КАБІНЕТ МІНІСТРІВ УКРАЇНИ

ПОСТАНОВА
від 16 листопада 2016 р. N 821
Київ

Деякі питання ліцензування господарської діяльності
з надання послуг у галузі криптографічного захисту інформації
(крім послуг електронного цифрового підпису) та технічного захисту
інформації за переліком, що визначається Кабінетом Міністрів України

Відповідно до пункту 8 частини першої статті 7 та частини другої статті 9 Закону України "Про ліцензування видів господарської діяльності" Кабінет Міністрів України постановляє:

1. Затвердити такі, що додаються:

Ліцензійні умови провадження господарської діяльності з надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації за переліком, що визначається Кабінетом Міністрів України;

перелік послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню.

2. Визнати такими, що втратили чинність:

постанову Кабінету Міністрів України від 18 травня 2011 р. N 517 "Про затвердження переліку послуг у галузі технічного захисту інформації, господарська діяльність щодо надання яких підлягає ліцензуванню" (Офіційний вісник України, 2011 р., N 37, ст. 1529);

постанову Кабінету Міністрів України від 25 травня 2011 р. N 543 "Про затвердження переліків послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та криптосистем і засобів криптографічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню" (Офіційний вісник України, 2011 р., N 39, ст. 1611).

Прем’єр-міністр України В. ГРОЙСМАН

Затверджено
постановою Кабінету Міністрів України
від 16 листопада 2016 р. N 821

Ліцензійні умови
провадження господарської діяльності з надання послуг
у галузі криптографічного захисту інформації (крім послуг електронного
цифрового підпису) та технічного захисту інформації за переліком,
що визначається Кабінетом Міністрів України

Загальні положення

1. Ці Ліцензійні умови встановлюють вичерпний перелік документів, що додаються до заяви про одержання ліцензії, кадрові, організаційні та технологічні вимоги, обов’язкові для виконання під час провадження господарської діяльності з надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації за переліком, що визначається Кабінетом Міністрів України (далі - ліцензована діяльність).

2. У цих Ліцензійних умовах терміни вживаються у такому значенні:

атестація комплексу технічного захисту інформації - оцінка відповідності комплексу технічного захисту інформації вимогам нормативних документів у сфері технічного захисту інформації;

виробництво - процес організації та виготовлення криптосистем та засобів криптографічного захисту інформації;

виробниче приміщення - будинок або споруда (частина будинку або споруди), що не належать до житлового фонду, відокремлені будівельними огороджувальними конструкціями (стінами, перекриттями), мають окремий вхід, не використовуються одночасно іншими юридичними і фізичними особами, належать суб’єкту господарювання на правах власності або інших речових правах, в яких провадиться ліцензована діяльність у галузі криптографічного захисту інформації;

експертні оцінювання у сфері технічного захисту інформації - організація та проведення експертних робіт та/або експертних випробувань з метою перевірки, аналізу та оцінки об’єктів експертизи щодо їх відповідності вимогам нормативних документів у сфері технічного захисту інформації;

експлуатаційна документація - текстові, графічні конструкторські документи розробника (виробника) криптосистем і засобів криптографічного захисту інформації, які розроблені згідно з правилами та вимогами відповідної стандартної системи документування, визначають необхідні обсяги, правила і методи технічного обслуговування, монтажу (встановлення), налаштування, регулювання криптосистем і засобів криптографічного захисту інформації, а також методи їх тестування, випробування, експлуатації та ремонту;

засоби технічного захисту інформації - технічні та програмні засоби, основним функціональним призначенням яких є захист інформації від загроз витоку, порушення цілісності та блокування; технічні засоби, в яких додатково до основного призначення передбачено функції із захисту інформації; засоби, що призначені, спеціально розроблені або пристосовані для пошуку закладних пристроїв або оцінювання захищеності інформації;

закладний пристрій - технічний засіб негласного отримання інформації, розміщений на об’єкті інформаційної діяльності з приховуванням від виявлення особою, яка не має відношення до застосування технічного засобу, факту його наявності та/або застосування, внаслідок чого створюється загроза витоку інформації з об’єкта інформаційної діяльності;

комплекс (система) захисту інформації - сукупність заходів і засобів, призначених для забезпечення технічного захисту інформації в інформаційній системі або на об’єкті;

монтаж (встановлення), налаштування криптосистем і засобів криптографічного захисту інформації - операція або комплекс операцій з встановлення, складення, з’єднання, налаштування, регулювання, випробування режимів роботи, перевірки щодо працездатності (функціонування) криптосистем і засобів криптографічного захисту інформації відповідно до вимог експлуатаційної та нормативної документації розробника (виробника) щодо криптосистем і засобів криптографічного захисту інформації;

послуги з виявлення закладних пристроїв - проведення пошукових дій щодо виявлення технічних каналів витоку інформації, що утворюються за рахунок використання закладних пристроїв;

послуги з оцінювання захищеності інформації, що підлягають ліцензуванню, - атестація комплексів технічного захисту інформації та експертні оцінювання у сфері технічного захисту інформації;

постачання - будь-які операції, що здійснюються згідно з договорами купівлі-продажу, міни, поставки та іншими цивільно-правовими договорами, які передбачають передачу права власності на криптосистеми і засоби криптографічного захисту інформації за компенсацію незалежно від строків її надання, а також операції з безоплатної поставки криптосистем і засобів криптографічного захисту інформації та операції з їх передачі орендодавцем (лізингодавцем) на баланс орендаря (лізингоотримувача) згідно з договорами фінансової оренди (лізингу) або поставки криптосистем і засобів криптографічного захисту інформації згідно з іншими договорами, умови яких передбачають відстрочення оплати та передачу права власності не пізніше дати останнього платежу;

ремонт - комплекс операцій для відновлення справного стану чи працездатності або ресурсу криптосистем і засобів криптографічного захисту інформації чи їх складових частин;

розроблення і складення конструкторської та іншої технічної документації - створення згідно з правилами та вимогами відповідної стандартної системи документування конструкторської та іншої технічної документації, необхідної для проектування, розроблення, виробництва, використання (експлуатації), монтажу (встановлення), налаштування, випробування, модифікації, модернізації, технічного обслуговування, ремонту криптосистем і засобів криптографічного захисту інформації;

службове приміщення - нежитлове приміщення, що належить суб’єкту господарювання на правах власності або користування, в якому розташований його виконавчий орган або особи, які відповідно до установчих документів юридичної особи чи законодавства виступають від її імені, та має певну поштову адресу;

технічне обслуговування (супроводження) криптосистем і засобів криптографічного захисту інформації - операція або комплекс операцій з підтримання криптосистем і засобів криптографічного захисту інформації у справному і придатному для експлуатації стані під час їх використання за призначенням відповідно до вимог експлуатаційної документації розробника (виробника) щодо криптосистем і засобів криптографічного захисту інформації та нормативної документації щодо криптосистем і засобів криптографічного захисту інформації;

утилізація - виконання організаційних, науково-технічних, економічних, екологічних, санітарних, протиепідемічних та інших робіт, що забезпечують переробку криптосистем і засобів криптографічного захисту інформації.

Терміни "відокремлений підрозділ", "експертні дослідження", "електронний документ", "засіб криптографічного захисту інформації", "інформаційна (автоматизована) система", "комплекс технічного захисту інформації", "комплексна система захисту інформації", "криптографічний захист інформації", "криптографічна система (криптосистема)", "об’єкт інформаційної діяльності", "послуги електронного цифрового підпису", "режим безпеки", "суб’єкт системи технічного захисту інформації", "тематичні дослідження", "технічний захист інформації" вживаються у значенні, наведеному у Законах України "Про державну реєстрацію юридичних осіб, фізичних осіб - підприємців та громадських формувань", "Про електронний цифровий підпис", "Про електронні документи та електронний документообіг", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про Державну службу спеціального зв’язку та захисту інформації України", Положенні про порядок здійснення криптографічного захисту інформації в Україні, затвердженому Указом Президента України від 22 травня 1998 р. N 505, Положенні про технічний захист інформації в Україні, затвердженому Указом Президента України від 27 вересня 1999 р. N 1229.

3. Дія цих Ліцензійних умов поширюється на суб’єктів господарювання, які провадять ліцензовану діяльність.

Суб’єкт господарювання може провадити ліцензовану діяльність з надання усіх або окремих видів послуг, визначених переліком послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню, затвердженим Кабінетом Міністрів України (далі - перелік послуг).

Якщо суб’єкт господарювання провадить ліцензовану діяльність з надання окремих видів послуг, дія цих Ліцензійних умов поширюється на нього виключно в частині, що встановлює вимоги щодо надання обраного ним виду послуг.

4. Відповідно до розділу I переліку послуг ліцензуванню підлягають послуги у галузі криптографічного захисту інформації, яка належить до державних інформаційних ресурсів, інформації, вимога щодо захисту якої встановлена законом, конфіденційної інформації, що передана її власником державі та обробляється в інформаційно-телекомунікаційних системах державних органів.

5. Здобувач ліцензії подає у спосіб, передбачений частиною першою статті 10 Закону України "Про ліцензування видів господарської діяльності" (далі - Закон), до органу ліцензування заяву про одержання ліцензії (додаток 1) разом з документами, визначеними у Законі.

До заяви про одержання ліцензії на провадження ліцензованої діяльності за підписом здобувача ліцензії додаються підтвердні документи (додатки 2-9) про наявність:

спеціалістів, необхідних для надання відповідного виду послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації, із зазначенням їх освітнього і кваліфікаційного рівня та стажу роботи, а також допусків до державної таємниці у спеціалістів, які залучаються (залучення яких передбачено) до надання послуг, та даних про трудові договори з найманими працівниками;

засобів вимірювальної техніки та контролю, допоміжних засобів та обладнання, інформаційних (автоматизованих) систем та/або технічних засобів обробки інформації, що забезпечують надання відповідних видів послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації, із зазначенням їх найменування, типу, заводського номера, даних щодо підтвердження права власності на них або користування ними, дати проведення останньої повірки;

нормативно-правової бази, що забезпечує надання відповідних видів послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації;

спеціального дозволу на провадження діяльності, пов’язаної з державною таємницею, із зазначенням його реєстраційного номера, категорії, дати видачі та закінчення строку дії, найменування органу (підрозділу), що його видав, місцезнаходження режимно-секретного органу;

приміщень, засобів обчислювальної техніки, інформаційних та телекомунікаційних систем (комплексів), необхідних для надання відповідних видів послуг у галузі криптографічного захисту інформації, із зазначенням їх найменування, відомостей про атестацію (категорія приміщення, засобу, системи (комплексу), ким і коли проведена атестація, номер ліцензії) (у разі отримання ліцензії на провадження господарської діяльності з надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису);

власних або орендованих службових, виробничих приміщень, необхідних для надання відповідних видів послуг у галузі криптографічного захисту інформації, із зазначенням їх номера, призначення, площі, найменування засобів вимірювальної техніки, обладнання та устатковання, що встановлено та використовується в цих приміщеннях, реквізитів та найменування документа, що засвідчує право власності або користування приміщеннями, а також характеру експлуатації будівлі за призначенням (у разі отримання ліцензії на провадження господарської діяльності з надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису);

інформаційних (автоматизованих) систем та/або технічних засобів обробки секретної інформації, необхідних для надання відповідних видів послуг у галузі технічного захисту інформації, із зазначенням найменування об’єкта електронно-обчислювальної техніки та/або об’єкта інформаційної діяльності (приміщення, де розташована інформаційна (автоматизована) система та/або технічні засоби обробки секретної інформації), інформаційної (автоматизованої) системи та/або технічних засобів обробки секретної інформації, категорії об’єкта електронно-обчислювальної техніки та/або об’єкта інформаційної діяльності, номера та дати реєстрації атестата відповідності комплексної системи захисту інформації інформаційної (автоматизованої) системи та/або акта атестації комплексу технічного захисту інформації (у разі отримання ліцензії на провадження господарської діяльності з надання послуг у галузі технічного захисту інформації в частині оцінювання захищеності інформації, що не становить державної таємниці, або інформації усіх видів, у тому числі інформації, що становить державну таємницю);

об’єктів інформаційної діяльності для проведення секретних нарад, обговорень і робіт з технічного захисту інформації із зазначенням їх найменування та категорії, номера та дати реєстрації акта атестації комплексу технічного захисту інформації (у разі отримання ліцензії на провадження господарської діяльності з надання послуг у галузі технічного захисту інформації у частині оцінювання захищеності інформації, що не становить державної таємниці, або інформації усіх видів, у тому числі інформації, що становить державну таємницю) (в разі потреби).

Заява про одержання ліцензії та документи, що додаються до неї, приймаються згідно з описом (додаток 10).

6. У разі наявності в здобувача ліцензії філій, інших відокремлених підрозділів, які провадитимуть ліцензовану діяльність, у заяві про одержання ліцензії зазначаються місця провадження ними господарської діяльності та підтвердні документи до заяви подаються щодо кожної філії, відокремленого підрозділу.

7. Для переоформлення ліцензії ліцензіат подає до органу ліцензування заяву про переоформлення ліцензії (додаток 11).

8. Для звуження провадження ліцензованої діяльності ліцензіат подає до органу ліцензування заяву про звуження провадження господарської діяльності (додаток 12).

9. Для розширення провадження ліцензованої діяльності ліцензіат подає до органу ліцензування заяву про розширення провадження господарської діяльності (додаток 13).

Вимоги щодо провадження ліцензованої діяльності у
галузі криптографічного захисту інформації

Кадрові вимоги

10. Здобувач ліцензії чи ліцензіат у галузі криптографічного захисту інформації повинен мати:

затверджену керівником суб’єкта господарювання організаційну структуру, в якій зазначені підрозділи та/або спеціалісти, які забезпечать виконання адміністративно-керівних, виробничо-технічних функцій щодо заявленого виду послуг;

положення про структурні підрозділи та/або посадові інструкції працівників, що залучаються до безпосереднього провадження заявленого виду діяльності, затверджені в установленому порядку та складені з урахуванням штатного розпису, розподілу обов’язків, повноважень працівників;

інженерно-технічних працівників і робітників, склад, професія та кваліфікація яких відповідає організаційній структурі суб’єкта господарювання.

11. Виконавці робіт залежно від заявленого виду послуг повинні мати відповідний освітній та освітньо-кваліфікаційний рівень.

Керівники виробничих та функціональних підрозділів повинні мати вищу освіту відповідного рівня та ступеня (магістр, спеціаліст) у галузі знань "Інформаційна безпека" або вищу інженерно-технічну освіту фахового спрямування відповідно до обраного виду послуг з додатковою підготовкою на курсах перепідготовки та підвищення кваліфікації фахівців з питань криптографічного захисту інформації за напрямами підготовки відповідно до обраного виду послуг або стаж роботи у галузі криптографічного захисту інформації за обраним видом послуг не менш як три роки.

Професіонали та фахівці повинні мати вищу освіту відповідного рівня та ступеня (магістр, спеціаліст, бакалавр, молодший спеціаліст).

12. До виконавців робіт з надання послуг з розроблення і складення конструкторської та іншої технічної документації, виробництва криптосистем і засобів криптографічного захисту інформації (з наданням права на провадження діяльності у галузі криптографічного захисту інформації, що становить державну таємницю; права на провадження діяльності у галузі криптографічного захисту службової інформації) встановлюються такі кадрові вимоги:

до головного конструктора або фахівця, на якого покладено обов’язки головного конструктора, - вища освіта відповідного рівня та ступеня (магістр, спеціаліст), стаж роботи на посаді керівника нижчого рівня не менш як три роки, спеціалізація за освітою відповідно до розділів (частин) технічного завдання та/або проекту, а також досвід із створення продукції оборонного призначення (у разі виконання функцій генерального проектувальника криптосистем і засобів криптографічного захисту інформації за державним оборонним замовленням);

до виконавця робіт - вища освіта відповідного рівня та ступеня (магістр, спеціаліст, бакалавр, молодший спеціаліст), стаж роботи за професією не менш як три роки, спеціалізація за освітою відповідно до розділів (частин) технічного завдання та/або проекту;

до інших професіоналів, фахівців - відповідно до організаційної структури суб’єкта господарювання, спеціалізація за освітою відповідно до розділів (частин) технічного завдання та/або проекту.

13. До виконавців робіт з надання послуг з постачання, монтажу (встановлення), налаштування, технічного обслуговування (супроводження), ремонту та/або утилізації криптосистем і засобів криптографічного захисту інформації (з наданням права на провадження діяльності у галузі криптографічного захисту інформації, що становить державну таємницю; права на провадження діяльності у галузі криптографічного захисту службової інформації) встановлюються такі кадрові вимоги:

до головного інженера або фахівця, на якого покладено обов’язки головного інженера, - вища освіта відповідного рівня та ступеня (магістр, спеціаліст), стаж роботи на посаді керівника нижчого рівня не менш як три роки, спеціалізація за освітою відповідно до видів послуг з постачання, монтажу, налаштування, технічного обслуговування (супроводження), ремонту та/або утилізації криптосистем і засобів криптографічного захисту інформації;

до виконавця робіт - вища освіта відповідного рівня та ступеня (магістр, спеціаліст, бакалавр, молодший спеціаліст), стаж роботи за професією не менш як три роки, спеціалізація за освітою відповідно до видів послуг з постачання, монтажу, налаштування та технічного обслуговування (супроводження), ремонту та/або утилізації криптосистем і засобів криптографічного захисту інформації;

до інших професіоналів, фахівців - відповідно до організаційної структури суб’єкта господарювання, спеціалізація за освітою відповідно до видів послуг з постачання, монтажу, налаштування та технічного обслуговування (супроводження), ремонту та/або утилізації криптосистем і засобів криптографічного захисту інформації.

14. До виконавців робіт з надання послуг з тематичних та експертних досліджень криптосистем і засобів криптографічного захисту інформації (з наданням права на провадження діяльності у галузі криптографічного захисту інформації, що становить державну таємницю; права на провадження діяльності у галузі криптографічного захисту службової інформації) встановлюються такі кадрові вимоги:

до виконавця робіт - вища освіта відповідного рівня та ступеня (магістр, спеціаліст, бакалавр, молодший спеціаліст), стаж роботи за професією не менш як три роки, спеціалізація за освітою відповідно до видів послуг з проведення тематичних та експертних досліджень криптосистем і засобів криптографічного захисту інформації;

до інших професіоналів, фахівців - відповідно до організаційної структури суб’єкта господарювання, спеціалізація за освітою відповідно до видів послуг з проведення тематичних та експертних досліджень криптосистем і засобів криптографічного захисту інформації.

До стажу роботи у галузі криптографічного захисту інформації зараховується стаж роботи та/або служби на посадах у суб’єктів системи криптографічного захисту інформації, посадові обов’язки за якими передбачають виконання завдань з криптографічного захисту інформації, пов’язаних з обраними видами послуг.

15. Спеціалісти відповідно до своїх функціональних обов’язків повинні вміти:

користуватися наявним обладнанням, що забезпечує надання обраного виду послуг;

здійснювати обробку результатів наданих згідно з ліцензією послуг та оформляти звітні (підсумкові) документи.

16. Керівник суб’єкта господарювання та керівники виробничих і функціональних підрозділів повинні працювати у суб’єкта господарювання за основним місцем роботи відповідно до штатного розпису.

Організаційні вимоги

17. Ліцензіат у галузі криптографічного захисту інформації повинен зберігати:

документи, копії яких подавалися органу ліцензування відповідно до вимог Закону, та документи (копії), які підтверджують достовірність даних, що зазначалися здобувачем ліцензії у документах, які подавалися органу ліцензування відповідно до вимог Закону та цих Ліцензійних умов (протягом дії ліцензії);

документи, що підтверджують внесення плати за видачу ліцензії (протягом дії ліцензії);

примірники звітних (підсумкових) документів, розроблених під час надання згідно з ліцензією послуг (на паперових носіях або у вигляді електронних документів протягом строку, визначеного у договорі між ним і замовником послуг, але не менш як п’ять років);

договори оренди обладнання, що забезпечує надання відповідних видів послуг у галузі криптографічного захисту інформації (протягом п’яти років);

документи (копії), що засвідчують повірку власних та орендованих (у разі оренди обладнання) засобів вимірювальної техніки (протягом п’яти років).

18. Ліцензіат зобов’язаний повідомляти органу ліцензування про зміну даних (у тому числі розширення, звуження провадження виду господарської діяльності), які зазначені в його документах, що додавалися до заяви про одержання ліцензії, у строк не пізніше ніж один місяць з дня настання таких змін.

19. На письмове звернення органу ліцензування ліцензіат інформує про результати ліцензованої діяльності у галузі криптографічного захисту інформації (додаток 14).

20. Під час проведення органом ліцензування в установленому законодавством порядку перевірки додержання ліцензіатом у галузі криптографічного захисту інформації вимог цих Ліцензійних умов повинен бути присутнім керівник ліцензіата чи його заступник або інша уповноважена особа ліцензіата.

21. У разі планового або позапланового припинення ліцензованої діяльності у галузі криптографічного захисту інформації (у зв’язку з неможливістю використання (відсутністю) матеріально-технічної бази (засобів вимірювальної техніки та контролю і обладнання, допоміжних засобів, інформаційних (автоматизованих) систем та/або технічних засобів обробки інформації), необхідної для надання відповідних видів послуг у галузі криптографічного захисту інформації, виникненням обставин непереборної сили тощо) ліцензіат для відновлення такої діяльності зобов’язаний забезпечити виконання вимог цих Ліцензійних умов.

Технологічні вимоги

22. Здобувач ліцензії чи ліцензіат у галузі криптографічного захисту інформації повинен мати:

службові та виробничі приміщення, які забезпечують технологічні умови надання відповідних видів послуг у галузі криптографічного захисту інформації;

власні або на праві користування засоби вимірювальної техніки та контролю і обладнання, допоміжні засоби, інформаційні (автоматизовані) системи та/або технічні засоби обробки інформації, що забезпечують надання відповідного виду послуг у галузі криптографічного захисту інформації відповідно до встановлених технологічних вимог, пройшли відповідно до вимог нормативної документації технічне обслуговування та перебувають у належному технічному стані;

нормативно-правову базу (нормативно-правові акти та стандарти у сфері криптографічного захисту інформації, інші стандарти та нормативні документи в електронному вигляді або на паперових носіях (акти та документи, що мають гриф обмеження доступу, лише на паперових носіях), що забезпечує надання відповідного виду послуг у галузі криптографічного захисту інформації. Перелік таких документів визначається Адміністрацією Держспецзв’язку;

приміщення для роботи із замовниками послуг, зберігання обладнання, що забезпечує надання обраного виду послуг, обробки та зберігання документів, розроблених під час надання послуг згідно з ліцензією.

23. Програмні та інші вироби, що є об’єктами права інтелектуальної власності, повинні використовуватися ліцензіатом на підставі відповідного ліцензійного договору, укладеного з власником таких прав.

24. Провадження ліцензованої діяльності у галузі криптографічного захисту інформації здобувач ліцензії чи ліцензіат здійснює за умови:

укомплектованості обчислювальною, розмножувальною та організаційною технікою, відповідним програмним забезпеченням, необхідним для складення (створення) конструкторської та іншої технічної документації;

наявності інформаційного забезпечення для складення (створення) конструкторської та іншої технічної документації, можливості оперативного внесення змін і доповнень до такої документації, умов її обліку, збереження та ефективного контролю, який забезпечує комплектність конструкторської та іншої технічної документації, а також регламентує порядок доступу до неї;

забезпечення здійснення вхідного контролю за криптосистемами і засобами криптографічного захисту інформації, що підлягають монтажу та налаштуванню;

наявності системи технічного обслуговування та ремонту криптосистем і засобів криптографічного захисту інформації;

наявності засобів вимірювання, відповідних методик та інструкцій, необхідних для налаштування, перевірки встановлених параметрів та якості продукції і технологічних операцій;

здійснення монтажу (встановлення), налаштування, технічного обслуговування (супроводження) криптосистем і засобів криптографічного захисту інформації згідно з робочою конструкторською, експлуатаційною та нормативною документацією щодо криптосистем і засобів криптографічного захисту інформації.

25. Наявність у ліцензіата ліцензії на провадження ліцензованої діяльності у галузі криптографічного захисту інформації, що становить державну таємницю, надає право на провадження ліцензованої діяльності у галузі криптографічного захисту службової інформації, відкритої інформації, яка належить до державних інформаційних ресурсів, конфіденційної інформації, що передана її власником державі та обробляється в інформаційно-телекомунікаційних системах державних органів.

Наявність у ліцензіата ліцензії на провадження ліцензованої діяльності у галузі криптографічного захисту службової інформації надає право на провадження ліцензованої діяльності у галузі криптографічного захисту відкритої інформації, яка належить до державних інформаційних ресурсів, конфіденційної інформації, що передана її власником державі та обробляється в інформаційно-телекомунікаційних системах державних органів.

26. Для провадження ліцензованої діяльності у галузі криптографічного захисту інформації, що становить державну таємницю, здобувач ліцензії чи ліцензіат повинен мати:

спеціальний дозвіл на провадження діяльності, пов’язаної з державною таємницею. Зазначена в спеціальному дозволі категорія режиму секретності повинна відповідати ступеню секретності відомостей, використання яких передбачено за відповідним видом послуг;

спеціалістів, діяльність яких безпосередньо пов’язана з державною таємницею, з відповідними допусками до державної таємниці. Форма допусків повинна відповідати ступеню секретності відомостей, до яких такі спеціалісти допущені (передбачено їх допуск);

приміщення із створеними та атестованими щодо відповідності вимогам нормативних документів з технічного захисту інформації комплексами технічного захисту інформації, які облаштовані відповідно до вимог нормативно-правових актів з питань безпеки спеціального зв’язку;

технічні засоби обробки секретної інформації та/або інформаційні (автоматизовані) системи, в яких створено комплексну систему захисту інформації з підтвердженою відповідністю (в разі потреби).

27. Провадження ліцензованої діяльності у галузі криптографічного захисту інформації, що становить державну таємницю, здійснюється в межах строку дії спеціального дозволу на провадження діяльності, пов’язаної з державною таємницею, та допусків до державної таємниці працівників, діяльність яких безпосередньо пов’язана з державною таємницею.

28. Провадження ліцензованої діяльності у галузі криптографічного захисту інформації здійснюється згідно з режимом безпеки поводження із засобами криптографічного захисту службової інформації та інформації, що становить державну таємницю, нормативної та експлуатаційної документації до них.

Вимоги щодо провадження ліцензованої
діяльності у галузі технічного захисту інформації

Кадрові вимоги

29. Здобувач ліцензії чи ліцензіат у галузі технічного захисту інформації повинен мати штатних або найманих згідно з договором спеціалістів, кількісний склад та освіта яких забезпечує надання відповідного виду послуг.

Усі спеціалісти суб’єкта господарювання, які залучаються (залучення яких передбачено) до надання послуг у галузі технічного захисту інформації, повинні відповідати кадровим вимогам, визначеним цими Ліцензійними умовами.

30. Для провадження господарської діяльності з надання послуг з оцінювання захищеності інформації, що не становить державної таємниці, здобувач ліцензії чи ліцензіат повинен мати спеціаліста (спеціалістів) з вищою освітою у галузі знань "Інформаційна безпека" або вищою інженерно-технічною освітою фахового спрямування відповідно до обраного виду послуг з додатковою підготовкою на курсах перепідготовки та підвищення кваліфікації фахівців з питань технічного захисту інформації за напрямами підготовки відповідно до обраного виду послуг або стажем роботи у галузі технічного захисту інформації, виконання якої передбачало захист інформації від несанкціонованих дій в інформаційних (автоматизованих) системах, організацію та/або виконання експертних випробувань (робіт) з технічного захисту інформації, не менш як три роки.

31. Для провадження господарської діяльності з надання послуг з оцінювання захищеності інформації усіх видів, у тому числі інформації, що становить державну таємницю, здобувач ліцензії чи ліцензіат повинен мати:

спеціалістів з вищою освітою у галузі знань "Інформаційна безпека" або вищою інженерно-технічною освітою фахового спрямування відповідно до обраного виду послуг з додатковою підготовкою на курсах перепідготовки та підвищення кваліфікації фахівців з питань технічного захисту інформації за напрямами підготовки відповідно до обраного виду послуг чи стажем роботи у галузі технічного захисту інформації, виконання якої передбачало захист інформації, носіями якої є акустичні або електромагнітні поля та електричні сигнали, не менш як три роки;

спеціаліста (спеціалістів), що відповідає вимогам, визначеним у пункті 30 цих Ліцензійних умов.

32. Для провадження господарської діяльності з надання послуг з виявлення закладних пристроїв здобувач ліцензії чи ліцензіат повинен мати спеціалістів з вищою освітою у галузі знань "Інформаційна безпека" або вищою інженерно-технічною освітою фахового спрямування відповідно до обраного виду послуг з додатковою підготовкою на курсах перепідготовки та підвищення кваліфікації фахівців з питань технічного захисту інформації за напрямами підготовки відповідно до обраного виду послуг чи стажем роботи у галузі технічного захисту інформації, виконання якої передбачало захист інформації, носіями якої є акустичні або електромагнітні поля та електричні сигнали, та/або виявлення закладних пристроїв, не менш як три роки.

33. До стажу роботи у галузі технічного захисту інформації зараховується стаж роботи та/або служби на посадах у суб’єктів системи технічного захисту інформації, посадові обов’язки за якими передбачають виконання завдань з технічного захисту інформації, пов’язаних з обраними видами послуг.

Організаційні вимоги

34. Ліцензіат у галузі технічного захисту інформації повинен зберігати:

документи, копії яких подавалися органу ліцензування відповідно до вимог Закону, та документи (копії), які підтверджують достовірність даних, що зазначалися здобувачем ліцензії у документах, які подавалися органу ліцензування відповідно до вимог Закону та цих Ліцензійних умов (протягом дії ліцензії);

документи, що підтверджують внесення плати за видачу ліцензії (протягом дії ліцензії);

примірники звітних (підсумкових) документів, розроблених під час надання згідно з ліцензією послуг, у тому числі примірники протоколів з результатами вимірювань, а також розрахунками, які виконувалися під час визначення показників захищеності інформації від витоку технічними каналами (на паперових носіях або у вигляді електронних документів протягом строку, визначеного в договорі між ним і замовником послуг, але не менш як п’ять років);

договори оренди обладнання, що забезпечує надання відповідних видів послуг у галузі технічного захисту інформації (протягом п’яти років);

документи (копії), що засвідчують повірку власних та/або орендованих засобів вимірювальної техніки (протягом п’яти років).

35. Під час проведення органом ліцензування в установленому законодавством порядку перевірки додержання ліцензіатом у галузі технічного захисту інформації вимог цих Ліцензійних умов повинен бути присутнім керівник ліцензіата чи його заступник або інша уповноважена особа ліцензіата.

36. На письмове звернення органу ліцензування ліцензіат інформує про результати ліцензованої діяльності у галузі технічного захисту інформації (додаток 15).

37. Ліцензіат у галузі технічного захисту інформації зобов’язаний повідомляти органу ліцензування про зміну даних (у тому числі розширення, звуження), які зазначені в його документах, що додавалися до заяви про одержання ліцензії на провадження ліцензованої діяльності у галузі технічного захисту інформації, у строк не пізніше ніж один місяць з дня настання таких змін.

38. У разі планового або позапланового припинення ліцензованої діяльності у галузі технічного захисту інформації (у зв’язку з неможливістю використання (відсутністю) матеріально-технічної бази (засобів вимірювальної техніки та контролю і обладнання, допоміжних засобів, інформаційних (автоматизованих) систем та/або технічних засобів обробки інформації), необхідної для надання відповідних видів послуг у галузі технічного захисту інформації, виникненням обставин непереборної сили тощо) ліцензіат для відновлення такої діяльності зобов’язаний забезпечити виконання вимог цих Ліцензійних умов.

39. Провадження ліцензованої діяльності у галузі технічного захисту інформації здійснюється на об’єктах інформаційної діяльності.

Технологічні вимоги

40. Здобувач ліцензії чи ліцензіат у галузі технічного захисту інформації повинен мати:

нормативно-правову базу (нормативно-правові акти, нормативні документи у сфері технічного захисту інформації та внутрішні документи в електронному вигляді або на паперових носіях (акти та документи, що мають гриф обмеження доступу, лише на паперових носіях), що забезпечує надання відповідного виду послуг у галузі технічного захисту інформації. Перелік таких документів визначається Адміністрацією Держспецзв’язку;

власні або орендовані згідно з довгостроковими договорами (на строк не менш як один рік) засоби вимірювальної техніки та контролю і обладнання згідно з рекомендованим переліком типів засобів вимірювальної техніки та контролю і обладнання, необхідних для надання послуг у галузі технічного захисту інформації, що підлягають ліцензуванню (додаток 16), допоміжні засоби, інформаційні (автоматизовані) системи та/або технічні засоби обробки інформації в обсязі, що забезпечує надання обраного виду послуг відповідно до вимог загальнодержавних та/або погоджених з Адміністрацією Держспецзв’язку методик проведення робіт з технічного захисту інформації. До договору про оренду засобів вимірювальної техніки додаються документи (копії), що засвідчують їх повірку;

інформаційні (автоматизовані) системи та/або технічні засоби обробки інформації (у разі отримання ліцензії на провадження господарської діяльності з надання послуг у галузі технічного захисту інформації у частині оцінювання захищеності інформації, що не становить державної таємниці, або інформації усіх видів, у тому числі інформації, що становить державну таємницю, - обов’язково; у разі отримання ліцензії на провадження господарської діяльності з надання послуг у галузі технічного захисту інформації у частині виявлення закладних пристроїв - у разі потреби);

об’єкти інформаційної діяльності для проведення секретних нарад, обговорень і робіт з технічного захисту інформації із створеними та атестованими щодо відповідності вимогам нормативних документів з технічного захисту інформації комплексами технічного захисту інформації (в разі потреби);

приміщення для роботи із замовниками послуг, зберігання засобів вимірювальної техніки та контролю, допоміжних засобів та обладнання, що забезпечує надання обраного виду послуг, обробки та зберігання документів, розроблених під час надання послуг згідно з ліцензією;

розроблену з урахуванням наявного апаратурного забезпечення та погоджену з Адміністрацією Держспецзв’язку методику виявлення закладних пристроїв (у разі отримання ліцензії на провадження господарської діяльності з надання послуг у галузі технічного захисту інформації у частині виявлення закладних пристроїв).

41. Ліцензіат під час провадження ліцензованої діяльності у галузі технічного захисту інформації повинен дотримуватися вимог нормативно-правових актів і нормативних документів з питань технічного захисту інформації, що регламентують надання обраних видів послуг.

42. Наявність у ліцензіата ліцензії на провадження ліцензованої діяльності у галузі технічного захисту інформації у частині надання послуг з оцінювання захищеності інформації усіх видів, у тому числі інформації, що становить державну таємницю, дає йому право на проведення робіт з атестації комплексів технічного захисту інформації на об’єктах інформаційної діяльності (об’єктах електронно-обчислювальної техніки) та експертних оцінювань у сфері технічного захисту інформації об’єктів експертизи, які призначаються для захисту інформації усіх видів, у тому числі інформації, що становить державну таємницю.

Наявність у ліцензіата ліцензії на провадження господарської діяльності у галузі технічного захисту інформації з надання послуг з оцінювання захищеності інформації, що не становить державної таємниці, дає йому право на проведення виключно робіт з експертних оцінювань у сфері технічного захисту інформації об’єктів експертизи, які призначаються для захисту інформації, що не становить державної таємниці.

43. Для провадження діяльності у галузі технічного захисту інформації, що становить державну таємницю, здобувач ліцензії чи ліцензіат у галузі технічного захисту інформації повинен мати:

спеціальний дозвіл на провадження діяльності, пов’язаної з державною таємницею. Зазначена в спеціальному дозволі категорія режиму секретності повинна відповідати ступеню секретності відомостей, використання яких передбачено за обраними видами послуг;

спеціалістів, які залучаються (залучення яких передбачено) до надання послуг з технічного захисту інформації, що становить державну таємницю, з оформленими на них відповідними допусками до державної таємниці. Форма допуску повинна відповідати ступеню секретності відомостей, до яких такі спеціалісти допускаються (передбачено їх допуск);

об’єкти інформаційної діяльності для проведення секретних нарад, обговорень і надання послуг у галузі технічного захисту інформації із створеними та атестованими щодо відповідності вимогам нормативних документів з технічного захисту інформації комплексами технічного захисту інформації (у разі потреби);

інформаційні (автоматизовані) системи та/або технічні засоби обробки секретної інформації, в яких створено комплексну систему захисту інформації з підтвердженою відповідністю (атестований комплекс технічного захисту інформації). При цьому категорія об’єкта електронно-обчислювальної техніки та/або об’єкта інформаційної діяльності, де розташовані інформаційні (автоматизовані) системи та/або технічні засоби обробки інформації, повинна відповідати ступеню секретності (обмеження доступу) відомостей, використання яких передбачено за обраним видом послуг у галузі технічного захисту інформації.

44. Провадження ліцензованої діяльності у галузі технічного захисту інформації, що становить державну таємницю, здійснюється в межах строку дії спеціального дозволу на провадження діяльності, пов’язаної з державною таємницею, та за наявності у спеціалістів, що залучаються до провадження такої діяльності, відповідних допусків до державної таємниці.

Додаток 1
до Ліцензійних умов

Заява
про одержання ліцензії

Заява про одержання ліцензії (Додаток 1) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Додаток 2
до Ліцензійних умов

Відомості
про наявність спеціалістів, необхідних для надання
відповідних видів послуг у галузі криптографічного
захисту інформації (крім послуг електронного
цифрового підпису) та технічного захисту інформації

Відомості про наявність спеціалістів, необхідних для надання відповідних видів послуг... (Додаток 2) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Додаток 3
до Ліцензійних умов

Відомості
про наявність засобів вимірювальної техніки та
контролю, допоміжних засобів та обладнання,
інформаційних (автоматизованих) систем
та/або технічних засобів обробки інформації,
що забезпечують надання відповідних видів
послуг у галузі криптографічного захисту
інформації (крім послуг електронного
цифрового підпису) та технічного захисту інформації

Відомості про наявність засобів вимірювальної техніки та контролю... (Додаток 3) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Додаток 4
до Ліцензійних умов

Відомості
про наявність нормативно-правової бази,
що забезпечує надання відповідних видів послуг
у галузі криптографічного захисту інформації
(крім послуг електронного цифрового підпису)
та технічного захисту інформації

Відомості про наявність нормативно-правової бази... (Додаток 4) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Додаток 5
до Ліцензійних умов

Відомості
про наявність спеціального дозволу на провадження
діяльності, пов’язаної з державною таємницею

Відомості про наявність спеціального дозволу на провадження діяльності, пов’язаної з державною таємницею (Додаток 5) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Додаток 6
до Ліцензійних умов

Відомості
про наявність відповідних приміщень, засобів обчислювальної техніки,
інформаційних і телекомунікаційних систем (комплексів),
необхідних для надання відповідних видів послуг
у галузі криптографічного захисту інформації

Відомості про наявність відповідних приміщень... (Додаток 6) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Додаток 7
до Ліцензійних умов

Відомості
про наявність власних або орендованих службових, виробничих
приміщень, необхідних для надання відповідних видів послуг
у галузі криптографічного захисту інформації

Відомості про наявність власних або орендованих службових, виробничих приміщень... (Додаток 7) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Додаток 8
до Ліцензійних умов

Відомості
про наявність інформаційних (автоматизованих) систем
та/або технічних засобів обробки секретної інформації, необхідних
для надання відповідних видів послуг у галузі технічного захисту інформації

Відомості про наявність інформаційних (автоматизованих) систем... (Додаток 8) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Додаток 9
до Ліцензійних умов

Відомості
про наявність об’єктів інформаційної діяльності для
проведення секретних нарад, обговорень і робіт з технічного
захисту інформації

Відомості про наявність об’єктів інформаційної діяльності для проведення секретних нарад... (Додаток 9) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Додаток 10
до Ліцензійних умов

Опис
документів, що додаються до заяви про отримання ліцензії

Опис документів, що додаються до заяви про отримання ліцензії (Додаток 10) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Додаток 11
до Ліцензійних умов

Заява
про переоформлення ліцензії

Заява про переоформлення ліцензії (Додаток 11) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Додаток 12
до Ліцензійних умов

Заява
про звуження провадження господарської діяльності

Заява про звуження провадження господарської діяльності (Додаток 12) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Додаток 13
до Ліцензійних умов

Заява
про розширення провадження господарської діяльності

Заява про розширення провадження господарської діяльності (Додаток 13) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Додаток 14
до Ліцензійних умов

Відомості
про надані послуги з криптографічного захисту інформації
протягом _____ року

Відомості про надані послуги з криптографічного захисту інформації протягом __ року (Додаток 14) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Додаток 15
до Ліцензійних умов

Відомості
про надані послуги з технічного захисту інформації

Відомості про надані послуги з технічного захисту інформації (Додаток 15) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Додаток 16
до Ліцензійних умов

Рекомендований перелік
засобів вимірювальної техніки та контролю і обладнання,
необхідних для надання послуг у галузі технічного захисту
інформації, що підлягають ліцензуванню

Засоби вимірювальної техніки та контролю і
обладнання для оцінювання захищеності інформації
(атестації комплексів технічного захисту інформації)

Аналізатор спектру

Комплект вимірювальних антен

Осцилограф

Струмознімач

Пробник напруги

Генератор тестового сигналу, підсилювач, екранований гучномовець

Селективний нановольтметр

Генератори вимірювальні

Вимірювач повного опору

Генератор сигналів (шуму)

Підсилювач потужності

Акустичний випромінювач, тип 1

Акустичний випромінювач, тип 2

Акустичний випромінювач, тип 3 (направлений, ненаправлений)

Вимірювач шуму і вібрацій (з мікрофоном та акселерометром)

Засоби вимірювальної техніки та контролю і обладнання
для виявлення закладних пристроїв

Детектор поля

Радіовиявлювач (панорамний, аналізувальний) або програмно-апаратний комплекс виявлення і вимірювання радіовипромінювань, пошуку закладних пристроїв

Оптичний виявлювач відеокамер

Прилад для перевірки проводових комунікацій

Прилад радіолокації нелінійностей

_________

Примітка.

Засоби вимірювальної техніки та контролю і обладнання повинні мати технічні характеристики, які забезпечують надання обраного виду послуг відповідно до вимог загальнодержавних та/або погоджених з Адміністрацією Держспецзв’язку методик проведення певних робіт з технічного захисту інформації.

Затверджено
постановою Кабінету Міністрів України
від 16 листопада 2016 р. N 821

Перелік
послуг у галузі криптографічного захисту інформації
(крім послуг електронного цифрового підпису) та технічного
захисту інформації, господарська діяльність щодо
яких підлягає ліцензуванню

I. Послуги у галузі криптографічного захисту інформації
(крім послуг електронного цифрового підпису), господарська
діяльність щодо яких підлягає ліцензуванню

1. Розроблення і складення конструкторської та іншої технічної документації, виробництво криптосистем і засобів криптографічного захисту інформації (з наданням права провадження діяльності у галузі криптографічного захисту інформації, що становить державну таємницю; з наданням права провадження діяльності у галузі криптографічного захисту службової інформації).

2. Постачання, монтаж (встановлення), налаштування, технічне обслуговування (супроводження), ремонт та/або утилізація криптосистем і засобів криптографічного захисту інформації (з наданням права провадження діяльності у галузі криптографічного захисту інформації, що становить державну таємницю; з наданням права провадження діяльності у галузі криптографічного захисту службової інформації).

3. Тематичні та експертні дослідження криптосистем і засобів криптографічного захисту інформації (з наданням права провадження діяльності у галузі криптографічного захисту інформації, що становить державну таємницю; з наданням права провадження діяльності у галузі криптографічного захисту службової інформації).

II. Послуги у галузі технічного захисту інформації,
господарська діяльність щодо яких підлягає ліцензуванню

1. Оцінювання захищеності інформації, що не становить державної таємниці.

2. Оцінювання захищеності інформації усіх видів, у тому числі інформації, що становить державну таємницю.

3. Виявлення закладних пристроїв.