ГОСТЕХКОМИССИЯ РОССИИ
ИНСТРУКЦИЯ
о порядке проведения экспертиз предприятий,
учреждений и организаций на право получения лицензии в области защиты
информации
Москва
Общие положения
1. Настоящая Инструкция разработана в соответствии с требованиями "Положения о
государственном лицензировании деятельности в области защиты информации",
утвержденного совместными решениями Гостехкомиссии России и ФАПСИ от 24.04.94 г.
№ 10 и от 24.06.97 г. № 60, Закона Российской Федерации "Об образовании" от 13.01.96 г.
и Постановления Госкомвуза России от 27.12.95 г. № 13.
2. Настоящая Инструкция определяет порядок организации и проведения специальных
экспертиз (далее - экспертиз) предприятий, учреждений и организаций, в том числе и
образовательных учреждений (далее - предприятия) с целью оценки достаточности
необходимых условий, имеющихся на предприятиях, для получения лицензии
(разрешения на оказание услуг) в области защиты информации, выдаваемой
Государственной технической комиссией при Президенте Российской Федерации
(Гостехкомиссией России).
Организация проведения экспертиз предприятий
3. Экспертизы организуются и проводятся созданными совместными Решениями
отраслевыми и региональными лицензионными центрами, а также лицензионными
центрами Гостехкомиссии России.
4. Проведение экспертиз осуществляется экспертными комиссиями.
Экспертные комиссии формируются лицензионными центрами из числа
компетентных в соответствующих областях защиты информации специалистов
отраслей промышленности, Вооруженных Сил, органов государственного
управления, других организаций и учреждений, включая и специалистов
центрального аппарата Гостехкомиссии России.
5. Для проведения экспертиз предприятия обращаются в центральный аппарат
Гостехкомиссии России или в лицензионные центры (по согласованию со 2 Управлением
Гостехкомиссии России) с заявлениями, подписанными руководителями предприятий или
их заместителями.
В заявлении указываются:
наименование и организационно-правовая форма, юридический и почтовый
адреса, номер расчетного счета в банке, код ОКПО;
ведомственная принадлежность и контактный телефон;
заявляемые для лицензирования виды деятельности в области защиты
информации.
Дополнительно к заявлению представляются:
перечень имеющегося на предприятии производственного, испытательного
и контрольно-измерительного оборудования, необходимого для
обеспечения заявленных видов деятельности;
перечень имеющейся на предприятии нормативной и методической
документации, необходимой для обеспечения заявленных видов
деятельности;
сведения о составе и квалификации научного, инженерно-технического
персонала предприятия (подразделения), занимающегося защитой
информации по заявленным видам деятельности;
представление органа государственной власти (для государственных
предприятий);
копии учредительных документов (с предъявлением оригиналов, в случае,
если копии не заверены нотариусом);
копия свидетельства о государственной регистрации предприятия;
справка о постановке на учет в налоговом органе;
копия лицензии на выполнение строительных работ по п.5д,е "Перечня
работ и услуг по защите информации...";
копия лицензии ФСБ на право проведения работ с использованием
сведений, составляющих государственную тайну, если в перечне
заявленных видов деятельности содержится сертификация и
сертификационные испытания технических средств защиты информации,
защищенных технических средств обработки информации, технических
средств контроля эффективности мер защиты информации, а также
проведение специсследований на ПЭМИН технических . средств обработки
информации. По остальным видам деятельности необходимость наличия
лицензии ФСБ России определяется в ходе экспертизы заявителя с учетом
конкретной направленности его деятельности, что отражается в экспертном
заключении. Контроль за изменением профиля деятельности заявителя
осуществляется в ходе плановых проверок лицензиатов Гостехкомиссией
России.
При обращении в Гостехкомиссию России для получения лицензии на право подготовки,
повышения квалификации и профессиональной переподготовки кадров в области защиты
информации заявитель в обязательном порядке представляет:
копию лицензии на право ведения образовательной деятельности, выданную
Минобразования России или органом местного самоуправления,
наделенного соответствующими полномочиями законодательством субъекта
Российской Федерации;
штатное расписание образовательного учреждения (центра, факультета,
кафедры);
перечень специалистов по защите информации, работающих на постоянной
основе в данном учебном учреждении и дополнительно привлекаемых к
проведению учебного процесса (Приложение 3);
оформленную к согласованию учебную программу по определенному виду
деятельности (согласно Приложения № 1 "Положения о государственном
лицензировании деятельности в области защиты информации"), объемом не
менее 72 академических часов (Постановление Госкомвуза России от
27.12.95 г. №13);
перечень научно-технической литературы и учебных пособий, планируемых
к использованию в учебном процессе;
форму государственного документа (в соответствии с Постановлением
Госкомвуза России от 27.12.95 г. № 13) с образцом его заполнения,
предполагаемого к выдаче по окончании курса обучения.
6. Сроки работы экспертной комиссии доводятся до руководителя предприятия не позднее
5 дней до ее начала.
7. Экспертиза проводится по договору между предприятием и лицензионным центром.
Расходы по проведению экспертизы относятся на счет предприятия. Для предприятий и
учреждений, содержащихся за счет средств федерального бюджета, стоимость экспертизы
не должна превышать 10 минимальных размеров оплаты труда без учета
командировочных расходов. Оплата работы членов экспертной комиссии осуществляется
лицензионным центром.
Порядок проведения экспертиз предприятий
8. Экспертизы проводятся путем оценки соответствия готовности предприятий заявителей к оказанию услуг в области защиты информации требованиям, предъявляемым
Гостехкомиссией России, по следующим направлениям:
наличие руководящих и нормативно - методических документов,
необходимых для обеспечения заявленных видов деятельности;
наличие подготовленных сотрудников по защите информации;
наличие помещений, производственного, испытательного и контрольноизмерительного оборудования, необходимого для обеспечения заявленных
видов деятельности;
наличие документов, дающих право на подготовку, повышение
квалификации и профессиональную подготовку специалистов в области
защиты информации.
9. Наличие руководящих и нормативно - методических документов проверяется с учетом
Приложения № 1 настоящей Инструкции.
При определении достаточности у соискателей лицензий комплектов нормативных
документов, необходимых для осуществления заявленных видов деятельности,
оцениваются условия их хранения и работы с ними.
При наличии у заявителя 1 отдела одним из необходимых условий готовности выполнять
заявленные виды деятельности, которые требуют использования секретных документов,
является наличие лицензии ФСБ (органа ФСБ) на допуск к работе со сведениями,
составляющими государственную тайну.
При отсутствии у соискателя лицензии собственного 1 отдела экспертам необходимо:
проверить наличие договора, согласно которому предприятие-контрагент
предоставит специалистам предприятия-лицензиата условия для работы с
секретными документами и сам комплект этих документов;
оценить достаточность имеющегося у контрагента комплекта документов
для выполнения заявленных видов работ;
получить подтверждение о наличии у предприятия-контрагента лицензий
ФСБ России на право работы со сведениями, составляющими
государственную тайну и оказание услуг по защите государственной тайны.
Указанные вопросы должны быть отражены в экспертном заключении.
10. Результаты работы экспертной комиссии оформляются в виде экспертного
заключения, утверждаемого руководителем лицензионного центра.
В экспертном заключении делается вывод о готовности предприятия оказывать услуги в
области защиты информации в соответствии с заявленными видами деятельности.
Экспертное заключение прилагается к заявлению о выдаче лицензии, которое
предприятием направляется в Гостехкомиссию России.
11. Наличие подготовленных сотрудников по защите информации проверяется с учетом
требований по уровню квалификации, изложенных в Приложении № 2 настоящей
Инструкции.
12. Требования к помещениям, предназначенным для проведения измерений при
предварительных и лабораторных специсследованиях (сертификации продукции), и их
технической и технологической оснащенности рассматриваются как совокупность
нормативно - технологических требований к разработанной технологии проведения
измерений, измерительной аппаратуре, помещениям, стендам, а также к организации их
содержания, обслуживания и поверки, выполнение которых позволяет предприятию,
претендующему на проведение указанных в заявке работ, получить лицензию на право их
проведения. Кроме того, на предприятии, претендующем на получение лицензии, должны
быть выделены помещения, обеспечивающие сохранность исследуемых технических
средств заказчика и документов.
13. Каждый определенный в заявке вид работ по защите информации должен быть
обеспечен средствами измерений и контроля в объеме и по качеству достаточными для
проведения в соответствии с действующими на момент заявления методиками измерений
параметров технических средств. Допускается использование средств измерений на
условиях аренды.
14. Лицензионным центрам ежегодно, к 1 февраля, представлять в Гостехкомиссию
России отчет о деятельности лицензиатов по установленной форме.
Перечень руководящих и нормативно -методических документов, необходимых для
осуществления лицензируемых видов деятельности по защите информации
ВИДЫ ДЕЯТЕЛЬНОСТИ
ДОКУМЕНТЫ
Сертификация и сертификационные испытания :
а) технических средств защиты информации;
б) защищенных технических средств обработки информации (ТСОИ);
в) технических средств контроля эффективности мер защиты информации.
Сертификация и сертификационные испытания:
г) программных средств защиты информации от НСД;
д) защищенных программных средств обработки информации от НСД;
е) программных средств контроля защищенности информации от НСД.
ж) программных средств по требованиям безопасности.
2, 5-20, 28-36, 38-41,
44, 45
(с учетом области
аккредитации)
22 - 27, 29, 37, 43
Контроль защищенности информации ограниченного доступа, аттестация
2, 4, 5, 33, 36
средств и систем на соответствие требованиям по защите информации:
а) автоматизированных систем различного уровня и назначения;
б) систем связи, приема, обработки и передачи данных, систем отображения и
размножения;
в) технических средств (систем), не обрабатывающих информацию ограничен-ного
доступа, но размещенных в помещениях, где она обрабатывается;
г) помещений со средствами (системами), подлежащими защите;
д) помещений, предназначенных для ведения конфиденциальных переговоров.
17, 18, 22 - 25, 42,46
7, 16-20, 22-24, 26, 30,
31, 35, 36, 46
7, 16, 17, 19, 20, 46
6 - 8, 16 - 18
6, 13, 15, 16
Разработка, испытания: а) технических средств защиты информации; защищенных 2, 4-20, 29-36, 38 - 42,
ТСОИ; технических средств контроля эффективности мер защиты информации;
44, 45
б) программных средств защиты информации от НСД; защищенных программных
средств обработки информации от НСД; программных средств контроля
21 - 27, 37, 43
защищенности информации от НСД; программных средств по требованиям
безопасности.
Производство, реализация, установка, монтаж, наладка ремонт и сервисное
обслуживание:
а) технических средств защиты информации;
б) защищенных ТСОИ;
в) технических средств контроля эффективности мер защиты информации;
г) программных средств защиты информации от НСД;
д) защищенных программных средств обработки информации от НСД;
е) программных средств контроля защищенности информации от НСД;
ж) программных средств по требованиям безопасности.
21, 29, 32, 35, 37-39,
42, 44, 45
Проведение специсследований на ПЭМИН ТСОИ.
16 - 20, 30, 31
Проектирование объектов в защищенном исполнении:
а) автоматизированных систем различного уровня и назначения;
б) систем связи, приема, обработки и передачи данных; систем отображения и
размножения;
в) помещений со средствами (системами), подлежащими защите;
г) помещений, предназначенных для ведения конфиденциальных переговоров.
2, 4 - 8, 17, 18, 29, 33
22 - 26, 42, 37
Подготовка и переподготовка кадров в области защиты информации по видам
деятельности, перечисленным в данном перечне.
16, 19, 20
3, 13, 16
13, 15, 16
1 - 45
Примечание: цифры в столбце "ДОКУМЕНТЫ" соответствуют порядковому номеру
нижеприведенного Списка руководящих и нормативно - методических документов,
необходимых для осуществления лицензируемых Гостехкомиссией России видов
деятельности
Список руководящих и нормативно - методических документов, необходимых для
осуществления лицензируемых Гостехкомиссией России видов деятельности
1. Положение о государственной системе защиты информации в Российской Федерации
от иностранных технических разведок и от ее утечки по техническим каналам
(Постановление Совета Министров - Правительства РФ от 15.09.93 г. N 912-51).
2. Специальные требования и рекомендации по защите информации, составляющей
государственную тайну, от утечки по техническим каналам (СТР) .Решение
Гостехкомиссии России от 23.05.97 г. N 55) - с.
3. Инструкция по разработке защиты военно-промышленных объектов от ИТР. Основы и
организация проектирования. (ВСН - 01-91). Решение Гостехкомиссии России от 13.11.90
г. № 89-3.".
4. Модель ИТР-2010. Решение Гостехкомиссии России от 16.7.96 г. № 49 - с.
5. Методики оценки возможностей ИТР (МВТР-87 с изменениями). Решение
Гостехкомиссии СССР от 16.09.87 г., N 70-3.
6. Нормативно-методические документы по противодействию средствам иностранной
фоторазведки и оптико-электронной разведки, Решение Гостехкомиссии СССР от 12.6.90
г. N 86-2 - с.
7. Нормативно-методические документы по противодействию средствам иностранной
радиотехнической разведки (Решение Гостехкомиссии СССР от 12.06.90 г. N 86-2) - с.
8. Нормативно-методические документы по противодействию иностранной радиоразведке
(Решение Гостехкомиссии России от 16.11.93 г. N 7) - с.
9. Нормативно-методические документы по противодействию радиолокационным
средствам иностранной воздушной и космической разведок (Решение Гостехкомиссии
России от 16.11.93 г. N 7) - с.
10. Нормативно-методические документы по противодействию тепловизионным
средствам иностранной инфракрасной разведки. Решение Гостехкомиссии России от
14.03.95 г. N 32 - с.
11. Нормативно-методические документы по противодействию радиационной разведке.
Решение Гостехкомиссии России от 15.11.94 г. N 25 - с.
12. Нормативно-методические документы по противодействию средствам иностранной
химической разведки. Решение Гостехкомиссии России от 14.03.95 г. N 32 - с.
13. Нормативно-методические документы по противодействию средствам иностранной
разведки лазерных излучений. Решение Гостехкомиссии России от 14.03.95 г. N 32 - с.
14. Нормативно-методические документы по противодействию средствам иностранной
гидроакустической разведки. Решение Гостехкомиссии России от 16.11.93 г. N 7 - с.
15. Нормативно-методические документы по противодействию средствам иностранной
акустической (речевой) разведки. Гостехкомиссия России, 91 г. - с.
16. Нормы эффективности защиты технических средств передачи речевой информации от
утечки за счет ПЭМИН. Решение Гостехкомиссии СССР от 26.9.77 г. N 13 - сс.
17. Нормы эффективности защиты АСУ и ЭВТ от утечки информации за счет ПЭМИН
(утверждены Председателем Гостехкомиссии СССР, 1977 г.) - с.
18. Сборник методических материалов по проведению специсследований технических
средств АСУ и ЭВМ, предназначенных для работы с секретной информацией (МРП
СССР, 1977 г.)- сс.
19. Нормы эффективности защиты технических средств передачи телеграфной и
телекодовой информации от утечки за счет ПЭМИН (Решение Гостехкомиссии СССР от
26.09.77 г. N 13) - сс.
20. Нормы эффективности защиты технических средств передачи телевизионной
информации от утечки за счет ПЭМИН. Решение Гостехкомиссии СССР от 26.9.77 г. №
13, от 30.11.87 г. N 11-3 - сс.
21. ГОСТ Р. 50922-96. Защита информации. Основные термины и определения.
22. РД. Концепция защиты средств вычислительной техники и автоматизированных
систем от несанкционированного доступа к информации. Решение Председателя
Гостехкомиссии России от 30.03.92 г.
23. РД. Временное положение по организации разработки, изготовления и эксплуатации
программных и технических средств защиты информации от несанкционированного
доступа в автоматизированных системах и средствах вычислительной техники. Решение
Председателя Гостехкомиссии России от 30.03.92 г.
24. РД. СВТ. Защита от НСД к информации. Показатели защищенности от НСД к
информации. Решение Председателя Гостехкомиссии России от 30.03.92 г.
25. РД. АС. Защита от НСД к информации. Классификация АС и требования по защите
информации. Решение Председателя Гостехкомиссии России от 30.03.92 г.
26. РД. Защита от несанкционированного доступа (НСД) к информации. Термины и
определения. Решение Председателя Гостехкомиссии России от 30.03.92 г.
27. РД. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели
защищенности от НСД к информации. Решение Председателя Гостехкомиссии России от
25.07.97 г.
28. РД. Защита информации. Специальные защитные знаки. Классификация и общие
требования. Решение Председателя Гостехкомиссии России от 25.07.97 г.
29. ТУ на конкретный вид продукции.
30. ГОСТ 29339-92. Защита информации от утечки за счет ПЭМИН. Общие технические
требования - с.
31. ГОСТ Р 50752-95. Информационная технология. Защита информации от утечки за счет
побочных электромагнитных излучений при ее обработке средствами вычислительной
техники. Методы испытаний - с.
32. ГОСТ.В15.211-78. СРПП ВТ. Порядок разработки программ и методик испытаний
опытных образцов изделий.
33. ГОСТ РВ 50600-93. "Защита секретной информации от технической разведки. Система
документов. Общие положения" - с.
34. ГОСТ.29037-91. Совместимость технических средств электромагнитная.
Сертификационные испытания. Общие положения.
35. ГОСТ.28689-90. Радиопомехи от ПЭВМ. Нормы и методы испытаний.
36. ГОСТ 16957-80. "Анализаторы многоканальные амплитудные. Основные параметры и
общие технические требования".
37. ГОСТ Р 50739-95 Защита от НСД к информации. Общие технические требования.
38. ГОСТ.21552-84. СВТ. ОТТ, приемка, методы испытаний, маркировка, упаковка,
транспортировка и хранение.
39. ГОСТ.ВД 21552-84. СВТ. Дополнения. ОТТ, приемка, методы испытаний, маркировка,
упаковка, транспортировка и хранение.
40. ГОСТ.В 15.210-78. Испытания опытных образцов изделий. Основные положения - с.
41. ГОСТ.В 15.307-77. Испытания и приемка серийных изделий. Основные положения.
42. ГОСТ 34.602-89 "Информационная технология. Комплекс стандартов на АС.
Техническое задание на создание АС".
43. ГОСТ 28195-89 "Оценка качества программных средств. Общие положения".
44. ГОСТ 27201-87. Машины вычислительные электронные персональные. Типы,
основные параметры, ОТТ.
45. ГОСТ 28388-89. Системы обработки информации. Документы на магнитных
носителях данных. Порядок выполнения и обращения.
46. Методика контроля защищенности объектов ЭВТ(МРП СССР, 1977 г.)- сс.
ТРЕБОВАНИЯ ПО УРОВНЮ КВАЛИФИКАЦИИ СПЕЦИАЛИСТОВ.
1. Специалисты предприятий-заявителей на право получения лицензий должны ЗНАТЬ (в
пределах своих функциональных обязанностей):
1.1. Руководящие документы по обеспечению защиты информации и контроля ее
эффективности в госучреждениях, организациях промышленности, вооруженных силах и
коммерческих структурах;
1.2. Физические основы возникновения каналов утечки информации при ее обработке в
средствах информатизации и ведении служебных переговоров в выделенных помещениях;
1.3. Возможные каналы утечки секретной информации при ее обработке, передаче,
хранении и отображении в средствах информатизации и акустической информации,
циркулирующей в выделенных помещениях.
2. При проведении сертификации, разработке, проектировании, испытаниях средств
защиты, контроле защищенности информации ограниченного доступа, аттестации средств
и систем на соответствие требованиям по защите информации, проведении
специсследований на ПЭМИН технических средств обработки информации специалисты
должны знать и уметь:
2.1. Нормативно-методические документы по защите и контролю защищенности
информации, циркулирующей в технических средствах ее передачи и обработки и в
помещениях, предназначенных для ведения служебных (секретных) переговоров;
2.2. Устройство, технические характеристики, принципы работы технических средств (по
направлениям деятельности). Принципы формирования информативных сигналов в
системах ЭВТ и ТСПИ и пути циркуляции этих сигналов. Схемно-конструктивные
решения основных типов технических средств информатизации;
2.3. Временные, частотные, амплитудные и спектральные характеристики аналоговых и
дискретных сигналов, циркулирующих в средствах информатизации и выделенных
помещениях. Отличительные особенности информативных сигналов каждого вида
технических средств передачи и обработки информации;
2.4. Причины возникновения паразитной генерации, электроакустических
преобразований, побочных электромагнитных излучений, неравномерности потребления
тока в сети электропитания и наводок на токопроводящие цепи, вспомогательные
коммуникации и другие металлоконструкции при работе технических средств
информатизации;
2.5. Необходимое программно-аппаратное оснащение подразделений защиты информации
и контроля ее защищенности;
2.6. Требования к тест-программам, применяемым при измерении уровня ПЭМИ средств
информатизации. Основные тест-программы, принципы их работы, возможность
использования (применимость) для проверки конкретных типов технических средств
информатизации и выделенных помещений;
2.7. Метрологические требования к средствам и условиям проведения измерений;
2.8. Организацию работ и предприятия, обеспечивающие техническое обслуживание,
ремонт и метрологическую поверку аппаратуры контроля;
2.9. Принципы работы применяемой контрольно - измерительной аппаратуры и ее
технические характеристики и возможности;
2.10. Планировать и организовывать мероприятия по проведению специсследований
технических средств информатизации, аттестации и комплексного технического контроля
эффективности систем защиты информации, циркулирующей в средствах
информатизации и выделенных помещениях на проверяемых объектах. Анализировать
полученные результаты;
2.11. Готовить отчетные документы по результатам проведенной работы;
2.12. Определять характеристики и параметры контролируемого средства, или
выделенного помещения и проводить их анализ;
2.13 Определять состав и структуру системы защиты информации, ее организационное и
программно-аппаратное обеспечение. Проверять полноту соответствия технической
документации на соответствие требованиям нормативно методических документов.
Выявлять возможные каналы утечки или несанкционированного доступа к информации;
2.14. Проверять возможность утечки информации по различным каналам, образующимся
при обработке информации средствами информатизации, и речевой информации,
циркулирующей в выделенных помещениях, за счет неравномерностей потребления тока
в цепях питания, электромагнитных наводок во вспомогательных коммуникациях, цепях
заземления, других токопроводящих коммуникациях и металлоконструкциях,
возникновения паразитных электроакустических преобразований и генерации в средствах
информатизации, распространения звуковых волн в различных средах.
2.15. Работать на ПЭВМ. С помощью специального программного обеспечения выполнять
необходимые расчеты при обработке результатов контроля, работать с базами данных,
готовить выходные (отчетные) документы.
3. При разработке, проведении испытаний и сертификации программных средств защиты
информации, защищенных программных средств обработки информации, программных
средств контроля защищенности информации от НСД специалисты должны знать и уметь:
3.1. Структуру и функции программных средств управления вычислительным процессом
(операционные системы, сетевые пакеты, системы управления базами данных). Принципы
системного и прикладного алгоритмирования и программирования. Языки
программирования. Принципы организации мультиплексных, многопользовательских и
монопольных режимов работы средств информатизации;
3.2. Возможности и технические характеристики программных и аппаратных средств
защиты информационных технологий и информации, циркулирующей в выделенных
помещениях, и комплексного контроля эффективности систем защиты информации;
3.3. Требования к тест-программам по проверке систем защиты от НСД. Основные тестпрограммы, принципы их работы, возможность использования (применимость) для
проверки на конкретных типах технических средств вычислительной техники и порядок
их использования при проверке.
3.4. Выявлять нарушения в технологии обработки информации. С применением
программных, аппаратных и аналитических методов проверять правильность
функционирования систем разграничения доступа и защиты от несанкционированных
действий. Проверять наличие, качество и анализировать достаточность оперативных
средств самоконтроля системы защиты информации.
4. При подготовке и переподготовке кадров в области защиты информации преподавательский состав, кроме того, должен знать организационно - правовое обеспечение
защиты информации, структуру государственной системы защиты информации,
методологические основы, общие модели систем и процессов защиты информации в
объеме Программы подготовки и переподготовки кадров, согласованной с руководством
Гостехкомиссии России.
5. Специалисты предприятий - заявителей на право получения лицензий, должны ИМЕТЬ
опыт практической работы по обеспечению защиты информации, обрабатываемой
средствами информатизации и циркулирующей в выделенных помещениях, и проверке
эффективности мер защиты информации на объектах контроля.
