Правовой режим лицензирования и сертификации в сфере информационной безопасности

Ю. И. Коваленко

Правовой режим 
лицензирования и сертификации 
в сфере информационной безопасности

Рекомендовано Федеральным государственным образовательным 
учреждением высшего профессионального образования 
«Академия Федеральной службы безопасности Российской Федерации»  
в качестве учебного пособия для слушателей, обучающихся по программе 
дополнительного профессионального образования в области 
информационной безопасности «Основы лицензирования 
и сертификации в области защиты информации».

Регистрационный номер рецензии 1550 от  01.11.2011 МГУП

Москва
Горячая линия - Телеком
2012

УДК 347.77 
БКК 67.99(2)3 
      К56 
 
О ф и ц и а л ь н ы й  р е ц е н з е н т  системы рецензирования Министерства образования и науки Российской Федерации – Академия Федеральной службы 
безопасности Российской Федерации. Регистрационный номер рецензии 
1550 от  01.11.2011 МГУП 

Р е ц е н з е н т ы :  доктор военных наук, профессор, лауреат премии Правительства 
Российской Федерации в области образования, зав. кафедрой информационной 
безопасности Московского государственного индустриального университета 
В. П. Лось; зам. начальника подразделения  ЦЛС ЗИ ФСБ России В. И. Волков; 
ведущий научный сотрудник ЦЗИ СС ФСБ России  Ю. В. Тачков 
 
Коваленко Ю. И. 
К56           Правовой режим лицензирования и сертификации в сфере 
информационной безопасности: Учебное пособие. – М.: Горячая 
линия–Телеком, 2012. – 140 с.: ил. 

ISBN 978-5-9912-0261-9. 
Рассмотрены практические вопросы лицензирования и сертификации 
деятельности в области информационной безопасности. Даны основные определения, термины и понятия. Рассмотрены современная законодательная 
база Российской Федерации, органы лицензирования и сертификации и их 
полномочия, а также объекты сертификационной деятельности. Пособие 
предназначено для реализации программы дополнительного профессионального образования в области информационной безопасности «Основы лицензирования и сертификации в области защиты информации» и будет полезно при 
изучении дисциплин «Криптографические методы защиты информации», 
«Организационно-правовое обеспечение информационной безопасности», 
«Основы информационной безопасности» программы профессиональной переподготовки «Комплексное обеспечение информационной безопасности 
информационно-вычислительных систем», а также программы повышения 
квалификации  «Основы использования новых информационных технологий 
в управленческой деятельности». 

Для студентов, обучающихся по направлению подготовки «Информа
ционная безопасность» и слушателей курсов профессиональной переподготовки. Будет полезно штатному квалифицированному персоналу организаций соискателей лицензии или лицензиатов, а также юридическим лицам или 
индивидуальным предпринимателям, обратившимся в лицензирующий орган 
с заявлением о предоставлении лицензии на осуществление деятельности в 
сфере обеспечения информационной безопасности. 
 
 

 
 
 
ISBN 978-5-9912-0261-9                                                    ©  Ю. И. Коваленко, 2012 

         ©  Издательства  «Горячая линия–Телеком», 2012 

ПРЕДИСЛОВИЕ 

Федеральный закон «О лицензировании отдельных видов деятельности» сформулировал единые нормы правового обеспечения в сфере 
лицензирования, определил порядок лицензирования и установил перечень лицензируемых видов деятельности [8]. 
Проводимая в стране административная реформа, одно из направлений которой – сокращение избыточного количества лицензируемых 
видов деятельности, усложнила практику реализации нормативных правовых актов в сфере лицензирования и внесла неопределенность вследствие как дифференциации функций федеральных органов исполнительной власти, так и введения новых/видоизмененных лицензируемых 
видов деятельности. Данная ситуация осложняет деятельность лицензирующих органов, лицензиатов и соискателей лицензий в сфере информационных технологий и защиты информации. 
В области обеспечения информационной безопасности настоящий 
Федеральный закон регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной 
власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности в отношении информации, не 
составляющей государственную тайну. 
Законодательством Российской Федерации установлено, что в случае осуществления деятельности по распространению шифровальных 
(криптографических) средств, предоставления услуг в области шифрования информации, а также техническому обслуживанию шифровальных (криптографических) средств, осуществляемой юридическими лицами и индивидуальными предпринимателями, то на такие виды деятельности должно быть специальное разрешение на осуществление 
конкретного вида работ, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю [25]. При этом 
обязательно должны соблюдаться лицензионные требования и условия. 
Лицензионными требованиями и условиями в этих случаях являются 
наличие в штате у соискателя лицензии (лицензиата) квалифицированного персонала – инженерно-технических работников, имеющих высшее профессиональное образование или прошедшие переподготовку 
(повышение квалификации) в области информационной безопасности с 
получением специализации, необходимой для работы с шифровальными 
(криптографическими) средствами. 
При реализации в образовательных учреждениях программы дополнительного профессионального образования «Основы лицензирования и сертификации в области защиты информации» возникает необходимость в наличии методических материалов в сфере лицензирования и 
сертификации деятельности в сфере обеспечения информационной 

Лицензирование и сертификация в информационной безопасности 

безопасности при работе со сведениями, не составляющими государственную тайну. 
Данное пособие может быть использовано: 
• 
при реализации программ переподготовки и повышения квалификации в образовательных учреждениях;  
• 
для подготовки по направлению подготовки (специальности) 
090301 «Компьютерная безопасность» (квалификация (степень) 
«специалист») и по направлению подготовки (специальности) 
090303 «Информационная безопасность автоматизированных систем» (квалификация (степень) – «специалист»); 
• 
в процессе профессиональной подготовки сотрудников органов 
ФСБ России, исполняющих обязанности в части, не противоречащей Федеральному закону «О лицензировании отдельных видов
деятельности» [8] по исполнению государственной функции по лицензированию разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем, по предоставлению услуг в области 
шифрования информации, по техническому обслуживанию шифровальных (криптографических) средств, по распространению шифрованных (криптографических) средств; 
• 
при реализации возложенных функций лицензирования сотрудниками территориальных органов безопасности в части, предусмотренной Федеральным законом «О федеральной службе безопасности» [6]; 
• 
соискателями лицензий (юридическими лицами или индивидуальными предпринимателями), обратившимся в лицензирующий орган 
и нуждающимся в прохождении сотрудниками соискателя лицензии 
переподготовки (повышения их квалификации) в области защиты 
информации с использованием криптографических методов и 
средств обеспечения информационной безопасности; 
• 
лицензиатами, при переоформлении документа, подтверждающего 
наличие лицензии, для переподготовки (повышении квалификации) 
сотрудников соискателя лицензии или лицензиата, нуждающихся в 
прохождении переподготовки (повышения их квалификации) в области защиты информации с использованием криптографических 
методов и средств обеспечения информационной безопасности. 

Глава 1. ЗАКОНОДАТЕЛЬСТВО РОССИЙСКОЙ 
ФЕДЕРАЦИИ ПО ЛИЦЕНЗИРОВАНИЮ 
И СЕРТИФИКАЦИИ В ОБЛАСТИ 
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 

Деятельность по обеспечению информационной безопасности, в соответствии с требованиями законодательства Российской Федерации, 
включает комплекс мероприятий [12]: 
1) прогнозирование, выявление, анализ и оценку угроз безопасности; 
2) определение основных направлений государственной политики и 
стратегическое планирование в области обеспечения безопасности; 
3) правовое регулирование в области обеспечения безопасности; 
4) разработку и применение комплекса оперативных и долговременных мер по выявлению, предупреждению и устранению угроз безопасности, локализации и нейтрализации последствий их проявления; 
5) применение специальных экономических мер в целях обеспечения безопасности; 
6) разработку, производство и внедрение современных видов вооружения, военной и специальной техники, а также техники двойного и 
гражданского назначения в целях обеспечения безопасности; 
7) организацию научной деятельности в области обеспечения безопасности; 
8) координацию деятельности федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления в области обеспечения 
безопасности; 
9) финансирование расходов на обеспечение безопасности, контроль за целевым расходованием выделенных средств; 
10) международное сотрудничество в целях обеспечения безопасности; 
11) осуществление других мероприятий в области обеспечения безопасности в соответствии с законодательством Российской Федерации. 
При этом, осуществление других мероприятий в области обеспечения безопасности в соответствии с законодательством Российской Федерации включат также мероприятия по лицензированию и сертификации в области информационной безопасности. 
В настоящее время законодательство Российской Федерации по лицензированию и сертификации в области информационной безопасности состоит из следующих нормативно-правовых актов. 

1. Федеральный закон «О лицензировании отдельных видов деятельности» [8] 

Федеральный закон регулирует отношения, возникающие между 
федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением 

Лицензирование и сертификация в информационной безопасности 

лицензирования отдельных видов деятельности в соответствии с перечнем, предусмотренным данным Федеральным законом. 
Действие настоящего Федерального закона не распространяется на 
следующие виды деятельности в информационной сфере: 
• 
деятельность, связанная с защитой государственной тайны; 
• 
деятельность кредитных организаций; 
• 
страховая деятельность; 
• 
деятельность по организации биржевой торговли, деятельности 
биржевых посредников и биржевых брокеров; 
• 
профессиональная деятельность на рынке ценных бумаг; 
• 
деятельность акционерных инвестиционных фондов, деятельность 
по управлению акционерными инвестиционными фондами, паевыми инвестиционными фондами, негосударственными пенсионными 
фондами; 
• 
деятельность специализированных депозитариев инвестиционных 
фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов; 
• 
деятельность негосударственных пенсионных фондов по пенсионному обеспечению и пенсионному страхованию. 

Действующим законодательством Российской Федерации установлено, что особенности лицензирования, в том числе в части, касающейся порядка принятия решения о предоставлении лицензии, срока действия лицензии и порядка продления срока ее действия, приостановления 
и возобновления действия лицензии, могут устанавливаться федеральными законами, регулирующими осуществление следующих видов деятельности [8]: 
1) оказание услуг связи, телевизионное вещание и (или) радиовещание; 
2) частная детективная (сыскная) деятельность и частная охранная 
деятельность; 
3) образовательная деятельность (за исключением указанной деятельности, осуществляемой негосударственными образовательными учреждениями, находящимися на территории инновационного центра 
«Сколково»). 

2. Федеральный закон «О техническом регулировании» [10] 

Данный Федеральный закон регулирует отношения, определяет 
права и обязанности субъектов права, возникающие: 
• 
при разработке, принятии, применении и исполнении обязательных 
требований к продукции, в том числе зданиям и сооружениям (далее –продукция), или к продукции и связанным с требованиями к 
продукции процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, 
перевозки, реализации и утилизации; 

1. Законодательство Российской Федерации по лицензированию и сертификации 7 

• 
разработке, принятии, применении и исполнении на добровольной 
основе требований к продукции, процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, 
эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг; 
• 
оценке соответствия. 

Требования к продукции разделяются на обязательные, которые устанавливаются техническими регламентами, и добровольные, которые 
содержатся в стандартах. 
Сертификация может осуществляться на добровольной основе в системах добровольной сертификации или в обязательном порядке. Обязательная сертификация проводится в случаях и в порядке, предусмотренных техническими регламентами. 
Устанавливается ответственность и процедуры, применяемые в случаях несоответствия требованиям технических регламентов. 

3. Постановление Правительства Российской Федерации «О сертификации средств защиты информации» [18] 

Положение устанавливает порядок сертификации средств защиты 
информации в Российской Федерации и ее учреждениях за рубежом. 
При этом технические, криптографические, программные и другие 
средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации. 
Указанные средства подлежат обязательной сертификации, которая 
проводится в рамках систем сертификации средств защиты информации. Криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации. 

4. Постановление Правительства Российской Федерации «Об организации лицензирования отдельных видов деятельности» [20] 

Постановлением утвержден перечень федеральных органов исполнительной власти, осуществляющих лицензирование, а также перечень 
видов деятельности, лицензирование которых осуществляется органами 
исполнительной власти субъектов Российской Федерации, и федеральных органов исполнительной власти, разрабатывающих проекты положений о лицензировании этих видов деятельности. 

Лицензирование и сертификация в информационной безопасности 

5. Постановление Правительства Российской Федерации «О лицензировании деятельности по разработке и (или) производству 
средств защиты конфиденциальной информации» [23] 

Положение определяет порядок лицензирования деятельности по 
разработке и (или) производству средств защиты конфиденциальной 
информации, осуществляемой юридическими лицами и индивидуальными предпринимателями. 
Определены лицензионные требования и условия при осуществлении деятельности по разработке и (или) производству средств защиты 
конфиденциальной информации, лицензирование которой отнесено к 
компетенции Федеральной службы по техническому и экспортному 
контролю и, отдельно, особые лицензионные требования и условия при 
осуществлении деятельности по разработке и (или) производству 
средств защиты конфиденциальной информации, лицензирование которой отнесено к компетенции Федеральной службы безопасности Российской Федерации. 

6. Постановление Правительства Российской Федерации «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» [25] 

В соответствии с Федеральным законом «О лицензировании отдельных видов деятельности» Правительством Российской Федерации 
утверждены следующие регламентирующие документы: 
• 
Положение о лицензировании деятельности по распространению 
шифровальных (криптографических) средств; 
• 
Положение о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств; 
• 
Положение о лицензировании предоставления услуг в области 
шифрования информации; 
• 
Положение о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем. 

Положения определяют порядок лицензирования деятельности, связанной с шифровальными (криптографическими) средствами, которая 
осуществляется юридическими лицами и индивидуальными предпринимателями. 

7. Положение о сертификации средств защиты информации по требованиям безопасности информации [44] 

Положение введено в действие приказом Председателя Гостехкомиссии России от 27 октября 1995 г. № 199. Зарегистрировано Госстан

1. Законодательство Российской Федерации по лицензированию и сертификации 9 

дартом России в Государственном реестре 20 марта 1995 г. (Свидетельство № Р0СС RU.0001.01БИ00). 
Положение определяет организационную структуру системы сертификации, порядок проведения сертификации средств защиты информации и контроля, а также требования к нормативным и методическим 
документам по сертификации средств защиты информации. 
Также в данном Положении приведен список действующих нормативных документов, на основании которых и по которым проводится 
сертификация продукции в системе сертификации Гостехкомиссии России № РОСС RU.0001.01БИОО: 
1. Документы, регламентирующие общие требования к техническим 
средствам защиты информации от утечки по техническим каналам, 
включая средства контроля эффективности принятых мер защиты информации, основные и вспомогательные технические средства и системы в защищенном исполнении. 
2. Документы, регламентирующие требования к средствам защиты 
информации от перехвата оптических сигналов (изображений) в видимом, инфракрасном и ультрафиолетовом диапазонах волн. 
3. Документы, регламентирующие требования к средствам защиты 
информации от перехвата акустических сигналов. 
4. Документы, регламентирующие требования к средствам защиты 
информации от перехвата электромагнитных сигналов, возникающих 
при функционировании объектов защиты. 
5. Документы, регламентирующие требования к средствам защиты 
информации от перехвата электрических сигналов, распространяющихся в токопроводящих коммуникациях и являющихся причиной электромагнитной наводки за счет побочных электромагнитных излучений технических средств обработки информации или следствием эффекта  
электроакустического преобразования сигналов вспомогательными техническими средствами и системами. 
6. Документы, регламентирующие требования к средствам защиты 
информации от деятельности радиационной разведки. 
7. Документы, регламентирующие требования к средствам защиты 
информации от деятельности химической разведки. 
8. Документы, регламентирующие требования к средствам защиты 
информации от деятельности магнитометрической разведки. 
9. Документы, регламентирующие требования к средствам защиты 
информации от несанкционированного доступа. 
10. Документы, регламентирующие требования к средствам защиты 
информации от несанкционированного доступа и подделки документов 
на основе оптико-химических технологий. 
11. Документы, регламентирующие требования к программным 
средствам защиты информации. 

Лицензирование и сертификация в информационной безопасности 

12. Документы, регламентирующие требования к защищенным программным средствам защиты информации.  
13. Документы, регламентирующие требования к безопасности программных средств общего назначения. 
14. Документы, регламентирующие требования к программнотехническим средствам защиты информации. 

Федеральной службой безопасности Российской Федерации утверждены административные регламенты по исполнению государственной 
функции по лицензированию деятельности в области информационной 
безопасности. 

1. Административный регламент Федеральной службы безопасности Российской Федерации по исполнению государственной функции по лицензированию деятельности по разработке, производству, 
реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность (Приложение к приказу ФСБ России от 25 декабря 2008 г. 
№ 635). 

Приказ ФСБ России от 25 декабря 2008 г. № 635 «Об утверждении 
Административного регламента Федеральной службы безопасности 
Российской Федерации по исполнению государственной функции по 
лицензированию деятельности по разработке, производству, реализации 
и приобретению в целях продажи специальных технических средств, 
предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность» зарегистрирован в Минюсте 
России 12 февраля 2009 г., регистрационный № 13306 [36]. 
Определены сроки и процедура лицензирования деятельности индивидуальных предпринимателей и юридических лиц по разработке, 
производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения 
информации. 
Государственную функцию по лицензированию указанной деятельности исполняют Центр по лицензированию, сертификации и защите 
государственной тайны ФСБ России, а также территориальные органы 
безопасности (за исключением УФСБ России по г. Москве и Московской области). 
В рамках исполнения этой государственной функции предоставляется и аннулируется лицензия; продлевается, приостанавливается и возобновляется ее действие; переоформляется документ, подтверждающий наличие лицензии и выдается дубликат или копия такого документа; ведется реестр лицензий; предоставляется выписка из него.