у галузі криптографічного захисту інформації, що становить державну таємницю, дозволяється лише в межах терміну дії дозволу на здійснення діяльності, пов'язаної з державною таємницею.
Директор Департаменту ліцензування
Державного комітету України з питань
регуляторної політики та підприємництва
О.Б.Іванченко
Начальник Департаменту регулювання
діяльності у сфері криптографічного захисту
інформації Адміністрації Державної служби
спеціального зв'язку та захисту інформації
України В.П.Грєбнєв
Додаток 1
до Ліцензійних умов
провадження господарської
діяльності з розроблення,
виробництва, використання,
експлуатації,
сертифікаційних випробувань,
тематичних досліджень,
експертизи, ввезення,
вивезення криптосистем
і засобів криптографічного
захисту інформації, надання
послуг у галузі
криптографічного захисту
інформації (крім послуг
електронного цифрового
підпису), торгівлі
криптосистемами і засобами
криптографічного захисту
інформації
Адміністрація Державної
служби спеціального зв'язку
та захисту інформації
України
01034, м. Київ,
вул. Паторжинського, 5/7
ЗАЯВА
про видачу ліцензії
Заявник___________________________________________________________
(повне найменування (українською та англійською мовами),
місцезнаходження юридичної особи,
__________________________________________________________________
посада, прізвище, ім'я та по батькові керівника юридичної особи)
_________________________________________________________________,
(прізвище, ім'я та по батькові фізичної особи,
серія і номер паспорта, ким і коли виданий, місце проживання)
ідентифікаційний код юридичної особи ____________________________,
ідентифікаційний номер фізичної особи - платника податків та інших
обов'язкових платежів____________________________________________,
банківські реквізити______________________________________________
(поточний рахунок, МФО,
_________________________________________________________________,
найменування відділення банку)
відомості щодо внесення до Єдиного державного реєстру
підприємств і організацій України (ЄДРПОУ)*
------------------------------------------------------------------
| Код відомчої | Код |Код форми| Код |Код галузі|
|підпорядкованості |території|власності|організаційно-|діяльності|
| (СПОДУ), орган |(КОАТУУ) | (КФВ) |правової форми| (ЗКГНГ) |
| управління | | |господарювання| |
| | | | (КОПФГ) | |
------------------------------------------------------------------
відомості про філії, інші відокремлені підрозділи, які
провадитимуть господарську діяльність у галузі криптографічного
захисту інформації
---------------------------------------------------------------------
| Повне |Код території |Поштовий|Місцезнаходження|Номер|Номер|
| найменування |філії, іншого | індекс | філії |факсу|теле-|
|філії, іншого |відокремленого| |(відокремленого | |фону |
|відокремленого| підрозділу | | підрозділу) | | |
| підрозділу | (КОАТУУ) | | | | |
---------------------------------------------------------------------
_______________
* Заповнюється у разі неподання довідки про внесення до
ЄДРПОУ.
загальні відомості
------------------------------------------------------------------
|N з/п| Відомості |
|-----+----------------------------------------------------------|
| 1 |Реєстраційний номер, дата видачі, термін дії відповідного |
| |дозволу на здійснення діяльності, пов'язаної з державною |
| |таємницею: |
|-----+----------------------------------------------------------|
| 2 |Місцезнаходження: |
|-----+----------------------------------------------------------|
| 3 |Номери телефону, факсу: |
------------------------------------------------------------------
відомості про спеціалістів суб'єкта господарювання, що
забезпечують виконання робіт у галузі криптографічного захисту
інформації
------------------------------------------------------------------
| N | Прізвище, | Відомості про |Посада| Досвід | Форма |
|з/п | ім'я, | кваліфікацію | | роботи у | допуску |
| |по батькові | (освіта, | |галузі КЗІ | |
| | |спеціальність, | | | |
| | |перепідготовка,| | | |
| | | підвищення | | | |
| | | кваліфікації) | | | |
------------------------------------------------------------------
просить видати ліцензію на провадження таких робіт (згідно з
главою 4 Ліцензійних умов):
1) ______________________________________________________________;
2) ______________________________________________________________;
3) ______________________________________________________________
з наданням права провадження робіт у галузі криптографічного
захисту:__________________________________________________________
(особливі умови
_________________________________________________________________.
провадження робіт згідно з пунктом 6.1 Ліцензійних умов)
З порядком отримання ліцензії, Ліцензійними умовами
провадження господарської діяльності у галузі криптографічного
захисту інформації ознайомлений і зобов'язуюся їх дотримуватися.
Підпис заявника
_________________________________________________________________
(посада, прізвище, ім'я та по батькові керівника юридичної особи)
"___" _________ 20 __ р.
М.П.
Додаток 2
до Ліцензійних умов
провадження господарської
діяльності з розроблення,
виробництва, використання,
експлуатації,
сертифікаційних випробувань,
тематичних досліджень,
експертизи, ввезення,
вивезення криптосистем
і засобів криптографічного
захисту інформації, надання
послуг у галузі
криптографічного захисту
інформації (крім послуг
електронного цифрового
підпису), торгівлі
криптосистемами і засобами
криптографічного захисту
інформації
Адміністрація Державної
служби спеціального зв'язку
та захисту інформації
України
01034, м. Київ,
вул. Паторжинського, 5/7
ЗАЯВА
про переоформлення ліцензії
у зв'язку зі____________________________________________
(зміною найменування юридичної особи, не пов'язаною
з реорганізацією юридичної особи, прізвища, імені
та по батькові фізичної особи - суб'єкта
підприємницької діяльності, зміною місцезнаходження
юридичної особи або місця проживання фізичної
особи - суб'єкта підприємницької діяльності)
Заявник___________________________________________________________
(повне найменування (українською та англійською мовами),
місцезнаходження юридичної особи,
__________________________________________________________________
посада, прізвище, ім'я та по батькові керівника юридичної особи)
_________________________________________________________________,
(прізвище, ім'я та по батькові фізичної особи,
серія і номер паспорта, ким і коли виданий, місце проживання)
ідентифікаційний код юридичної особи ____________________________,
ідентифікаційний номер фізичної особи - платника податків та інших
обов'язкових платежів____________________________________________,
банківські реквізити______________________________________________
(поточний рахунок, МФО,
_________________________________________________________________,
найменування відділення банку)
відомості щодо внесення до Єдиного державного реєстру
підприємств і організацій України (ЄДРПОУ)*
------------------------------------------------------------------
| Код відомчої | Код |Код форми| Код |Код галузі|
|підпорядкованості |території|власності|організаційно-|діяльності|
| (СПОДУ), орган |(КОАТУУ) | (КФВ) |правової форми| (ЗКГНГ) |
| управління | | |господарювання| |
| | | | (КОПФГ) | |
------------------------------------------------------------------
_______________
* Заповнюється у разі неподання довідки про внесення до
ЄДРПОУ.
загальні відомості
-------------------------------------------------
|N з/п | Відомості |
|------+----------------------------------------|
| 1 |Місцезнаходження: |
|------+----------------------------------------|
| 2 |Номери телефону, факсу: |
-------------------------------------------------
просить переоформити ліцензію серії___N____ у зв'язку зі__________
(зміною
найменування
__________________________________________________________________
юридичної особи, не пов'язаною з реорганізацією юридичної особи,
прізвища, імені та по батькові фізичної особи - суб'єкта
__________________________________________________________________
підприємницької діяльності, зміною місцезнаходження юридичної
особи або місця проживання фізичної особи - суб'єкта
__________________________________________________________________
підприємницької діяльності)
З порядком отримання ліцензії, Ліцензійними умовами
провадження господарської діяльності у галузі криптографічного
захисту інформації ознайомлений і зобов'язуюся їх дотримуватися.
Підпис заявника
_________________________________________________________________
(посада, прізвище, ім'я та по батькові керівника юридичної особи)
"___" _________ 20 __ р.
М.П.
Додаток 3
до Ліцензійних умов
провадження господарської
діяльності з розроблення,
виробництва, використання,
експлуатації,
сертифікаційних випробувань,
тематичних досліджень,
експертизи, ввезення,
вивезення криптосистем
і засобів криптографічного
захисту інформації, надання
послуг у галузі
криптографічного захисту
інформації (крім послуг
електронного цифрового
підпису), торгівлі
криптосистемами і засобами
криптографічного захисту
інформації
Адміністрація Державної
служби спеціального зв'язку
та захисту інформації
України
01034, м. Київ,
вул. Паторжинського, 5/7
ЗАЯВА
про переоформлення ліцензії
(у зв'язку з намірами ліцензіата розширити свою діяльність)
------------------------------------------------------------
Заявник___________________________________________________________
(повне найменування (українською та англійською мовами),
місцезнаходження юридичної особи,
__________________________________________________________________
посада, прізвище, ім'я та по батькові керівника юридичної особи)
_________________________________________________________________,
(прізвище, ім'я та по батькові фізичної особи,
серія і номер паспорта, ким і коли виданий, місце проживання)
ідентифікаційний код юридичної особи ____________________________,
ідентифікаційний номер фізичної особи - платника податків та інших
обов'язкових платежів____________________________________________,
банківські реквізити______________________________________________
(поточний рахунок, МФО,
_________________________________________________________________,
найменування відділення банку)
відомості щодо внесення до Єдиного державного реєстру
підприємств і організацій України (ЄДРПОУ)*
------------------------------------------------------------------
| Код відомчої | Код |Код форми| Код |Код галузі|
|підпорядкованості |території|власності|організаційно-|діяльності|
| (СПОДУ), орган |(КОАТУУ) | (КФВ) |правової форми| (ЗКГНГ) |
| управління | | |господарювання| |
| | | | (КОПФГ) | |
------------------------------------------------------------------
відомості про філії, інші відокремлені підрозділи, які
провадитимуть господарську діяльність у галузі криптографічного
захисту інформації
---------------------------------------------------------------------
| Повне |Код території |Поштовий|Місцезнаходження|Номер|Номер|
| найменування |філії, іншого | індекс | філії |факсу|теле-|
|філії, іншого |відокремленого| |(відокремленого | |фону |
|відокремленого| підрозділу | | підрозділу) | | |
| підрозділу | (КОАТУУ) | | | | |
---------------------------------------------------------------------
_______________
* Заповнюється у разі неподання довідки про включення до
ЄДРПОУ.
загальні відомості
------------------------------------------------------------------
|N з/п| Відомості |
|-----+----------------------------------------------------------|
| 1 |Реєстраційний номер, дата видачі, термін дії відповідного |
| |дозволу на здійснення діяльності, пов'язаної з державною |
| |таємницею: |
|-----+----------------------------------------------------------|
| 2 |Місцезнаходження: |
|-----+----------------------------------------------------------|
| 3 |Номери телефону, факсу: |
------------------------------------------------------------------
відомості про спеціалістів суб'єкта господарювання, які
забезпечують виконання додатково обраних робіт (особливих умов їх
провадження) у галузі криптографічного захисту інформації
------------------------------------------------------------------
| N | Прізвище, | Відомості про |Посада| Досвід | Форма |
|з/п | ім'я, | кваліфікацію | | роботи у | допуску |
| |по батькові | (освіта, | |галузі КЗІ | |
| | |спеціальність, | | | |
| | |перепідготовка,| | | |
| | | підвищення | | | |
| | | кваліфікації) | | | |
------------------------------------------------------------------
Ліцензія ________________________ на провадження таких окремих
(серія та номер наявної
ліцензії)
робіт (згідно з главою 4 Ліцензійних умов):
1) ______________________________________________________________;
2) ______________________________________________________________;
3) ______________________________________________________________
з наданням права провадження робіт у галузі криптографічного
захисту:__________________________________________________________
(особливі умови
__________________________________________________________________
провадження робіт згідно з пунктом 6.1 Ліцензійних умов)
просить переоформити ліцензію та надати право провадження
таких окремих робіт (згідно з главою 4 Ліцензійних умов):
1) ______________________________________________________________;
2) ______________________________________________________________;
3) ______________________________________________________________
з наданням права провадження робіт у галузі криптографічного
захисту:__________________________________________________________
(особливі умови
__________________________________________________________________
провадження робіт згідно з пунктом 6.1 Ліцензійних умов)
З Ліцензійними умовами провадження господарської діяльності у
галузі криптографічного захисту інформації ознайомлений і
зобов'язуюсь їх дотримуватись.
Підпис заявника
_________________________________________________________________
(посада, прізвище, ім'я та по батькові керівника юридичної особи)
"___" _________ 20 __ р.
М.П.
Додаток 4
до Ліцензійних умов
провадження господарської
діяльності з розроблення,
виробництва, використання,
експлуатації,
сертифікаційних випробувань,
тематичних досліджень,
експертизи, ввезення,
вивезення криптосистем
і засобів криптографічного
захисту інформації, надання
послуг у галузі
криптографічного захисту
інформації (крім послуг
електронного цифрового
підпису), торгівлі
криптосистемами і засобами
криптографічного захисту
інформації
Адміністрація Державної
служби спеціального зв'язку
та захисту інформації
України
01034, м. Київ,
вул. Паторжинського, 5/7
Відомості про роботи в галузі КЗІ, що виконувалися в ___ році
________________________________________________________________
(найменування юридичної особи)
-------------------------------------------------------------------------------------------
|N | Окремі |Найменування| Галузь | Гриф | Гриф | Терміни |Замов-| Стан |
|з/п| роботи, | та |застосуван-|обмеження| обмеження |виконання| ник |виконання|
| |на право | скорочений | ня | доступу | доступу до | роботи | | роботи |
| |виконання|зміст роботи| | до | інформації, |(етапів) | |(етапів) |
| | яких | | | роботи | для захисту | | | |
| |отримано | | | | якої | | | |
| |ліцензію | | | |виконувалася | | | |
| | | | | | робота | | | |
|---+---------+------------+-----------+---------+-------------+---------+------+---------|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 |
|---+---------+------------+-----------+---------+-------------+---------+------+---------|
| | | | | | | | | |
-------------------------------------------------------------------------------------------
_________________________________________________________________
(посада, прізвище, ім'я та по батькові керівника юридичної особи)
"___" _________ 20 __ р.
М.П.