Об утверждении положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия от 13 ноября 1999 –

Об утверждении положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия от 13 ноября 1999 - Сертификаты

приказ фсб россии от 29.12.2020 n 641 "об утверждении административного регламента федеральной службы безопасности российской федерации по предоставлению государственной услуги по лицензированию деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем,…" | гарант

Административный регламент
Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по лицензированию деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)

I. Общие положения

Предмет регулирования регламента

1. Административный регламент Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по лицензированию деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) 1 определяет сроки и последовательность административных процедур (действий) при предоставлении Центром по лицензированию, сертификации и защите государственной тайны ФСБ России и территориальными органами безопасности (за исключением Управления ФСБ России по городу Москве и Московской области) 2 государственной услуги по лицензированию деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) 3, а также порядок взаимодействия лицензирующих органов с юридическими лицами, индивидуальными предпринимателями, их уполномоченными представителями, иными органами государственной власти и органами местного самоуправления, учреждениями и организациями в процессе предоставления государственной услуги.

------------------------------

1 Далее – Регламент.

2 Далее – лицензирующие органы.

3 Далее – государственная услуга, если не оговорено иное.

------------------------------

Круг заявителей

2. Заявителями при предоставлении государственной услуги являются юридические лица и индивидуальные предприниматели, планирующие осуществлять (осуществляющие) деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) 1.

------------------------------

1 Далее – заявители.

------------------------------

3. В случае, если результатом предоставления государственной услуги является получение сведений о конкретной лицензии, предоставляемых в соответствии со статьей 21 Федерального закона от 4 мая 2021 г. N 99-ФЗ “О лицензировании отдельных видов деятельности” 2, заявителями являются юридические лица, индивидуальные предприниматели или физические лица.

------------------------------

2 Собрание законодательства Российской Федерации, 2021, N 19, ст. 2716; 2020, N 31, ст. 5029. Далее – Федеральный закон N 99-ФЗ.

------------------------------

Требования к порядку информирования о предоставлении государственной услуги

4. Информирование по вопросам предоставления государственной услуги осуществляется посредством федеральной государственной информационной системы “Федеральный реестр государственных и муниципальных услуг (функций)” 1, федеральной государственной информационной системы “Единый портал государственных и муниципальных услуг (функций)” 2, официального сайта ФСБ России в информационно-телекоммуникационной сети “Интернет” 3, информационных стендов, расположенных в помещениях лицензирующих органов, услуг почтовой связи, консультирования по телефону и при личном приеме.

------------------------------

1 Далее – Федеральный реестр.

2 Далее – Единый портал.

3 Далее – сайт ФСБ России.

------------------------------

На Едином портале и сайте ФСБ России размещается следующая информация:

исчерпывающий перечень документов, необходимых для предоставления государственной услуги, требования к оформлению указанных документов;

перечень документов, которые заявитель вправе представить по собственной инициативе при обращении за получением государственной услуги;

круг заявителей;

сроки предоставления государственной услуги;

результаты предоставления государственной услуги, порядок предоставления документа, являющегося результатом предоставления государственной услуги;

перечень нормативных правовых актов, регулирующих предоставление государственной услуги;

размер государственной пошлины либо платы, взимаемой за предоставление государственной услуги;

исчерпывающий перечень оснований для приостановления или отказа в предоставлении государственной услуги;

сведения о лицензирующих органах, об их местах нахождения, о графиках работы, об адресах сайта ФСБ России и лицензирующих органов, электронной почты для направления в лицензирующие органы обращений в электронной форме по вопросам предоставления государственной услуги, о справочных телефонах лицензирующих органов 1;

------------------------------

1 Далее – справочная информация.

------------------------------

о праве заявителя на досудебное (внесудебное) обжалование действий (бездействия) и решений, принятых (осуществляемых) в ходе предоставления государственной услуги.

Информация на Едином портале и сайте ФСБ России о порядке предоставления государственной услуги на основании сведений, содержащихся в Федеральном реестре, предоставляется заявителю бесплатно.

Доступ к информации о порядке предоставления государственной услуги осуществляется без выполнения заявителем каких-либо требований, в том числе без использования программного обеспечения, установка которого на технические средства заявителя требует заключения лицензионного или иного соглашения с правообладателем программного обеспечения, предусматривающего взимание платы, регистрацию или авторизацию заявителя или предоставление им персональных данных.

5. Возможность получения сведений о ходе предоставления государственной услуги с использованием Единого портала и сайта ФСБ России не предусмотрена.

II. Стандарт предоставления государственной услуги

Наименование государственной услуги

8. Государственная услуга по лицензированию деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) 1.

------------------------------

1 Далее – деятельность, связанная с шифровальными (криптографическими) средствами.

------------------------------

Наименование органа, предоставляющего государственную услугу

9. Государственная услуга предоставляется Федеральной службой безопасности Российской Федерации.

10. Центр по лицензированию, сертификации и защите государственной тайны ФСБ России предоставляет государственную услугу заявителям, зарегистрированным на территории города Москвы и Московской области, планирующим осуществлять (осуществляющим) выполнение работ, оказание услуг, определенных перечнем выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств 1, являющимся приложением к Положению о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), утвержденному постановлением Правительства Российской Федерации от 16 апреля 2021 г. N 313 2, а также заявителям, зарегистрированным на территории иных субъектов Российской Федерации, планирующим осуществлять (осуществляющим) выполнение работ, оказание услуг, определенных пунктами 1,4 – 6 и 10 перечня.

------------------------------

1 Далее – перечень.

2 Далее – Положение.

------------------------------

11. Территориальные органы безопасности предоставляют государственную услугу заявителям, зарегистрированным на территории соответствующего субъекта Российской Федерации, планирующим осуществлять (осуществляющим) выполнение работ, оказание услуг, определенных пунктами 2, 3, 7 – 9, 11 – 28 перечня.

12. Запрещается требовать от заявителя осуществления действий, в том числе согласований, необходимых для получения государственной услуги и связанных с обращением в иные государственные органы и организации, за исключением получения услуг, включенных в перечень услуг, которые являются необходимыми и обязательными для предоставления федеральными органами исполнительной власти, Государственной корпорацией по атомной энергии “Росатом” государственных услуг и предоставляются организациями, участвующими в предоставлении государственных услуг, утвержденный постановлением Правительства Российской Федерации от 6 мая 2021 г. N 352 1.

------------------------------

1 Собрание законодательства Российской Федерации, 2021, N 20, ст. 2829; 2020, N 1, ст. 51.

------------------------------

Срок предоставления государственной услуги, в том числе с учетом необходимости обращения в организации, участвующие в предоставлении государственной услуги, срок приостановления предоставления государственной услуги в случае, если возможность приостановления предусмотрена законодательством Российской Федерации, срок выдачи (направления) документов, являющихся результатом предоставления государственной услуги

15. Решение о переоформлении (об отказе в переоформлении) лицензии при реорганизации юридических лиц в форме слияния, юридического лица в форме преобразования, изменения его наименования, адреса места нахождения, а также в случаях изменения места жительства, фамилии, имени и отчества (в случае, если имеется) индивидуального предпринимателя, реквизитов документа, удостоверяющего его личность, принимается в срок, не превышающий 10 рабочих дней со дня приема лицензирующим органом надлежащим образом оформленного заявления о переоформлении лицензии и документов заявителя в полном объеме.

16. Решение о переоформлении (об отказе в переоформлении) лицензии при намерении заявителя осуществлять лицензируемый вид деятельности по адресу места осуществления, не указанному в лицензии, либо внести изменения в предусмотренный лицензией перечень выполняемых работ и оказываемых услуг, составляющих лицензируемый вид деятельности, принимается в срок, не превышающий 30 рабочих дней со дня приема лицензирующим органом надлежащим образом оформленного заявления о переоформлении лицензии и документов заявителя в полном объеме.

18. Решение о прекращении действия лицензии принимается в течение 10 рабочих дней со дня получения лицензирующим органом заявления о прекращении лицензируемого вида деятельности.

19. Предоставление сведений о конкретной лицензии в виде выписки из реестра лицензий либо копии приказа лицензирующего органа о принятом решении, либо справки об отсутствии запрашиваемых сведений осуществляется в течение 3 рабочих дней с момента получения лицензирующим органом заявления о предоставлении таких сведений.

20. Направление уведомления о предоставлении (переоформлении) лицензии, уведомления о прекращении действия лицензии, являющихся результатами предоставления государственной услуги, осуществляется в течение 3 рабочих дней со дня принятия соответствующего решения.

Исчерпывающий перечень документов, необходимых в соответствии с нормативными правовыми актами для предоставления государственной услуги и услуг, которые являются необходимыми и обязательными для предоставления государственной услуги, подлежащих представлению заявителем, способы их получения заявителем, в том числе в электронной форме, порядок их представления

23. Для получения лицензии заявитель направляет или представляет в лицензирующий орган заявление о предоставлении лицензии (формы приведены в приложениях N 1 и 2 к Регламенту).

24. К заявлению о предоставлении лицензии прилагаются 1:

------------------------------

1Пункт 7 Положения.

------------------------------

а) копии правоустанавливающих документов на помещения, здания, сооружения и иные объекты по месту осуществления лицензируемой деятельности, права на которые не зарегистрированы в Едином государственном реестре недвижимости;

б) копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом от 27 июля 2006 г. N 149-ФЗ “Об информации, информационных технологиях и о защите информации” 1;

------------------------------

1 Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2020, N 24, ст. 3751.

------------------------------

в) копии документов, подтверждающих нахождение в штате заявителя на основной работе сотрудников, определенных подпунктом “д” пункта 6 Положения;

г) копии документов государственного образца (дипломы, аттестаты, свидетельства) об образовании, о переподготовке, повышении квалификации по направлению “Информационная безопасность” в соответствии с Общероссийским классификатором специальностей сотрудников, определенных подпунктом “д” пункта 6 Положения;

е) копии должностных инструкций сотрудников, определенных подпунктом “д” пункта 6 Положения;

ж) копии документов, подтверждающих наличие у заявителя приборов и оборудования, прошедших поверку и калибровку в соответствии с Федеральным законом от 26 июня 2008 г. N 102-ФЗ “Об обеспечении единства измерений” 3, принадлежащих ему на праве собственности или ином законном основании и необходимых для выполнения работ и оказания услуг, указанных в пунктах 1 – 11, 16 – 19 перечня;

------------------------------

3 Собрание законодательства Российской Федерации, 2008, N 26, ст. 3021; 2021, N 52, ст. 7814.

------------------------------

з) сведения о документах, подтверждающих право собственности или иное законное основание на владение и использование помещений, зданий, сооружений и иных объектов по месту осуществления лицензируемой деятельности, права на которые зарегистрированы в Едином государственном реестре недвижимости;

и) сведения о документе, подтверждающем наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом от 27 июля 2006 г. N 149-ФЗ “Об информации, информационных технологиях и о защите информации”;

к) сведения о документе, подтверждающем наличие допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну (при выполнении работ и оказании услуг, указанных в пунктах 1, 4 – 6, 16 и 19 перечня).

25. Для переоформления лицензии заявитель направляет или представляет в лицензирующий орган заявление о переоформлении лицензии (формы приведены в приложениях N 3 и 4 к Регламенту), в котором в случае:

25.1. Реорганизации юридического лица в форме преобразования, реорганизации юридических лиц в форме слияния (только при условии наличия у каждого участвующего в слиянии юридического лица на дату государственной регистрации правопреемника реорганизованных юридических лиц лицензии на один и тот же вид деятельности в соответствии с частью 6 статьи 18 Федерального закона N 99-ФЗ) дополнительно указываются новые сведения о заявителе или его правопреемнике, предусмотренные частью 1 статьи 13 Федерального закона N 99-ФЗ, и данные документа, подтверждающего факт внесения соответствующих изменений в единый государственный реестр юридических лиц.

25.2. Изменения наименования юридического лица или места его нахождения, а также в случаях изменения места жительства, фамилии, имени и отчества (в случае, если имеется) индивидуального предпринимателя, реквизитов документа, удостоверяющего его личность, указываются новые сведения о заявителе и данные документа, подтверждающего факт внесения соответствующих изменений в единый государственный реестр юридических лиц (для заявителя – юридического лица) или в единый государственный реестр индивидуальных предпринимателей (для заявителя – индивидуального предпринимателя).

25.3. Намерения заявителя внести изменения в предусмотренный лицензией перечень выполняемых работ (оказываемых услуг) указываются сведения о работах (об услугах), которые заявитель намерен выполнять (оказывать), а также к заявлению прилагаются 1:

------------------------------

1Пункт 10 Положения.

------------------------------

а) сведения о документах, подтверждающих право собственности или иное законное основание на владение и использование помещений, зданий, сооружений и иных объектов по месту осуществления лицензируемой деятельности;

б) сведения о документе, подтверждающем наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом от 27 июля 2006 г. N 149-ФЗ “Об информации, информационных технологиях и о защите информации”;

в) сведения о документах государственного образца (дипломы, аттестаты, свидетельства) об образовании, о переподготовке, повышении квалификации по направлению “Информационная безопасность” в соответствии с Общероссийским классификатором специальностей сотрудников, определенных подпунктом “д” пункта 6 Положения;

г) сведения о стаже работы в области информационной безопасности сотрудников, определенных подпунктом “д” пункта 6 Положения;

д) сведения о должностных инструкциях сотрудников, определенных подпунктом “д” пункта 6 Положения;

е) сведения о документах, подтверждающих наличие у заявителя приборов и оборудования, прошедших поверку и калибровку в соответствии с Федеральным законом от 26 июня 2008 г. N 102-ФЗ “Об обеспечении единства измерений”, принадлежащих ему на праве собственности или ином законном основании и необходимых для выполнения работ и оказания услуг, указанных в пунктах 1 – 11, 16 – 19 перечня;

ж) сведения о документе, подтверждающем наличие допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну, при выполнении работ и оказании услуг, указанных в пунктах 1,4 – 6, 16 и 19 перечня.

25.4. Намерения заявителя осуществлять лицензируемый вид деятельности по адресу места его осуществления, не предусмотренному лицензией, указывается этот адрес, и к заявлению прилагаются 1:

------------------------------

1Пункт 9 Положения.

------------------------------

а) сведения о документах, подтверждающих право собственности или иное законное основание на владение и использование помещений, зданий, сооружений и иных объектов по месту осуществления лицензируемой деятельности;

б) сведения о документе, подтверждающем наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом от 27 июля 2006 г. N 149-ФЗ “Об информации, информационных технологиях и о защите информации”;

в) сведения о документе, подтверждающем наличие допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну (при выполнении работ и оказании услуг, указанных в пунктах 1, 4 – 6, 16 и 19 перечня).

25.5. Прекращения лицензируемого вида деятельности по одному адресу или нескольким адресам мест его осуществления, указанным в лицензии, указываются адреса, по которым прекращена деятельность, и дата, с которой фактически она прекращена.

26. Для прекращения действия лицензии заявитель направляет или представляет в лицензирующий орган заявление о прекращении лицензируемого вида деятельности (формы приведены в приложениях N 5 и 6 к Регламенту).

27. Для получения сведений о конкретной лицензии заявитель направляет в лицензирующий орган заявление о предоставлении сведений о конкретной лицензии (форма приведена в приложении N 7 к Регламенту).

Исчерпывающий перечень документов, необходимых в соответствии с нормативными правовыми актами для предоставления государственной услуги, которые находятся в распоряжении государственных органов, органов местного самоуправления и иных органов, участвующих в предоставлении государственной услуги, и которые заявитель вправе представить, а также способы их получения заявителями, в том числе в электронной форме, порядок их представления

29. Заявитель вправе представить по собственной инициативе следующие документы, необходимые в соответствии с нормативными правовыми актами для предоставления государственной услуги, которые находятся в распоряжении государственных органов, органов местного самоуправления и иных органов, участвующих в предоставлении государственной услуги:

выписку из единого государственного реестра юридических лиц (для заявителя – юридического лица), единого государственного реестра индивидуальных предпринимателей (для заявителя – индивидуального предпринимателя), предоставляемую в соответствии со статьей 6 Федерального закона от 8 августа 2001 г. N 129-ФЗ “О государственной регистрации юридических лиц и индивидуальных предпринимателей” 1;

------------------------------

1 Собрание законодательства Российской Федерации, 2001, N 33, ст. 3431; 2021, N 48, ст. 6739.

------------------------------

документ, подтверждающий факт уплаты государственной пошлины за предоставление государственной услуги, платы за предоставление выписки из реестра лицензий на бумажном носителе;

выписку из Единого государственного реестра недвижимости об основных характеристиках и зарегистрированных правах на объект недвижимости, предоставляемую в соответствии со статьей 62 Федерального закона от 13 июля 2021 г. N 218-ФЗ “О государственной регистрации недвижимости” 2.

------------------------------

2 Собрание законодательства Российской Федерации, 2021, N 29, ст. 4344; 2020, N 22, ст. 3384.

------------------------------

30. Лицензирующий орган запрашивает подтверждение достоверности документов, указанных в пункте 29 Регламента и представленных заявителем, у соответствующих государственных органов посредством межведомственного электронного взаимодействия.

31. Непредставление заявителем указанных в пункте 29 Регламента документов не является основанием для отказа заявителю в предоставлении государственной услуги.

32. При предоставлении государственной услуги запрещается требовать от заявителя:

представления документов и информации или осуществления действий, представление или осуществление которых не предусмотрено нормативными правовыми актами, регулирующими отношения, возникающие в связи с предоставлением государственной услуги;

представления документов и информации, которые в соответствии с нормативными правовыми актами Российской Федерации, нормативными правовыми актами субъектов Российской Федерации и муниципальными правовыми актами находятся в распоряжении государственных органов, предоставляющих государственную услугу, иных государственных органов, органов местного самоуправления и (или) подведомственных государственным органам и органам местного самоуправления организаций, участвующих в предоставлении государственной услуги, за исключением документов, указанных в части 6 статьи 7 Федерального закона от 27 июля 2021 г. N 210-ФЗ “Об организации предоставления государственных и муниципальных услуг” 1;

------------------------------

1 Собрание законодательства Российской Федерации, 2021, N 31, ст. 4179; 2020, N 31, ст. 5027. Далее – Федеральный закон N 210-ФЗ.

------------------------------

представления документов и информации, отсутствие и (или) недостоверность которых не указывались при первоначальном отказе в приеме документов, необходимых для предоставления государственной услуги, либо в предоставлении государственной услуги, за исключением случаев, предусмотренных пунктом 4 части 1 статьи 7 Федерального закона N 210-ФЗ.

Перечень услуг, которые являются необходимыми и обязательными для предоставления государственной услуги, в том числе сведения о документе (документах), выдаваемом (выдаваемых) организациями, участвующими в предоставлении государственной услуги

Порядок, размер и основания взимания государственной пошлины или иной платы, взимаемой за предоставление государственной услуги

Порядок, размер и основания взимания платы за предоставление услуг, которые являются необходимыми и обязательными для предоставления государственной услуги, включая информацию о методике расчета размера такой платы

Максимальный срок ожидания в очереди при подаче запроса о предоставлении государственной услуги, услуги, предоставляемой организацией, участвующей в предоставлении государственной услуги, и при получении результата предоставления таких услуг

Срок и порядок регистрации запроса заявителя о предоставлении государственной услуги и услуги, предоставляемой организацией, участвующей в предоставлении государственной услуги, в том числе в электронной форме

43. Поступившее заявление и документы заявителя, в том числе в электронной форме, регистрируются не позднее 1 рабочего дня, следующего за днем их приема лицензирующим органом.

Требования к помещениям, в которых предоставляется государственная услуга, к залу ожидания, местам для заполнения запросов о предоставлении государственной услуги, информационным стендам с образцами их заполнения и перечнем документов, необходимых для предоставления каждой государственной услуги, размещению и оформлению визуальной, текстовой и мультимедийной информации о порядке предоставления такой услуги, в том числе к обеспечению доступности для инвалидов указанных объектов в соответствии с законодательством Российской Федерации о социальной защите инвалидов

45. Предоставление государственной услуги осуществляется в специально предназначенных для этих целей помещениях лицензирующих органов, оборудованных с учетом условий обслуживания заявителей-инвалидов 1.

------------------------------

1 Далее – помещения.

------------------------------

В соответствии со статьей 15 Федерального закона от 24 ноября 1995 г. N 181-ФЗ “О социальной защите инвалидов в Российской Федерации” 2 инвалидам (включая инвалидов, использующих кресла-коляски и собак-проводников) обеспечиваются:

------------------------------

2 Собрание законодательства Российской Федерации, 1995, N 48, ст. 4563; 2021, N 29, ст. 3851.

------------------------------

условия для беспрепятственного доступа в помещения;

возможность самостоятельного передвижения по территории, на которой расположены помещения, а также входа в помещения и выхода из них, посадки в транспортное средство и высадки из него, в том числе с использованием кресла-коляски;

возможность сопровождения инвалидов, имеющих стойкие расстройства функции зрения и самостоятельного передвижения;

условия по надлежащему размещению оборудования и носителей информации, необходимых для обеспечения беспрепятственного доступа инвалидов с учетом ограничений их жизнедеятельности;

возможность дублирования необходимой для инвалидов звуковой и зрительной информации, а также надписей, знаков и иной текстовой и графической информации знаками, выполненными рельефно-точечным шрифтом Брайля, допуска сурдопереводчика и тифлосурдопереводчика;

возможность допуска в помещения собаки-проводника;

помощь инвалидам в преодолении барьеров, мешающих получению ими услуг наравне с другими заявителями.

46. Помещения должны быть оснащены стульями (кресельными секциями, креслами) для заявителей. Количество мест в помещении определяется исходя из фактической нагрузки и возможностей для их размещения.

47. В местах для заполнения заявлений выделяется место для раскладки документов, предусматривающее столы (стойки) с бумагой и канцелярскими принадлежностями.

48. Помещения оборудуются информационными стендами, на которых размещаются образец заполнения заявления, перечень документов, необходимых для предоставления государственной услуги, и справочная информация.

Показатели доступности и качества государственной услуги, в том числе количество взаимодействий заявителя с должностными лицами при предоставлении государственной услуги и их продолжительность, возможность получения информации о ходе предоставления государственной услуги, в том числе с использованием информационно-коммуникационных технологий, возможность либо невозможность получения государственной услуги в многофункциональном центре предоставления государственных и муниципальных услуг (в том числе в полном объеме), в любом территориальном подразделении органа, предоставляющего государственную услугу, по выбору заявителя (экстерриториальный принцип) посредством запроса о предоставлении нескольких государственных и (или) муниципальных услуг в многофункциональных центрах предоставления государственных и муниципальных услуг, предусмотренного статьей 15.1 Федерального закона N 210-ФЗ

54. Продолжительность одного взаимодействия заявителя с уполномоченными должностными лицами лицензирующего органа при предоставлении государственной услуги не превышает 15 минут.

Иные требования, в том числе учитывающие особенности предоставления государственной услуги по экстерриториальному принципу (в случае, если государственная услуга предоставляется по экстерриториальному принципу) и особенности предоставления государственной услуги в электронной форме

III. Состав, последовательность и сроки выполнения административных процедур (действий), требования к порядку их выполнения, в том числе особенности выполнения административных процедур (действий) в электронной форме

Прием и регистрация заявления и документов заявителя

58. Основанием для начала административной процедуры является прием лицензирующим органом заявления и документов заявителя или поступление в лицензирующий орган заявления в электронной форме и прикрепленных к нему электронных образов документов заявителя.

60. Заявление и документы заявителя принимаются лицензирующим органом по описи, копия которой с отметкой о дате приема указанных заявления и документов заявителя в день приема вручается заявителю, направляется ему заказным почтовым отправлением с уведомлением о вручении либо в форме электронного документа, подписанного усиленной квалифицированной электронной подписью.

Про сертификаты:  Что такое номер ИМО?

62. Заявление и документы заявителя, представленные непосредственно в лицензирующий орган, подлежат приему и регистрации в течение 1 рабочего дня.

63. Заявление и документы заявителя, направленные посредством почтового отправления, регистрируются в течение 1 рабочего дня со дня их поступления в лицензирующий орган.

65. Результатом административной процедуры является регистрация заявления и документов заявителя.

Формирование и направление межведомственных запросов о предоставлении сведений, необходимых для предоставления государственной услуги, в государственные органы, в распоряжении которых эти сведения находятся

73. Основанием для начала административной процедуры является непредставление заявителем по собственной инициативе документов, указанных в пункте 29 Регламента.

74. В случае непредставления заявителем по собственной инициативе документов, указанных в пункте 29 Регламента, исполнитель осуществляет формирование и направление межведомственных запросов.

75. Формирование и направление межведомственных запросов о представлении документов и (или) информации, необходимых для предоставления государственной услуги, в том числе с использованием единой системы межведомственного электронного взаимодействия и подключаемых к ней региональных систем межведомственного электронного взаимодействия, осуществляется в соответствии с требованиями статей 7.1 и 7.2 Федерального закона N 210-ФЗ.

Предоставление (отказ в предоставлении) лицензии

77. Основанием для начала административной процедуры является получение исполнителем надлежащим образом оформленного заявления о предоставлении лицензии и документов заявителя в полном объеме.

78. В отношении заявителя, представившего заявление о предоставлении лицензии, лицензирующим органом проводятся внеплановые проверки без согласования с органом прокуратуры.

79. Если в заявлении о предоставлении лицензии заявитель указывает адреса мест осуществления лицензируемого вида деятельности, которые располагаются за пределами границ деятельности лицензирующего органа, исполнителем готовятся поручения о проведении проверок, которые направляются в территориальные органы безопасности, в пределах границ деятельности которых находятся указанные места осуществления лицензируемого вида деятельности.

80. Проверка соответствия заявителя лицензионным требованиям, установленным пунктом 6 Положения, осуществляется сотрудниками лицензирующего органа в соответствии с приказом лицензирующего органа о проведении проверки.

81. По результатам проведения проверки исполнителем составляется акт с выводом о соответствии (несоответствии) заявителя лицензионным требованиям, готовится проект приказа лицензирующего органа о предоставлении (об отказе в предоставлении) лицензии.

82. Факт предоставления лицензии подтверждается внесением записи в реестр лицензий. В течение 3 рабочих дней после дня внесения записи о предоставлении лицензии в реестр лицензий исполнитель направляет уведомление о предоставлении лицензии заявителю по его выбору в форме электронного документа, подписанного усиленной квалифицированной электронной подписью, либо на бумажном носителе заказным почтовым отправлением с уведомлением о вручении.

83. Если в заявлении о предоставлении лицензии заявитель указал на необходимость получения выписки из реестра лицензий в форме электронного документа, лицензирующий орган одновременно с направлением уведомления о предоставлении лицензии направляет заявителю выписку из реестра лицензий в форме электронного документа, подписанного усиленной квалифицированной электронной подписью.

84. Если в заявлении о предоставлении лицензии заявитель указал на необходимость получения выписки из реестра лицензий на бумажном носителе, лицензирующий орган одновременно с направлением уведомления о предоставлении лицензии направляет заявителю выписку из реестра лицензий заказным почтовым отправлением с уведомлением о вручении.

85. На выписку из реестра лицензий наносится двухмерный штриховой код, который содержит в кодированном виде адрес страницы в информационно-телекоммуникационной сети “Интернет” с размещенными на ней записями в реестре лицензий, содержащими сведения о предоставленной лицензии.

86. В случае принятия решения об отказе в предоставлении лицензии исполнитель готовит заявителю уведомление об отказе в предоставлении лицензии с мотивированным обоснованием причин отказа и со ссылкой на конкретные положения нормативных правовых актов и иных документов, являющихся основанием такого отказа. Если причиной отказа является установленное в ходе проверки несоответствие заявителя лицензионным требованиям, установленным пунктом 6 Положения, в уведомлении об отказе указываются реквизиты акта проверки.

87. В течение 3 рабочих дней после дня принятия решения об отказе в предоставлении лицензии исполнитель направляет заявителю уведомление об отказе в предоставлении лицензии по его выбору в форме электронного документа, подписанного усиленной квалифицированной электронной подписью, либо на бумажном носителе заказным почтовым отправлением с уведомлением о вручении.

88. Результатом административной процедуры является принятие лицензирующим органом решения о предоставлении (об отказе в предоставлении) лицензии, направление заявителю уведомления о предоставлении лицензии и (по желанию заявителя) выписки из реестра лицензий либо уведомления об отказе в предоставлении лицензии.

Переоформление (отказ в переоформлении) лицензии

90. Основанием для начала административной процедуры является получение исполнителем надлежащим образом оформленного заявления о переоформлении лицензии и документов заявителя в полном объеме.

91. В отношении заявителя, представившего заявление о переоформлении лицензии, лицензирующим органом проводятся внеплановые проверки без согласования с органом прокуратуры.

92. Если в заявлении о переоформлении лицензии заявитель указывает адреса мест осуществления лицензируемого вида деятельности, которые располагаются за пределами границ деятельности лицензирующего органа, исполнителем готовятся поручения о проведении проверок, которые направляются в территориальные органы безопасности, в пределах границ деятельности которых находятся указанные места осуществления лицензируемого вида деятельности.

93. Проверка соответствия заявителя лицензионным требованиям, установленным пунктом 6 Положения, осуществляется сотрудниками лицензирующего органа в соответствии с приказом лицензирующего органа о проведении проверки.

94. По результатам проведения проверки исполнителем составляется акт с выводом о соответствии (несоответствии) заявителя лицензионным требованиям, готовится проект приказа лицензирующего органа о переоформлении (об отказе в переоформлении) лицензии.

95. Факт переоформления лицензии подтверждается внесением записи в реестр лицензий. В течение 3 рабочих дней после дня внесения записи о переоформлении лицензии в реестр лицензий исполнитель направляет уведомление о переоформлении лицензии заявителю по его выбору в форме электронного документа, подписанного усиленной квалифицированной электронной подписью, либо на бумажном носителе заказным почтовым отправлением с уведомлением о вручении.

96. Если в заявлении о переоформлении лицензии заявитель указал на необходимость получения выписки из реестра лицензий в форме электронного документа, лицензирующий орган одновременно с направлением уведомления о переоформлении лицензии направляет заявителю выписку из реестра лицензий в форме электронного документа, подписанного усиленной квалифицированной электронной подписью.

97. Если в заявлении о переоформлении лицензии заявитель указал на необходимость получения выписки из реестра лицензий на бумажном носителе, лицензирующий орган одновременно с направлением уведомления о переоформлении лицензии направляет заявителю выписку из реестра лицензий заказным почтовым отправлением с уведомлением о вручении.

98. В случае принятия решения об отказе в переоформлении лицензии исполнитель готовит заявителю уведомление об отказе в переоформлении лицензии с мотивированным обоснованием причин отказа и со ссылкой на конкретные положения нормативных правовых актов и иных документов, являющихся основанием такого отказа. Если причиной отказа является установленное в ходе проверки несоответствие заявителя лицензионным требованиям, установленным пунктом 6 Положения, в уведомлении об отказе указываются реквизиты акта проверки.

99. В течение 3 рабочих дней после дня принятия решения об отказе в предоставлении лицензии исполнитель направляет заявителю уведомление об отказе в предоставлении лицензии заявителю по его выбору в форме электронного документа, подписанного усиленной квалифицированной электронной подписью, либо на бумажном носителе заказным почтовым отправлением с уведомлением о вручении.

100. Результатом административной процедуры является принятие лицензирующим органом решения о переоформлении (об отказе в переоформлении) лицензии и направление заявителю уведомления о переоформлении лицензии и (по желанию заявителя) выписки из реестра лицензий либо уведомления об отказе в переоформлении лицензии.

Исправление допущенных опечаток и (или) ошибок в выданных в результате предоставления государственной услуги документах

113. Основанием для начала административной процедуры является прием лицензирующим органом заявления об исправлении допущенных опечаток и (или) ошибок (форма приведена в приложении N 8 к Регламенту).

114. Заявление об исправлении допущенных опечаток и (или) ошибок может быть представлено в лицензирующий орган непосредственно, направлено в форме электронного документа, подписанного усиленной квалифицированной электронной подписью, или заказным почтовым отправлением с уведомлением о вручении. К заявлению об исправлении допущенных опечаток и (или) ошибок прилагаются документы, в которых необходимо исправить допущенные опечатки и (или) ошибки.

115. Заявление об исправлении допущенных опечаток и (или) ошибок подлежит регистрации в течение 1 рабочего дня со дня его приема лицензирующим органом.

116. Исполнитель в течение 2 рабочих дней со дня получения заявления об исправлении допущенных опечаток и (или) ошибок проверяет наличие указанных опечаток и (или) ошибок в реестре лицензий и устраняет их, а также готовит исправленный документ взамен того, в котором были допущены опечатки и (или) ошибки, и вручает его заявителю непосредственно либо направляет в форме электронного документа, подписанного усиленной квалифицированной электронной подписью, либо на бумажном носителе заказным почтовым отправлением с уведомлением о вручении.

В случае, если по результатам проверки исполнителем наличия указанных в заявлении ошибок и (или) опечаток установлено, что ошибки и (или) опечатки в реестре лицензий и (или) в выданном в результате предоставления государственной услуги документе отсутствуют, исполнитель готовит заявителю уведомление об отсутствии указанных в его заявлении ошибок и (или) опечаток и вручает его заявителю непосредственно либо направляет в форме электронного документа, подписанного усиленной квалифицированной электронной подписью, или на бумажном носителе заказным почтовым отправлением с уведомлением о вручении (по выбору заявителя).

117. Результатом административной процедуры является вручение (направление в форме электронного документа, подписанного усиленной квалифицированной электронной подписью, либо на бумажном носителе заказным почтовым отправлением с уведомлением о вручении) заявителю исправленного документа по результатам предоставления государственной услуги взамен того, в котором были допущены опечатки и (или) ошибки, уведомления о внесении изменений в реестр лицензий либо уведомления об отсутствии указанных в заявлении ошибок и (или) опечаток.

Порядок осуществления в электронной форме, в том числе с использованием Единого портала, административных процедур (действий) в соответствии с положениями статьи 10 Федерального закона N 210-ФЗ

119. Предоставление информации заявителям и обеспечение доступа заявителей к сведениям о государственной услуге осуществляются в соответствии с пунктом 4 Регламента.

120. Запись на личный прием в лицензирующий орган с использованием Единого портала и сайта ФСБ России для подачи заявления о предоставлении государственной услуги не осуществляется.

122. Формирование заявления в электронной форме осуществляется заявителем посредством заполнения на Едином портале его электронной формы и прикрепления к нему электронных образов документов без необходимости дополнительной подачи заявления на бумажном носителе.

123. Форматно-логическая проверка сформированного заявления в электронной форме осуществляется автоматически после заполнения заявителем каждого из полей такого заявления. При выявлении некорректно заполненного поля заявления в электронной форме заявитель уведомляется о характере выявленной ошибки и порядке ее устранения посредством информационного сообщения непосредственно в электронной форме заявления.

124. При формировании заявления в электронной форме заявителю обеспечивается:

возможность копирования и сохранения заявления и документов заявителя в электронной форме, указанных в пунктах 23 – 27 Регламента, необходимых для предоставления государственной услуги;

возможность печати на бумажном носителе копии заявления в электронной форме;

сохранение ранее введенных в электронную форму заявления значений в любой момент по желанию заявителя, в том числе при возникновении ошибок ввода и возврате для повторного ввода значений в электронную форму заявления;

заполнение полей электронной формы заявления до начала ввода сведений заявителем с использованием сведений, размещенных в федеральной государственной информационной системе “Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме”, и сведений, опубликованных на Едином портале и сайте ФСБ России, в части, касающейся сведений, отсутствующих в указанной федеральной государственной информационной системе;

возможность вернуться на любой из этапов заполнения электронной формы заявления без потери ранее введенной информации;

возможность доступа заявителя на Едином портале к ранее поданным им заявлениям в электронной форме в течение не менее 1 года, а также частично сформированным заявлениям в электронной форме – в течение не менее 3 месяцев.

125. Сформированное заявление в электронной форме и прикрепленные к нему электронные образы документов заявителя подписываются заявителем усиленной квалифицированной электронной подписью и направляются в лицензирующий орган посредством Единого портала.

126. Уплата государственной пошлины и (или) платы за предоставление государственной услуги может осуществляться заявителем с помощью Единого портала по предварительно заполненным реквизитам.

127. При уплате государственной пошлины и (или) платы за предоставление государственной услуги заявителю с использованием Единого портала или сайта ФСБ России обеспечивается возможность сохранения платежного документа, заполненного полностью или частично, а также печати на бумажном носителе копии заполненного платежного документа.

128. В платежном документе указывается уникальный идентификатор начисления и идентификатор плательщика.

129. Заявитель информируется о совершении факта уплаты государственной пошлины и (или) платы за предоставление государственной услуги посредством Единого портала.

130. Предоставление информации об уплате государственной пошлины и (или) платы за предоставление государственной услуги осуществляется с использованием информации, содержащейся в государственной информационной системе о государственных и муниципальных платежах, если иное не предусмотрено законодательством Российской Федерации.

131. Прием и регистрация заявления в электронной форме и прикрепленных к нему электронных образов документов заявителя осуществляется в соответствии с пунктами 58-66 Регламента.

IV. Формы контроля за предоставлением государственной услуги

V. Досудебный (внесудебный) порядок обжалования решений и действий (бездействия) органа, предоставляющего государственную услугу, а также его должностных лиц

Перечень нормативных правовых актов, регулирующих порядок досудебного (внесудебного) обжалования решений и действий (бездействия) лицензирующего органа, а также его должностных лиц

143. Досудебное (внесудебное) обжалование решений и действий (бездействия) лицензирующего органа, а также его должностных лиц осуществляется в соответствии с:

Федеральным законом N 210-ФЗ;

постановлением Правительства Российской Федерации от 16 августа 2021 г. N 840 “О порядке подачи и рассмотрения жалоб на решения и действия (бездействие) федеральных органов исполнительной власти и их должностных лиц, федеральных государственных служащих, должностных лиц государственных внебюджетных фондов Российской Федерации, государственных корпораций, наделенных в соответствии с федеральными законами полномочиями по предоставлению государственных услуг в установленной сфере деятельности, и их должностных лиц, организаций, предусмотренных частью 1.1 статьи 16 Федерального закона “Об организации предоставления государственных и муниципальных услуг”, и их работников, а также многофункциональных центров предоставления государственных и муниципальных услуг и их работников” 1;

------------------------------

1 Собрание законодательства Российской Федерации, 2021, N 35, ст. 4829; 2021, N 25, ст. 3696.

------------------------------

постановлением Правительства Российской Федерации от 20 ноября 2021 г. N 1198 “О федеральной государственной информационной системе, обеспечивающей процесс досудебного (внесудебного) обжалования решений и действий (бездействия), совершенных при предоставлении государственных и муниципальных услуг” 2.

------------------------------

2 Собрание законодательства Российской Федерации, 2021, N 48, ст. 6706; 2021, N 49, ст. 7600.

------------------------------

Приложение N 1
к Регламенту (п. 23)

Форма

                                Начальнику ______________________________
                                                  (наименование
                                _________________________________________
                                лицензирующего органа, инициалы, фамилия)
                                _________________________________________
                                (почтовый адрес лицензирующего органа)
Исх. N ____________________
от ________________20____ г.
Заявление
о предоставлении юридическому лицу лицензии на деятельность, связанную
с шифровальными (криптографическими) средствами
     Прошу предоставить__________________________________________________
                             (организационно-правовая форма, полное
_________________________________________________________________________
    и сокращенное (при наличии) наименования, в том числе фирменное
                   наименование, юридического лица)
лицензию на   деятельность по разработке, производству,   распространению
шифровальных (криптографических)   средств,   информационных   систем   и
телекоммуникационных систем, защищенных   с использованием   шифровальных
(криптографических)   средств, выполнению работ, оказанию услуг в области
шифрования    информации,    техническому     обслуживанию   шифровальных
(криптографических) средств, информационных систем и телекоммуникационных
систем, защищенных с использованием    шифровальных   (криптографических)
средств   (за    исключением    случая, если техническое     обслуживание
шифровальных   (криптографических)   средств,   информационных   систем и
телекоммуникационных систем, защищенных   с использованием   шифровальных
(криптографических) средств,   осуществляется для обеспечения собственных
нужд   юридического лица или   индивидуального   предпринимателя) в части
следующих видов работ (услуг):
_________________________________________________________________________
  (виды работ (услуг) в соответствии с перечнем, являющимся приложением
_________________________________________________________________________
  к Положению, утвержденному постановлением Правительства Российской
________________________________________________________________________.
                  Федерации от 16 апреля 2021 г. N 313)
     Адрес места нахождения:_____________________________________________
     Адреса мест осуществления деятельности: ____________________________
_________________________________________________________________________
     Почтовый адрес и (или) адрес электронной почты: ____________________
_________________________________________________________________________
     Телефон с указанием кода города:____________________________________
     Сведения об основном государственном регистрационном номере (ОГРН):
_________________________________________________________________________
    (ОГРН, наименование, серия и номер, дата выдачи документа,
_________________________________________________________________________
     подтверждающего факт внесения сведений о юридическом лице
_________________________________________________________________________
  в единый государственный реестр юридических лиц; наименование и адрес
  места нахождения органа, осуществляющего государственную регистрацию)
     Сведения об идентификационном номере налогоплательщика (ИНН):
_________________________________________________________________________
       (ИНН, наименование, серия и номер, дата выдачи документа,
_________________________________________________________________________
 подтверждающего факт постановки юридического лица на учет в налоговом
_________________________________________________________________________
    органе; наименование и адрес места нахождения налогового органа,
              осуществившего постановку на налоговый учет)
     Способ получения:___________________________________________________
                         (на бумажном носителе заказным почтовым
_________________________________________________________________________
    отправлением с уведомлением о вручении или в форме электронного
                                 документа)
     Сведения    о    работнике,    ответственном за взаимодействие     с
лицензирующим органом:___________________________________________________
                             (фамилия, имя, отчество (при наличии),
                                          номера телефонов)
     Приложение: 1. Копии документов и сведения согласно описи.
                 2. Опись прилагаемых документов.
_________________________________
 (наименование должности
_________________________________ ________________ ______________________
руководителя юридического лица)       (подпись)     (инициалы, фамилия)
      М.П.
(при наличии)

Приложение N 2
к Регламенту (п. 23)

Форма

                                Начальнику ______________________________
                                                  (наименование
                                _________________________________________
                                лицензирующего органа, инициалы, фамилия)
                                _________________________________________
                                (почтовый адрес лицензирующего органа)
Исх. N ____________________
от ________________20____ г.
Заявление
о предоставлении индивидуальному предпринимателю лицензии на
деятельность, связанную с шифровальными (криптографическими) средствами
     Прошу предоставить__________________________________________________
                           (фамилия, имя и отчество (при наличии)
_________________________________________________________________________
  индивидуального предпринимателя, наименование и реквизиты документа,
                        удостоверяющего личность)
лицензию на деятельность   по разработке,   производству, распространению
шифровальных   (криптографических) средств,   информационных   систем   и
телекоммуникационных систем,   защищенных с использованием   шифровальных
(криптографических) средств,   выполнению работ, оказанию услуг в области
шифрования    информации,   техническому      обслуживанию   шифровальных
(криптографических) средств, информационных систем и телекоммуникационных
систем, защищенных с  использованием  шифровальных    (криптографических)
средств    (за исключением    случая,   если   техническое   обслуживание
шифровальных (криптографических)   средств,   информационных   систем   и
телекоммуникационных   систем, защищенных с   использованием шифровальных
(криптографических) средств, осуществляется для обеспечения   собственных
нужд юридического   лица   или индивидуального   предпринимателя) в части
следующих видов работ (услуг):
_________________________________________________________________________
       (виды работ (услуг) в соответствии с перечнем, являющимся
_________________________________________________________________________
приложением к Положению, утвержденному постановлением
________________________________________________________________________.
    Правительства Российской Федерации от 16 апреля 2021 г. N 313)
     Адрес места жительства:_____________________________________________
     Адреса мест осуществления деятельности: ____________________________
_________________________________________________________________________
     Почтовый адрес и (или) адрес электронной почты:_____________________
_________________________________________________________________________
     Телефон с указанием кода города:____________________________________
     Сведения   об основном    государственном    регистрационном  номере
индивидуального предпринимателя (ОГРНИП):________________________________
                                            (ОГРНИП, наименование,
_________________________________________________________________________
  серия и номер, дата выдачи документа, подтверждающего факт внесения
_________________________________________________________________________
 сведений об индивидуальном предпринимателе в единый государственный
_________________________________________________________________________
   реестр индивидуальных предпринимателей; наименование и адрес места
     нахождения органа, осуществившего государственную регистрацию)
     Сведения об идентификационном номере налогоплательщика (ИНН):
_________________________________________________________________________
     (ИНН, наименование, серия и номер, дата выдачи документа,
_________________________________________________________________________
   подтверждающего факт постановки индивидуального предпринимателя
_________________________________________________________________________
   на учет в налоговом органе; наименование и адрес места нахождения
    налогового органа, осуществившего постановку на налоговый учет)
     Способ получения:___________________________________________________
                            (на бумажном носителе заказным почтовым
_________________________________________________________________________
           отправлением с уведомлением о вручении или в форме
                        электронного документа)
     Сведения о    работнике,   ответственном    за    взаимодействие   с
лицензирующим органом:___________________________________________________
                            (фамилия, имя, отчество (при наличии),
                                        номера телефонов)
     Приложение: 1. Копии документов и сведения согласно описи.
                 2. Опись прилагаемых документов.
_____________ ___________________________________________________________
 (подпись)          (инициалы, фамилия индивидуального предпринимателя)
     М.П.
(при наличии)

Приложение N 3
к Регламенту (п. 25)

Форма

                                Начальнику ______________________________
                                                  (наименование
                                _________________________________________
                                лицензирующего органа, инициалы, фамилия)
                                _________________________________________
                                (почтовый адрес лицензирующего органа)
Исх. N ____________________
от ________________20____ г.
Заявление
о переоформлении юридическому лицу лицензии на деятельность,
связанную с шифровальными (криптографическими) средствами
     Прошу переоформить__________________________________________________
                            (организационно-правовая форма, полное
_________________________________________________________________________
     и сокращенное (при наличии) наименования, в том числе фирменное
                     наименование, юридического лица)
лицензию на деятельность  по  разработке, производству,   распространению
шифровальных    (криптографических) средств,   информационных   систем  и
телекоммуникационных систем,   защищенных с   использованием шифровальных
(криптографических)   средств, выполнению работ, оказанию услуг в области
шифрования   информации,    техническому     обслуживанию    шифровальных
(криптографических) средств, информационных систем и телекоммуникационных
систем, защищенных с использованием   шифровальных    (криптографических)
средств   (за исключением   случая,     если  техническое    обслуживание
шифровальных (криптографических)   средств,   информационны   систем    и
телекоммуникационных   систем, защищенных с использованием   шифровальных
(криптографических) средств, осуществляется для обеспечения   собственных
нужд   юридического   лица    или    индивидуального    предпринимателя),
регистрационный            N__________________,     в     связи         с
_________________________________________________________________________
          (основания для переоформления лицензии в соответствии
________________________________________________________________________.
          со статьей 18 Федерального закона от 4 мая 2021 г. N 99-ФЗ
              "О лицензировании отдельных видов деятельности")
     Виды работ (услуг):_________________________________________________
                         (виды работ (услуг) в соответствии с перечнем,
_________________________________________________________________________
    являющимся приложением к Положению, утвержденному постановлением
_________________________________________________________________________
      Правительства Российской Федерации от 16 апреля 2021 г. N 313)
     Адрес места нахождения:_____________________________________________
     Адреса мест осуществления деятельности:_____________________________
_________________________________________________________________________
     Почтовый адрес и (или) адрес электронной почты:_____________________
_________________________________________________________________________
     Телефон с указанием кода города:____________________________________
     Сведения об основном государственном регистрационном номере (ОГРН):
_________________________________________________________________________
        (ОГРН, наименование, серия и номер, дата выдачи документа,
_________________________________________________________________________
   подтверждающего факт внесения сведений о юридическом лице в единый
_________________________________________________________________________
   государственный реестр юридических лиц; наименование и адрес места
    нахождения органа, осуществляющего государственную регистрацию)
     Сведения об идентификационном номере налогоплательщика (ИНН):
_________________________________________________________________________
        (ИНН, наименование, серия и номер, дата выдачи документа,
_________________________________________________________________________
  подтверждающего факт постановки юридического лица на учет в налоговом
_________________________________________________________________________
     органе; наименование и адрес места нахождения налогового органа,
                осуществившего постановку на налоговый учет)
     Способ получения:___________________________________________________
                         (на бумажном носителе заказным почтовым
_________________________________________________________________________
           отправлением с уведомлением о вручении или в форме
                         электронного документа)
     Сведения     о работнике,    ответственном за    взаимодействие    с
лицензирующим органом:___________________________________________________
                            (фамилия, имя, отчество (при наличии),
                                      номера телефонов)
     Приложение: 1. Копии документов и сведения согласно описи.
                 2. Опись прилагаемых документов.
_________________________________
 (наименование должности
_________________________________ ________________ ______________________
руководителя юридического лица)       (подпись)     (инициалы, фамилия)
      М.П.
(при наличии)

Приложение N 4
к Регламенту (п. 25)

Форма

                                Начальнику ______________________________
                                                  (наименование
                                _________________________________________
                                лицензирующего органа, инициалы, фамилия)
                                _________________________________________
                                (почтовый адрес лицензирующего органа)
Исх. N ____________________
от ________________20____ г.
Заявление
о переоформлении индивидуальному предпринимателю лицензии
на деятельность, связанную с шифровальными
(криптографическими) средствами
     Прошу переоформить__________________________________________________
                         (фамилия, имя и отчество (при наличии)
_________________________________________________________________________
  индивидуального предпринимателя, наименование и реквизиты документа,
                        удостоверяющего личность)
лицензию на   деятельность по разработке, производству,   распространению
шифровальных   (криптографических) средств,   информационных  систем    и
телекоммуникационных систем, защищенных  с использованием    шифровальных
(криптографических) средств,   выполнению работ, оказанию услуг в области
шифрования   информации,    техническому     обслуживанию    шифровальных
(криптографических) средств, информационных систем и телекоммуникационных
систем, защищенных с  использованием  шифровальных    (криптографических)
средств   (за   исключением    случая, если    техническое   обслуживание
шифровальных    (криптографических)   средств,   информационных  систем и
телекоммуникационных систем, защищенных   с использованием   шифровальных
(криптографических) средств,   осуществляется для обеспечения собственных
нужд    юридического    лица    или    индивидуального  предпринимателя),
регистрационный            N_________________,       в      связи       с
_________________________________________________________________________
   (основания для переоформления лицензии в соответствии со статьей 18
________________________________________________________________________.
      Федерального закона от 4 мая 2021 г. N 99-ФЗ "О лицензировании
                     отдельных видов деятельности")
     Виды работ (услуг):_________________________________________________
                         (виды работ (услуг) в соответствии с перечнем,
_________________________________________________________________________
    являющимся приложением к Положению, утвержденному постановлением
_________________________________________________________________________
    Правительства Российской Федерации от 16 апреля 2021 г. N 313)
     Адрес места жительства:_____________________________________________
     Адреса мест осуществления деятельности:_____________________________
_________________________________________________________________________
     Почтовый адрес и (или) адрес электронной почты:_____________________
_________________________________________________________________________
     Телефон с указанием кода города:____________________________________
     Сведения     об   основном    государственном регистрационном номере
индивидуального предпринимателя (ОГРНИП):________________________________
                                            (ОГРНИП, наименование,
_________________________________________________________________________
   серия и номер, дата выдачи документа, подтверждающего факт внесения
_________________________________________________________________________
  сведений об индивидуальном предпринимателе в единый государственный
_________________________________________________________________________
    реестр индивидуальных предпринимателей; наименование и адрес места
       нахождения органа, осуществившего государственную регистрацию)
     Сведения об идентификационном номере налогоплательщика (ИНН):
_________________________________________________________________________
      (ИНН, наименование, серия и номер, дата выдачи документа,
_________________________________________________________________________
     подтверждающего факт постановки индивидуального предпринимателя
_________________________________________________________________________
    на учет в налоговом органе; наименование и адрес места нахождения
     налогового органа, осуществившего постановку на налоговый учет)
     Способ получения:___________________________________________________
                             (на бумажном носителе заказным почтовым
_________________________________________________________________________
            отправлением с уведомлением о вручении или в форме
                           электронного документа)
     Сведения    о   работнике,    ответственном    за   взаимодействие с
лицензирующим органом:___________________________________________________
                          (фамилия, имя, отчество (при наличии), номера
                                        телефонов)
     Приложение: 1. Копии документов и сведения согласно описи.
                 2. Опись прилагаемых документов.
____________ ____________________________________________________________
  (подпись)      (инициалы, фамилия индивидуального предпринимателя)
     М.П.
(при наличии)

Приложение N 5
к Регламенту (п. 26)

Форма

                                Начальнику ______________________________
                                                  (наименование
                                _________________________________________
                                лицензирующего органа, инициалы, фамилия)
                                _________________________________________
                                (почтовый адрес лицензирующего органа)
Исх. N ____________________
ОТ ________________20____ г.
Заявление
о прекращении юридическим лицом деятельности, связанной с шифровальными
(криптографическими) средствами
     Прошу прекратить действие   лицензии на  деятельность по разработке,
производству, распространению шифровальных   (криптографических) средств,
информационных    систем и   телекоммуникационных систем,    защищенных с
использованием  шифровальных  (криптографических)   средств,   выполнению
работ, оказанию   услуг   в области шифрования информации,   техническому
обслуживанию шифровальных (криптографических)   средств,   информационных
систем   и   телекоммуникационных   систем,   защищенных с использованием
шифровальных   (криптографических)   средств (за исключением случая, если
техническое  обслуживание   шифровальных   (криптографических)   средств,
информационных систем   и   телекоммуникационных систем, защищенных     с
использованием шифровальных (криптографических) средств,   осуществляется
для обеспечения собственных нужд  юридического лица или   индивидуального
предпринимателя), регистрационный N______________, в связи с прекращением
_________________________________________________________________________
   (организационно-правовая форма, полное и сокращенное (при наличии)
_________________________________________________________________________
  наименования, в том числе фирменное наименование, юридического лица)
указанной деятельности.
     Почтовый адрес и (или) адрес электронной почты:_____________________
_________________________________________________________________________
     Телефон с указанием кода города:___________________________________
     Сведения об основном государственном регистрационном номере (ОГРН):
_________________________________________________________________________
         (ОГРН, наименование, серия и номер, дата выдачи документа,
_________________________________________________________________________
  подтверждающего факт внесения сведений о юридическом лице в единый
_________________________________________________________________________
   государственный реестр юридических лиц; наименование и адрес места
     нахождения органа, осуществляющего государственную регистрацию)
     Сведения об идентификационном номере налогоплательщика (ИНН):
_________________________________________________________________________
        (ИНН, наименование, серия и номер, дата выдачи документа,
_________________________________________________________________________
  подтверждающего факт постановки юридического лица на учет в налоговом
_________________________________________________________________________
     органе; наименование и адрес места нахождения налогового органа,
            осуществившего постановку на налоговый учет)
     Способ получения:___________________________________________________
                           (на бумажном носителе заказным почтовым
_________________________________________________________________________
             отправлением с уведомлением о вручении или в форме
                       электронного документа)
     Сведения   о   работнике,    ответственном    за взаимодействие    с
лицензирующим органом:___________________________________________________
                            (фамилия, имя, отчество (при наличии),
                                        номера телефонов)
_________________________________
 (наименование должности
_________________________________ ________________ ______________________
руководителя юридического лица)       (подпись)     (инициалы, фамилия)
      М.П.
(при наличии)

Приложение N 6
к Регламенту (п. 26)

Про сертификаты:  НПП ЛОГУС. Документы. Сертификат соответствия на ПК "Stalker"

Форма

                                Начальнику ______________________________
                                                  (наименование
                                _________________________________________
                                лицензирующего органа, инициалы, фамилия)
                                _________________________________________
                                (почтовый адрес лицензирующего органа)
Исх. N ____________________
от ________________20____ г.
Заявление
о прекращении индивидуальным предпринимателем деятельности,
связанной с шифровальными (криптографическими) средствами
     Прошу прекратить действие   лицензии на деятельность  по разработке,
производству, распространению шифровальных   (криптографических) средств,
информационных   систем   и   телекоммуникационных систем,   защищенных с
использованием шифровальных   (криптографических)   средств,   выполнению
работ, оказанию   услуг   в   области шифрования информации, техническому
обслуживанию шифровальных (криптографических)   средств,   информационных
систем и  телекоммуникационных   систем,    защищенных   с использованием
шифровальных   (криптографических)   средств (за исключением случая, если
техническое  обслуживание   шифровальных   (криптографических)   средств,
информационных   систем  и   телекоммуникационных    систем, защищенных с
использованием шифровальных (криптографических)   средств, осуществляется
для обеспечения собственных нужд  юридического лица или   индивидуального
предпринимателя), регистрационный N______________, в связи с прекращением
_________________________________________________________________________
 (фамилия, имя и отчество (при наличии) индивидуального предпринимателя,
_________________________________________________________________________
       наименование и реквизиты документа, удостоверяющего личность)
указанной деятельности.
     Почтовый адрес и (или) адрес электронной почты:_____________________
_________________________________________________________________________
     Телефон с указанием кода города:____________________________________
     Сведения об основном    государственном    регистрационном    номере
индивидуального предпринимателя (ОГРНИП):________________________________
                                             (ОГРНИП, наименование,
_________________________________________________________________________
      серия и номер, дата выдачи документа, подтверждающего факт
_________________________________________________________________________
     внесения сведений об индивидуальном предпринимателе в единый
_________________________________________________________________________
   государственный реестр индивидуальных предпринимателей; наименование
            и адрес места нахождения органа, осуществившего
                        государственную регистрацию)
     Сведения об идентификационном номере налогоплательщика (ИНН):
_________________________________________________________________________
       (ИНН, наименование, серия и номер, дата выдачи документа,
_________________________________________________________________________
    подтверждающего факт постановки индивидуального предпринимателя
_________________________________________________________________________
   на учет в налоговом органе; наименование и адрес места нахождения
    налогового органа, осуществившего постановку на налоговый учет)
     Способ получения:___________________________________________________
                             (на бумажном носителе заказным почтовым
_________________________________________________________________________
             отправлением с уведомлением о вручении или в форме
                       электронного документа)
     Сведения   о   работнике,    ответственном    за   взаимодействие  с
лицензирующим органом:___________________________________________________
                          (фамилия, имя, отчество (при наличии),
                                         номера телефонов)
_______________ _________________________________________________________
   (подпись)      (инициалы, фамилия индивидуального предпринимателя)
     М.П.
(при наличии)

Приложение N 7
к Регламенту (п. 27)

Форма

                                Начальнику ______________________________
                                                  (наименование
                                _________________________________________
                                лицензирующего органа, инициалы, фамилия)
                                _________________________________________
                                (почтовый адрес лицензирующего органа)
Исх. N ____________________
от ________________20____ г.
Заявление
о предоставлении сведений о конкретной лицензии
     Прошу   предоставить   сведения о   лицензии на   деятельность    по
разработке,      производству,      распространению          шифровальных
(криптографических) средств, информационных систем и телекоммуникационных
систем, защищенных с    использованием шифровальных   (криптографических)
средств,   выполнению   работ,   оказанию услуг в   области    шифрования
информации, техническому обслуживанию шифровальных    (криптографических)
средств, информационных систем и телекоммуникационных систем,  защищенных
с использованием шифровальных (криптографических) средств (за исключением
случая, если техническое обслуживание шифровальных    (криптографических)
средств, информационных систем и телекоммуникационных систем,  защищенных
с использованием шифровальных (криптографических) средств, осуществляется
для обеспечения  собственных нужд юридического лица или   индивидуального
предпринимателя), регистрационный N____________ от ______________20____г.
     Почтовый адрес и (или) адрес электронной почты:_____________________
_________________________________________________________________________
     Способ получения:___________________________________________________
                           (непосредственное получение в лицензирующем
_________________________________________________________________________
      органе, на бумажном носителе заказным почтовым отправлением
_________________________________________________________________________
     с уведомлением о вручении или в форме электронного документа)
     Сведения о платежном документе  (в случае, если   выписка из реестра
лицензий запрашивается на бумажном носителе):____________________________
_________________________________________________________________________
     Сведения    о    работнике, ответственном   за    взаимодействие   с
лицензирующим органом:___________________________________________________
                            (фамилия, имя, отчество (при наличии),
                                        номера телефонов)
_________________________________
 (наименование должности
_________________________________ ________________ ______________________
руководителя юридического лица)       (подпись)     (инициалы, фамилия)
      М.П.
(при наличии)
или
_____________ ___________________________________________________________
 (подпись)          (инициалы, фамилия индивидуального предпринимателя
                                     или физического лица)
     М.П.
(при наличии)

Приложение N 8
к Регламенту (п. 113)

Форма

                                Начальнику ______________________________
                                                  (наименование
                                _________________________________________
                                лицензирующего органа, инициалы, фамилия)
                                _________________________________________
                                (почтовый адрес лицензирующего органа)
Исх. N ____________________
ОТ ________________20____ г.
Заявление
об исправлении допущенных опечаток и (или) ошибок
     Прошу исправить    в     выданном   в   результате    предоставления
государственной услуги документе N_____________и (или) в записи в реестре
лицензий N___________ допущенные опечатки и (или) ошибки:________________
_________________________________________________________________________
   (указываются опечатки и (или) ошибки, которые необходимо исправить
                   в документе (реестре лицензий)
     Почтовый адрес и (или) адрес электронной почты:_____________________
_________________________________________________________________________
     Сведения   о    работнике,   ответственном    за взаимодействие    с
лицензирующим органом:___________________________________________________
                            (фамилия, имя, отчество (при наличии),
                                          номера телефонов)
     Приложение:_________________________________________________________
                   (перечень прилагаемых документов, в которых были
                                допущены опечатки и (или) ошибки)
_________________________________
 (наименование должности
_________________________________ ________________ ______________________
руководителя юридического лица)       (подпись)     (инициалы, фамилия)
      М.П.
(при наличии)
или
________________ ________________________________________________________
   (подпись)       (инициалы, фамилия индивидуального предпринимателя
                                   или физического лица)
     М.П.
(при наличии)

Ii. требования к средствам уц

7. Средства УЦ должны противостоять угрозам, представляющим собой целенаправленные действия с использованием аппаратных и (или) программных средств с целью нарушения инженерно-технической и криптографической безопасности средств УЦ или с целью создания условий для этого (далее – атака).

8. В зависимости от способностей противостоять атакам средства УЦ подразделяются на классы*(3).

9. Средства УЦ класса КС1 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:

9.1. Подготовка и проведение атак извне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее – контролируемая зона).

9.2. Подготовка и проведение атак без использования доступа к функциональным возможностям программно-аппаратных средств взаимодействия с УЦ.

9.3. Самостоятельное осуществление создания способов атак, подготовки и проведения атак на следующие объекты:

– документацию на средства УЦ;

– защищаемые электронные документы;

– ключевую, аутентифицирующую и парольную информацию;

– средства УЦ, их программные и аппаратные компоненты;

– данные, передаваемые по каналам связи;

– помещения, в которых находятся аппаратные средства (далее – АС), на которых реализованы средства УЦ, а также другие защищаемые ресурсы информационной системы.

9.4. Внесение на этапах разработки, производства, хранения, транспортировки и ввода в эксплуатацию средств УЦ:

– негативных функциональных возможностей в средства УЦ, в том числе с использованием вредоносных программ;

– несанкционированных изменений в документацию на средства УЦ.

9.5. Получение следующей информации:

– общих сведений об информационной системе, в которой используются средства УЦ (назначение, состав, объекты, в которых размещены ресурсы информационной системы);

– сведений об информационных технологиях, базах данных, АС, программном обеспечении (далее – ПО), используемых в информационной системе совместно со средствами УЦ;

– сведений о физических мерах защиты объектов, в которых размещены средства УЦ;

– сведений о мерах по обеспечению защиты контролируемой зоны объектов информационной системы, в которой используются средства УЦ;

– сведений о мерах по разграничению доступа в помещения, в которых размещены средства УЦ;

– содержания находящейся в свободном доступе технической документации на средства УЦ;

– сведений о защищаемой информации, используемой в процессе эксплуатации средств УЦ (виды защищаемой информации: служебная информация, парольная и аутентифицирующая информация, конфигурационная информация, управляющая информация, информация в электронных журналах регистрации; общие сведения о содержании каждого вида защищаемой информации; характеристики безопасности для каждого вида защищаемой информации);

– всех возможных данных, передаваемых в открытом виде по каналам связи, не защищенным от несанкционированного доступа (далее – НСД) к информации организационно-техническими мерами;

– сведений о линиях связи, по которым передается защищаемая с использованием средств УЦ информация;

– сведений обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, нарушениях правил эксплуатации средств УЦ;

– сведений обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, неисправностях и сбоях средств УЦ;

– сведений, получаемых в результате анализа любых доступных для перехвата сигналов от аппаратных компонентов средств УЦ.

9.6. Использование:

– находящихся в свободном доступе или за пределами контролируемой зоны АС и ПО, включая программные и аппаратные компоненты средств УЦ;

– специально разработанных АС и ПО.

9.7. Использование в качестве каналов атак не защищенных от НСД к информации организационно-техническими мерами каналов связи (как вне контролируемой зоны, так и в ее пределах), по которым передается информация, обрабатываемая средствами УЦ.

10. Средства УЦ класса КС2 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:

10.1. Возможности, перечисленные в подпунктах 9.3 – 9.7 настоящих Требований.

10.2. Подготовка и проведение атак из контролируемой зоны.

10.3. Подготовка и проведение атак без использования доступа к АС, на которых реализованы средства УЦ.

10.4. Использование штатных средств информационной системы, в которой используются средства УЦ.

11. Средства УЦ класса КС3 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:

11.1. Возможности, перечисленные в подпунктах 10.1, 10.4 настоящих Требований.

11.2. Подготовка и проведение атак из-за пределов контролируемой зоны с использованием доступа к функциональным возможностям программно-аппаратных средств взаимодействия с УЦ на основе легального обладания аутентифицирующей информацией либо подготовка и проведение атак из контролируемой зоны с использованием доступа к АС, на которых реализованы компоненты УЦ, с правами лица, не являющегося членом группы физических лиц, уполномоченных производить инсталляцию, конфигурирование и эксплуатацию средств УЦ, конфигурирование профиля и параметров журнала аудита (функции системного администратора), архивирование, резервное копирование и восстановление информации после сбоев (функции оператора), создание и аннулирование сертификатов ключей проверки ЭП (функции администратора сертификации), просмотр и поддержку журнала аудита (функции администратора аудита) (далее – группа администраторов средств УЦ) ни одного из компонентов УЦ.

11.3. Обладание АС УЦ в объеме, зависящем от реализованных мер, направленных на предотвращение и пресечение несанкционированных действий.

12. Средства УЦ класса КВ1 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:

12.1. Возможности, перечисленные в подпунктах 11.1 – 11.3 настоящих Требований.

12.2. Осуществление создания способов и подготовки атак с привлечением специалистов, имеющих опыт разработки и анализа СКЗИ УЦ (включая специалистов в области анализа сигналов линейной передачи и сигналов побочных электромагнитных излучений и наводок СКЗИ УЦ).

12.3. Проведение лабораторных исследований средств УЦ, используемых вне контролируемой зоны в объеме, зависящем от реализованных мер, направленных на предотвращение и пресечение несанкционированных действий.

13. Средства УЦ класса КВ2 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:

13.1. Возможности, перечисленные в подпунктах 12.1-12.3 настоящих Требований.

13.2. Осуществление создания способов и подготовки атак с привлечением специалистов в области использования для реализации атак недекларированных возможностей прикладного и системного ПО.

13.3. Постановка работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа средств УЦ.

13.4. Обладание исходными текстами прикладного ПО, применяемого в информационной системе, в которой используются средства УЦ, и находящейся в свободном доступе документацией.

14. Средства УЦ класса КА1 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:

14.1. Возможности, перечисленные в подпунктах 13.1 – 13.4 настоящих Требований.

14.2. Осуществление создания способов и подготовки атак с привлечением научно-исследовательских центров, специализирующихся в области разработки и анализа СКЗИ и в области использования для реализации атак недекларированных возможностей прикладного и системного ПО.

14.3. Обладание всей документацией на аппаратные и программные компоненты средств УЦ.

14.4. Обладание всеми аппаратными компонентами средств УЦ.

15. Средства УЦ должны эксплуатироваться в соответствии с эксплуатационной документацией на средства УЦ. Комплекс организационно-технических мероприятий по обеспечению безопасного функционирования средств УЦ должен быть указан в эксплуатационной документации на средства УЦ.

16. Класс средств ЭП, используемых в средствах УЦ, должен быть не ниже соответствующего класса средств УЦ. Класс средств ЭП, используемых в средствах УЦ, должен быть указан в эксплуатационной документации на средства УЦ.

Класс СКЗИ, используемых в средствах УЦ, должен быть не ниже соответствующего класса средств УЦ. Класс СКЗИ, используемых в средствах УЦ, должен быть указан в эксплуатационной документации на средства УЦ.

17. Каждое требование, предъявляемое к средствам УЦ любого класса кроме КА1, либо предъявляется к средствам УЦ следующего класса без изменений (в этом случае оно в перечне требований к средствам УЦ следующего класса не указывается), либо ужесточается (в этом случае в перечне требований к средствам УЦ следующего класса приводится ужесточенная формулировка).

18. Требования к ПО средств УЦ:

18.1. Требования для средств УЦ класса КС1:

– ПО средств УЦ не должно содержать средств, позволяющих модифицировать или искажать алгоритм работы программных средств и АС УЦ.

18.2. Требования для средств УЦ класса КС2:

– прикладное ПО средств УЦ и СКЗИ, используемых в УЦ, должно использовать только документированные функции системного ПО.

18.3. Требования для средств УЦ класса КС3:

– системное и прикладное ПО средств УЦ должно обеспечивать разграничение доступа системного администратора средств УЦ, администратора сертификации средств УЦ и лиц, обеспечиваемых системным администратором средств УЦ идентифицирующей и аутентифицирующей информацией и не являющихся администратором сертификации средств УЦ (далее – пользователи средств УЦ), к информации, обрабатываемой средствами УЦ, на основании правил разграничения доступа, заданных системным администратором средств УЦ;

– системное и прикладное ПО средств УЦ должно соответствовать 4 уровню контроля отсутствия недекларированных возможностей;

– системное и прикладное ПО средств УЦ не должно содержать известных уязвимостей, опубликованных в общедоступных источниках;

– в состав системного и (или) прикладного ПО средств УЦ должен входить механизм, обеспечивающий очистку оперативной и внешней памяти, используемой для хранения информации ограниченного доступа.

18.4. Требования для средств УЦ класса КВ1 совпадают с требованиями для средств УЦ класса КС3.

18.5. Требования для средств УЦ класса КВ2:

– исходные тексты системного и прикладного ПО средств УЦ должны пройти проверку реализации в них методов и способов защиты информации, противостоящих атакам, для подготовки и проведения которых используются возможности, перечисленные в пунктах 9-13 настоящих Требований;

– исходные тексты системного и прикладного ПО должны пройти проверку на отсутствие недекларированных возможностей;

– системное и прикладное ПО должно быть устойчиво к компьютерным атакам из внешних сетей.

18.6. Требования для средств УЦ класса КА1:

– исходные тексты системного и прикладного ПО средств УЦ должны пройти формальную верификацию реализации в них методов и способов защиты информации, противостоящих атакам, для подготовки и проведения которых используются возможности, перечисленные в пунктах 9-14 настоящих Требований, а также отсутствия в них недекларированных возможностей.

19. Требования к АС УЦ:

19.1. В случае планирования размещения АС УЦ в помещениях, в которых присутствует речевая акустическая и визуальная информация, содержащая сведения, составляющие государственную тайну, и (или) установлены технические средства и системы приема, передачи, обработки, хранения и отображения информации, содержащей сведения, составляющие государственную тайну, технические средства иностранного производства, входящие в состав средств УЦ, должны быть подвергнуты проверкам по выявлению устройств, предназначенных для негласного получения информации, а также исследованиям на соответствие требованиям по защите от утечки информации по каналам побочных электромагнитных излучений и наводок в соответствии с категорией выделенного помещения.

19.2. Требования для средств УЦ класса КС1:

– проводится проверка соответствия реализации целевых функций УЦ на основе системы тестов АС УЦ.

19.3. Требования для средств УЦ классов КС2, КС3, КВ1, КВ2 совпадают с требованиями для средств УЦ класса КС1.

19.4. Требования для средств УЦ класса КА1:

– проведение специальной проверки технических средств иностранного производства, входящих в состав АС УЦ, в целях выявления устройств, предназначенных для негласного получения информации;

– проведение полной верификации АС (совместно с анализом программного кода BIOS), на которых реализуются средства УЦ, с целью исключения негативных функциональных возможностей.

20. Требования к ролевому разграничению:

20.1. Для обеспечения выполнения функций УЦ средства УЦ должны поддерживать ролевое разграничение членов группы администраторов средств УЦ.

20.2. Требования для средств УЦ класса КС1:

– должны быть определены список ролей и распределение обязанностей между ролями;

– список ролей и распределение обязанностей между ролями должны быть указаны в эксплуатационной документации на средства УЦ.

20.3. Требования для средств УЦ класса КС2 совпадают с требованиями для средств УЦ класса КС1.

20.4. Требования для средств УЦ класса КС3:

– средства УЦ должны поддерживать следующие обязательные роли:

1) системного администратора с основными обязанностями инсталляции, конфигурации и поддержки функционирования средств УЦ, создания и поддержки профилей членов группы администраторов средств УЦ, конфигурации профиля и параметров журнала аудита;

2) администратора сертификации с основными обязанностями: создание и аннулирование сертификатов ключей проверки ЭП;

– в средствах УЦ должен быть реализован механизм, исключающий возможность авторизации одного члена из группы администраторов средств УЦ для выполнения различных ролей.

20.5. Требования для средств УЦ класса KB1:

– средства УЦ должны обеспечивать наличие обязательной роли оператора с основными обязанностями по резервному копированию и восстановлению.

20.6. Требования для средств УЦ класса КВ2 совпадают с требованиями для средств УЦ класса КВ1.

20.7. Требования для средств УЦ класса КА1:

– средства УЦ должны обеспечивать наличие обязательной роли администратора аудита с основными обязанностями: просмотр и поддержка журнала аудита;

– системный администратор не должен иметь возможности вносить изменения в журнал аудита.

21. Требования к целостности средств УЦ:

21.1. Средства УЦ должны содержать механизм контроля несанкционированного случайного и (или) преднамеренного искажения (изменения, модификации) и (или) разрушения информации, программных средств и АС УЦ (далее – механизм контроля целостности).

21.2. Требования для средств УЦ класса КС1:

– требования к механизму контроля целостности должны быть указаны в ТЗ на разработку (модернизацию) средств УЦ;

– должен быть определен период контроля целостности программных средств и АС УЦ и указан в эксплуатационной документации на средства УЦ;

– контроль целостности программных средств и АС УЦ должен выполняться при каждой перезагрузке операционной системы (далее – ОС);

– должны иметься средства восстановления целостности средств УЦ.

21.3. Требования для средств УЦ класса КС2 совпадают с требованиями для средств УЦ класса КС1.

21.4. Требования для средств УЦ класса КС3:

– контроль целостности должен выполняться не реже 1 раза в сутки.

21.5. Требования для средств УЦ класса KB1:

– контроль целостности должен выполняться до загрузки ОС средств УЦ.

21.6. Требования для средств УЦ класса КВ2 совпадают с требованиями для средств УЦ класса KB1.

21.7. Требования для средств УЦ класса КА1:

– контроль целостности должен осуществляться динамически при функционировании средств УЦ.

22. Требования к управлению доступом:

22.1. Средства УЦ должны обеспечивать управление доступом.

22.2. Требования для средств УЦ класса КС1:

– должны быть определены требования к управлению доступом и указаны в ТЗ на разработку (модернизацию) средств УЦ.

22.3. Требования для средств УЦ класса КС2 совпадают с требованиями для средств УЦ класса КС1.

22.4. Требования для средств УЦ класса КС3:

– в УЦ должен обеспечиваться дискреционный принцип контроля доступа.

22.5. Требования для средств УЦ класса КВ1 совпадают с требованиями для средств УЦ класса КС3.

22.6. Требования для средств УЦ класса КВ2:

должно быть обеспечено создание замкнутой рабочей среды*(4) средств УЦ.

22.7. Требования для средств УЦ класса КА1:

– в УЦ должен обеспечиваться мандатный принцип контроля доступа; – для ввода ключа ЭП администратора сертификации требуется не менее двух доверенных лиц*(5).

23. Требования к идентификации и аутентификации:

23.1. Идентификация и аутентификация включают в себя распознавание пользователя средств УЦ, члена группы администраторов средств УЦ или процесса и проверку их подлинности. Механизм аутентификации должен блокировать доступ этих субъектов к функциям УЦ при отрицательном результате аутентификации.

23.2. В средствах УЦ для любой реализованной процедуры аутентификации должен быть применен механизм ограничения количества следующих подряд попыток аутентификации одного субъекта доступа, число которых не должно быть больше трех. При превышении числа следующих подряд попыток аутентификации одного субъекта доступа установленного предельного значения доступ этого субъекта доступа к средствам УЦ должен быть заблокирован на промежуток времени, который указывается в ТЗ на разработку (модернизацию) средств УЦ.

23.3. Требования для средств УЦ класса КС1:

– описание процедуры регистрации пользователей средств УЦ (внесения данных в реестр пользователей средств УЦ) должно содержаться в эксплуатационной документации на средства УЦ;

– для всех лиц, осуществляющих доступ к средствам УЦ, должна проводиться аутентификация. При этом допускается ограничиться использованием для аутентификации только символьного периодически изменяющегося пароля из не менее чем 8 символов при мощности алфавита не менее 36 символов. Период изменения пароля не должен быть больше 6 месяцев.

23.4. Требования для средств УЦ класса КС2:

– необходимость предъявления пользователем средств УЦ при его регистрации документов, удостоверяющих личность, должна быть отражена в эксплуатационной документации на средства УЦ;

– для всех пользователей средств УЦ допускается использование механизмов удаленной аутентификации. Специальные характеристики механизмов удаленной аутентификации должны быть подтверждены в рамках проведения проверки соответствия средств УЦ и объектов информатизации, использующих данные средства, настоящим Требованиям;

– при осуществлении локального доступа к средствам УЦ аутентификация членов группы администраторов средств УЦ должна выполняться до перехода в рабочее состояние этих средств УЦ (например, до загрузки базовой ОС).

23.5. Требования для средств УЦ класса КСЗ:

– в средствах УЦ должен быть реализован механизм аутентификации локальных пользователей, имеющих доступ к средствам УЦ, но не входящих в состав группы администраторов средств УЦ.

23.6. Требования для средств УЦ класса KB1:

– при осуществлении удаленного доступа к средствам УЦ использование только символьного пароля не допускается, должны использоваться механизмы аутентификации на основе криптографических протоколов.

23.7. Требования для средств УЦ класса КВ2 совпадают с требованиями для средств УЦ класса KB1.

23.8. Требования для средств УЦ класса КА1:

– в средствах УЦ для любого реализованного механизма аутентификации должна быть реализована возможность установки предельно допустимого количества следующих подряд попыток аутентификации одного субъекта доступа и установки времени блокировки доступа к средствам УЦ на местах их эксплуатации.

24. Требования к защите данных, поступающих (экспортируемых) в (из) УЦ:

24.1. Средства УЦ должны обеспечивать доверенный ввод самоподписанного сертификата ключа проверки ЭП.

24.2. Требования для средств УЦ класса КС1:

– средства УЦ должны обеспечивать передачу данных, содержащих информацию ограниченного доступа, поступающих в УЦ и экспортируемых из УЦ, способом, защищенным от НСД;

– в средствах УЦ должна быть реализована процедура защиты от навязывания ложных сообщений*(6);

– требования к процедуре защиты от навязывания ложных сообщений указываются в ТЗ на разработку (модернизацию) средств УЦ.

24.3. Требования для средств УЦ класса КС2:

– средства УЦ должны обеспечивать защиту первоначального запроса на сертификат ключа проверки ЭП;

– средства УЦ должны принимать критичную для функционирования УЦ информацию, только если она подписана ЭП.

24.4. Требования для средств УЦ класса КС3:

– в средствах УЦ должен быть реализован механизм защиты от навязывания ложных сообщений на основе использования средств ЭП, получивших подтверждение соответствия требованиям к средствам ЭП.

24.5. Требования для средств УЦ класса KB1:

– в средствах УЦ должен быть реализован механизм защиты данных при передаче их между физически разделенными компонентами на основе использования СКЗИ.

24.6. Требования для средств УЦ классов КВ2 и КА1 совпадают с требованиями для средств УЦ класса KB1.

25. Требования к регистрации событий:

25.1. Базовая ОС средств УЦ должна поддерживать ведение журнала аудита системных событий.

25.2. Требования для средств УЦ класса КС1:

– в средствах УЦ должен быть реализован механизм, производящий выборочную регистрацию событий в журнале аудита, связанных с выполнением УЦ своих функций;

– список регистрируемых событий должен содержаться в эксплуатационной документации на средства УЦ.

25.3. Требования для средств УЦ класса КС2 совпадают с требованиями для средств УЦ класса КС1.

25.4. Требования для средств УЦ класса КС3:

– должны быть приняты меры обнаружения несанкционированных изменений журнала аудита пользователями средств УЦ, не являющимися членами группы администраторов средств УЦ.

25.5. Требования для средств УЦ класса КВ1 совпадают с требованиями для средств УЦ класса КС3.

25.6. Требования для средств УЦ класса КВ2:

– должны быть приняты меры обнаружения несанкционированных изменений каждой записи в журнале аудита.

25.7. Требования для средств УЦ класса КА1:

– журнал аудита должен быть доступен только администратору аудита, который может осуществлять только его просмотр, копирование и полную очистку. После очистки первой записью в журнале аудита должен автоматически регистрироваться факт очистки с указанием даты, времени и информации о лице, производившем операцию.

26. Требования по надежности и устойчивости функционирования средств УЦ:

26.1. Должны быть определены требования по надежности и устойчивости функционирования средств УЦ и указаны в ТЗ на разработку (модернизацию) средств УЦ.

26.2. Требования для средств УЦ класса КС1:

– проводится расчет вероятности сбоев и неисправностей АС УЦ, приводящих к невыполнению УЦ своих функций.

26.3. Требования для средств УЦ класса КС2:

– должно осуществляться тестирование устойчивости функционирования средств УЦ.

26.4. Требования для средств УЦ класса КС3:

– должны быть определены требования по времени восстановления средств УЦ после сбоя и указаны в ТЗ на разработку (модернизацию) средств УЦ;

– меры и средства повышения надежности и устойчивости функционирования средств УЦ должны содержать механизмы квотирования ресурсов средств УЦ.

26.5. Требования для средств УЦ класса KB1:

– вероятность сбоев и неисправностей АС УЦ, приводящих к невыполнению УЦ своих функций, в течение суток не должна превышать аналогичной вероятности для используемых СКЗИ.

26.6. Требования для средств УЦ классов КВ2 и КА1 совпадают с требованиями для средств УЦ класса КВ1.

27. Требования к ключевой информации:

27.1. Порядок создания, использования, хранения и уничтожения ключевой информации определяется в соответствии с требованиями эксплуатационной документации на средства ЭП и иные СКЗИ, используемые средствами УЦ.

27.2. Срок действия ключа ЭП средства ЭП, используемого средствами УЦ, должен соответствовать требованиям, установленным к средствам ЭП.

Про сертификаты:  Где пройти обучение? | ИПБ МР

27.3. Требования для средств УЦ класса КС1:

– не допускается копирование информации ключевых документов (криптографических ключей, в том числе ключей ЭП) на носители (например, жесткий диск), не являющиеся ключевыми носителями, без ее предварительного шифрования (которое должно осуществляться встроенной функцией используемого СКЗИ).

– ключи ЭП, используемые для подписи сертификатов ключей проверки ЭП и списков уникальных номеров сертификатов ключей проверки ЭП, действие которых на определенный момент было прекращено УЦ до истечения срока их действия (далее – список аннулированных сертификатов), не должны использоваться ни для каких иных целей;

– сроки действия всех ключей должны быть указаны в эксплуатационной документации на средства УЦ.

27.4. Требования для средств УЦ классов КС2 и КС3 совпадают с требованиями для средств УЦ класса КС1.

27.5. Требования для средств УЦ класса KB1:

– должны быть приняты организационно-технические меры, исключающие возможность компрометации ключа ЭП, используемого для подписи сертификатов ключей проверки ЭП и списков аннулированных сертификатов, при компрометации ключевой информации, доступной одному лицу.

27.6. Требования для средств УЦ класса КВ2:

– ключ ЭП, используемый для подписи сертификатов ключей проверки ЭП и списков аннулированных сертификатов, должен генерироваться, храниться, использоваться и уничтожаться в средстве ЭП. Допускается использование только средств ЭП, получивших подтверждение соответствия требованиям, предъявляемым к средствам ЭП в соответствии с Федеральным законом;

– должны быть приняты организационно-технические меры, исключающие возможность компрометации ключа ЭП, используемого для подписи сертификатов ключей проверки ЭП и списков аннулированных сертификатов, при компрометации ключевой информации, доступной двум лицам.

27.7. Требования для средств УЦ класса КА1:

– должны быть приняты организационно-технические меры, исключающие возможность компрометации ключа ЭП, используемого для подписи сертификатов ключей проверки ЭП и списков аннулированных сертификатов, при компрометации ключевой информации, доступной трем лицам.

28. Требования к резервному копированию и восстановлению работоспособности средств УЦ:

28.1. Средства УЦ должны реализовывать функции резервного копирования и восстановления на случай повреждения АС и (или) информации, обрабатываемой средствами УЦ. В ходе резервного копирования должна быть исключена возможность копирования криптографических ключей.

28.2. Требования для средств УЦ класса КС1:

– данные, сохраненные при резервном копировании, должны быть достаточны для восстановления функционирования средств УЦ в состояние, зафиксированное на момент копирования.

28.3. Требования для средств УЦ классов КС2 и КС3 совпадают с требованиями для средств УЦ класса КС1.

28.4. Требования для средств УЦ класса KB1:

– должны быть приняты меры обнаружения несанкционированных изменений сохраненных данных;

– должны быть определены требования по времени восстановления и указаны в ТЗ на разработку (модернизацию) средств УЦ и в эксплуатационной документации на средства УЦ.

28.5. Требования для средств УЦ класса КВ2:

– сохраняемая при резервном копировании защищаемая информация должна сохраняться только в зашифрованном виде.

28.6. Требования для средств УЦ класса КА1 совпадают с требованиями для средств УЦ класса КВ2.

29. Требования к созданию и аннулированию сертификатов ключей проверки ЭП:

29.1. Протоколы создания и аннулирования сертификатов ключей проверки ЭП должны быть описаны в эксплуатационной документации на средства УЦ.

29.2. Создаваемые УЦ сертификаты ключей проверки ЭП и списки аннулированных сертификатов должны соответствовать международным рекомендациям ITU-T Х.509*(7) (далее – рекомендации Х.509). Все поля и дополнения, включаемые в сертификат ключей проверки ЭП и список аннулированных сертификатов, должны быть заполнены в соответствии с рекомендациями Х.509.

29.3. Средства УЦ должны реализовывать протокол аннулирования сертификата ключа проверки ЭП с использованием списков аннулированных сертификатов.

29.4. Допускается реализация протоколов аннулирования без использования списков аннулированных сертификатов, требования к которым должны быть указаны в ТЗ на разработку (модернизацию) средств УЦ.

29.5. Требования для средств УЦ класса КС1:

– в средствах УЦ должна быть реализована функция изготовления сертификата ключа проверки ЭП на бумажном носителе. Порядок выдачи сертификата ключа проверки ЭП на бумажном носителе, а также процедура контроля соответствия сертификата ключа проверки ЭП в электронном виде и на бумажном носителе должны быть указаны в эксплуатационной документации на средства УЦ;

– в средствах УЦ в отношении владельца сертификата ключа проверки ЭП должны быть реализованы механизмы проверки уникальности ключа проверки ЭП и обладания соответствующим ключом ЭП.

29.6. Требования для средств УЦ класса КС2 совпадают с требованиями для средств УЦ класса КС1.

29.7. Требования для средств УЦ класса КС3:

– погрешность значений времени в сертификатах ключей проверки ЭП и списках аннулированных сертификатов не должна превышать 10 минут.

29.8. Требования для средств УЦ класса KB1:

– погрешность значений времени в сертификатах ключей проверки ЭП и списках аннулированных сертификатов не должна превышать 5 минут.

29.9. Требования для средств УЦ классов КВ2 и КА1 совпадают с требованиями для средств УЦ класса KB1.

30. Требования к структуре сертификата ключа проверки ЭП и списка аннулированных сертификатов:

30.1. Требования для средств УЦ класса КС1:

– допустимые структуры сертификата ключа проверки ЭП и списка аннулированных сертификатов должны быть перечислены в эксплуатационной документации на средства УЦ;

– в средствах УЦ должен быть реализован механизм контроля соответствия создаваемых сертификатов ключей проверки ЭП и списков аннулированных сертификатов заданной структуре;

– в структуре сертификата ключа проверки ЭП должны быть предусмотрены поле, содержащее сведения о классе средств УЦ, с использованием которых был создан настоящий сертификат ключа проверки ЭП, и поле, содержащее сведения о классе средства ЭП владельца сертификата ключа проверки ЭП.

30.2. Требования для средств УЦ классов КС2 и КСЗ совпадают с требованиями для средств УЦ класса КС1.

30.3. Требования для средств УЦ класса KB1:

– в средствах УЦ должен быть реализован механизм задания системным администратором набора допустимых дополнений сертификата ключа проверки ЭП и списка аннулированных сертификатов.

30.4. Требования для средств УЦ классов КВ2 и КА1 совпадают с требованиями для средств УЦ класса KB1.

31. Требования к реестру сертификатов ключей проверки ЭП и обеспечению доступа к нему:

31.1. Требования для средств УЦ класса КС1:

– в средствах УЦ должны быть реализованы механизмы хранения и поиска всех созданных сертификатов ключей проверки ЭП и списков аннулированных сертификатов в реестре, а также сетевого доступа к реестру.

31.2. Требования для средств УЦ класса КС2 совпадают с требованиями для средств УЦ класса КС1.

31.3. Требования для средств УЦ класса КС3:

– в средствах УЦ должен быть реализован механизм поиска сертификатов ключей проверки ЭП и списков аннулированных сертификатов в реестре сертификатов ключей проверки ЭП по различным их атрибутам;

– все изменения реестра сертификатов ключей проверки ЭП должны регистрироваться в журнале аудита.

31.4. Требования для средств УЦ классов KB1, КВ2 и КА1 совпадают с требованиями для средств УЦ класса КС3.

32. Требования к проверке ЭП в сертификате ключа проверки ЭП:

32.1. Должен быть определен механизм проверки подписи в сертификате ключа проверки ЭП по запросу участника электронного взаимодействия и указан в эксплуатационной документации на средства УЦ.

32.2. В средствах УЦ должен быть реализован механизм проверки подлинности ЭП УЦ в выдаваемых им сертификатах ключей проверки ЭП.

32.3. Проверка ЭП в сертификате ключа проверки ЭП осуществляется в соответствии с рекомендациями Х.509, включая обязательную проверку всех критических дополнений.

32.4. Если, исходя из особенностей эксплуатации средств УЦ, допускается использование альтернативных форматов сертификата ключа проверки ЭП, должен быть определен механизм проверки подписи в сертификате ключа проверки ЭП и указан в ТЗ на разработку (модернизацию) средств УЦ.

33. Для ограничения возможностей по построению каналов атак на средства УЦ с использованием каналов связи должны применяться средства межсетевого экранирования.

34. Должны быть определены требования по защите средств УЦ от компьютерных вирусов и компьютерных атак и указаны в ТЗ на разработку (модернизацию) средств УЦ.

35. При подключении средств УЦ к информационно-телекоммуникационной сети, доступ к которой не ограничен определенным кругом лиц, указанные средства должны соответствовать требованиям к средствам УЦ класса КВ2 или КА1.

36. Исследования средств УЦ с целью подтверждения соответствия средств УЦ настоящим Требованиям должны проводиться с использованием разрабатываемых ФСБ России числовых значений параметров и характеристик механизмов защиты, реализуемых в средствах УЦ*(8).

______________________________

*(1) Зарегистрирован Минюстом России 3 марта 2005 г., регистрационный N 6382.

*(2) Зарегистрирован Минюстом России 25 мая 2021 г., регистрационный N 17350.

*(3) Необходимый класс разрабатываемых (модернизируемых) средств УЦ определяется заказчиком (разработчиком) средств УЦ путем определения возможностей осуществлять создание способов атак, подготовку и проведение атак на основе пунктов 9-14 настоящих Требований и указывается в тактико-техническом задании или техническом задании на проведение опытно-конструкторской работы или составной части опытно-конструкторской работы по разработке (модернизации) средств УЦ (далее – ТЗ на разработку (модернизацию) средств УЦ).

*(4) Программная среда, которая допускает существование в ней только фиксированного набора субъектов (программ, процессов).

*(5) Лица, являющиеся членами группы администраторов средств УЦ и заведомо не являющиеся нарушителями.

*(6) Навязывание ложного сообщения представляет собой действие, воспринимаемое участниками электронного взаимодействия или средствами УЦ как передача истинного сообщения способом, защищенным от НСД.

Ii. требования к средствам эп

8. При создании ЭП средства ЭП должны:

– показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает*(3);

– создавать ЭП только после подтверждения лицом, подписывающим электронный документ, операции по созданию ЭП*(3);

– однозначно показывать, что ЭП создана*(3).

9. При проверке ЭП средства ЭП должны:

– показывать содержание электронного документа, подписанного ЭП*(3);

– показывать информацию о внесении изменений в подписанный ЭП электронный документ*(3);

– указывать на лицо, с использованием ключа ЭП которого подписаны электронные документы*(3).

10. Требования пунктов 8 и 9 настоящих Требований не применяются к средствам ЭП, используемым для автоматического создания и (или) автоматической проверки ЭП в информационной системе.

11. Средство ЭП должны противостоять угрозам, представляющим собой целенаправленные действия с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемой средством ЭП информации или с целью создания условий для этого (далее – атака).

12. В зависимости от способностей противостоять атакам средства ЭП подразделяются на классы*(4).

13. Средства ЭП класса КС1 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:

13.1. Самостоятельное осуществление создания способов атак, подготовки и проведения атак.

13.2. Действия на различных этапах жизненного цикла средства ЭП*(5).

13.3. Проведение атаки только извне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее – контролируемая зона*(6)).

13.4. Проведение на этапах разработки, производства, хранения, транспортировки средств ЭП и этапе ввода в эксплуатацию средств ЭП (пусконаладочные работы) следующих атак:

– внесение несанкционированных изменений в средство ЭП и (или) в компоненты СФ, в том числе с использованием вредоносных программ;

– внесение несанкционированных изменений в документацию на средство ЭП и на компоненты СФ.

13.5. Проведение атак на следующие объекты:

– документацию на средство ЭП и на компоненты СФ;

– защищаемые электронные документы;

– ключевую, аутентифицирующую и парольную информацию средства ЭП;

– средство ЭП и его программные и аппаратные компоненты;

– аппаратные средства, входящие в СФ, включая микросхемы с записанным микрокодом BIOS, осуществляющей инициализацию этих средств (далее – аппаратные компоненты СФ);

– программные компоненты СФ;

– данные, передаваемые по каналам связи;

– помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее – СВТ), на которых реализованы средства ЭП и СФ;

13.6. Получение следующей информации:

– общих сведений об информационной системе, в которой используется средство ЭП (назначение, состав, оператор, объекты, в которых размещены ресурсы информационной системы);

– сведений об информационных технологиях, базах данных, АС, ПО, используемых в информационной системе совместно со средством ЭП;

– сведений о физических мерах защиты объектов, в которых размещены средства ЭП;

– сведений о мерах по обеспечению контролируемой зоны объектов информационной системы, в которой используется средство ЭП;

– сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы средства ЭП и СФ;

– содержания находящейся в свободном доступе документации на аппаратные и программные компоненты средства ЭП и СФ;

– общих сведений о защищаемой информации, используемой в процессе эксплуатации средства ЭП;

– всех возможных данных, передаваемых в открытом виде по каналам связи, не защищенным от несанкционированного доступа (далее – НСД) к информации организационно-техническими мерами;

– сведений о линиях связи, по которым передается защищаемая средством ЭП информация;

– сведений обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, нарушениях правил эксплуатации средства ЭП и СФ;

– сведений обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, неисправностях и сбоях аппаратных компонентов средства ЭП и СФ;

– сведений, получаемых в результате анализа любых сигналов от аппаратных компонентов средства ЭП и СФ, которые может перехватить нарушитель.

13.7. Использование:

– находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты средства ЭП и СФ;

– специально разработанных АС и ПО.

13.8. Использование в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки (далее – канал атаки):

– не защищенных от НСД к информации организационно-техническими мерами каналов связи (как вне контролируемой зоны, так и в ее пределах), по которым передается защищаемая средством ЭП информация;

– каналов распространения сигналов, сопровождающих функционирование средства ЭП и СФ.

13.9. Проведение атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц.

13.10. Использование АС и ПО из состава средств информационной системы, используемых на местах эксплуатации средства ЭП (далее – штатные средства) и находящихся за пределами контролируемой зоны.

14. Средства ЭП класса КС2 противостоят атакам, при создании способов, подготовке и проведении которых используются возможности, перечисленные в подпунктах 13.1 – 13.10 настоящих Требований, и следующие дополнительные возможности:

14.1. Проведение атаки при нахождении как вне пределов, так и в пределах контролируемой зоны.

14.2. Использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется средство ЭП, и направленными на предотвращение и пресечение несанкционированных действий.

15. Средства ЭП класса КСЗ противостоят атакам, при создании способов, подготовке и проведении которых используются возможности, перечисленные в подпунктах 13.1 – 13.10, 14.1, 14.2 настоящих Требований, и следующие дополнительные возможности:

15.1. Доступ к СВТ, на которых реализованы средство ЭП и СФ.

15.2. Возможность располагать аппаратными компонентами средства ЭП и СФ в объеме, зависящем от мер, направленных на предотвращение и пресечение несанкционированных действий, реализованных в информационной системе, в которой используется средство ЭП.

16. Средства ЭП класса КВ1 противостоят атакам, при создании способов, подготовке и проведении которых используются возможности, перечисленные в подпунктах 13.1 – 13.10, 14.1, 14.2, 15.1, 15.2 настоящих Требований, и следующие дополнительные возможности:

16.1. Создание способов атак, подготовка и проведение атак с привлечением специалистов, имеющих опыт разработки и анализа средств ЭП, включая специалистов в области анализа сигналов, сопровождающих функционирование средства ЭП и СФ.

16.2. Проведение лабораторных исследований средства ЭП, используемого вне контролируемой зоны, в объеме, зависящем от мер, направленных на предотвращение и пресечение несанкционированных действий, реализованных в информационной системе, в которой используется средство ЭП.

17. Средства ЭП класса КВ2 противостоят атакам, при создании способов, подготовке и проведении которых используются возможности, перечисленные в подпунктах 13.1 – 13.10, 14.1, 14.2, 15.1, 15.2, 16.1, 16.2 настоящих Требований, и следующие дополнительные возможности:

17.1. Создание способов атак, подготовка и проведение атак с привлечением специалистов, имеющих опыт разработки и анализа средств ЭП, включая специалистов в области использования для реализации атак возможностей прикладного ПО, не описанных в документации на прикладное ПО.

17.2. Постановка работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа средств ЭП и СФ.

17.3. Возможность располагать исходными текстами входящего в СФ прикладного ПО.

18. Средства ЭП класса КА1 противостоят атакам, при создании способов, подготовке и проведении которых используются возможности, перечисленные в подпунктах 13.1 – 13.10, 14.1, 14.2, 15.1, 15.2, 16.1, 16.2, 17.1 – 17.3 настоящих Требований, и следующие дополнительные возможности:

18.1. Создание способов атак, подготовка и проведение атак с привлечением специалистов, имеющих опыт разработки и анализа средств ЭП, включая специалистов в области использования для реализации атак возможностей системного ПО, не описанных в документации на системное ПО.

18.2. Возможность располагать всей документацией на аппаратные и программные компоненты СФ.

18.3. Возможность располагать всеми аппаратными компонентами средства ЭП и СФ.

19. В случае реализации в средстве ЭП функции проверки ЭП электронного документа с использованием сертификата ключа проверки ЭП эта реализация должна исключить возможность проверки ЭП электронного документа без проверки ЭП в сертификате ключа проверки ЭП или без наличия положительного результата проверки ЭП в сертификате ключа проверки ЭП.

20. При разработке средств ЭП должны использоваться криптографические алгоритмы, утвержденные в качестве государственных стандартов или имеющие положительное заключение ФСБ России по результатам их экспертных криптографических исследований*(7).

21. Инженерно-криптографическая защита средства ЭП должна исключить события, приводящие к возможности проведения успешных атак в условиях возможных неисправностей или сбоев аппаратного компонента средства ЭП или аппаратного компонента СВТ, на котором реализовано программное средство ЭП.

22. В средстве ЭП должны быть реализованы только заданные в ТЗ на разработку (модернизацию) средства ЭП алгоритмы функционирования средства ЭП.

23. Программный компонент средства ЭП (в случае наличия программного компонента средства ЭП) должен удовлетворять следующим требованиям:

– объектный (загрузочный) код программного компонента средства ЭП должен соответствовать его исходному тексту;

– в программном компоненте средства ЭП должны использоваться при реализации только описанные в документации функции программной среды, в которой функционирует средство ЭП;

– в исходных текстах программного компонента средства ЭП должны отсутствовать возможности, позволяющие модифицировать или искажать алгоритм работы средства ЭП в процессе его использования, модифицировать или искажать информационные или управляющие потоки и процессы, связанные с функционированием средства ЭП, и получать нарушителям доступ к хранящейся в открытом виде ключевой, идентификационной и (или) аутентифицирующей информации средства ЭП;

– значения входных и внутренних параметров, а также значения параметров настроек программного компонента средства ЭП не должны негативно влиять на его функционирование.

24. В случае планирования размещения средств ЭП в помещениях, в которых присутствует речевая акустическая и визуальная информация, содержащая сведения, составляющие государственную тайну, и (или) установлены АС и системы приема, передачи, обработки, хранения и отображения информации, содержащей сведения, составляющие государственную тайну, АС иностранного производства, входящие в состав средств ЭП, должны быть подвергнуты проверкам по выявлению устройств, предназначенных для негласного получения информации.

В случае планирования размещения средств ЭП в помещениях, в которых отсутствует речевая акустическая и визуальная информация, содержащая сведения, составляющие государственную тайну, и не установлены АС и системы приема, передачи, обработки, хранения и отображения информации, содержащей сведения, составляющие государственную тайну:

– решение о проведении проверок АС иностранного производства, входящих в состав средств ЭП классов КС1, КС2, КС3, КВ1 и КВ2, принимается организацией, обеспечивающей эксплуатацию данных средств ЭП;

– проверки АС иностранного производства, входящих в состав средств ЭП класса КА1, проводятся в обязательном порядке.

25. Средство ЭП должно проводить аутентификацию субъектов доступа (лиц, процессов) к этому средству, при этом:

– при осуществлении доступа к средству ЭП аутентификация субъекта доступа должна проводиться до начала выполнения первого функционального модуля средства ЭП;

– механизмы аутентификации должны блокировать доступ этих субъектов к функциям средства ЭП при отрицательном результате аутентификации.

26. Средство ЭП должно проводить аутентификацию лиц, осуществляющих локальный доступ к средству ЭП.

27. Необходимость проведения средством ЭП аутентификации процессов, осуществляющих локальный или удаленный (сетевой) доступ к средству ЭП, указывается в ТЗ на разработку (модернизацию) средства ЭП.

28. Для любого входящего в средство ЭП механизма аутентификации должен быть реализован механизм ограничения количества следующих подряд попыток аутентификации одного субъекта доступа, число которых не должно быть больше 10. При превышении числа следующих подряд попыток аутентификации одного субъекта доступа установленного предельного значения доступ этого субъекта к средству ЭП должен блокироваться на заданный в ТЗ на разработку (модернизацию) средства ЭП промежуток времени.

29. В средстве ЭП должен быть реализован механизм (процедура) контроля целостности средства ЭП и СФ.

Контроль целостности может осуществляться:

– в начале работы со средством ЭП до перехода СВТ, в котором реализовано средство ЭП, в рабочее состояние (например, до загрузки операционной системы СВТ);

– в ходе регламентных проверок средства ЭП на местах эксплуатации (регламентный контроль);

– в автоматическом режиме в процессе функционирования средства ЭП (динамический контроль).

Контроль целостности должен проводиться в начале работы со средством ЭП.

Механизм регламентного контроля целостности должен входить в состав средств ЭП.

30. Для средств ЭП классов КС1 и КС2 необходимость предъявления требований к управлению доступом и очистке памяти, а также их содержание указываются в ТЗ на разработку (модернизацию) средства ЭП.

31. В состав средств ЭП классов КС3, КВ1, КВ2 и КА1 или СФ должны входить компоненты, обеспечивающие:

– управление доступом субъектов к различным компонентам и (или) целевым функциям средства ЭП и СФ на основе параметров, заданных администратором или производителем средства ЭП (требования к указанному компоненту определяются и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям);

– очистку оперативной и внешней памяти, используемой средством ЭП для хранения защищаемой информации, при освобождении (перераспределении) памяти путем записи маскирующей информации (случайной или псевдослучайной последовательности символов) в память.

32. В состав средств ЭП классов КВ2 и КА1 или СФ должны входить компоненты, обеспечивающие экстренное стирание защищаемой информации ограниченного доступа. Требования к реализации и надежности стирания задаются в ТЗ на разработку (модернизацию) средства ЭП.

33. Для средств ЭП классов КС1 и КС2 необходимость предъявления требований к регистрации событий и их содержание указываются в ТЗ на разработку (модернизацию) средства ЭП.

34. В состав средств ЭП классов КС3, КВ1, КВ2 и КА1 должен входить модуль, производящий фиксацию в электронном журнале регистрации событий в средстве ЭП и СФ, связанных с выполнением средством ЭП своих целевых функций.

Требования к указанному модулю и перечень регистрируемых событий определяются и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям.

35. Журнал регистрации событий должен быть доступен только лицам, определенным оператором информационной системы, в которой используется средство ЭП, или уполномоченными им лицами. При этом доступ к журналу регистрации событий должен осуществляться только для просмотра записей и для перемещения содержимого журнала регистрации событий на архивные носители.

36. Срок действия ключа проверки ЭП не должен превышать срок действия ключа ЭП более чем на 15 лет.

37. Требования к механизму контроля срока использования ключа ЭП, блокирующего работу средства ЭП в случае попытки использования ключа дольше заданного срока, определяются разработчиком средства ЭП и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям.

38. Криптографические протоколы, обеспечивающие операции с ключевой информацией средства ЭП, должны быть реализованы непосредственно в средстве ЭП.

39. Исследования средств ЭП с целью оценки соответствия средств ЭП настоящим Требованиям должны проводиться с использованием разрабатываемых ФСБ России числовых значений параметров и характеристик реализуемых в средствах ЭП механизмов защиты и аппаратных и программных компонентов СФ*(8).

______________________________

*(1) Зарегистрирован Минюстом России 3 марта 2005 г., регистрационный N 6382.

*(2) Зарегистрирован Минюстом России 25 мая 2021 г., регистрационный N 17350.

*(3) Реализуется в том числе с использованием аппаратных и программных средств, совместно с которыми штатно функционируют средства ЭП и которые способны повлиять на выполнение предъявляемых к средствам ЭП требований, в совокупности представляющих среду функционирования средств ЭП (далее – СФ).

*(4) Необходимый класс разрабатываемого (модернизируемого) средства ЭП определяется заказчиком (разработчиком) средства ЭП путем определения возможностей осуществлять создание способов атак, подготовку и проведение атак на основе пунктов 13-18 настоящих Требований и указывается в ТЗ на разработку (модернизацию) средства ЭП.

*(5) К этапам жизненного цикла средства ЭП относятся разработка (модернизация) указанных средств, их производство, хранение, транспортировка, ввод в эксплуатацию (пусконаладочные работы), эксплуатация.

*(6) Границей контролируемой зоны могут быть: периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.

*(7) Подпункт 25 пункта 9 Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. N 960 (Собрание законодательства Российской Федерации, 2003, N 33, ст. 3254; 2004, N 28, ст. 2883;

2005, N 36, ст. 3665; N 49, ст. 5200; 2006, N 25, ст. 2699; N 31 (ч. I), ст. 3463; 2007, N 1 (ч. I), ст. 205; N 49, ст. 6133; N 53, ст. 6554; 2008, N 36, ст. 4087; N 43, ст. 4921; N 47, ст. 5431; 2021, N 17, ст. 2054; N 20, ст. 2435; 2021, N 2, ст. 267; N 9, ст. 1222) (далее – Положение о ФСБ России).

*(8) Подпункт 47 пункта 9 Положения о ФСБ России.

Приложение N 2к приказу ФСБот 27 декабря 2021 г. N 796

Оцените статью
Мой сертификат
Добавить комментарий