Лицензия фсб. Как и где нужно применять скзи — точка зрения фсб Согласование с фсб

Приказ ФСБ РФ от 18 сентября 2008 г. N 464
"Об утверждении Регламента Федеральной службы безопасности Российской Федерации"

С изменениями и дополнениями от:

1. Утвердить прилагаемый Регламент Федеральной службы безопасности Российской Федерации.

2. Контроль за исполнением Регламента, утвержденного настоящим приказом, возложить на заместителей Директора ФСБ России и руководителей служб ФСБ России в части касающейся.

Директор

А. Бортников

Регистрационный N 12394

Установлены общие правила внутренней организации ФСБ России при осуществлении функций в установленной сфере деятельности, в том числе структура и штатное расписание центрального аппарата, полномочия Директора Службы и его заместителей, правила документооборота, порядок законопроектной деятельности, исполнения поручений, рассмотрения запросов и обращений, приема граждан, создания координационных и совещательных органов, рабочих групп и др.

ФСБ России осуществляет государственное управление в области обеспечения безопасности РФ, борьбы с терроризмом, защиты и охраны государственной границы РФ, охраны внутренних морских вод, территориального моря, исключительной экономической зоны, континентального шельфа РФ и их природных ресурсов, обеспечивает информационную безопасность РФ, а также координирует контрразведывательную деятельность уполномоченных федеральных органов исполнительной власти.

Деятельностью ФСБ России руководит Президент РФ.

Приказ ФСБ РФ от 18 сентября 2008 г. N 464 "Об утверждении Регламента Федеральной службы безопасности Российской Федерации"

Регистрационный N 12394

Настоящий приказ вступает в силу по истечении 10 дней после дня его официального опубликования

В настоящий документ внесены изменения следующими документами:

Изменения вступают в силу по истечении 10 дней после дня

8-й Центр ФСБ выложил достаточно неожиданный документ . Документ описывает рекомендации в области разработки нормативно-правовых актов в области защиты ПДн. Но этим же документом рекомендуется пользоваться операторам ИСПДн при разработке частных моделей угроз.

Что же думает ФСБ о том, как и где нужно применять СКЗИ?

Документ носит полное название: «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности». Утвержден документ руководством 8 Центра ФСБ России 31 марта 2015 года.

В преамбуле документа определяется, что рекомендации «для федеральных органов исполнительной власти… иных государственных органов… которые… принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных (далее – ИСПДн), эксплуатируемых при осуществлении соответствующих видов деятельности».

Этими же нормами «целесообразно также руководствоваться при разработке частных моделей угроз операторам информационных систем персональных данных, принявшим решение об использовании средств криптографической защиты информации (далее – СКЗИ) для обеспечения безопасности персональных данных».

Когда же необходимо использовать СКЗИ?

Использование СКЗИ для обеспечения безопасности персональных данных необходимо в следующих случаях:
если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;

если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.

Это логично. Но когда угрозы могут быть нейтрализованы только с помощью СКЗИ"?

передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);

хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.

Если второй пункт так же достаточно логичен, то вот первый не столь ясен. Дело в том, что согласно текущей редакции закона «О персональных данных» имя, фамилия и отчество уже являются персональными данными. Соответственно любая переписка или регистрация на сайте (с учетом того, сколько данных сейчас требуют при регистрации) попадают формально под это определение.

Но, как говорится, нет правил без исключения. В конце документа есть две таблицы. Приведем лишь одну строку Приложения № 1.

Актуальная угроза:

1.1. проведение атаки при нахождении в пределах контролируемой зоны.

Обоснование отсутствия (список немного сокращен):

сотрудники, являющиеся пользователями ИСПДн, но не являющиеся пользователями СКЗИ, проинформированы о правилах работы в ИСПДн и ответственности за несоблюдение правил обеспечения безопасности информации;

пользователи СКЗИ проинформированы о правилах работы в ИСПДн, правилах работы с СКЗИ и ответственности за несоблюдение правил обеспечения безопасности информации;

помещения, в которых располагаются СКЗИ, оснащены входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;

утверждены правила доступа в помещения, где располагаются СКЗИ, в рабочее и нерабочее время, а также в нештатных ситуациях;

утвержден перечень лиц, имеющих право доступа в помещения, где располагаются СКЗИ;

осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам;

осуществляется регистрация и учет действий пользователей с ПДн;

на АРМ и серверах, на которых установлены СКЗИ:
используются сертифицированные средства защиты информации от несанкционированного доступа;

используются сертифицированные средства антивирусной защиты.

То есть, если пользователи проинформированы о правилах и ответственности, а двери запираются, то беспокоиться не о чем. Блажен, кто верует. О необходимости контроля за соблюдением правил речь в документе даже не идет.

Что еще интересного есть в документе?

для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия.

Правда чуть ниже говорится, что список сертифицированных СКЗИ можно найти на сайте ЦЛСЗ ФСБ. Про то, что оценка соответствия не есть сертификация, говорилось неоднократно.

в случае отсутствия прошедших в установленном порядке процедуру оценки соответствия СКЗИ… на этапе аванпроекта или эскизного (эскизно-технического) проекта разработчиком информационной системы с участием оператора (уполномоченного лица) и предполагаемого разработчика СКЗИ готовится обоснование целесообразности разработки нового типа СКЗИ и определяются требования к его функциональным свойствам.

Очень приятный пункт. Дело в том, что сертификация процесс очень длительный - до полугода и больше (скажем, в случае нашей компании предыдущая сертификация заняла у нас 8 месяцев). Зачастую клиенты используют новейшие ОС, не поддерживаемые сертифицированной версией. В соответствии с этим документом клиенты могут использовать продукты, находящиеся в процессе сертификации.

В документе указывается, что:

При использовании каналов (линий) связи, с которых невозможен перехват передаваемой по ним защищаемой информации и (или) в которых невозможно осуществление несанкционированных воздействий на эту информацию, при общем описании информационных систем необходимо указывать:
описание методов и способов защиты этих каналов от несанкционированного доступа к ним;

выводы по результатам исследований защищенности этих каналов (линий) связи от несанкционированного доступа к передаваемой по ним защищенной информации организацией, имеющей право проводить такие исследования, со ссылкой на документ, в котором содержатся эти выводы.

Соответственно необходимо иметь документ, анализирующий защищенность канала. При этом не указывается, какие организации имеют право выдавать такие заключения.

Документ содержит перечень сведений, которые необходимо указывать при описании информационных систем. Например:

характеристики безопасности (конфиденциальность, целостность, доступность, подлинность), которые необходимо обеспечивать для обрабатываемых персональных данных;

используемые в каждой подсистеме или в информационной системе в целом каналы (линии) связи, включая кабельные системы, и меры по ограничению несанкционированного доступа к защищаемой информации, передаваемой по этим каналам (линиям) связи, с указанием каналов (линий) связи, в которых невозможен несанкционированный доступ к передаваемой по ним защищаемой информации, и реализуемые для обеспечения этого качества меры;

носители защищаемой информации, используемые в каждой подсистеме информационной системы или в информационной системе в целом (за исключением каналов (линий) связи).

Ну и в заключение скажем, что:

Согласование с ФСБ России частных моделей угроз операторов, подготовленных в соответствии с настоящими методическими рекомендациями, не требуется.

Есть такое Постановление Правительства под номером 676 от 6 июля 2015 года. Устанавливает оно требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации. И до недавнего времени это Постановление никоим образом не касалось вопросов защиты информации. Минкомсвязь, инициировавший данное Постановление, жил в своем ИТ-мире и никак не пересекался с миром ИБ, в котором правили ФСТЭК с ФСБ со своими нормативными актами. Но в конце 2015-го года Президент поручил множеству разных министерств и ведомств усовершенствовать защиту информации в Российской Федерации и, в частности, в государственных органах. А тут еще в Минкомсвязь нагрянул новый заместитель министра, г-н Соколов, который стал курировать вопросы информационной безопасности. И произошло чудо... Позиции Минкомсвязи и ИБ-регуляторов стали сближаться.

Как и положено сервис базируется на банке данных угроз ФСТЭК, а в качестве методологии взят за основу последний публичный проект методики ФСТЭК, выложенный на сайте регулятора. На самом деле с того момента этот проект был сильно переработан, но как точка отсчета этот бесплатный сервис, созданный Булатом, подходит как нельзя лучше. Удачи!

ЦЕНА ОТ: 600 000 рублей

СРОК ПОЛУЧЕНИЯ: от 45 рабочих дней

Обратная связь

Заказать лицензию ФСБ

Обратная связь

Спасибо за обращение. Наши специалисты свяжутся с Вами в ближайшее время!

В ведении Федеральной Службы Безопасности РФ, кроме прочих функций, находится оформление, выдача и ведение реестра разрешительных документов. Лицензия ФСБ позволяет коммерческим компаниям, индивидуальным предпринимателям, организациям вариативных правовых форм работать в областях, затрагивающих стратегически важные сведения. К последним относят государственную тайну, конфиденциальные, личные данные.

Правовые основы

Зачем нужна лицензия ФСБ? Законодательство требует оформить ее для деятельности, связанной с:

использованием данных, представляющих гостайну — в том числе, оказанием услуг/выполнением работ, при которых она задействована;
созданием средств защитной информации, содержащих, работающих с вышеназванной информацией;
криптографией, шифровальной техникой.

Работы, напрямую или опосредованно затрагивающие вышеперечисленные сферы, проводят только с разрешения ФСБ России. На практике принцип означает следующее. Компании, ИП, желающие на коммерческой основе сотрудничать с режимным объектом, обязаны озаботиться получением разрешения. Неважно, что фирма собирается делать — реставрировать памятники на территории со спецрежимом, оказывать бухгалтерские, инженерные, клиниговые услуги, возводить здания, хозяйственные постройки и так далее. Нужно пройти стандартизированную процедуру и участвовать в тендере на получение госзаказа. Стандартно обращение в местное Управление органа занимает до четырех-пяти месяцев, при получении через обособленные подразделения — до двух.

Законодательство фиксирует необходимость процедуры в государственных нормах РФ:

Законах — №5485-1, 57-ФЗ, 99-ФЗ, 152-ФЗ;
Президентском Указе №1203;
Положениях, утвержденных Правительством постановлениями №333 (15.04.1995), 63 (06.02.2010).

Фундаментальные нормы дополняют специфические, «узкопрофильные». Предприятия сферы информационных технологий, работающие с конфиденциальной информацией, руководствуются правительственным Постановлением №79 и ФЗ №152.

Выяснив, для чего нужна лицензия ФСБ, стоит указать: существует деление на две условные группы — деятельность, связанная с гостайной и шифрование/криптография. Существенная часть коммерческих организаций сталкивается с первой разновидностью работ. Им требуется наличие лицензии, связанной с государственной тайной.

Выдача лицензии на допуск к гостайне

Официальный разрешительный документ ФСБ России, позволяющий работать с «закрытыми» данными, выдает специализированный орган — Центр ЛСЗ Федеральной Службы Безопасности РФ. Обращаясь впервые, претендент вправе получить разрешение, действующее три года, повторно — пять лет. Территория действия лицензий — вся Россия плюс учреждения, находящиеся вне границ, но принадлежащие стране.

Оказывая услуги, выполняя работы на режимных спецобъектах, предприниматели/компании вынужденно сталкиваются с секретными сведениями, должны «взаимодействовать» с информацией в рамках Закона — для чего нужна лицензия ФСБ. Она необходима:

строительным фирмам, возводящим, реконструирующим, выполняющим капитальный ремонт зданий, принадлежащих МВД, ФСИН, Министерству обороны и т.д.;
частным структурам, охраняющим режимные/секретные/специальные объекты;
организациям торговли, общепита, работающим с «закрытыми» организациями;
IT-компаниям, установщикам противопожарных, тревожных сигнализаций, шифровальщикам и прочим фирмам/предпринимателям, соприкасающимся с «закрытыми» данными государственной значимости.

Обращаясь в Центр ЛСЗ, в заявке указывают, для чего нужна лицензия ФСБ. Список составляется в свободной форме, достаточно условен, так как по видам деятельности разрешения не классифицируют. Никаких отдельных «реставрационных» или «строительных» документов Служба Безопасности не оформляет — права, которые дает лицензия, распространяются на любую законную деятельность, связанную с секретными сведениями.

Процедура оформления

Чтобы компания официально работала с государственной тайной, руководитель обязан получить допуск. Существует три формы:

первая — максимальная степень (коды запуска ядерного оружия);
вторая — «совершенно секретно», выдается в крайних случаях, при серьезном обосновании, после согласования с первым отделом, проверочных мероприятий;
третья — «секретно», оформляется сотрудниками режимных структур в штатном порядке по самостоятельному усмотрению, с подачей отчета местному Управлению.

Руководители фирм-исполнителей, ИП получают допуски третьей формы — как физлица — и:

проходят обучение в аттестованном учреждении;
получают наркологические, психиатрические справки, подтверждающие, что противопоказаний к работе нет;
подают в ФСБ России анкету, проходят собеседование по приглашению.

Удачно пройденное собеседование завершает выдача допуска. Директору, кроме него, нужны четыре фото 4см/6см, копия заграничного паспорта. Компания подает в лицензирующий орган оригинал ходатайства заказчика услуг/работ, сведения о руководителях, реквизиты, контактные телефоны, адреса почты. Необходимо оплатить госпошлину (цена регулярно корректируется), предоставить нотариальные копии:

устава с зарегистрированными изменениями, учредительного договора;
свидетельств ОГРН/ГРН, присвоения ИНН;
письма Госстата (статистические коды);
решения/протокола создания юрлица, избрания гендиректора;
выписки ЕГРЮЛ (не старше 20 суток до даты подачи);
договора аренды юрадреса (должен совпадать с реальным), свидетельства собственности на помещения.

Копии вместе с заявлением, анкетой подают в местный Центр. Предприятие параллельно проходит экспертизу, а руководство — аттестацию. Фирмам сферы информационных технологий нужна дополнительная спецлицензия ФСТЭК. Даже без нее пакет объемный — поэтому и требуется профессиональная помощь в получении лицензии ФСБ. Поддержка позволит уменьшить временные затраты, оперативно приступить к работе.

Стандартный порядок оформления разрешений на осуществление деятельности следующий:

проверка компании, получение ходатайства заказчика;
обучение гендиректора, получение допусков на него;
составление пакета документации, подаваемой в ЦЛСЗ;
экспертиза ЭАЦ, передача документационного пакета лицензирующему Центру.

Криптографические и шифровальные лицензии

ЦЛСЗ выдает разрешения, предоставляющие право разрабатывать, изготавливать, продавать средства криптографии, шифровки, защиты данных. Процедура получения схожа с вышеописанной, поэтому помощь в получении лицензии ФСБ этого типа уместна и востребована. К поддержке стоит прибегнуть, выполняя работы, оказывая услуги в области шифрования информации, обслуживания телекоммуникационных, инфосистем.

Разрешение требуется организациям, инсталлирующим, монтирующим, обслуживающим шифровально-криптографические средства, предоставляющим заказчикам защищенные каналы связи. Чтобы получить его, понадобится:

выполнить требования по персоналу компании, подготовив соответствующие подтверждения;
подтвердить права владения техникой (испытательной, контрольно-измерительной), легитимность ПО;
предоставить допуски по гостайне;
гарантировать конфиденциальность информации.

Через три года после получения разрешения проходят плановую экспертизу. При аудите сверяют заявленное оборудование, ПО, квалификацию сотрудников, сертификаты.

Упростить лицензирование поможет профильная поддержка. Территории, для которых оперативно оформляется лицензия ФСБ — Москва, Санкт-Петербург, регионы. Преимущества поддержки — гарантии правильности, легальности, своевременности, экономия сил, квалифицированные исчерпывающие консультации.

Есть в Московской области районы, где регистрация и трудоустройство иностранных граждан имеет свои особенности. Своеобразные подмосковные Бермудские треугольники и даже Бермудские трапеции. На первый взгляд - обычный спальный район с многоэтажками, но только до тех пор, пока туда не попадёт иностранный гражданин.

Налёт таинственности предаёт таким местам постановление Правительства №470 , принятое ещё в 1992 году и действующее до сих пор. Указанное постановление устанавливает перечень территорий Российской Федерации с регламентированным посещением для иностранных граждан. В большинстве своём - это приграничные территории, однако в перечне регионов, наряду с Камчаткой и Мурманской областью, присутствует и Подмосковье. В Московской области таких зон шесть:

Регистрация по месту жительства, постановка на миграционный учет, а также привлечение к трудовой деятельности иностранных граждан в границах этих зон подлежит согласованию с Федеральной службой безопасности.

Абсурдность данной ситуации придаёт тот факт, что в отношении территорий Московской области в указанный перечень не вносилось изменений с момента его создания. И если границы территорий с регламентированным въездом Калининградской, Мурманской и других областей позднее подвергались редактированию, то в Московской области осталось всё в таком виде, в каком это было 25 лет назад.

Уже давно на карте нет деревень, указанных в постановлении в 1992 году в качестве граничных точек, разросшаяся московская агломерация поглотила населённые пункты, перечисленные в постановлении, а их топонимика сохранилась лишь в названии улиц и железнодорожных станций, тем не менее нахождение в этих местах иностранных граждан без согласования с ФСБ является нарушением Российского законодательства.

Так, в Мытищинском районе территория с регламентированным посещением для иностранных граждан ограничена:

с юга Московской кольцевой автодорогой и линией совхоз Нагорное - Бородино - Волково - Перловка (за исключением названных населенных пунктов и автомобильной дороги)

На месте деревни Волково расположена теперь ТЭЦ-27, и напоминает о деревне с таким названием лишь одноимённое шоссе. Деревня Перловка стала теперь микрорайоном города Мытищи. Ирония заключается в том, что на этом участке территории с регламентированным посещением иностранцев - пересечении МКАД и Ярославского шоссе в р-не бывшей деревни Перловка - расположилась крупнейшая в столичном регионе уличная биржа труда рабочих-гастарбайтеров, в том числе приезжих из Средней Азии, с легкой руки некоторых СМИ, иронично называемой «невольничьим рынком».

В Одинцовском районе территория с регламентированным посещением для иностранных граждан ограничена:

- линией Успенское - Жаворонки - Одинцово - Барвиха

В Солнечногорском районе:

- с юго-запада Пятницким шоссе и линией Коростово - Подолино - Брехово (за исключением названных населенных пунктов и Пятницкого шоссе)

В Подольском районе:

- с запада Симферопольским шоссе и линией Алтухово - Романцево - Мещерское - Столбовая (за исключением названных населенных пунктов и Симферопольского шоссе)

В Щелковском районе:

- с юго-востока Щелковским шоссе и линией Долгое - Ледово - Оболдино - Щитниково (за исключением названных населенных пунктов и Щелковского шоссе).

Самая большая по размеру территория с регламентированным посещением иностранных граждан находится в Балашихинском районе, практически половина города Балашихи и большая часть района ограниченного:

- с запада линией Никольское - Трубецкое - Балашиха - Кучино - Томилино (за исключением Горьковского шоссе)

Именно в Балашихинский отдел ФСБ обратились наши эксперты с запросом о порядке согласования посещения иностранными гражданами территорий с регламентированным посещением.

Ниже мы публикуем наш запрос и ответ на него.

В соответствии с Перечнем территорий Российской Федерации с регламентированным посещением для иностранных граждан, утверждённым Постановлением Правительства Российской Федерации от 04 июля 1992 г. № 470, большая часть Балашихинского района, а также участки ещё нескольких районов Московской области относятся к территориям с регламентированным посещением иностранных граждан.

Согласно указанному Постановлению въезд иностранных граждан на такие территории подлежит согласованию с Министерством безопасности Российской Федерации (ФСБ РФ) или его органами в республиках, входящих в состав Российской Федерации, краях, областях, автономных образованиях, городах Москве и Санкт-Петербурге по месту нахождения принимающих организаций.

Прошу вас разъяснить порядок согласования привлечения иностранных граждан в целях осуществления трудовой деятельности и постановки на учёт по месту временного пребывания на территории Балашихинского района Московской области.

Какие документы требуются от организации или индивидуального предпринимателя, выступающих в качестве принимающей стороны?

Регламентированы ли сроки указанного согласования?

Существуют ли определённые критерии или рекомендации, которых следует придерживаться при привлечении иностранных граждан к трудовой деятельности, чтобы не получить отказа в согласовании?

Из вышеизложенного следует, что при приёме на работу иностранного гражданина при условии, что место осуществления трудовой деятельности находится внутри границ таких территорий, начинать процедуру оформления иностранных граждан необходимо с посещения отдела Федеральной службы безопасности в соответствующем районе.

Приведено Решение Мособлсуда об административном выдворении иностранного гражданина за нарушение режима пребывания на территории городского округа Балашиха Московской области.