МИНОБРНАУКИ РОССИИ

Федеральное государственное бюджетное образовательное учреждение

высшего образования
«СЕВЕРО-КАВКАЗСКИЙ ФЕДЕРАЛЬНЫЙ УНИВЕРСИТЕТ»

Институт цифрового развития

Кафедра компьютерной безопасности

ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ № 1

АДМИНИСТРАТИВНОЕ И ТЕХНИЧЕСКОЕ РЕГУЛИРОВАНИЕ В
ОБЛАСТИ ИБ.
по дисциплине
«Методы и стандарты оценки защищенности информационных
систем»

Выполнил студент группы ИНБ-22-1 Ковтун А.С.

(учебная группа)

Принял старший преподаватель кафедры КБ Чайка Е. А.

должность, звание, ученая степень

Лабораторная работа
«__»_______2022 г.
выполнена (подпись студента)

«Зачтено» «__»_______2022 г. (подпись

руководителя)
 Ставрополь 2022
Цель работы: получение навыков работы с национальными
российскими и международными стандартами в области обеспечения
информационной безопасности.
Выполнение индивидуального задания (Вариант 7):
1. Описать сущность и значение, назвать виды административного и
технического регулирования, в том числе в области ИБ (Лицензирование).
2. Описать сущность данного регулирования в области ИБ.
3. Указать цель в рамках данного регулирования в области ИБ.
4. Указать соответствующие НПА.
5. Охарактеризовать правосубъектность участников правовых
отношений в рамках данного регулирования в области ИБ.
6. Описать порядок действий при реализации данного регулирования
в области ИБ.
Выполнение:
Лицензирование - мероприятия, связанные с предоставлением
лицензий, переоформлением документов, подтверждающих наличие
лицензий, приостановлением и возобновлением действия лицензий,
аннулированием лицензий и контролем лицензирующих органов за
соблюдением лицензиатами при осуществлении лицензируемых видов
деятельности соответствующих лицензионных требований и условий.
Лицензирование деятельности в области защиты информации
представляет собой определенную форму государственного контроля, целью
которого является обеспечения допуска организаций, соответствующих
определенным требованиям и условиям, к осуществлению определенных
видов деятельности, а также повышение качества непосредственно
мероприятий и услуг по технической защите информации.
Регулируются:
- ФЗ О государственной тайне;
- ФЗ О лицензировании отдельных видов деятельности;
 - Положения о лицензировании по видам деятельности;
- Административные регламенты ФОИВ по оказанию
государственных услуг;
- Положения о системах сертификации средств ЗИ ФСБ России,
ФСТЭК России, Минобороны России;
- Нормативные технические документы согласно утвержденному
перечню.
Лицензия - специальное разрешение на осуществление конкретного
вида деятельности при обязательном соблюдении лицензионных требований
и условий, выданное лицензирующим органом юридическому лицу или
индивидуальному предпринимателю.
Деятельность по лицензированию в области защиты информации
выполняют ФСБ и ФСТЭК России.
В области лицензирования используются следующие основные
понятия:
- лицензирование - деятельность лицензирующих органов по
предоставлению, переоформлению лицензий, продлению срока действия
лицензий в случае, если ограничение срока действия лицензий
предусмотрено федеральными законами, осуществлению лицензионного
контроля, приостановлению, возобновлению, прекращению действия и
аннулированию лицензий, формированию и ведению реестра лицензий,
формированию государственного информационного ресурса, а также по
предоставлению в установленном порядке информации по вопросам
лицензирования;
- лицензия - специальное разрешение на право осуществления
юридическим лицом или индивидуальным предпринимателем конкретного
вида деятельности (выполнения работ, оказания услуг, составляющих
лицензируемый вид деятельности), которое подтверждается документом,
выданным лицензирующим органом на бумажном носителе или в форме
электронного документа, подписанного электронной подписью, в случае,
если в заявлении о предоставлении лицензии указывалось на необходимость
выдачи такого документа в форме электронного документа;
- лицензирующие органы - уполномоченные федеральные органы
исполнительной власти и (или) их территориальные органы, а в случае
передачи осуществления полномочий Российской Федерации в области
лицензирования органам государственной власти субъектов Российской
Федерации органы исполнительной власти субъектов Российской Федерации,
осуществляющие лицензирование;
- соискатель лицензии - юридическое лицо или индивидуальный
предприниматель, обратившиеся в лицензирующий орган с заявлением о
предоставлении лицензии;
- лицензиат - юридическое лицо или индивидуальный
предприниматель, имеющие лицензию;
- лицензионные требования - совокупность требований, которые
установлены положениями о лицензировании конкретных видов
деятельности, основаны на соответствующих требованиях законодательства
Российской Федерации и направлены на обеспечение достижения целей
лицензирования;
- место осуществления отдельного вида деятельности,
подлежащего лицензированию (далее - место осуществления лицензируемого
вида деятельности), - объект (помещение, здание, сооружение, иной объект),
который предназначен для осуществления лицензируемого вида деятельности
и (или) используется при его осуществлении, соответствует лицензионным
требованиям, принадлежит соискателю лицензии или лицензиату на праве
собственности либо ином законном основании, имеет почтовый адрес или
другие позволяющие идентифицировать объект данные. Место
осуществления лицензируемого вида деятельности может совпадать с местом
нахождения соискателя лицензии или лицензиата.
- конфиденциальная информация - информация, не содержащая
сведения, составляющие государственную тайну, но защищаемая в
соответствии с законодательством Российской Федерации
Лицензионные требования устанавливаются положениями о
лицензировании конкретных видов деятельности, утверждаемыми
Правительством Российской Федерации.
В области ИБ к ним относятся:
- работы со сведениями, составляющими государственную тайну;
- разработка, производство, распространение шифровальных
(криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с использованием
шифровальных (криптографических) средств, выполнение работ, оказание
услуг в области шифрования информации, техническое обслуживание
шифровальных (криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с использованием
шифровальных (криптографических) средств (за исключением случая, если
техническое обслуживание шифровальных (криптографических) средств,
информационных систем и телекоммуникационных систем, защищенных с
использованием шифровальных (криптографических) средств,
осуществляется для обеспечения собственных нужд юридического лица или
индивидуального предпринимателя);
- разработка, производство, реализация и приобретение в целях
продажи специальных технических средств, предназначенных для негласного
получения информации;
- деятельность по выявлению электронных устройств,
предназначенных для негласного получения информации (за исключением
случая, если указанная деятельность осуществляется для обеспечения
собственных нужд юридического лица или индивидуального
предпринимателя);
- разработка и производство средств защиты конфиденциальной
информации;
- деятельность по технической защите конфиденциальной
информации;
- деятельность по изготовлению экземпляров аудиовизуальных
произведений, программ для электронных вычислительных машин, баз
данных и фонограмм на любых видах носителей (за исключением случаев,
если указанная деятельность самостоятельно осуществляется лицами,
обладающими правами на использование данных объектов авторских и
смежных прав в силу федерального закона или договора).
Соответствующие НПА (Таблица 1).
Таблица 1 - Нормативный правовой акт
НПА Краткое содержание соответствующего положения НПА
ФЗ «О лицензировании отдельных видов Настоящий Федеральный закон регулирует отношения,
деятельности» возникающие между федеральными органами исполнительной
власти, органами исполнительной власти субъектов Российской
Федерации, юридическими лицами и индивидуальными
предпринимателями в связи с осуществлением лицензирования
отдельных видов деятельности.
ФЗ «О государственной тайне» Настоящий Федеральный закон регулирует отношения,
возникающие в связи с отнесением сведений к государственной
тайне, их засекречиванием или рассекречиванием и защитой в
интересах обеспечения безопасности Российской Федерации.
Положение «О лицензировании Определяет порядок лицензирования деятельности по разработке и
деятельности по разработке и производству средств защиты конфиденциальной информации (не
производству средств защиты содержащей сведения, составляющие государственную тайну, но
конфиденциальной информации» защищаемой в соответствии с законодательством Российской
Федерации), осуществляемой юридическими лицами и
индивидуальными предпринимателями.
Положение «О государственном Определяет порядок лицензирования деятельности по технической
лицензировании деятельности в области защите конфиденциальной информации (не содержащей сведения,
защиты информации» составляющие государственную тайну, но защищаемой в
соответствии с законодательством Российской Федерации),
осуществляемой юридическими лицами и индивидуальными
предпринимателями.
Положение «О лицензировании Устанавливает основные принципы, организационную структуру
деятельности по технической защите системы государственного лицензирования деятельности
конфиденциальной информации» юридических лиц - предприятий, организаций и учреждений (далее -
предприятий) независимо от их организационно-правовой формы по
защите информации, циркулирующей в технических средствах и
помещениях, а также порядок лицензирования и контроля за
деятельностью предприятий, получивших лицензию.
 Правосубъектность участников правовых отношений в рамках данного
регулирования в области ИБ (Таблица 2).
Таблица 2 - Правосубъектность участников правовых отношений
Управомоченный Правосубъектн Права Обязанный Действия,
субъект ость субъекта субъект осуществляемые в
управомоченно отношении
го лица управомоченного лица
I II III IV V
Подвластные ФЗ «О Права на получение Индивидуал Наделены полномочиями
субъекты лицензировани лицензии. ьные и обязанностям и
(Индивидуальные и отдельных Права лицензиата. предприним лицензиата.
предприниматели видов атели и
и юридические деятельности» юридически
лица) и другие НПА. е лица
Властные ФЗ «О Права на утверждение ФСБ, Наделены властными
субъекты (ФСБ, лицензировани положений о ФСТЭК полномочиями и
ФСТЭК) и отдельных лицензировании конкретных обязанностями по
видов видов деятельности, отношению к таким
деятельности» определение федеральных субъектам
и другие НПА. органов исполнительной лицензирования, как
власти, осуществляющих юридические лица и
лицензирование, индивидуальные
установление видов предприниматели.
деятельности,
лицензируемых органами
исполнительной власти
субъектов РФ.

Порядок действий при реализации данного регулирования в области

ИБ.
Лицензирующими органами в области защиты информации являются
ФСБ и ФСТЭК. В области технической защиты конфиденциальной
информации - ФСТЭК. Требования для получения лицензии
устанавливаются положениями о лицензировании конкретных видов
деятельности, утверждаемыми Правительством РФ. Лицензирование в
области технической защиты конфиденциальной информации
осуществляется на основании «Положения о лицензировании
деятельности по технической защите конфиденциальной информации» от
03.02.2012.
Для получения лицензии соискатель отправляет в ФСТЭК:
1. заявление;
 2. копии документов, подтверждающих необходимую
квалификацию у сотрудников;
3. копии правоустанавливающих документов на помещения,
предназначенные для осуществления лицензируемого вида деятельности,
права на которые не зарегистрированы в Едином государственном реестре
прав на недвижимое имущество и сделок с ним (в случае, если такие права
зарегистрированы в указанном реестре, - сведения об этих помещениях);
4. копии технических паспортов и аттестатов соответствия
защищаемых помещений требованиям безопасности информации;
5. копии технических паспортов автоматизированных систем,
предназначенных для хранения и обработки конфиденциальной информации
(с приложениями), актов классификации автоматизированных систем по
требованиям безопасности информации, планов размещения основных и
вспомогательных технических средств и систем, аттестатов соответствия
автоматизированных систем требованиям безопасности информации или
сертификатов соответствия автоматизированных систем требованиям
безопасности информации, а также перечень защищаемых в
автоматизированных системах ресурсов, описание технологического
процесса обработки информации в автоматизированных системах;
6. копии документов, подтверждающих право соискателя лицензии
на программы для электронно-вычислительных машин и базы данных,
планируемые к использованию при осуществлении лицензируемого вида
деятельности;
7. документы, содержащие сведения о наличии контрольно-
измерительного, производственного и испытательного оборудования, средств
защиты информации и средств контроля защищенности информации,
необходимых для осуществления лицензируемого вида деятельности, с
приложением копий документов о поверке (калибровке) и маркировании
контрольно-измерительного оборудования, а также документов,
подтверждающих права соискателя лицензии на использование указанного
оборудования, средств защиты информации и средств контроля
защищенности информации;
8. документы, содержащие сведения об имеющихся технической и
технологической документации, национальных стандартах и методических
документах, необходимых для выполнения работ и (или) оказания услуг,
предусмотренных пунктом 4 настоящего Положения, с приложением копий
документов, подтверждающих, что документы, содержащие информацию
ограниченного доступа, получены в установленном законодательством
Российской Федерации порядке;
9. если лицензируемый вид деятельности - «услуги по мониторингу
информационной безопасности средств и систем информатизации»- копии
документов, подтверждающих наличие необходимой системы
производственного контроля в соответствии с установленными стандартами.
Лицензионный контроль также осуществляет ФСТЭК в соответствии с
Федеральным законом «О защите прав юридических лиц и индивидуальных
предпринимателей при осуществлении государственного контроля (надзора)
и муниципального контроля» и статьей 19 Федерального закона «О
лицензировании отдельных видов деятельности».
Следует отметить, что если трактовать ФЗ «О лицензировании
отдельных видов деятельности» буквально, то лицензия нужна всем
организациям, которые пытаются защитить свою информацию. По этому
поводу в 2012 г. было много дискуссий и вопросов к регулятору. Результатом
стало информационное сообщение ФСТЭК от 30 мая 2012 г. N 240/22/2222:
Таким образом, если ТКЗИ не приносит прибыли и не направлена на
достижение целей деятельности, предусмотренных в учредительных
документах, лицензия на ТКЗИ не нужна. Если же юридическое лицо
оказывает услуги или выполняет работы по ТКЗИ - то получение лицензии
является обязательным в соответствии с ФЗ «О лицензировании отдельных
видов деятельности» и Гражданским кодексом РФ.
 В области технической защиты конфиденциальной информации
ФСТЭК также осуществляет лицензирование деятельности по разработке
и(или) производству средств защиты конфиденциальной информации в
соответствии с Постановлением Правительства РФ от 3 марта 2012 г. N 171
«О лицензировании деятельности по разработке и производству средств
защиты конфиденциальной информации».
Контрольный вопрос:
1. Охарактеризуйте вертикальную структуру информационного
законодательства.
Информационное законодательство - это совокупность норм права,
регулирующих общественные отношения в информационной сфере.
Предметом правового регулирования в информационной сфере
являются:
- создание и распространение информации;
- формирование информационных ресурсов;
- реализация права на поиск, получение, передачу и потребление
информации;
- создание и применение информационных систем и технологий;
- создание и применение средств информационной безопасности.
Формирование законодательства в области информационного права в
России началось, в основном, со времени появления "Концепции правовой
информатизации России", утвержденной Указом Президента РФ от 28.06.93
г. № 966. В основе информационного законодательства находится свобода
информации и запретительный принцип права (все, что не запрещено
законом - разрешено). Это закреплено в основных как международных, так и
российских правовых документах, например, в ст. 3 Всеобщей декларации
прав человека от 10.12.48 г. и в ст. 29 Конституции РФ, принятой 12.12.93 г.
В целях реализации этих прав и свобод принимаемые законодательные акты
устанавливают гарантии, обязанности, механизмы защиты и ответственность.
Информационное законодательство имеет вертикальную (по видам правовых
актов) и горизонтальную (по отраслям законодательства) структуру.
Вертикальная структура строится исходя из принципа "верховенства закона":
нормы вышестоящего по иерархии акта обладают более высокой
юридической силой и являются определяющими для соответствующих норм
всех нижестоящих актов (Рисунок 1).

Рисунок 1 - Иерархия правовых актов РФ

В информационном законодательстве пока еще имеется большое

количество не урегулированных правом отношений, т.е. пробелов. А
поскольку создание федеральных законов, ликвидирующих эти пробелы,
требует значительного времени, органы исполнительной власти РФ и ее
субъектов нередко принимают правовые акты для урегулирования
соответствующих отношений до принятия необходимых законов.

Вывод: в данной лабораторной работе успешно описаны сущность,

значение и виды регулирования в области лицензирования с точки зрения
ИБ.