1. Настоящее положение регулирует деятельность по предоставлению услуг в сфере технической защиты информации, не отнесенной к государственной тайне.
2. Предоставление услуг в сфере технической защиты информации осуществляется на основании письменного договора, подписанного обеими сторонами.
3. Деятельность по предоставлению услуг в сфере технической защиты информации включает следующее:
a) проведение технического инспектирования помещений и оборудования (средств обработки информации) с целью обнаружения специальных технических средств, предназначенных для негласного получения информации;
b) установка, монтаж, наладка средств технической защиты информации и защищенных технических средств обработки информации.
4. В настоящем положении используются следующие понятия:
техническая защита информации – деятельность, направленная на своевременное выявление и ликвидацию угрожающей информации опасности, осуществляемая при помощи технических методов и средств;
специальные требования к технической защите информации – документ, разработанный на основе национальных и международных норм в сфере технической защиты информации с учетом всех характеристик подлежащего защите объекта, которым устанавливаются необходимые меры по технической защите информации, обрабатываемой в информационных системах и сетях электронных коммуникаций или обращающейся в защищенных помещениях;
защищенные технические средства обработки информации – технические средства обработки информации, в отношении которых необходимые меры защиты обработанной информации принимаются на этапе их разработки и изготовления;
средства технической защиты информации – технические средства, предназначенные для предупреждения или уменьшения возможности утечки информации по техническим каналам;
специальные технические средства, предназначенные для негласного получения информации, – технические и/или программные средства, разработанные, приспособленные или запрограммированные для улавливания, получения, перехвата, сбора, прослушивания, регистрации и передачи информационных сигналов звукового, визуального, электромагнитного или иного характера, в том числе в сетях электронных коммуникаций, с целью получения негласного доступа к чужой информации. Классификатор технических средств, предназначенных для негласного получения информации, утверждается Правительством;
специализированные технические средства выявления специальных технических средств, предназначенных для негласного получения информации, – специализированные технические и метрологические средства выявления специальных технических средств, предназначенных для негласного получения информации, в помещениях и оборудовании;
техническое инспектирование – специальная проверка помещений и оборудования, осуществляемая с использованием специализированных технических средств выявления специальных технических средств, предназначенных для негласного получения информации.
II. УСЛОВИЯ ЛИЦЕНЗИРОВАНИЯ
ДЕЯТЕЛЬНОСТИ ПО ПРЕДОСТАВЛЕНИЮ
УСЛУГ В СФЕРЕ ТЕХНИЧЕСКОЙ ЗАЩИТЫ
ИНФОРМАЦИИ
5. В целях лицензирования и осуществления деятельности по предоставлению услуг в сфере технической защиты информации соискатель лицензии и лицензиат должны соблюдать следующие условия:
a) наличие статуса юридического или физического лица, зарегистрированного в качестве предпринимателя;
b) осуществление лицензируемой деятельности в соответствии с действующим законодательством и стандартами в этой сфере;
c) осуществление лицензируемой деятельности в соответствии с правилами, установленными лицензирующим органом и отраслевым органом публичной власти;
d) наличие у лиц, непосредственно занятых лицензируемой деятельностью, высшего образования в сфере технической защиты информации, либо иного высшего образования и вместе с тем образования по программам повышения квалификации в сфере технической защиты информации, либо высшего образования и по меньшей мере трехлетнего трудового стажа в сфере технической защиты информации. Уровень знаний этих лиц должен соответствовать требованиям, указанным в пунктах 6 и 7;
e) наличие на праве собственности или во владении помещений, необходимых для надлежащего осуществления лицензируемой деятельности, соответствующих нормам гигиены, техники безопасности и охраны окружающей среды, установленным действующим законодательством;
f) в случае предоставления услуг, указанных в подпункте a) пункта 3, – наличие указанных в пункте 8 специализированных технических средств выявления специальных технических средств, предназначенных для негласного получения информации;
g) разработка и утверждение в течение месяца после выдачи лицензии внутреннего регламента, определяющего организационные условия лицензируемой деятельности;
h) прямое установление внутренним актом подразделения и лиц, непосредственно занятых лицензируемой деятельностью;
i) утверждение организационной структуры и штатного расписания. Лицензиат устанавливает внутренним актом для каждого специалиста конкретные условия в отношении уровня образования, технических знаний и опыта работы, а также должностные обязанности, права, ответственность и требования к режиму конфиденциальности;
j) обеспечение периодического повышения квалификации лиц, непосредственно занятых лицензируемой деятельностью;
k) разработка и утверждение в течение месяца после выдачи лицензии нормативно-технической документации по непосредственно осуществляемой лицензируемой деятельности;
l) обеспечение режима конфиденциальности в лицензируемой деятельности, которым предусматривается неразглашение информации о заказчике услуг и содержании предоставляемых услуг без его согласия. Эта информация должна предоставляться только правоохранительным и контрольным органам в соответствии с действующим законодательством;
m) немедленное информирование Службы информации и безопасности о случаях обнаружения специальных технических средств, предназначенных для негласного получения информации;
n) в случае предоставления услуг, указанных в подпункте a) пункта 3), – учет специализированных технических средств выявления специальных технических средств, предназначенных для негласного получения информации, а также их технического обслуживания в соответствии с требованиями к эксплуатации;
o) после оказания услуг – предоставление в распоряжение заказчика акта о проведении технического инспектирования помещений и оборудования с целью выявления специальных технических средств, предназначенных для негласного получения информации, акта об установке (монтаже, наладке) средств технической защиты информации и защищенных технических средств обработки информации, составленных в соответствии с требованиями Положения о лицензировании деятельности по предоставлению услуг в области импорта, экспорта, разработки, производства и реализации специальных технических средств, предназначенных для негласного получения информации, и Положения о лицензировании деятельности по предоставлению услуг в сфере криптографической защиты информации, со специальными требованиями к технической защите информации, обрабатываемой в информационных системах и сетях электронных коммуникаций или обращающейся в помещениях, которые должны быть защищены, – в зависимости от предоставленных услуг;
p) представление по запросу Службы информации и безопасности статистических данных о предоставленных услугах;
q) обеспечение необходимых условий для проведения компетентными органами контроля за выполнением лицензируемого вида деятельности.
6. Лица, непосредственно осуществляющие деятельность по предоставлению услуг в сфере технической защиты информации, должны знать:
a) положения действующих нормативных актов по технической защите информации;
b) основные понятия, касающиеся возникновения технических каналов утечки информации, обрабатываемой в информационных системах и сетях электронных коммуникаций или обращающейся в помещениях: временные, частотные и спектральные характеристики аналоговых и цифровых сигналов, обрабатываемых в информационных системах и сетях электронных коммуникаций или используемых в помещениях, причины возникновения излучения в средствах обработки информации и электроакустических и виброакустических изменений звуковых сигналов;
c) возможные каналы утечки информации, хранящейся, обрабатываемой, передаваемой посредством информационных систем и сетей электронных коммуникаций или обращающейся в помещениях;
d) методы устранения возможных каналов утечки информации, обрабатываемой в информационных системах и сетях электронных коммуникаций или обращающейся в помещениях;
e) принципы работы средств технической защиты информации;
f) технические возможности средств технической защиты информации и специализированных технических средств выявления специальных технических средств, предназначенных для негласного получения информации, которыми они оснащаются;
g) способы использования специализированных технических средств выявления специальных технических средств, предназначенных для негласного получения информации, которыми они оснащаются.
7. Лица, непосредственно осуществляющие деятельность по предоставлению услуг в сфере технической защиты информации, должны быть способны:
a) планировать и организовывать техническое инспектирование помещений и оборудования с целью выявления специальных технических средств, предназначенных для негласного получения информации, и анализировать полученные результаты;
b) использовать специализированные технические средства выявления специальных технических средств, предназначенных для негласного получения информации;
c) выявлять, анализировать и оценивать угрозы безопасности информации, обрабатываемой в информационных системах и сетях электронных коммуникаций или обращающейся в помещениях, и разрабатывать соответствующие меры противодействия уязвимости;
d) составлять необходимые документы о предоставляемых услугах:
– акт о проведении технического инспектирования помещений и оборудования с целью выявления специальных технических средств, предназначенных для негласного получения информации;
– специальные требования к технической защите информации, обрабатываемой в информационных системах и сетях электронных коммуникаций или обращающейся в помещениях, которые подлежат защите;
– акт об установке (монтаже, наладке) средств технической защиты информации и защищенных технических средств обработки информации.
8. Для предоставления услуг в сфере технической защиты информации, указанных в подпункте a) пункта 3, соискатель лицензии должен иметь на законных основаниях специализированные технические средства выявления специальных технических средств, предназначенных для негласного получения информации, необходимые для проведения технического инспектирования. Минимальный набор необходимого оборудования включает:
a) детектор нелинейного соединения для выявления скрытых электронных устройств;
b) оборудование для обнаружения радиосигналов в частотном диапазоне 50–2500 МГц;
c) оборудование для анализа физических цепей (электрических сетей и сетей пониженного напряжения) с целью обнаружения сигналов в токе носителей в частотном диапазоне 0,05–1 МГц.