Как стать разработчиком средств защиты информации для Министерства обороны Российской Федерации

Как стать разработчиком средств защиты информации для Министерства обороны Российской Федерации

В. В. Трофимов, заместитель начальника управления

Десятилетний юбилей

Автоматизированные системы Министерства обороны относятся к ключевым объектам информационной инфраструктуры государства. Поэтому особое значение имеет обеспечение безопасности всей циркулирующей в них информации. Это достигается в том числе и за счет применения средств защиты информации (СрЗИ). 15 апреля 1995 года Правительством РФ было принято постановление № 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны». Документ положил начало формированию системы лицензирования в Российской Федерации, которой в 2005 году исполняется десять лет.

В статье пойдет речь о порядке допуска организаций и предприятий промышленности к работам, связанным с созданием СрЗИ для Министерства обороны. В целом он соответствует порядку, определенному в постановлении, но имеются и некоторые отличия.

Необходимо отметить, что для проведения работ в этой области в интересах Министерства обороны разработчик должен иметь лицензию именно данного ведомства.

Для руководства работами по лицензированию в Министерстве обороны создан и функционирует соответствующий орган, функции которого в настоящее время возложены на отдел сертификации средств защиты информации по требованиям безопасности информации.

Документооборот при проведении лицензирования организаций

В лицензировании участвуют три стороны: заявитель (соискатель лицензии), орган по лицензированию и аттестационный центр. Порядок их взаимодействия показан на рис. 1.

Процесс начинается с подачи организацией в орган по лицензированию заявления. В нем указываются предполагаемые виды деятельности, на которые организация желает получить лицензию.

К таким видам относятся:

• сертификация;
• проектирование;
• разработка;
• испытания;
• производство;
• монтаж;
• установка;
• наладка;
• сервисное обслуживание;
• ремонт;
• реализация СрЗИ.

Перечень можно уточнить в органе по лицензированию.

Заявление составляется в произвольной форме, подписывается руководителем (или заместителем руководителя) организации и главным бухгалтером с указанием гарантии оплаты расходов, связанных с рассмотрением заявления, проведением специальной экспертизы и оформлением лицензии.

Вместе с заявлением представляются материалы, перечисленные в постановлении № 333.

Орган по лицензированию рассматривает поступившие материалы и принимает решение о проведении лицензирования и назначении аттестационного центра. Орган либо аттестационный центр формирует и представляет на утверждение состав экспертных комиссий, вступает в договорные отношения с заявителем. Как правило, заявителю высылаются листы опросов, которые он должен заполнить до приезда экспертной комиссии.

Порядок проведения специальной экспертизы

Комиссия выполняет специальную экспертизу предприятия, проверяя его готовность к осуществлению заявленных видов деятельности, а именно:

1. соблюдение требований действующих нормативных, методических, эксплуатационных документов, обеспечивающих выполнение работ;
2. наличие специально подготовленного персонала для выполнения работ в заявленной области деятельности;
3. наличие материально-технической и испытательной базы, позволяющей проводить работы в заявленной области.

Рассмотрим подробнее содержание этих работ.

1. Оценка наличия и соблюдения организацией требований нормативных и методических документов предусматривает проверку:
1. наличия нормативных документов (в том числе государственных и (или) отраслевых стандартов на соответствующий вид продукции, технологии, производства, проведения испытаний и контроля), регламентирующих работы в заявленной области;
2. наличия инструкций и методик, регламентирующих порядок проведения работ на всех этапах создания СрЗИ, а также наличия утвержденных инструкций и аттестованных методик по проведению лабораторных, предварительных и государственных испытаний.
2. Оценка подготовленности персонала предусматривает проверку:
1. знаний персоналом нормативной, методической и технической документации, регламентирующей выполнение работ по созданию СрЗИ;
2. документов, удостоверяющих наличие у персонала специального образования по профилю работ, указанных в заявленной области;
3. уровня квалификации, опыта работы и практических навыков применения инструментальных средств и работы на имеющейся материально-технической и испытательной базе;
4. количества персонала, необходимого для выполнения работ в заявленной области в полном объеме.
3. Оценка материально-технической и испытательной базы предусматривает проверку:
1. наличия и факта работоспособности основного оборудования и вспомогательных средств, необходимых для обеспечения работ в заявленной области;
2. наличия аттестатов поверки основного оборудования и вспомогательных средств в метрологических органах;
3. наличия (при необходимости) оборудованных и аттестованных помещений и рабочих мест, предназначенных для проведения работ в заявленной области.

Необходимым условием для принятия решения о готовности организации к выполнению заявленных работ является наличие лицензии на право проведения работ, связанных с использованием сведений, составляющих государственную тайну (лицензия Федеральной службы безопасности Российской Федерации или Министерства обороны для его подведомственных организаций).

По результатам работы комиссии подготавливается акт, с которым знакомится руководитель организации-заявителя, и заключение о выдаче лицензии. Бывают случаи, когда комиссия выявляет неполную готовность предприятия к проведению заявленных видов деятельности. В этом случае заявителю может быть дано время на устранение замечаний комиссии.

Возможен и отказ

В случаях выявления в документах, представленных заявителем, недостоверной или искаженной информации, либо отрицательного заключения специальной экспертизы заявителю будет отказано в выдаче лицензии, о чем он уведомляется в 3-дневный срок с указанием причины отказа.

Решение о выдаче лицензии принимает орган по лицензированию. В зависимости от специфики деятельности лицензия выдается на срок от трех до пяти лет, после чего она переоформляется в том же порядке, как и при выдаче. В некоторых случаях действие лицензии может быть приостановлено или досрочно прекращено. К таким случаям относятся:

• предоставление лицензиатом соответствующего заявления;
• обнаружение недостоверных данных в документах, представленных для получения лицензии;
• нарушение лицензиатом условий действия лицензии;
• невыполнение лицензиатом предписаний или распоряжений органа по лицензированию;
• приостановление деятельности лицензиата в соответствии с законодательством Российской Федерации;
• ликвидация организации.

Получение лицензии Министерства обороны накладывает на лицензиатов определенные обязанности. Так, они обязаны в 15-дневный срок подать заявление о переоформлении лицензии в случае реорганизации организации, изменения ее местонахождения, наименования или утраты лицензии.

Кроме того, они обязаны:

• осуществлять свою деятельность в строгом соответствии с требованиями нормативных документов по защите информации;
• обеспечивать тайну переписки, телефонных переговоров, документальных и иных сообщений физических и юридических лиц, пользующихся их услугами;
• ежегодно представлять в орган по лицензированию или аттестационный центр сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности.

Порядок оплаты

И в заключение несколько слов о порядке оплаты труда. При лицензировании организаций оплате подлежат следующие работы:

1. выполняемые органом по лицензированию:
• прием заявления от организации-заявителя и принятие решения по ней;
• выдача лицензии;
2. выполняемые аттестационным центром:
• рассмотрение заявления с комплектом документов;
• заключение договора с организацией-заявителем на проведение лицензирования;
• организация работ эксперта и экспертной комиссии;
• рассмотрение результатов специальной экспертизы;
3. выполняемые экспертом:
• экспертиза комплекта документов, прилагаемых к заявке;
• подготовка экспертного заключения по заявке;
4. выполняемые экспертной комиссией:
• проведение специальной экспертизы организации-заявителя в соответствии с утвержденной программой и методикой;
• подготовка акта по результатам проведения специальной экспертизы.