СОИБ. Лицензирование деятельности связанных с шифрованием

СОИБ. Лицензирование деятельности связанных с шифрованием


На сайте правительства РФ опубликовано Постановление от 16 апреля 2012 г. №313 Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).


Во-первых, добавилось явное исключение, описывающее случаи, когда деятельность не попадает под лицензирование:
“1. … если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя”

Во-вторых, расширено определение СКЗИ, теперь включающее не только компоненты реализующие шифрование, но и компоненты обеспечивающиешифрование и хранящиеключи:
“ж) аппаратные шифровальные (криптографические) средства - устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин;
з) программные шифровальные (криптографические) средства - программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно-аппаратных шифровальных (криптографических) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием шифровальных (криптографических) средств;
и) программно-аппаратные шифровальные (криптографические) средства - устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части.”

В-третьих расширен список типов СКЗИ, которые не попадают под лицензирование:
·        средства аутентификации;
·        встроенные средства ОС;
·        персональные смарт-карты;
·        средства защиты от копирования и защиты авторских прав;
·        комплексные средства, в которых производителем заблокирована функция СКЗИ.
“3. Настоящее Положение не распространяется на деятельность с использованием:
в) товаров, содержащих шифровальные (криптографические) средства, имеющих либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющих электронную подпись;
г) шифровальных (криптографических) средств, являющихся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной;
д) персональных смарт-карт (интеллектуальных карт), криптографические возможности которых ограничены использованием в оборудовании или системах, указанных в подпунктах »е» - »и» настоящего пункта, или персональных смарт-карт (интеллектуальных карт) для широкого общедоступного применения, криптографические возможности которых недоступны пользователю и которые в результате специальной разработки имеют ограниченные возможности защиты хранящейся на них персональной информации;
ж) оборудования, криптографические возможности которого недоступны пользователю, специально разработанного и ограниченного для осуществления следующих функций:
исполнение программного обеспечения в защищенном от копирования виде;
обеспечение доступа к защищенному от копирования содержимому, хранящемуся только на доступном для чтения носителе информации, либо доступа к информации, хранящейся в зашифрованной форме на носителях, когда эти носители информации предлагаются на продажу населению в идентичных наборах;
контроль копирования аудио- и видеоинформации, защищенной авторскими правами;
м) товаров, у которых криптографическая функция гарантированно заблокирована производителем.”

В-четвертых, расширен и детализирован перечень видов работ, связанных с СКЗИ. Теперь их 28. На все нужные вам виды работ выдается одна лицензия, а виды работ перечисляются на обратной стороне или на дополнительном приложении.

В-пятых поменялись лицензионные требования:
·        замена требования аттестованных рабочих мест, на более полит корректное:
Вместо “д) применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации;”
Теперь “в) наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;”
·        уточнение требований к квалификации персонала  -  высшее образование или переподготовка в направлении «Информационная безопасность» (от 100 до 1000 аудиторных часов, в зависимости от вида работ).
·        для видов работ 1 - 11, 16 – 19 требуется наличие неких приборов и оборудования.
“е) наличие у соискателя лицензии приборов и оборудования, прошедших поверку и калибровку в соответствии с Федеральным законом «Об обеспечении единства измерений», принадлежащих ему на праве собственности или ином законном основании и необходимых для выполнения работ и оказания услуг, указанных в пунктах 1 - 11, 16 - 19 перечня;”
В-шестых уточнили перечень документов предоставляемых при лицензировании:
·        Вместо перечня внутренних документов, которые готовились в рамках аттестации рабочих мест, теперь необходимо предоставить копии самих внутренних документов связанных с КИ:
б) копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;
·        Вместо аттестата теперь предоставляем:
и) сведения о документе, подтверждающем наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;
·        По сотрудникам, ответственным за лицензионную деятельность, теперь предоставляем кроме дипломов ещё и копии трудовых книжек и должностных инструкций:
“д) копии трудовых книжек сотрудников, определенных подпунктом »д» пункта 6 настоящего Положения;
е) копии должностных инструкций сотрудников, определенных подпунктом «д» пункта 6 настоящего Положения;”

В-седьмых теперь явно требуется указать все территориально распределенные офисы, в которых планируется осуществлять лицензионную деятельность и необходимо  обеспечить выполнение лицензионных требований во всех офисах.  То есть, если интегратор хочет оказывать услуги связанные с СКЗИ в городе N-ске, у него в лицензии должен быть перечислен этот город. Для этого многим распределенным лицензиатам по-видимому придется переоформлять лицензию.
“9. При намерении лицензиата осуществлять лицензируемую деятельность по адресу места ее осуществления, не указанному в лицензии, в заявлении о переоформлении лицензии указываются этот адрес и следующие сведения:”

Аналогично, если в старой лицензии нет всех нужных новых видов работ – то придется  переоформлять лицензию.


За ссылку спасибо Алексею Лукацкому. У которого в блоге так-же делался анонс проекта постановления .

Анализ новых требований к квалификации в блоге у Пушкиниста .

СОИБ СКЗИ Лицензирование ФСБ
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале