СОК и лицензия ФСБ на СКЗИ

СОК и лицензия ФСБ на СКЗИ

   Уже традиционное продолжение обмена мнениями на страницах блога с А. Лукацким. На этот раз поводом послужила его заметка "КОММЕРЧЕСКИМ SOCАМ НУЖНА ЕЩЕ И ЛИЦЕНЗИЯ ФСБ НА ШИФРОВАНИЕ"  https://lukatsky.blogspot.com/2018/11/soc_7.html
    Требование о защите каналов традиционно для ФСТЭК и вполне логично, то есть, - применение СКЗИ является обязательным для лицензиата ФСТЭК по ТЗКИ (работы по мониторингу ИБ). Самым актуальным вопросом остается обязательность получения лицензии ФСБ на СКЗИ.
1. А. Лукацкий пошел по пути аналогии с банками (услуги ДБО). Мне больше импонирует аналогия с транспортными компаниями:компания оказывает услуги по транспортировке (перевозке) грузов, но ее грузовые автомобили оборудованы тахографами, а тахографы защищаются СКЗИ. Тот же СОК оказывает услуги по мониторингу, а каналы передачи данных защищаются СКЗИ. Требуется ли получать лицензию ФСБ на СКЗИ грузоперевозчикам?Ответ - нет.
     То есть, сам факт обязательного использования СКЗИ для оказания иных услуг не служит основанием для получения лицензии ФСБ. Судебной практики по тахографам очень много (ст.13.13 КоАП). Но прецедентов привлечения транспортных компаний я не выявил. Обычно идет обвинение в "производил установку, монтаж, активацию, прода¬жу тахографов с блоками криптографической защиты информации (СКЗИ) без специаль¬ного разрешения (лицензии) на данный вид деятельности, выдаваемой Управлением ФСБ России по .." к сервисным компаниям, но не к владельцам грузовиков.
     Но есть и другая аналогия: компании, предоставляющие удаленные услуги бухгалтерии. А с ними у ФСБ почему то другое отношение. Хотя суть вся та же самая, СКЗИ используется из-за обязательного требования ФНС при предоставлении отчетности, но услугу по "шифрованию" бухгалтерская фирма никому не оказывает при этом. Суды поддерживают ФСБ в этой точке зрения.
"Постановлением зам.начальника отдела Управления ФСБ РФ по Белгородской области от 14.06.2011 года установлено, что Жданова В.С., будучи должностным лицом - директором ООО «…», с октября 2009 года, в нарушение п.7 ч.1 ст.17 ФЗ от 08.08.2001года №128-ФЗ «О лицензировании отдельных видов деятельности», п.п.в п.2 "Положения о лицензировании предоставления услуг в области шифрования информации" утвержденного Постановлением Правительства РФ от 29.12.2007 N 957, осуществляет предпринимательскую деятельность по передаче персональных данных (бухгалтерской отчетности) юридическим и физическим лицам по телекоммуникационным каналам связи с использованием электронной цифровой подписи и средств криптографической защиты информации, т.е. занимается деятельностью по предоставлению услуг в области шифрования информации без лицензии.
......
при выполнении обязательств по договору на оказание услуг налогового представителя, применяя при этом средства электронной цифровой подписи (ЭЦП) и средства шифрования для отправки налоговых деклараций и бухгалтерской отчетности по телекоммуникационным каналам связи, действовала от имени, в интересах и в пользу налогоплательщика."
или
"Согласно исследованных договоров заключенных ООО <данные изъяты> с юридическими лицами по спискам юридических и физических лиц, представивших налоговую и бухгалтерскую отчетность через ООО <данные изъяты> в период с 13 января по 08 февраля 2016 года, следует, что ООО <данные изъяты> оказывает платную услугу, по ведению бухгалтерского и налогового учета, составлению отчетности в объеме, установленном действующим законодательством РФ. 
Во исполнения принятых на себя обязательств, в соответствии с условиями названого договора № от 10 октября 2012 года ООО <данные изъяты>, с помощью криптографических средств защиты информации «КриптоПроCSP» передавал отчеты доверителей с 13 января по 08 февраля 2016 года в налоговый орган.
В связи с этим и на основании вышеизложенного нельзя принять письмо ООО «Компания <данные изъяты> № от 30 марта 2016 года, о том, что уполномоченная организации, в данном случае, ООО <данные изъяты> не оказывает услуг шифрования информации.
Таким образом, ООО <данные изъяты>» по существу оказывает возмездные услуги по организации и обеспечению безопасности хранения и обработки с использованием СКЗИ конфиденциальной информации, передаваемой вне сетей конфиденциальной связи, т.е. предоставляя услуги по шифрованию информации фактически осуществляет функции оператора."

2. Касательно попытки использовать исключение по признаку "технологическая информация":
"Кроме этого, как следует из представленной Управлением выписки из шифртелеграммы от 02.04.2013 № 262912, подписанной заместителем начальника ЦЛСЗ ФСБ России, под технологическим каналом информационно-телекоммуникационной системы и сети связи следует понимать защищенный с использованием шифровальных (криптографических) средств канал связи, по которому осуществляется только передача данных для управления (конфигурирования) информационно-телекоммуникационной системой и/или сетью связи."
     Так что не вариант для СОК.
     Общий итог: вариант работы СОК без лицензии ФСБ существует - разворачивание на объектах заказчика мониторинга своих собственных технических средств, которых специалисты заказчика не будут касаться вообще (использование СКЗИ для собственных нужд). Моя рекомендация - получайте лицензию ФСБ.
     Касательно ответственности за деятельность без соответствующей лицензии. Самое опасное-предусмотрена возможность конфискации системы мониторинга, причем по КоАП, но есть и уголовная ответственность. Подробно разбирал риски для СОК за работу без лицензии в заметке  https://valerykomarov.blogspot.com/2018/04/blog-post.html  и в статье "Уголовно-правовые риски предоставления услуг по информационной безопасности"  http://www.itsec.ru/imag/insec-1-2018/21

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности