Утверждено

постановлением Правительства

Российской Федерации

от 16 апреля 2012 г. N 313

ПОЛОЖЕНИЕ

О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО РАЗРАБОТКЕ,

ПРОИЗВОДСТВУ, РАСПРОСТРАНЕНИЮ ШИФРОВАЛЬНЫХ

(КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ, ИНФОРМАЦИОННЫХ СИСТЕМ

И ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ, ЗАЩИЩЕННЫХ С ИСПОЛЬЗОВАНИЕМ

ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ, ВЫПОЛНЕНИЮ РАБОТ,

ОКАЗАНИЮ УСЛУГ В ОБЛАСТИ ШИФРОВАНИЯ ИНФОРМАЦИИ,

ТЕХНИЧЕСКОМУ ОБСЛУЖИВАНИЮ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ)

СРЕДСТВ, ИНФОРМАЦИОННЫХ СИСТЕМ И ТЕЛЕКОММУНИКАЦИОННЫХ

СИСТЕМ, ЗАЩИЩЕННЫХ С ИСПОЛЬЗОВАНИЕМ ШИФРОВАЛЬНЫХ

(КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ (ЗА ИСКЛЮЧЕНИЕМ СЛУЧАЯ,

ЕСЛИ ТЕХНИЧЕСКОЕ ОБСЛУЖИВАНИЕ ШИФРОВАЛЬНЫХ

(КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ, ИНФОРМАЦИОННЫХ СИСТЕМ

И ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ, ЗАЩИЩЕННЫХ С ИСПОЛЬЗОВАНИЕМ

ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ, ОСУЩЕСТВЛЯЕТСЯ

ДЛЯ ОБЕСПЕЧЕНИЯ СОБСТВЕННЫХ НУЖД ЮРИДИЧЕСКОГО ЛИЦА

ИЛИ ИНДИВИДУАЛЬНОГО ПРЕДПРИНИМАТЕЛЯ)

1. Настоящее Положение определяет порядок лицензирования деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), осуществляемой юридическими лицами и индивидуальными предпринимателями (далее - лицензируемая деятельность).

1(1). Осуществление лицензируемой деятельности иностранными юридическими лицами не допускается.

2. К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), включая документацию на эти средства, относятся:

а) средства шифрования - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче;

б) средства имитозащиты - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации;

в) средства электронной подписи;

г) средства кодирования - средства шифрования, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций;

д) средства изготовления ключевых документов - аппаратные, программные, программно-аппаратные шифровальные (криптографические) средства, обеспечивающие возможность изготовления ключевых документов для шифровальных (криптографических) средств, не входящие в состав этих шифровальных (криптографических) средств;

е) ключевые документы - электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах;

ж) аппаратные шифровальные (криптографические) средства - устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин;

з) программные шифровальные (криптографические) средства - программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно-аппаратных шифровальных (криптографических) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием шифровальных (криптографических) средств;

и) программно-аппаратные шифровальные (криптографические) средства - устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части.

3. Настоящее Положение не распространяется на деятельность с использованием:

а) шифровальных (криптографических) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну;

б) шифровальных (криптографических) средств, а также товаров, содержащих шифровальные (криптографические) средства, реализующих либо симметричный криптографический алгоритм, использующий криптографический ключ длиной, не превышающей 56 бит, либо асиметричный криптографический алгоритм, основанный либо на методе разложения на множители целых чисел, размер которых не превышает 512 бит, либо на методе вычисления дискретных логарифмов в мультипликативной группе конечного поля размера, не превышающего 512 бит, либо на методе вычисления дискретных логарифмов в иной группе размера, не превышающего 112 бит;

в) товаров, содержащих шифровальные (криптографические) средства, имеющих либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющих электронную подпись;

г) шифровальных (криптографических) средств, являющихся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной;

д) персональных смарт-карт (интеллектуальных карт), криптографические возможности которых ограничены использованием в оборудовании или системах, указанных в подпунктах "е" - "и" настоящего пункта, или персональных смарт-карт (интеллектуальных карт) для широкого общедоступного применения, криптографические возможности которых недоступны пользователю и которые в результате специальной разработки имеют ограниченные возможности защиты хранящейся на них персональной информации;

е) приемной аппаратуры для радиовещания, коммерческого телевидения или аналогичной коммерческой аппаратуры для вещания на ограниченную аудиторию без шифрования цифрового сигнала, кроме случаев использования шифрования исключительно для управления видео- или аудиоканалами и отправки счетов или возврата информации, связанной с программой, провайдерам вещания;

ж) оборудования, криптографические возможности которого недоступны пользователю, специально разработанного и ограниченного для осуществления следующих функций:

исполнение программного обеспечения в защищенном от копирования виде;

обеспечение доступа к защищенному от копирования содержимому, хранящемуся только на доступном для чтения носителе информации, либо доступа к информации, хранящейся в зашифрованной форме на носителях, когда эти носители информации предлагаются на продажу населению в идентичных наборах;

контроль копирования аудио- и видеоинформации, защищенной авторскими правами;

з) шифровального (криптографического) оборудования, специально разработанного и ограниченного применением для банковских или финансовых операций в составе терминалов единичной продажи (банкоматов), POS-терминалов и терминалов оплаты различного вида услуг, криптографические возможности которых не могут быть изменены пользователями;

и) портативных или мобильных радиоэлектронных средств гражданского назначения (например, для использования в коммерческих гражданских системах сотовой радиосвязи), которые не способны к сквозному шифрованию (то есть от абонента к абоненту);

к) беспроводного оборудования, осуществляющего шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя (за исключением оборудования, используемого на критически важных объектах);

л) шифровальных (криптографических) средств, используемых для защиты технологических каналов информационно-телекоммуникационных систем и сетей связи, не относящихся к критически важным объектам;

м) товаров, у которых криптографическая функция гарантированно заблокирована производителем.

4. Перечень выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств (далее - перечень) приведен в приложении.

5. Лицензирование деятельности, определенной настоящим Положением, осуществляется Федеральной службой безопасности Российской Федерации (далее - лицензирующий орган).

6. Лицензионными требованиями при осуществлении лицензируемой деятельности являются:

а) наличие у соискателя лицензии (лицензиата) права собственности или иного законного основания на владение и использование помещений, сооружений, технологического, испытательного, контрольно-измерительного оборудования и иных объектов, необходимых для осуществления лицензируемой деятельности;

б) выполнение соискателем лицензии (лицензиатом) при осуществлении лицензируемой деятельности требований по обеспечению информационной безопасности, устанавливаемых в соответствии со статьями 11.2 и 13 Федерального закона "О федеральной службе безопасности";

в) наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации";

г) наличие у соискателя лицензии (лицензиата) допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну (при выполнении работ и оказании услуг, указанных в пунктах 1, 4 - 6, 16 и 19 перечня);

д) наличие в штате у соискателя лицензии (лицензиата) следующего квалифицированного персонала:

руководитель и (или) лицо, уполномоченное руководить работами в рамках лицензируемой деятельности, имеющие высшее профессиональное образование по направлению подготовки "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок - свыше 1000 аудиторных часов), а также имеющие стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 5 лет (только для работ и услуг, указанных в пунктах 1, 4 - 6, 16 и 19 перечня);

руководитель и (или) лицо, уполномоченное руководить работами в рамках лицензируемой деятельности, имеющие высшее профессиональное образование по направлению подготовки "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок - свыше 500 аудиторных часов), а также имеющие стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 3 лет (только для работ и услуг, указанных в пунктах 2, 3, 7 - 15, 17, 18, 20, 25 - 28 перечня);

руководитель и (или) лицо, уполномоченное руководить работами в рамках лицензируемой деятельности, имеющие высшее или среднее профессиональное образование по направлению подготовки "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок - свыше 100 аудиторных часов) (только для работ и услуг, указанных в пунктах 21 - 24 перечня);

инженерно-технические работники (минимум 2 человека), имеющие высшее профессиональное образование по направлению подготовки "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок - свыше 1000 аудиторных часов), а также имеющие стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 5 лет (только для работ и услуг, указанных в пунктах 1, 4 - 6, 16 и 19 перечня);

инженерно-технический работник (минимум 1 человек), имеющий высшее профессиональное образование по направлению подготовки "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей и (или) прошедший переподготовку по одной из специальностей этого направления (нормативный срок - свыше 500 аудиторных часов), а также имеющий стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 3 лет (только для работ и услуг, указанных в пунктах 2, 3, 7 - 15, 17, 18, 20, 25 - 28 перечня);

инженерно-технический работник, имеющий высшее или среднее профессиональное образование по направлению подготовки "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей (только для работ и услуг, указанных в пунктах 21 - 24 перечня);

е) наличие у соискателя лицензии приборов и оборудования, прошедших поверку и калибровку в соответствии с Федеральным законом "Об обеспечении единства измерений", принадлежащих ему на праве собственности или ином законном основании и необходимых для выполнения работ и оказания услуг, указанных в пунктах 1 - 11, 16 - 19 перечня;

ж) представление соискателем лицензии (лицензиатом) в лицензирующий орган перечня шифровальных (криптографических) средств, в том числе иностранного производства, не имеющих сертификата Федеральной службы безопасности Российской Федерации, технической документации, определяющей состав, характеристики и условия эксплуатации этих средств, и (или) образцов шифровальных (криптографических) средств;

з) использование соискателем лицензии (лицензиатом) предназначенных для осуществления лицензируемой деятельности программ для электронных вычислительных машин и баз данных, принадлежащих соискателю лицензии (лицензиату) на праве собственности или ином законном основании.

7. Для получения лицензии соискатель лицензии представляет (направляет) в лицензирующий орган заявление о предоставлении лицензии и документы (копии документов), указанные в пунктах 1, 3 и 4 части 3 статьи 13 Федерального закона "О лицензировании отдельных видов деятельности", а также следующие копии документов и сведения:

а) копии правоустанавливающих документов на помещения, здания, сооружения и иные объекты по месту осуществления лицензируемой деятельности, права на которые не зарегистрированы в Едином государственном реестре прав на недвижимое имущество и сделок с ним;

б) копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации";

в) копии документов, подтверждающих нахождение в штате соискателя лицензии на основной работе сотрудников, определенных подпунктом "д" пункта 6 настоящего Положения;

г) копии документов государственного образца (дипломы, аттестаты, свидетельства) об образовании, о переподготовке, повышении квалификации по направлению "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей сотрудников, определенных подпунктом "д" пункта 6 настоящего Положения;

д) копии трудовых книжек и (или) сведения о трудовой деятельности, предусмотренные статьей 66.1 Трудового кодекса Российской Федерации, сотрудников, определенных подпунктом "д" пункта 6 настоящего Положения;

е) копии должностных инструкций сотрудников, определенных подпунктом "д" пункта 6 настоящего Положения;

ж) копии документов, подтверждающих наличие у соискателя лицензии приборов и оборудования, прошедших поверку и калибровку в соответствии с Федеральным законом "Об обеспечении единства измерений", принадлежащих ему на праве собственности или ином законном основании и необходимых для выполнения работ и оказания услуг, указанных в пунктах 1 - 11, 16 - 19 перечня;

з) сведения о документах, подтверждающих право собственности или иное законное основание на владение и использование помещений, зданий, сооружений и иных объектов по месту осуществления лицензируемой деятельности, права на которые зарегистрированы в Едином государственном реестре прав на недвижимое имущество и сделок с ним;

и) сведения о документе, подтверждающем наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации";

к) сведения о документе, подтверждающем наличие допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну (при выполнении работ и оказании услуг, указанных в пунктах 1, 4 - 6, 16 и 19 перечня).

8. Оценка соответствия лицензионным требованиям соискателя лицензии (лицензиата), представившего (направившего) в лицензирующий орган заявление, указанное в пунктах 7, 9 и 10 настоящего Положения, проводится в форме документарной и выездной оценок.

При проведении оценки соответствия соискателя лицензии (лицензиата) лицензионным требованиям лицензирующий орган вправе запрашивать необходимые сведения, находящиеся в распоряжении органов, предоставляющих государственные услуги, органов, предоставляющих муниципальные услуги, иных государственных органов, органов местного самоуправления либо подведомственных государственным органам или органам местного самоуправления организаций, в том числе в порядке, установленном Федеральным законом "Об организации предоставления государственных и муниципальных услуг".

9. При намерении лицензиата осуществлять лицензируемую деятельность по адресу места ее осуществления, не предусмотренному в реестре лицензий, в заявлении о внесении изменений в реестр лицензий указываются этот адрес и следующие сведения:

а) сведения о документах, подтверждающих право собственности или иное законное основание на владение и использование помещений, зданий, сооружений и иных объектов по месту осуществления лицензируемой деятельности;

б) сведения о документе, подтверждающем наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации";

в) сведения о документе, подтверждающем наличие допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну (при выполнении работ и оказании услуг, указанных в пунктах 1, 4 - 6, 16 и 19 перечня).

9(1). Выполнение работ и оказание услуг, указанных в пунктах 12 - 15, 17, 18 и 20 - 24 перечня, не по месту осуществления лицензируемого вида деятельности, указанному в реестре лицензий, не требуют внесения изменений в реестр лицензий.

10. При намерении лицензиата выполнять новые работы и оказывать новые услуги, составляющие лицензируемую деятельность, в заявлении о внесении изменений в реестр лицензий также указываются сведения о работах и услугах, которые лицензиат намерен выполнять и оказывать, а также следующие сведения:

а) сведения о документах, подтверждающих право собственности или иное законное основание на владение и использование помещений, зданий, сооружений и иных объектов по месту осуществления лицензируемой деятельности;

б) сведения о документе, подтверждающем наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации";

в) сведения о документах государственного образца (дипломы, аттестаты, свидетельства) об образовании, о переподготовке, повышении квалификации по направлению "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей сотрудников, определенных подпунктом "д" пункта 6 настоящего Положения;

г) сведения о стаже работы в области информационной безопасности сотрудников, определенных подпунктом "д" пункта 6 настоящего Положения;

д) сведения о должностных инструкциях сотрудников, определенных подпунктом "д" пункта 6 настоящего Положения;

е) сведения о документах, подтверждающих наличие у соискателя лицензии приборов и оборудования, прошедших поверку и калибровку в соответствии с Федеральным законом "Об обеспечении единства измерений", принадлежащих ему на праве собственности или ином законном основании и необходимых для выполнения работ и оказания услуг, указанных в пунктах 1 - 11, 16 - 19 перечня;

ж) сведения о документе, подтверждающем наличие допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну, при выполнении работ и оказании услуг, указанных в пунктах 1, 4 - 6, 16 и 19 перечня.

11. Под грубым нарушением лицензионных требований понимается невыполнение требований, указанных в подпунктах "а", "г" и "д" пункта 6 настоящего Положения, повлекшее за собой последствия, установленные частью 10 статьи 19.2 Федерального закона "О лицензировании отдельных видов деятельности".

12. Предоставление соискателем лицензии заявления и документов, необходимых для получения лицензии, их прием лицензирующим органом, принятие решений о предоставлении лицензии (об отказе в предоставлении лицензии), о внесении изменений в реестр лицензий (об отказе во внесении изменений в реестр лицензий), приостановлении, возобновлении, прекращении действия лицензии и ее аннулировании, формирование и ведение лицензионного дела, ведение реестра лицензий и предоставление сведений, содержащихся в реестре лицензий, лицензионных делах соискателей лицензий и (или) лицензиатов, осуществляются в порядке, установленном Федеральным законом "О лицензировании отдельных видов деятельности", в форме электронных документов (пакета электронных документов) или на бумажном носителе.

13. Лицензионный контроль за разработкой, производством, распространением шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнением работ, оказанием услуг в области шифрования информации, техническим обслуживанием шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), осуществляется в соответствии с Федеральным законом "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".

14. За предоставление лицензии и внесение изменений в реестр лицензий на основании заявления лицензиата о внесении изменений в реестр лицензий, поданного в лицензирующий орган в соответствии со статьей 18 Федерального закона "О лицензировании отдельных видов деятельности", уплачивается государственная пошлина в размере и порядке, которые установлены законодательством Российской Федерации о налогах и сборах. Государственная пошлина за внесение изменений в реестр лицензий не уплачивается, если внесение изменений в реестр лицензий в случаях, предусмотренных Федеральным законом "О лицензировании отдельных видов деятельности", осуществляется лицензиатом самостоятельно.