Artículos

Reglamento sobre licencias estatales de actividades en materia de seguridad de la información. Parte 1

logo11d 4 1

Reglamento sobre la concesión de licencias estatales para actividades en la protección de la información de campo.

Aprobado por Decisión de la Comisión Técnica Estatal del Presidente de la Federación de Rusia y la Agencia Federal de Comunicaciones e Información Gubernamentales del Presidente de la Federación de Rusia de fecha 27 de abril de 1994 N 10

1. Disposiciones generales
1.1. Este Reglamento establece los principios básicos y la estructura organizativa del sistema de concesión de licencias estatales de actividades de las personas jurídicas — empresas, organizaciones e instituciones (en adelante — empresas), independientemente de su forma organizativa y jurídica, para la protección de la información que circula en los medios e instalaciones técnicos, así como el procedimiento para la concesión de licencias y el seguimiento de las actividades de las empresas que han recibido una licencia. .

1.2 En esta disposición se utilizan los siguientes conceptos básicos:

  • licencia en el ámbito de la protección
  • y
  • información
  • — actividades que impliquen la transferencia o adquisición de derechos para realizar trabajos en el campo de la seguridad de la información;
  • licencia en el campo de la seguridad de la información — expedir un permiso adecuado para el derecho a realizar determinados trabajos en el campo de la protección de la información;
  • licenciatario en el campo de la protección de la información — la parte que ha recibido el derecho a realizar trabajos en el campo de la seguridad de la información;
  • protección de la información — un conjunto de medidas tomadas para evitar fugas, robo, pérdida, destrucción no autorizada, distorsión, modificación (falsificación), copia no autorizada, bloqueo de información, etc.
  • eficiencia de la protección de la información — el grado de cumplimiento de los resultados obtenidos de las acciones para proteger la información con el objetivo de protección establecido;
  • monitorear la eficacia de la protección de la información — comprobar el cumplimiento de la eficacia de las medidas de protección de la información con los requisitos establecidos o los estándares de eficiencia de protección;
  • seguridad de la información — el estado de la información, los recursos de información y los sistemas de información, en los que, con la probabilidad requerida, se garantiza la protección de la información (datos) contra fugas, robo, pérdida, destrucción no autorizada, distorsión, modificación (falsificación), copia, bloqueo, etc. asegurado;

herramientas de cifrado: — hardware que implementa algoritmos criptográficos para convertir información. herramientas, sistemas y complejos de software y hardware-software diseñados para proteger la información (incluidos los incluidos en sistemas y complejos para proteger la información contra el acceso no autorizado), que circulan por medios técnicos, durante su procesamiento, almacenamiento y transmisión a través de canales de comunicación, incluida la tecnología de cifrado; — implementar algoritmos criptográficos para convertir información, hardware, software y hardware-software, sistemas y complejos de protección contra la imposición de información falsa, incluidos medios de protección por imitación y «firma electrónica»; — herramientas, sistemas y complejos de hardware, software y hardware-software diseñados para la producción y distribución de documentos clave utilizados en herramientas de cifrado, independientemente del tipo de soporte de información clave; — información protegida — información que constituya secretos de estado y otros secretos protegidos por la ley; — certificación de un objeto protegido — confirmación oficial de la presencia en la instalación de protección de las condiciones necesarias y suficientes para asegurar el cumplimiento de los requisitos establecidos por los documentos y estándares que rigen la efectividad de la protección de la información; — Los medios técnicos de tratamiento (información TSOI) en materia de protección de la información son parte integrante del Sistema Estatal de Protección de la Información. Las actividades del sistema de concesión de licencias están organizadas por las autoridades estatales encargadas de otorgar licencias, que son la Comisión Técnica Estatal dependiente del Presidente de la Federación de Rusia (Gostekhkomission de Rusia) y la Agencia Federal de Comunicaciones e Información Gubernamentales dependiente del Presidente de la Federación de Rusia (FAPSI). .

1.4. Las autoridades estatales otorgantes de licencias, dentro de los límites de su competencia establecida por la legislación de la Federación de Rusia, otorgan licencias para actividades en el campo de la seguridad de la información de acuerdo con las listas de tipos de actividades que figuran en el Apéndice 1.

1.5. La autoridad estatal de concesión de licencias expide a una empresa una licencia para el derecho a operar en el campo de la protección de la información (en adelante, la licencia) a propuesta de un organismo estatal de la Federación de Rusia para tipos específicos de actividades durante tres años. , tras lo cual se vuelve a registrar en la forma establecida para la expedición de una licencia.

1.6. Se expide una licencia a la empresa solicitante que la ha solicitado y que tiene una base de producción y pruebas, documentación reglamentaria y metodológica, personal científico y de ingeniería, sujeto a su cumplimiento de los requisitos del organismo estatal de licencias con base en los resultados de un examen. de las actividades de la empresa en el área de trabajo declarada. El solicitante tiene derecho a familiarizarse con estos requisitos ante la autoridad estatal que otorga licencias.

1.7. Para obtener una licencia, se debe presentar lo siguiente:

  • solicitud;
  • representación de un organismo gubernamental de la Federación de Rusia;
  • materiales de examen que confirmen la existencia de las condiciones necesarias para la realización del trabajo según los tipos de actividades declaradas, así como la idoneidad profesional del titular de la empresa solicitante, o de las personas autorizadas por él para gestionar la actividad autorizada;
  • copias de documentos sobre el registro estatal de actividades comerciales y el estatuto de la empresa.

 

1.8. La negativa a expedir una licencia se realiza en los casos en que:

  • no existen las condiciones necesarias para realizar el trabajo en el tipo de actividad declarado;
  • formación profesional del jefe de la empresa solicitante, o las personas autorizadas por ella para la gestión de las actividades autorizadas, no cumple con los requisitos establecidos;
  • los documentos presentados para obtener una licencia contienen información inexacta;
  • el solicitante, de acuerdo con el procedimiento establecido por la ley, fue declarado culpable de competencia desleal en la actividad autorizada.

 

1.9. La licencia se expide pagando una tarifa cuyo importe lo establecen las autoridades estatales encargadas de otorgar licencias de acuerdo con el Ministerio de Finanzas de la Federación de Rusia.

1.10. Las empresas que realizan actividades de protección de información, cuyos tipos se especifican en el Apéndice 1 de este Reglamento, sin licencia, son responsables según la legislación de la Federación de Rusia.

2. ESTRUCTURA ORGANIZATIVA DEL SISTEMA ESTATAL DE LICENCIAS
2.1. La estructura organizativa del sistema de concesión de licencias estatales a empresas en el campo de la seguridad de la información está formada por:

autoridades estatales de concesión de licencias; centros de licencias; empresas solicitantes.

2.2. Las autoridades estatales otorgantes de licencias, dentro de su competencia, realizan las siguientes funciones;

organizar la concesión de licencias estatales obligatorias para las actividades de las empresas; expedir licencias estatales a las empresas solicitantes; realizar la gestión científica y metodológica de las actividades de licenciamiento; aprobar listas de centros de licencias; coordinar la composición de las comisiones de expertos representadas por los centros de licencias; ejercer control y supervisión sobre la integridad y calidad del trabajo realizado por los licenciatarios en el campo de la seguridad de la información; asegurar la publicación de la información necesaria sobre las actividades de concesión de licencias; considerar las cuestiones controvertidas que surjan durante el examen de la empresa solicitante.

2.3. Los centros de licencias realizan las siguientes funciones:

  • formar comisiones de expertos y presentar su composición para su aprobación ante los jefes de las autoridades e industrias estatales de licencias pertinentes;
  • planificar y llevar a cabo trabajos sobre el examen de los solicitantes ;
  • controlar la integridad y calidad del trabajo realizado por los licenciatarios;
  • sistematizar los informes de los licenciatarios y presentar anualmente un informe resumido a las autoridades estatales pertinentes que otorgan licencias;
  • participar en el trabajo de las autoridades pertinentes autoridades estatales encargadas de otorgar licencias al considerar cuestiones controvertidas que surjan durante el examen de la empresa solicitante y hechos de mala calidad del trabajo de los licenciatarios.

 

2.3.1 Se pueden crear centros de concesión de licencias bajo las autoridades estatales de concesión de licencias, en regiones e industrias (departamentos) de la Federación de Rusia.

  • Los centros de concesión de licencias dependientes de los organismos estatales de concesión de licencias se crean por orden de los jefes de estos organismos. Los centros de concesión de licencias industriales se crean mediante decisiones conjuntas de los jefes de los comités (ministerios) y los órganos estatales de concesión de licencias pertinentes. Los centros regionales de concesión de licencias se crean mediante decisiones conjuntas de las autoridades regionales y las autoridades estatales pertinentes. La organización de la interacción entre la industria y los centros de licencias regionales con los órganos rectores pertinentes se refleja en las decisiones anteriores.
  • Los centros de licencias pueden formarse a partir de centros especiales de la Comisión Técnica Estatal de Rusia, centros de comunicaciones gubernamentales de FAPSI , industria e instituciones regionales, empresas y organizaciones para la protección de la información.

 

2.3.2. Para un examen exhaustivo de las empresas solicitantes con el fin de evaluar sus capacidades para realizar trabajos de protección de la información en la dirección elegida, se crean comisiones de expertos en los centros de licencias. Están formados por especialistas de industrias, fuerzas armadas, organismos gubernamentales y otras organizaciones e instituciones que son competentes en el campo correspondiente de la seguridad de la información. Se crean comisiones de expertos en una o más áreas de seguridad de la información.

2.4. Los licenciatarios deben: o

  • realizar sus actividades en estricta conformidad con los requisitos de los documentos reglamentarios sobre protección de la información;
  • garantizar la confidencialidad de la correspondencia, conversaciones telefónicas, documentales y otros mensajes de personas físicas y jurídicas que utilicen sus servicios;
  • presentar anualmente directamente a la autoridad estatal de licencias o al centro de licencias información sobre la cantidad de trabajos realizados para tipos específicos de actividades especificadas en la licencia.

 

2.4.1. Los licenciatarios tienen derecho a utilizar los documentos reglamentarios y metodológicos de los organismos estatales pertinentes que otorgan licencias, contactarlos para obtener el asesoramiento y la asistencia necesarios, y también hacer referencia a la licencia recibida en documentos oficiales y materiales publicitarios.

2.4.2. Los licenciatarios asumen la responsabilidad legal y financiera de la integridad y calidad del trabajo y de garantizar la seguridad de los secretos estatales y comerciales que se les confían en el curso de las actividades prácticas.

2.5. Las empresas de consumo tienen derecho a dirigirse a:

  • a la autoridad estatal de licencias o al centro de licencias con quejas sobre trabajos de seguridad de la información mal realizados por parte de los licenciatarios;
  • a las autoridades judiciales en la forma prescrita. manera .

 

3. PROCEDIMIENTO DE LICENCIA Y CONTROL DE LAS ACTIVIDADES DE LOS LICENCIATARIOS.
3.1. El procedimiento para otorgar licencias a las empresas solicitantes en el campo de la protección de la información incluye las siguientes acciones:

  • examen del solicitante;
  • presentación, consideración de solicitudes de licencia, registro y emisión de licencias;
  • extensión de licencias;
  • registro de licenciatarios e información en materia de licencias.

 

3.1.1. El examen de la empresa solicitante lo lleva a cabo la comisión de expertos del centro de licencias correspondiente sobre la base de la solicitud de la empresa que contiene los tipos de actividades bajo licencia y las listas de equipos de producción y prueba necesarios para respaldarlas, la documentación reglamentaria y metodológica disponible en el empresa. El resultado del trabajo de la comisión es una opinión pericial, que evalúa la capacidad del solicitante para realizar trabajos en el tipo de actividad de protección de información elegido. La conclusión es aprobada por el director del centro de licencias correspondiente y tiene una validez de tres meses a partir de la fecha de su emisión. El examen se lleva a cabo sobre la base de un acuerdo comercial entre el centro de licencias y la empresa solicitante. El pago por el trabajo de los miembros de la comisión de expertos lo realiza el centro de licencias.

3.1.2. Una solicitud de licencia (Apéndice 2) se envía a la autoridad estatal de licencias y se acepta para su consideración solo si todos los documentos enumerados en la cláusula 1.7 están disponibles. La autoridad que expide la licencia tiene derecho a verificar la exactitud de la información proporcionada.

3.1.3. El registro de una licencia (Apéndice 3) y su emisión (notificación de denegación de emisión) se realiza dentro de los treinta días siguientes a la fecha de presentación de la solicitud con todos los documentos necesarios.

3.1.4. Para considerar cuestiones controvertidas que surjan durante el examen de la empresa solicitante, se podrá realizar un examen independiente adicional. La composición de la comisión de expertos la forma la autoridad estatal encargada de otorgar licencias, de acuerdo con la empresa solicitante. La conclusión de la comisión pericial es decisiva para tomar una decisión adecuada en relación con la solicitud de licencia.

  • El tiempo dedicado al examen no está incluido en el período establecido para la expedición de la licencia.
  • La financiación de los costes de realización de un examen independiente adicional corre a cargo de la parte declarada culpable en el conflicto.

 

3.1. 5. Las acciones de las autoridades otorgantes de licencias podrán ser apeladas ante las autoridades judiciales de conformidad con el procedimiento establecido.

3.1.6. Las autoridades que emitieron la licencia suspenden o rescinden anticipadamente la licencia en los siguientes casos:

  • a solicitud del titular de la licencia;
  • liquidación de una persona jurídica o terminación de el documento sobre la actividad laboral individual;
  • incumplimiento por parte del titular de la licencia de las condiciones para mantener el marco regulatorio y el equipo técnico al nivel de los requisitos para garantizar la seguridad de la información;
  • incumplimiento reportar, dentro del plazo establecido, la información prevista por este Reglamento a la autoridad que expidió la licencia.
  • El propietario de la licencia es informado por escrito sobre la suspensión o terminación de la licencia por la autoridad que emitió la licencia a más tardar cinco días a partir de la fecha de la decisión. Dentro de los diez días siguientes a la recepción de la notificación, el propietario de. la licencia está obligado a presentarla a la autoridad que emitió la licencia.

 

3.1.7. El registro de los titulares de licencias lo mantienen las autoridades estatales de concesión de licencias basándose en la información recibida de los centros de concesión de licencias.

3.2. El control y supervisión de la integridad y calidad del trabajo realizado por los titulares de licencias en el campo de la protección de la información lo llevan a cabo:

  • Comisión Técnica Estatal de Rusia, FAPSI y organismos de control de la industria dentro de su competencia durante inspecciones programadas del estado de la protección de la información en las empresas de consumidores que han utilizado los servicios de los licenciatarios;
  • bajo el control de las autoridades estatales de licencias y los centros de licencias, la calidad del trabajo realizado por los licenciatarios en respuesta a las quejas de los consumidores empresas.

Apéndice 1

    Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
    Принять