|
4. В соответствии с п. 1 ст. 17 Федерального закона от 8 августа 2001 г. N 128-ФЗ "О лицензировании отдельных видов деятельности" деятельность по технической защите конфиденциальной информации (в том числе и персональных данных), а также деятельность по разработке и (или) производству средств защиты конфиденциальной информации вправе осуществлять только лицензиаты. Согласно Перечню федеральных органов исполнительной власти, осуществляющих лицензирование, утвержденному Постановлением Правительства РФ от 11 февраля 2002 г. N 135, лицензирование деятельности по технической защите конфиденциальной информации отнесено к ведению Гостехкомиссии России. Лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации осуществляется Гостехкомиссией России.
Согласно Положению о лицензировании деятельности по технической защите конфиденциальной информации, утвержденному Постановлением Правительства РФ от 30 апреля 2002 г. N 290 (в ред. Постановления Правительства РФ от 23 сентября 2002 г. N 689), конфиденциальной является информация, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничен в соответствии с законодательством РФ.
Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по защите ее от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на нее в целях уничтожения, искажения или блокирования доступа к ней.
Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:
- осуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование по специальностям "компьютерная безопасность", "комплексное обеспечение информационной безопасности автоматизированных систем" или "информационная безопасность телекоммуникационных систем", либо специалистами, прошедшими переподготовку по вопросам защиты информации;
- соответствие производственных помещений, производственного, испытательного и контрольно-измерительного оборудования техническим нормам и требованиям, установленным государственными стандартами Российской Федерации и нормативно-методическими документами по технической защите информации;
- использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации;
- использование третьими лицами программ для электронно-вычислительных машин или баз данных на основании договора с их правообладателем.
Лицензиатами по указанному виду деятельности являются юридические лица и предприниматели.
В соответствии с Положением о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации, утвержденным Постановлением Правительства РФ от 27 мая 2002 г. N 348, лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации осуществляет Гостехкомиссия России.
Лицензионными требованиями и условиями при осуществлении деятельности по разработке и (или) производству средств защиты конфиденциальной информации, отнесенных к компетенции Гостехкомиссии России, являются:
- выполнение требований государственных стандартов РФ, конструкторской, программной и технологической документации, единой системы измерений, системы разработки и запуска в производство средств защиты конфиденциальной информации, а также иных нормативных правовых актов;
- осуществление лицензируемой деятельности специалистами, имеющими высшее техническое образование или прошедшими профессиональную подготовку в области защиты информации;
- соответствие производственного, испытательного, контрольно-измерительного оборудования и производственных помещений техническим нормам и требованиям, установленным государственными стандартами РФ и иными нормативными правовыми актами;
- использование программ для электронно-вычислительных машин или баз данных третьими лицами (пользователями), осуществляемое на основании договора с правообладателем.
Лицензионными требованиями и условиями при осуществлении деятельности по разработке и (или) производству средств защиты конфиденциальной информации, отнесенных к компетенции федерального органа исполнительной власти, уполномоченного в области правительственной связи и информации (см. п. 1 комментария к ст. 23.45), являются:
- соблюдение нормативных правовых актов и стандартов РФ, относящихся к лицензируемой деятельности, нормативных и методических документов, регламентирующих осуществление лицензируемой деятельности;
- соблюдение лицензиатом режима конфиденциальности при обращении со сведениями, которые ему доверены или стали известны по работе; обеспечение ограничения круга лиц, допущенных к конфиденциальной информации, установление порядка допуска лиц к работам, связанным с использованием конфиденциальной информации, организация обеспечения безопасности ее хранения, обработки и передачи по каналам связи и установление обладателем конфиденциальной информации требований к обеспечению безопасности этой информации;
- наличие условий, предотвращающих несанкционированный доступ к средствам защиты конфиденциальной информации, обеспечивающих хранение нормативной и эксплуатационной документации, инсталляционных дискет и дистрибутивов программных и программно-аппаратных средств защиты конфиденциальной информации в металлических шкафах (хранилищах, сейфах), оборудованных внутренними замками, а также хранение дубликатов ключей от металлических шкафов (хранилищ, сейфов) и входных дверей в сейфе ответственного лица, назначенного руководством лицензиата;
- соответствие помещений (производственная площадь, состояние помещений, обеспечиваемые в них условия) требованиям технической и технологической документации на оборудование, размещаемое в этих помещениях и используемое для осуществления лицензируемой деятельности;
- соответствие производственного, технологического, испытательного и контрольно-измерительного оборудования требованиям, установленным государственными стандартами РФ и нормативными правовыми актами, относящимися к лицензируемой деятельности;
- аттестование средств обработки информации, используемых для разработки средств защиты конфиденциальной информации, а также для автоматизированного учета, в соответствии с требованиями по защите информации с использованием лицензионного программного обеспечения для электронно-вычислительных машин и баз данных;
- выполнение требований государственных стандартов РФ, конструкторской, программной и технологической документации, единой системы измерений, системы разработки и запуска в производство средств защиты конфиденциальной информации, в соответствии с которыми конструкторская документация лицензиата имеет номер, зарегистрированный в государственном реестре разрабатывающих предприятий;
- наличие системы учета изменений, внесенных в техническую и конструкторскую документацию, и системы учета готовой продукции;
- наличие у руководителя лицензиата и (или) уполномоченного им лица высшего образования и (или) профессиональной подготовки в области защиты информации с квалификацией "специалист по защите информации" и производственным стажем в области лицензируемой деятельности не менее 5 лет;
- наличие у инженерно-технического персонала, осуществляющего работы в области лицензируемой деятельности, высшего образования и (или) профессиональной подготовки со специализацией, соответствующей выполняемым работам.
Лицензиатами по указанному виду деятельности являются юридические лица и индивидуальные предприниматели.
Совершение лицензиатом проступка, предусмотренного комментируемой статьей, квалифицируется как нарушение лицензионных требований и условий и влечет за собой применение санкций в виде приостановления действия лицензии или ее аннулирования, установленных ст. 13 Федерального закона "О лицензировании отдельных видов деятельности", независимо от привлечения нарушителя к административной ответственности, меры которой определены комментируемой статьей.
5. Осуществление предпринимательской деятельности по лицензируемым видам деятельности без лицензии или с нарушением условий лицензирования, если это деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере (т.е. дохода, сумма которого превышает 200 МРОТ), квалифицируется как преступление (ч. 1 ст. 171 УК).
6. См. примечание к п. 5 комментария к ст. 5.1.
Дела об административных правонарушениях, предусмотренных комментируемой статьей, рассматриваются судьями.
Дела о комментируемых правонарушениях, производство по которым осуществляется в форме административного расследования, рассматриваются судьями районных судов, а в случаях, не требующих проведения административного расследования, - мировыми судьями (ср. ч. 1 и абз. 2, 4 ч. 3 ст. 23.1 КоАП; о случаях проведения административного расследования см. ч. 1 ст. 28.7 КоАП).
Статья 13.12. Нарушение правил защиты информации
1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц - от пяти до десяти минимальных размеров оплаты труда; на юридических лиц - от пятидесяти до ста минимальных размеров оплаты труда.
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от десяти до двадцати минимальных размеров оплаты труда; на юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой.
3. Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, -
влечет наложение административного штрафа на должностных лиц в размере от двадцати до тридцати минимальных размеров оплаты труда; на юридических лиц - от ста пятидесяти до двухсот минимальных размеров оплаты труда.
4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, -
влечет наложение административного штрафа на должностных лиц в размере от тридцати до сорока минимальных размеров оплаты труда; на юридических лиц - от двухсот до трехсот минимальных размеров оплаты труда с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.
Комментарий к статье 13.12
1. О лицензировании отдельных видов деятельности в области защиты информации см. п. 4 комментария к ст. 13.11.
Согласно п. 1 ст. 21 Федерального закона "Об информации, информатизации и защите информации" защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.
Режим защиты информации устанавливается:
- в отношении сведений, отнесенных к государственной тайне, - уполномоченными органами на основании Закона РФ от 21 июля 1993 г. N 5485-1 "О государственной тайне" (в ред. Федерального закона от 6 октября 1997 г. N 131-ФЗ);
- в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом на основании Федерального закона "Об информации, информатизации и защите информации";
- в отношении персональных данных - федеральным законом.
2. К документированной информации (документу) по смыслу Федерального закона "Об информации, информатизации и защите информации" относится зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
3. Целями защиты информации являются:
- предотвращение утечки, хищения, утраты, искажения, подделки информации;
- предотвращение угрозы безопасности личности, общества, государства;
- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
- сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
- обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
Права и обязанности юридических, физических лиц в области защиты информации, а также защита права на доступ к информации определены соответственно ст. 22, 24 Федерального закона "Об информации, информатизации и защите информации".
4. Согласно ст. 2 вышеназванного Федерального закона под информационной системой понимается организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих процессы сбора, обработки, накопления, хранения, поиска и распространения информации (информационные процессы).
В соответствии с Законом РФ от 23 сентября 1992 г. N 3523-1 "О правовой охране программ для электронных вычислительных машин и баз данных" программа для ЭВМ - это объективная форма представления совокупности данных и команд, предназначенных для функционирования электронных вычислительных машин (ЭВМ) и других компьютерных устройств с целью получения определенного результата. Под программой для ЭВМ подразумеваются также подготовительные материалы, полученные в ходе ее разработки, и порождаемые ею аудиовизуальные отображения. Программы для ЭВМ, используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию, относятся к средствам обеспечения автоматизированных информационных систем и их технологий.
5. Согласно ст. 19 Федерального закона "Об информации, информатизации и защите информации" информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном Федеральным законом "О техническом регулировании" (см. п. 1, 2 комментария к ст. 13.6, а также п. 7 комментария к данной статье).
Информационные системы органов государственной власти РФ и органов государственной власти субъектов РФ, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации. Порядок сертификации определяется законодательством РФ. О статусе информации с ограниченным доступом см. комментарий к ст. 13.14.
6. О лицензировании отдельных видов деятельности в области защиты информации в соответствии с Федеральным законом "О лицензировании отдельных видов деятельности" см. п. 4 комментария к ст. 13.11. О статусе информации, составляющей государственную тайну, а также о лицензировании проведения работ, связанных с использованием и защитой информации, составляющей государственную тайну, в соответствии с Законом РФ "О государственной тайне" см. комментарий к ст. 13.13.
Согласно ст. 28 Закона РФ от 21 июля 1993 г. N 5485-1 "О государственной тайне" (в ред. Федерального закона от 6 октября 1997 г. N 131-ФЗ, с изменениями, внесенными Постановлением Конституционного Суда РФ от 27 марта 1996 г. N 8-П) средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.
Организация сертификации средств защиты информации возлагается на Гостехкомиссию России, ФСБ, Минобороны в соответствии с функциями, возложенными на них законодательством РФ. Сертификация осуществляется на основании требований государственных стандартов РФ и иных нормативных документов, утверждаемых Правительством РФ.
Координация работ по организации сертификации средств защиты информации возлагается на межведомственную комиссию по защите государственной тайны.
Применительно к Закону РФ "О государственной тайне" под средствами защиты информации понимаются технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.
7. А. Согласно ст. 2 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании":
под сертификацией понимается форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров;
сертификатом соответствия является документ, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов или условиям договоров;
под системой сертификации понимается совокупность правил выполнения работ по сертификации, ее участников и правил функционирования системы сертификации в целом (о статусе национального и иных стандартов, установленных указанным Федеральным законом, см. п. 1, 2 комментария к ст. 9.4).
Федеральным законом "О техническом регулировании" вышеуказанные понятия определяются следующим образом:
орган по сертификации - юридическое лицо или индивидуальный предприниматель, аккредитованные в установленном порядке для выполнения работ по сертификации;
оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту;
подтверждение соответствия - документальное удостоверение соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров;
технический регламент - документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента РФ, или постановлением Правительства РФ и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования (продукции, в том числе зданиям, строениям и сооружениям, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации; статус общих технических регламентов и специальных технических регламентов установлен ст. 8 Федерального закона "О техническом регулировании");
форма подтверждения соответствия - определенный порядок документального удостоверения соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров.
Б. Согласно ст. 20, 21 Федерального закона "О техническом регулировании" подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер.
Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.
Обязательное подтверждение соответствия осуществляется в формах:
принятия декларации о соответствии (декларирование соответствия);
обязательной сертификации.
Добровольное подтверждение соответствия осуществляется по инициативе заявителя на условиях договора между заявителем и органом по сертификации. Добровольное подтверждение соответствия может осуществляться для установления соответствия национальным стандартам, стандартам организаций, системам добровольной сертификации, условиям договоров.
Объектами добровольного подтверждения соответствия являются продукция, процессы производства, эксплуатации, хранения, перевозки, реализации и утилизации, работы и услуги, а также иные объекты, в отношении которых стандартами, системами добровольной сертификации и договорами устанавливаются требования.
Орган по сертификации:
осуществляет подтверждение соответствия объектов добровольного подтверждения соответствия;
выдает сертификаты соответствия на объекты, прошедшие добровольную сертификацию;
предоставляет заявителям право на применение знака соответствия, если применение знака соответствия предусмотрено соответствующей системой добровольной сертификации;
приостанавливает или прекращает действие выданных им сертификатов соответствия.
В соответствии с п. 1, 2 ст. 23 Федерального закона "О техническом регулировании" обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента.
Объектом обязательного подтверждения соответствия может быть только продукция, выпускаемая в обращение на территории РФ.
Форма и схемы обязательного подтверждения соответствия могут устанавливаться только техническим регламентом с учетом степени риска недостижения целей технических регламентов.
Применительно к рассматриваемому Федеральному закону под риском понимается вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда.
Согласно п. 1, 2 ст. 25, п. 1 ст. 26 Федерального закона "О техническом регулировании" обязательная сертификация осуществляется органом по сертификации, аккредитованным в порядке, установленном Правительством РФ, на основании договора с заявителем. Схемы сертификации, применяемые для сертификации определенных видов продукции, устанавливаются соответствующим техническим регламентом.
Соответствие продукции требованиям технических регламентов подтверждается сертификатом соответствия, выдаваемым заявителю органом по сертификации.
В. В соответствии с п. 2, 3 ст. 4 Федерального закона "О техническом регулировании" положения федеральных законов и иных нормативных правовых актов РФ, касающиеся сферы применения указанного Федерального закона (в том числе прямо или косвенно предусматривающие осуществление контроля (надзора) за соблюдением требований технических регламентов), применяются в части, не противоречащей данному Федеральному закону.
Федеральные органы исполнительной власти вправе издавать в сфере технического регулирования акты только рекомендательного характера, за исключением случаев, установленных ст. 5 Федерального закона "О техническом регулировании", которой определены особенности технического регулирования в отношении оборонной продукции (работ, услуг) и продукции (работ, услуг), сведения о которой составляют государственную тайну.
Г. Согласно ст. 5 Федерального закона "О техническом регулировании" в случае отсутствия требований технических регламентов в отношении оборонной продукции (работ, услуг), поставляемой для федеральных государственных нужд по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, обязательными являются требования к продукции, ее характеристикам и требования к процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, установленные федеральными органами исполнительной власти, являющимися в пределах своей компетенции государственными заказчиками оборонного заказа, и (или) государственным контрактом.
Порядок разработки, принятия и применения документов о стандартизации в отношении указанной продукции (работ, услуг) устанавливается Правительством РФ.
Оценка соответствия, в том числе государственный контроль (надзор) за соблюдением обязательных требований к указанной продукции (работам, услугам), осуществляется в порядке, установленном Правительством РФ.
Обязательные требования к указанной продукции (работам, услугам) не должны противоречить требованиям технических регламентов.
Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации подлежат обязательной сертификации в соответствии с Положением о сертификации средств защиты информации, утвержденным Постановлением Правительства РФ от 26 июня 1995 г. N 608 (в ред. Постановления Правительства РФ от 29 марта 1999 г. N 342). Сертификация указанных средств проводится в рамках систем сертификации средств защиты информации.
Система сертификации средств защиты информации (далее - система сертификации) представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам.
Системы сертификации создаются Гостехкомиссией России, ФСБ, Минобороны, СВР, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами РФ.
Согласно п. 7 Положения изготовители вправе производить (реализовывать) средства защиты информации только при наличии сертификата. Порядок получения сертификата установлен п. 8 - 9 Положения, условия приостановления действия сертификата или его аннулирования определены п. 10 Положения.
Согласно Доктрине информационной безопасности Российской Федерации, утвержденной Президентом РФ 9 сентября 2000 г. (N Пр-1895), угрозой безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России, может являться использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры.
Применительно к ч. 2 и 4 комментируемой статьи следует иметь в виду, что обязательная сертификация информационных систем, баз и банков данных и (или) средств защиты информации относится к лицензионным требованиям и условиям при осуществлении деятельности по технической защите конфиденциальной информации (см. п. 4 комментария к ст. 13.11, подп. "в" п. 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации).
Представление в лицензирующий орган перечня шифровальных (криптографических) средств, используемых при осуществлении лицензируемой деятельности (с предоставлением по запросу технической документации и (или) образцов шифровальных (криптографических) средств, которые не имеют сертификата федерального органа исполнительной власти, уполномоченного в области правительственной связи и информации (о реорганизации управления в указанной области см. п. 1 комментария к ст. 23.45)), относится к лицензионным требованиям и условиям, установленным подп. "в" п. 5 Положения о лицензировании деятельности по распространению шифровальных (криптографических) средств; подп. "в" п. 6 Положения о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств; подп. "в" п. 6 Положения о лицензировании предоставления услуг в области шифрования информации, утвержденных Постановлением Правительства РФ от 23 сентября 2002 г. N 691 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами".
Согласно подп. "з" п. 6 Положения о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем, утвержденного Постановлением Правительства РФ от 23 сентября 2002 г. N 691, к лицензионным требованиям и условиям при осуществлении лицензируемой деятельности относится использование криптографических алгоритмов, утвержденных в качестве государственных стандартов или определенных соответствующими перечнями, утвержденными Правительством РФ.
Применительно к указанным положениям о лицензировании к шифровальным (криптографическим) средствам относятся:
а) средства шифрования - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;
Дата добавления: 2015-10-21; просмотров: 17 | Нарушение авторских прав
<== предыдущая лекция | | | следующая лекция ==> |