О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 3 марта 2012 г. № 171
МОСКВА
О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации
(В редакции постановлений Правительства Российской Федерации от 15.06.2016 № 541, от 10.07.2020 № 1017, от 30.11.2020 № 1971, от 26.11.2021 № 2054, от 03.02.2023 № 159, от 27.12.2024 № 1931)
В соответствии с Федеральным законом "О лицензировании отдельных видов деятельности" Правительство Российской Федерации постановляет:
1. Утвердить прилагаемое Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации.
2. Признать утратившими силу:
постановление Правительства Российской Федерации от 31 августа 2006 г. № 532 "О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации" (Собрание законодательства Российской Федерации, 2006, № 36, ст. 3837) ;
пункт 20 изменений, которые вносятся в акты Правительства Российской Федерации по вопросам государственного контроля (надзора) , утвержденных постановлением Правительства Российской Федерации от 21 апреля 2010 г. № 268 (Собрание законодательства Российской Федерации, 2010, № 19, ст. 2316) ;
пункт 21 изменений, которые вносятся в постановления Правительства Российской Федерации по вопросам государственной пошлины, утвержденных постановлением Правительства Российской Федерации от 24 сентября 2010 г. № 749 (Собрание законодательства Российской Федерации, 2010, № 40, ст. 5076) .
Председатель Правительства Российской Федерации В.Путин
УТВЕРЖДЕНО постановлением Правительства Российской Федерацииот 3 марта 2012 г. № 171
ПОЛОЖЕНИЕ о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации
(В редакции постановлений Правительства Российской Федерации от 15.06.2016 № 541, от 10.07.2020 № 1017, от 30.11.2020 № 1971, от 26.11.2021 № 2054, от 03.02.2023 № 159, от 27.12.2024 № 1931)
1. Настоящее Положение определяет порядок лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации) , осуществляемой юридическими лицами и индивидуальными предпринимателями.
Не допускается осуществление деятельности, указанной в абзаце первом настоящего пункта, иностранными юридическими лицами. (Дополнение абзацем - Постановление Правительства Российской Федерации от 26.11.2021 № 2054)
2. Лицензирование деятельности по разработке и производству средств защиты конфиденциальной информации (далее - лицензируемый вид деятельности) осуществляет Федеральная служба по техническому и экспортному контролю, а в части разработки и производства средств защиты конфиденциальной информации, устанавливаемых на объектах Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации и Верховного Суда Российской Федерации, - Федеральная служба безопасности Российской Федерации (далее - лицензирующие органы) . (В редакции Постановления Правительства Российской Федерации от 15.06.2016 № 541)
3. При осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации лицензированию подлежат следующие виды работ и услуг: (В редакции Постановления Правительства Российской Федерации от 15.06.2016 № 541)
а) разработка средств защиты конфиденциальной информации, в том числе:
технических средств защиты информации;
защищенных технических средств обработки информации;
технических средств контроля эффективности мер защиты информации;
программных (программно-технических) средств защиты информации;
защищенных программных (программно-технических) средств обработки информации;
программных (программно-технических) средств контроля защищенности информации;
б) производство средств защиты конфиденциальной информации, в том числе:
технических средств защиты информации;
защищенных технических средств обработки информации;
технических средств контроля эффективности мер защиты информации;
программных (программно-технических) средств защиты информации;
защищенных программных (программно-технических) средств обработки информации;
программных (программно-технических) средств контроля защищенности информации.
4. В случае если в качестве лицензирующего органа выступает Федеральная служба по техническому и экспортному контролю, лицензионными требованиями, предъявляемыми к соискателю лицензии на осуществление лицензируемого вида деятельности (далее - лицензия) , являются:
а) наличие в штате у соискателя лицензии по основному месту работы в соответствии со штатным расписанием следующего квалифицированного персонала:
руководитель и (или) уполномоченное руководить работами по лицензируемому виду деятельности лицо, имеющие высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 7 лет, или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, прошедшие обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения - не менее 360 аудиторных часов) ;
инженерно-технические работники (не менее 2 человек) , имеющие высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, прошедшие обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения - не менее 360 аудиторных часов) ;
б) наличие по месту осуществления лицензируемого вида деятельности помещений, не являющихся объектами жилого назначения, принадлежащих соискателю лицензии на праве собственности или ином законном основании, предусматривающем право владения и право пользования, в которых созданы необходимые условия для размещения работников, производственного и испытательного оборудования, необходимого для осуществления лицензируемого вида деятельности, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну; (В редакции Постановления Правительства Российской Федерации от 26.11.2021 № 2054)
в) наличие принадлежащего соискателю лицензии на праве собственности или ином законном основании, предусматривающем право владения и право пользования, оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 3 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе: (В редакции Постановления Правительства Российской Федерации от 26.11.2021 № 2054)
производственного и испытательного оборудования;
измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку) ;
программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;
г) наличие технической и технологической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 3 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем. Документы, содержащие информацию ограниченного доступа, должны быть получены в установленном законодательством Российской Федерации порядке;
д) наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы разработки средств защиты конфиденциальной информации, учета изменений, вносимых в проектную и конструкторскую документацию на разрабатываемую продукцию (при выполнении работ, предусмотренных подпунктом "а" пункта 3 настоящего Положения) ;
е) наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы производства средств защиты конфиденциальной информации, оценки качества выпускаемой продукции и неизменности установленных параметров, учета изменений, вносимых в техническую и конструкторскую документацию на производимую продукцию, учета готовой продукции (при выполнении работ, предусмотренных подпунктом "б" пункта 3 настоящего Положения) .
(Пункт в редакции Постановления Правительства Российской Федерации от 15.06.2016 № 541)
5. В случае если в качестве лицензирующего органа выступает Федеральная служба безопасности Российской Федерации, лицензионными требованиями, предъявляемыми к соискателю лицензии, являются:
а) наличие в штате у соискателя лицензии на основной работе согласно штатному расписанию следующего квалифицированного персонала:
руководитель и (или) уполномоченное руководить работами по лицензируемому виду деятельности лицо, имеющие высшее профессиональное образование по направлению подготовки "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок - свыше 500 аудиторных часов) , а также имеющие стаж в области проводимых работ по лицензируемому виду деятельности не менее 5 лет;
инженерно-технические работники (не менее 2 человек) , имеющие высшее профессиональное образование по направлению подготовки "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по этой специальности (нормативный срок - свыше 100 аудиторных часов) ;
б) наличие помещений для осуществления лицензируемого вида деятельности, соответствующих требованиям технической и технологической документации, национальных стандартов и методических документов в области защиты информации и принадлежащих соискателю лицензии на праве собственности или на ином законном основании, предусматривающем право владения и право пользования; (В редакции Постановления Правительства Российской Федерации от 26.11.2021 № 2054)
в) наличие у соискателя лицензии на праве собственности или на ином законном основании, предусматривающем право владения и право пользования, контрольно-измерительного оборудования (прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку) и маркирование) , производственного, испытательного оборудования и иных объектов, необходимых для осуществления лицензируемого вида деятельности; (В редакции Постановления Правительства Российской Федерации от 26.11.2021 № 2054)
г) наличие предназначенных для осуществления лицензируемого вида деятельности программ (в том числе программных средств разработки средств защиты конфиденциальной информации) для электронно-вычислительных машин и баз данных, принадлежащих соискателю лицензии на праве собственности или на ином законном основании, предусматривающем право владения и право пользования; (В редакции Постановления Правительства Российской Федерации от 26.11.2021 № 2054)
д) наличие аттестованных по требованиям безопасности информации средств обработки информации, используемых для разработки и производства средств защиты конфиденциальной информации, в соответствии с требованиями по защите информации;
е) наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы разработки средств защиты конфиденциальной информации, учета изменений, вносимых в проектную и конструкторскую документацию на разрабатываемую продукцию (при выполнении работ, предусмотренных подпунктом "а" пункта 3 настоящего Положения) ;
ж) наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы производства средств защиты конфиденциальной информации, оценки качества выпускаемой продукции и неизменности установленных параметров, учета изменений, вносимых в техническую и конструкторскую документацию на производимую продукцию, учета готовой продукции (при выполнении работ, предусмотренных подпунктом "б" пункта 3 настоящего Положения) .
6. В случае если в качестве лицензирующего органа выступает Федеральная служба по техническому и экспортному контролю, лицензионными требованиями, предъявляемыми к лицензиату при осуществлении лицензируемого вида деятельности, являются:
а) выполнение работ находящимся у лицензиата по основному месту работы в соответствии со штатным расписанием следующим квалифицированным персоналом:
руководитель и (или) уполномоченное руководить работами по лицензируемому виду деятельности лицо, имеющие высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 7 лет, или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, прошедшие обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения - не менее 360 аудиторных часов) ;
инженерно-технические работники (не менее 2 человек) , имеющие высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, прошедшие обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения - не менее 360 аудиторных часов) ;
б) повышение квалификации по лицензируемому виду деятельности лиц, указанных в подпункте "а" настоящего пункта, не реже одного раза в 5 лет;
в) наличие по месту осуществления лицензируемого вида деятельности помещений, не являющихся объектами жилого назначения, принадлежащих лицензиату на праве собственности или ином законном основании, предусматривающем право владения и право пользования, в которых созданы необходимые условия для размещения работников, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, и размещено (установлено) производственное и испытательное оборудование, необходимое для осуществления лицензируемого вида деятельности; (В редакции Постановления Правительства Российской Федерации от 26.11.2021 № 2054)
г) использование принадлежащего лицензиату на праве собственности или ином законном основании, предусматривающем право владения и право пользования, оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 3 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе: (В редакции Постановления Правительства Российской Федерации от 26.11.2021 № 2054)
производственного и испытательного оборудования;
измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку) ;
программных (программно-технических) средств, в том числе средств контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, средств контроля (анализа) исходных текстов программного обеспечения;
д) наличие технической и технологической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 3 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем. Документы, содержащие информацию ограниченного доступа должны быть получены в установленном законодательством Российской Федерации порядке;
е) наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы разработки средств защиты конфиденциальной информации, учета изменений, вносимых в проектную и конструкторскую документацию на разрабатываемую продукцию (при выполнении работ, предусмотренных подпунктом "а" пункта 3 настоящего Положения) ;
ж) наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы производства средств защиты конфиденциальной информации, оценки качества выпускаемой продукции и неизменности установленных параметров, учета изменений, вносимых в техническую и конструкторскую документацию на производимую продукцию, учета готовой продукции (при выполнении работ, предусмотренных подпунктом "б" пункта 3 настоящего Положения) .
(Пункт в редакции Постановления Правительства Российской Федерации от 15.06.2016 № 541)
7. В случае если в качестве лицензирующего органа выступает Федеральная служба безопасности Российской Федерации, лицензионными требованиями, предъявляемыми к лицензиату при осуществлении лицензируемого вида деятельности, являются:
а) выполнение работ находящимся на основной работе у лицензиата согласно штатному расписанию следующим квалифицированным персоналом:
руководитель и (или) уполномоченное руководить работами по лицензируемому виду деятельности лицо, имеющие высшее профессиональное образование по направлению "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок - свыше 500 аудиторных часов) , а также имеющие стаж в области проводимых работ по лицензируемому виду деятельности не менее 5 лет;
инженерно-технические работники (не менее 2 человек) , имеющие высшее профессиональное образование по направлению "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по этой специальности (нормативный срок - свыше 100 аудиторных часов) ;
б) наличие помещений для осуществления лицензируемого вида деятельности, соответствующих требованиям технической и технологической документации, национальных стандартов и методических документов в области защиты информации, принадлежащих лицензиату на праве собственности или на ином законном основании, предусматривающем право владения и право пользования; (В редакции Постановления Правительства Российской Федерации от 26.11.2021 № 2054)
в) использование на праве собственности или на ином законном основании, предусматривающем право владения и право пользования, контрольно-измерительного оборудования (прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку) и маркирование) , производственного, испытательного оборудования и иных объектов, необходимых для осуществления лицензируемого вида деятельности; (В редакции Постановления Правительства Российской Федерации от 26.11.2021