Відповідно до пункту 8 частини першої статті 7 та частини другої статті 9 Закону України "Про ліцензування видів господарської діяльності" Кабінет Міністрів України

1. Затвердити такі, що додаються:

Ліцензійні умови провадження господарської діяльності з надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації за переліком, що визначається Кабінетом Міністрів України;

перелік послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню.

2. Визнати такими, що втратили чинність:

постанову Кабінету Міністрів України від 18 травня 2011 р. № 517 "Про затвердження переліку послуг у галузі технічного захисту інформації, господарська діяльність щодо надання яких підлягає ліцензуванню" (Офіційний вісник України, 2011 р., № 37, ст. 1529);

постанову Кабінету Міністрів України від 25 травня 2011 р. № 543 "Про затвердження переліків послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та криптосистем і засобів криптографічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню" (Офіційний вісник України, 2011 р., № 39, ст. 1611).

1. Ці Ліцензійні умови встановлюють вичерпний перелік документів, що додаються до заяви про одержання ліцензії, кадрові, організаційні та технологічні вимоги, обов'язкові для виконання під час провадження господарської діяльності з надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації за переліком, що визначається Кабінетом Міністрів України (далі - ліцензована діяльність).

2. У цих Ліцензійних умовах терміни вживаються у такому значенні:

атестація комплексу технічного захисту інформації - оцінка відповідності комплексу технічного захисту інформації вимогам нормативних документів у сфері технічного захисту інформації;

виробництво - процес організації та виготовлення криптосистем та засобів криптографічного захисту інформації;

виробниче приміщення - будинок або споруда (частина будинку або споруди), що не належать до житлового фонду, відокремлені будівельними огороджувальними конструкціями (стінами, перекриттями), мають окремий вхід, не використовуються одночасно іншими юридичними і фізичними особами, належать суб'єкту господарювання на правах власності або інших речових правах, в яких провадиться ліцензована діяльність у галузі криптографічного захисту інформації;

експертні оцінювання у сфері технічного захисту інформації - організація та проведення експертних робіт та/або експертних випробувань з метою перевірки, аналізу та оцінки об'єктів експертизи щодо їх відповідності вимогам нормативних документів у сфері технічного захисту інформації;

експлуатаційна документація - текстові, графічні конструкторські документи розробника (виробника) криптосистем і засобів криптографічного захисту інформації, які розроблені згідно з правилами та вимогами відповідної стандартної системи документування, визначають необхідні обсяги, правила і методи технічного обслуговування, монтажу (встановлення), налаштування, регулювання криптосистем і засобів криптографічного захисту інформації, а також методи їх тестування, випробування, експлуатації та ремонту;

засоби технічного захисту інформації - технічні та програмні засоби, основним функціональним призначенням яких є захист інформації від загроз витоку, порушення цілісності та блокування; технічні засоби, в яких додатково до основного призначення передбачено функції із захисту інформації; засоби, що призначені, спеціально розроблені або пристосовані для пошуку закладних пристроїв або оцінювання захищеності інформації;

закладний пристрій - технічний засіб негласного отримання інформації, розміщений на об'єкті інформаційної діяльності з приховуванням від виявлення особою, яка не має відношення до застосування технічного засобу, факту його наявності та/або застосування, внаслідок чого створюється загроза витоку інформації з об'єкта інформаційної діяльності;

комплекс (система) захисту інформації - сукупність заходів і засобів, призначених для забезпечення технічного захисту інформації в інформаційній системі або на об'єкті;

монтаж (встановлення), налаштування криптосистем і засобів криптографічного захисту інформації - операція або комплекс операцій з встановлення, складення, з'єднання, налаштування, регулювання, випробування режимів роботи, перевірки щодо працездатності (функціонування) криптосистем і засобів криптографічного захисту інформації відповідно до вимог експлуатаційної та нормативної документації розробника (виробника) щодо криптосистем і засобів криптографічного захисту інформації;

послуги з виявлення закладних пристроїв - проведення пошукових дій щодо виявлення технічних каналів витоку інформації, що утворюються за рахунок використання закладних пристроїв;

послуги з оцінювання захищеності інформації, що підлягають ліцензуванню, - атестація комплексів технічного захисту інформації та експертні оцінювання у сфері технічного захисту інформації;

постачання - будь-які операції, що здійснюються згідно з договорами купівлі-продажу, міни, поставки та іншими цивільно-правовими договорами, які передбачають передачу права власності на криптосистеми і засоби криптографічного захисту інформації за компенсацію незалежно від строків її надання, а також операції з безоплатної поставки криптосистем і засобів криптографічного захисту інформації та операції з їх передачі орендодавцем (лізингодавцем) на баланс орендаря (лізингоотримувача) згідно з договорами фінансової оренди (лізингу) або поставки криптосистем і засобів криптографічного захисту інформації згідно з іншими договорами, умови яких передбачають відстрочення оплати та передачу права власності не пізніше дати останнього платежу;

ремонт - комплекс операцій для відновлення справного стану чи працездатності або ресурсу криптосистем і засобів криптографічного захисту інформації чи їх складових частин;

розроблення і складення конструкторської та іншої технічної документації - створення згідно з правилами та вимогами відповідної стандартної системи документування конструкторської та іншої технічної документації, необхідної для проектування, розроблення, виробництва, використання (експлуатації), монтажу (встановлення), налаштування, випробування, модифікації, модернізації, технічного обслуговування, ремонту криптосистем і засобів криптографічного захисту інформації;

службове приміщення - нежитлове приміщення, що належить суб'єкту господарювання на правах власності або користування, в якому розташований його виконавчий орган або особи, які відповідно до установчих документів юридичної особи чи законодавства виступають від її імені, та має певну поштову адресу;

технічне обслуговування (супроводження) криптосистем і засобів криптографічного захисту інформації - операція або комплекс операцій з підтримання криптосистем і засобів криптографічного захисту інформації у справному і придатному для експлуатації стані під час їх використання за призначенням відповідно до вимог експлуатаційної документації розробника (виробника) щодо криптосистем і засобів криптографічного захисту інформації та нормативної документації щодо криптосистем і засобів криптографічного захисту інформації;

утилізація - виконання організаційних, науково-технічних, економічних, екологічних, санітарних, протиепідемічних та інших робіт, що забезпечують переробку криптосистем і засобів криптографічного захисту інформації.

Терміни "відокремлений підрозділ", "експертні дослідження", "електронний документ", "засіб криптографічного захисту інформації", "інформаційна (автоматизована) система", "комплекс технічного захисту інформації", "комплексна система захисту інформації", "криптографічний захист інформації", "криптографічна система (криптосистема)", "об'єкт інформаційної діяльності", "послуги електронного цифрового підпису", "режим безпеки", "суб'єкт системи технічного захисту інформації", "тематичні дослідження", "технічний захист інформації" вживаються у значенні, наведеному у Законах України "Про державну реєстрацію юридичних осіб, фізичних осіб - підприємців та громадських формувань", "Про електронний цифровий підпис", "Про електронні документи та електронний документообіг", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про Державну службу спеціального зв'язку та захисту інформації України", Положенні про порядок здійснення криптографічного захисту інформації в Україні, затвердженому Указом Президента України від 22 травня 1998 р. № 505, Положенні про технічний захист інформації в Україні, затвердженому Указом Президента України від 27 вересня 1999 р. № 1229.

3. Дія цих Ліцензійних умов поширюється на суб'єктів господарювання, які провадять ліцензовану діяльність.

Суб'єкт господарювання може провадити ліцензовану діяльність з надання усіх або окремих видів послуг, визначених переліком послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню, затвердженим Кабінетом Міністрів України (далі - перелік послуг).

Якщо суб'єкт господарювання провадить ліцензовану діяльність з надання окремих видів послуг, дія цих Ліцензійних умов поширюється на нього виключно в частині, що встановлює вимоги щодо надання обраного ним виду послуг.

4. Відповідно до розділу I переліку послуг ліцензуванню підлягають послуги у галузі криптографічного захисту інформації, яка належить до державних інформаційних ресурсів, інформації, вимога щодо захисту якої встановлена законом, конфіденційної інформації, що передана її власником державі та обробляється в інформаційно-телекомунікаційних системах державних органів.

5. Здобувач ліцензії подає у спосіб, передбачений частиною першою статті 10 Закону України "Про ліцензування видів господарської діяльності" (далі - Закон), до органу ліцензування заяву про одержання ліцензії (додаток 1) разом з документами, визначеними у Законі.

До заяви про одержання ліцензії на провадження ліцензованої діяльності за підписом здобувача ліцензії додаються підтвердні документи (додатки 2-9) про наявність:

спеціалістів, необхідних для надання відповідного виду послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації, із зазначенням їх освітнього і кваліфікаційного рівня та стажу роботи, а також допусків до державної таємниці у спеціалістів, які залучаються (залучення яких передбачено) до надання послуг, та даних про трудові договори з найманими працівниками;

засобів вимірювальної техніки та контролю, допоміжних засобів та обладнання, інформаційних (автоматизованих) систем та/або технічних засобів обробки інформації, що забезпечують надання відповідних видів послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації, із зазначенням їх найменування, типу, заводського номера, даних щодо підтвердження права власності на них або користування ними, дати проведення останньої повірки;

нормативно-правової бази, що забезпечує надання відповідних видів послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації;

спеціального дозволу на провадження діяльності, пов'язаної з державною таємницею, із зазначенням його реєстраційного номера, категорії, дати видачі та закінчення строку дії, найменування органу (підрозділу), що його видав, місцезнаходження режимно-секретного органу;

приміщень, засобів обчислювальної техніки, інформаційних та телекомунікаційних систем (комплексів), необхідних для надання відповідних видів послуг у галузі криптографічного захисту інформації, із зазначенням їх найменування, відомостей про атестацію (категорія приміщення, засобу, системи (комплексу), ким і коли проведена атестація, номер ліцензії) (у разі отримання ліцензії на провадження господарської діяльності з надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису);

власних або орендованих службових, виробничих приміщень, необхідних для надання відповідних видів послуг у галузі криптографічного захисту інформації, із зазначенням їх номера, призначення, площі, найменування засобів вимірювальної техніки, обладнання та устатковання, що встановлено та використовується в цих приміщеннях, реквізитів та найменування документа, що засвідчує право власності або користування приміщеннями, а також характеру експлуатації будівлі за призначенням (у разі отримання ліцензії на провадження господарської діяльності з надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису);

інформаційних (автоматизованих) систем та/або технічних засобів обробки секретної інформації, необхідних для надання відповідних видів послуг у галузі технічного захисту інформації, із зазначенням найменування об'єкта електронно-обчислювальної техніки та/або об'єкта інформаційної діяльності (приміщення, де розташована інформаційна (автоматизована) система та/або технічні засоби обробки секретної інформації), інформаційної (автоматизованої) системи та/або технічних засобів обробки секретної інформації, категорії об'єкта електронно-обчислювальної техніки та/або об'єкта інформаційної діяльності, номера та дати реєстрації атестата відповідності комплексної системи захисту інформації інформаційної (автоматизованої) системи та/або акта атестації комплексу технічного захисту інформації (у разі отримання ліцензії на провадження господарської діяльності з надання послуг у галузі технічного захисту інформації в частині оцінювання захищеності інформації, що не становить державної таємниці, або інформації усіх видів, у тому числі інформації, що становить державну таємницю);

об'єктів інформаційної діяльності для проведення секретних нарад, обговорень і робіт з технічного захисту інформації із зазначенням їх найменування та категорії, номера та дати реєстрації акта атестації комплексу технічного захисту інформації (у разі отримання ліцензії на провадження господарської діяльності з надання послуг у галузі технічного захисту інформації у частині оцінювання захищеності інформації, що не становить державної таємниці, або інформації усіх видів, у тому числі інформації, що становить державну таємницю) (в разі потреби).

Заява про одержання ліцензії та документи, що додаються до неї, приймаються згідно з описом (додаток 10).

6. У разі наявності в здобувача ліцензії філій, інших відокремлених підрозділів, які провадитимуть ліцензовану діяльність, у заяві про одержання ліцензії зазначаються місця провадження ними господарської діяльності та підтвердні документи до заяви подаються щодо кожної філії, відокремленого підрозділу.

7. Для переоформлення ліцензії ліцензіат подає до органу ліцензування заяву про переоформлення ліцензії (додаток 11).

8. Для звуження провадження ліцензованої діяльності ліцензіат подає до органу ліцензування заяву про звуження провадження господарської діяльності (додаток 12).

9. Для розширення провадження ліцензованої діяльності ліцензіат подає до органу ліцензування заяву про розширення провадження господарської діяльності (додаток 13).

10. Здобувач ліцензії чи ліцензіат у галузі криптографічного захисту інформації повинен мати:

затверджену керівником суб'єкта господарювання організаційну структуру, в якій зазначені підрозділи та/або спеціалісти, які забезпечать виконання адміністративно-керівних, виробничо-технічних функцій щодо заявленого виду послуг;

положення про структурні підрозділи та/або посадові інструкції працівників, що залучаються до безпосереднього провадження заявленого виду діяльності, затверджені в установленому порядку та складені з урахуванням штатного розпису, розподілу обов'язків, повноважень працівників;

інженерно-технічних працівників і робітників, склад, професія та кваліфікація яких відповідає організаційній структурі суб'єкта господарювання.

11. Виконавці робіт залежно від заявленого виду послуг повинні мати відповідний освітній та освітньо-кваліфікаційний рівень.

Керівники виробничих та функціональних підрозділів повинні мати вищу освіту відповідного рівня та ступеня (магістр, спеціаліст) у галузі знань "Інформаційна безпека" або вищу інженерно-технічну освіту фахового спрямування відповідно до обраного виду послуг з додатковою підготовкою на курсах перепідготовки та підвищення кваліфікації фахівців з питань криптографічного захисту інформації за напрямами підготовки відповідно до обраного виду послуг або стаж роботи у галузі криптографічного захисту інформації за обраним видом послуг не менш як три роки.

Професіонали та фахівці повинні мати вищу освіту відповідного рівня та ступеня (магістр, спеціаліст, бакалавр, молодший спеціаліст).

12. До виконавців робіт з надання послуг з розроблення і складення конструкторської та іншої технічної документації, виробництва криптосистем і засобів криптографічного захисту інформації (з наданням права на провадження діяльності у галузі криптографічного захисту інформації, що становить державну таємницю; права на провадження діяльності у галузі криптографічного захисту службової інформації) встановлюються такі кадрові вимоги:

до головного конструктора або фахівця, на якого покладено обов'язки головного конструктора, - вища освіта відповідного рівня та ступеня (магістр, спеціаліст), стаж роботи на посаді керівника нижчого рівня не менш як три роки, спеціалізація за освітою відповідно до розділів (частин) технічного завдання та/або проекту, а також досвід із створення продукції оборонного призначення (у разі виконання функцій генерального проектувальника криптосистем і засобів криптографічного захисту інформації за державним оборонним замовленням);

до виконавця робіт - вища освіта відповідного рівня та ступеня (магістр, спеціаліст, бакалавр, молодший спеціаліст), стаж роботи за професією не менш як три роки, спеціалізація за освітою відповідно до розділів (частин) технічного завдання та/або проекту;

до інших професіоналів, фахівців - відповідно до організаційної структури суб'єкта господарювання, спеціалізація за освітою відповідно до розділів (частин) технічного завдання та/або проекту.

13. До виконавців робіт з надання послуг з постачання, монтажу (встановлення), налаштування, технічного обслуговування (супроводження), ремонту та/або утилізації криптосистем і засобів криптографічного захисту інформації (з наданням права на провадження діяльності у галузі криптографічного захисту інформації, що становить державну таємницю; права на провадження діяльності у галузі криптографічного захисту службової інформації) встановлюються такі кадрові вимоги:

до головного інженера або фахівця, на якого покладено обов'язки головного інженера, - вища освіта відповідного рівня та ступеня (магістр, спеціаліст), стаж роботи на посаді керівника нижчого рівня не менш як три роки, спеціалізація за освітою відповідно до видів послуг з постачання, монтажу, налаштування, технічного обслуговування (супроводження), ремонту та/або утилізації криптосистем і засобів криптографічного захисту інформації;

до виконавця робіт - вища освіта відповідного рівня та ступеня (магістр, спеціаліст, бакалавр, молодший спеціаліст), стаж роботи за професією не менш як три роки, спеціалізація за освітою відповідно до видів послуг з постачання, монтажу, налаштування та технічного обслуговування (супроводження), ремонту та/або утилізації криптосистем і засобів криптографічного захисту інформації;

до інших професіоналів, фахівців - відповідно до організаційної структури суб'єкта господарювання, спеціалізація за освітою відповідно до видів послуг з постачання, монтажу, налаштування та технічного обслуговування (супроводження), ремонту та/або утилізації криптосистем і засобів криптографічного захисту інформації.

14. До виконавців робіт з надання послуг з тематичних та експертних досліджень криптосистем і засобів криптографічного захисту інформації (з наданням права на провадження діяльності у галузі криптографічного захисту інформації, що становить державну таємницю; права на провадження діяльності у галузі криптографічного захисту службової інформації) встановлюються такі кадрові вимоги:

до виконавця робіт - вища освіта відповідного рівня та ступеня (магістр, спеціаліст, бакалавр, молодший спеціаліст), стаж роботи за професією не менш як три роки, спеціалізація за освітою відповідно до видів послуг з проведення тематичних та експертних досліджень криптосистем і засобів криптографічного захисту інформації;

до інших професіоналів, фахівців - відповідно до організаційної структури суб'єкта господарювання, спеціалізація за освітою відповідно до видів послуг з проведення тематичних та експертних досліджень криптосистем і засобів криптографічного захисту інформації.

До стажу роботи у галузі криптографічного захисту інформації зараховується стаж роботи та/або служби на посадах у суб'єктів системи криптографічного захисту інформації, посадові обов'язки за якими передбачають виконання завдань з криптографічного захисту інформації, пов'язаних з обраними видами послуг.

15. Спеціалісти відповідно до своїх функціональних обов'язків повинні вміти:

користуватися наявним обладнанням, що забезпечує надання обраного виду послуг;

здійснювати обробку результатів наданих згідно з ліцензією послуг та оформляти звітні (підсумкові) документи.

16. Керівник суб'єкта господарювання та керівники виробничих і функціональних підрозділів повинні працювати у суб'єкта господарювання за основним місцем роботи відповідно до штатного розпису.

17. Ліцензіат у галузі криптографічного захисту інформації повинен зберігати:

документи, копії яких подавалися органу ліцензування відповідно до вимог Закону, та документи (копії), які підтверджують достовірність даних, що зазначалися здобувачем ліцензії у документах, які подавалися органу ліцензування відповідно до вимог Закону та цих Ліцензійних умов (протягом дії ліцензії);

документи, що підтверджують внесення плати за видачу ліцензії (протягом дії ліцензії);

примірники звітних (підсумкових) документів, розроблених під час надання згідно з ліцензією послуг (на паперових носіях або у вигляді електронних документів протягом строку, визначеного у договорі між ним і замовником послуг, але не менш як п'ять років);

договори оренди обладнання, що забезпечує надання відповідних видів послуг у галузі криптографічного захисту інформації (протягом п'яти років);

документи (копії), що засвідчують повірку власних та орендованих (у разі оренди обладнання) засобів вимірювальної техніки (протягом п'яти років).

18. Ліцензіат зобов'язаний повідомляти органу ліцензування про зміну даних (у тому числі розширення, звуження провадження виду господарської діяльності), які зазначені в його документах, що додавалися до заяви про одержання ліцензії, у строк не пізніше ніж один місяць з дня настання таких змін.

19. На письмове звернення органу ліцензування ліцензіат інформує про результати ліцензованої діяльності у галузі криптографічного захисту інформації (додаток 14).

20. Під час проведення органом ліцензування в установленому законодавством порядку перевірки додержання ліцензіатом у галузі криптографічного захисту інформації вимог цих Ліцензійних умов повинен бути присутнім керівник ліцензіата чи його заступник або інша уповноважена особа ліцензіата.

21. У разі планового або позапланового припинення ліцензованої діяльності у галузі криптографічного захисту інформації (у зв'язку з неможливістю використання (відсутністю) матеріально-технічної бази (засобів вимірювальної техніки та контролю і обладнання, допоміжних засобів, інформаційних (автоматизованих) систем та/або технічних засобів обробки інформації), необхідної для надання відповідних видів послуг у галузі криптографічного захисту інформації, виникненням обставин непереборної сили тощо) ліцензіат для відновлення такої діяльності зобов'язаний забезпечити виконання вимог цих Ліцензійних умов.

22. Здобувач ліцензії чи ліцензіат у галузі криптографічного захисту інформації повинен мати:

службові та виробничі приміщення, які забезпечують технологічні умови надання відповідних видів послуг у галузі криптографічного захисту інформації;

власні або на праві користування засоби вимірювальної техніки та контролю і обладнання, допоміжні засоби, інформаційні (автоматизовані) системи та/або технічні засоби обробки інформації, що забезпечують надання відповідного виду послуг у галузі криптографічного захисту інформації відповідно до встановлених технологічних вимог, пройшли відповідно до вимог нормативної документації технічне обслуговування та перебувають у належному технічному стані;

нормативно-правову базу (нормативно-правові акти та стандарти у сфері криптографічного захисту інформації, інші стандарти та нормативні документи в електронному вигляді або на паперових носіях (акти та документи, що мають гриф обмеження доступу, лише на паперових носіях), що забезпечує надання відповідного виду послуг у галузі криптографічного захисту інформації. Перелік таких документів визначається Адміністрацією Держспецзв'язку;