Зачем нужна Лицензия ФСБ на криптографию (шифрование)?
Лицензия ФСБ на криптографию необходима если юридическое лицо собирается заниматься видами работ отраженных в Постановление Правительства Российской Федерации от 16 апреля 2012 г. N 313, а если быть точнее то в приложение № 1 к данному постановлению где отражен «Перечень выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств». В перечне указаны 28 видов деятельности которые можно (условно) поделить на 7 групп:
- перепродажа криптографических средств (импорт, экспорт, перепродажа внутри страны)
- монтаж, установка, наладка криптографических средств
- тех. обслуживание криптографических средств
- ремонт криптографических средств
- оказание услуг с использованием криптографии
- встраивание элементов криптографии
- разработка, модернизация и производство криптографических средств
Стоит отметить что под криптографическим средством поминаемся не только физическое изделие основным назначение которого является шифрование информации а, в том числе информационные системы и телекоммуникационные системы, защищенные с использованием шифровальных (криптографических) средств, программные продукты с элементами шифрования, электронно цифровая подпись и средства её изготовления и пр. (подробнее можно ознакомиться опять же в ПП № 313).
Информация о стоимости и сроках
Подробнее о ввозе оборудования
Кому нужна лицензия ФСБ на криптографию (шифрование)?
Определять необходимость оформления лицензии нужно в каждом случае основываясь на деятельности компании но ниже предоставлены примеров организаций деятельность которых требует оформления лицензии ФСБ на криптографию:
ПРИМЕР КОМПАНИИ | ОРИЕНТИР ПО ТРЕБУЕМЫМ ПУНКТА ИЗ ПРИЛОЖЕНИЯ № 1 К ПОСТАНОВЛЕНИЮ ПРАВИТЕЛЬСТВА № 313 |
ИТ-компании разрабатывающие ПО с элементами шифрования | · пункт 21 для продажи ПО
· пункт 2, 3 |
Системные интеграторы | · пункт 21, 12, 13, 20 |
Поставщики сложного телекоммуникационного оборудования | · пункт 21- 24 для импорта продажи сложного оборудования (например маршрутизаторы Sisco на которые отсутствует нотификация) |
Финансово-кредитные организации, коммерческие банки | · пункт 21, 22 для передачи (продажи) USB-токенов
· пункт 12 для установки и настройки шифрования в серверном оборудовании банковской организации · пункт 13, 14 для установки системы Банк-клиент на сервере банка и обновления системы · пункт 20 для обслуживания крипто-библиотек и USB-токенов · пункт 25, 26 для защиты интернет канала передачи данных между банком и клиентом · пункт 2 при разработке собственного ПО типа Банк-Клиент |
· Центры технического обслуживания кассовой техники (ЦТО) | · пункт 16, 17 при ремонте и гарантийном обслуживании касс
· пункт 25 при регистрации касс в Федеральной налоговой службе от лица клиента ЦТО |
· Организации, занимающиеся продажей и ремонтом тахографов
|
· пункт 21 при продаже карт тахографов и блоков СКЗИ тахографов
· пункт 12 при установке (монтажу) и активации блоков СКЗИ тахографов · пункт 16 при ремонте (сервисном обслуживании) тахографов с установкой и/или заменой блока СКЗИ |
· Медицинские информационные аналитические центры (МИАЦ) | · пункт 25 по причине передачи (с предварительным сбором, хранением и обработкой) информации в уполномоченные государственные органы в зашифрованном виде |
Бухгалтерские организации и аудиторские конторы | · пункт 25 по причине передачи информации в уполномоченные государственные органы в зашифрованном виде (сдача отчетности через ЭЦП) |
· Операторы электронного документооборота | · пункт 12-14, 20, 21, 25-27 в соответствии с пунктом 4 Приказа ФНС России N ММВ-7-6/76@ «Об утверждении Требований к оператору электронного документооборота» от 04.03.2014 |
· Удостоверяющие центры | · Пункт 21 в связи с выдачей ключей электронно-цифровой подписи и ключей проверки подписи
· Пункт 28 в связи с созданием ключей электронно-цифровой подписи и ключей проверки подписи · Пункт 12, 13, 14 в связи с установкой и обновлением ПО удостоверяющего центра на серверном оборудовании УЦ · Пункт 25, 26 в связи с шифрование канала передачи данных удостоверяющего центра и клиента |
· Операторы фискальных данных | · Пункт 25 в связи с передачей в Федеральную налоговую службу |
1 Выбор категорий из перечня
В первую очередь стоит обратиться к «Перечню выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств» (приложение № 1 к ПП № 313 от 16 апреля 2012 г.) и определиться с требуемыми для Вашей деятельности пунктами. Стоит понимать что в зависимости от выбранных пунктов будут различные требования к организации, персоналу и оборудованию (выше отражены примеры компаний и выбранных ими позиций из перечня). Для примера при выборе позиций 21-24 требования к организации будут минимальны, а при добавлении позиции 1 сразу потребуется наличии лицензии на Осуществление работ, связанных с использованием сведений, составляющих Государственную тайну, наличии в штате специалистов с опытом работы, наличие оборудование и т.д. Основные требования отражены в ПП № 313 от 16 апреля 2012 г.
Далее мы разберем общие требования на основе лицензии с категориями 21-24 для простоты восприятия информации (категории с минимальными требованиями к организации).
2 Определение требований к заявителю
Требования к заявителю сильно варьируются от выбранных позиций из «Перечня выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств» однако мы будем разбирать процесс на примере заявителя с позициями 21-24 на основе которого будут понятны минимальные требования к заявителю.
Требования к помещению
Одним из пунктов в лицензии является «Место нахождения и места осуществления лицензируемого вида деятельности» где отражается, так называемый, юридический адрес организации и (при необходимости) дополнительные адреса (адреса осуществления работ/услуг). Все помещения должны соответствовать минимальным требованиям указанным ниже:
- Документы подтверждающие законное владение помещением (пп.1 п.3 ст.8 99-ФЗ). Под владением помещение подразумевается не только помещение в собственности но и арендуемое помещение. Ограничения по площади отсутствуют однако помещение с так называемым «открытым пространством» не соответствуют требованиям.
- Прочные двери (п.52 152-ФАПСИ)
- Окна (п.52, 53, 56 152-ФАПСИ). Окна должны быть защищены от проникновения металлическими решетками, и от просмотра с улицы – шторами/жалюзи.
- Сигнализация и охрана (п.52, 53, 56 152-ФАПСИ). Должно быть исключено несанкционированное и неконтролируемое проникновение в помещение посторонних лиц.
- Сейф (п.58 152-ФАПСИ). В вашем помещении должен быть сейф или металлический шкаф с кодовым замком/средством опечатывания замочной скважины. В сейфе вы будет храниться криптография и документация к ней.
Требования по обеспечению конфиденциальности
В соответствии с ПП № 313 присутствует требование «в) наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;«. Под данным требованием подразумевается:
- Режим коммерческой тайны. Вы должны установить в компании режим коммерческой тайны (для позиций 21-24 является «символическим пунктом»)
- Автоматизированная система. Применяется для ведения журнала учета СКЗИ. Автоматизированная рабочая система подразумевает под собой аттестованный персональный компьютер (аттестацией занимаются уполномоченные ФСТЭК организации).
- Наличие охраны лицензируемого помещения.
Требования к организации работ
- Учет СКЗИ (п.7, 26, 27 152-ФАПСИ, п.48 ПКЗ-2005). Данный пункт подразумевает учет средств криптографической защиты информации.Ведет учет от кого была получена криптография и кому была передана в журнале учета СКЗИ. Образец журнала отражен в 152-ФАПСИ.
- Документация на СКЗИ (п.69 152-ФАПСИ). Вместе с криптографией вам следует передавать своим клиентам техническую и эксплуатационную документацию на СКЗИ. Документация также отражается в журнале учета СКЗИ.
- Передача СКЗИ (п.32, 33 152-ФАПСИ). Передача криптографии может быть осуществлена только специальным образом. По внутренней почте в сейф-пакетах или сотруднику клиента лично в руки (или же спецпочтой).
- Правила пользования СКЗИ (п.46 ПКЗ-2005). Использование криптографии для оказания услуг возможно только в соответствии с правилами пользования СКЗИ.
- Законное владение СКЗИ (пп.1 п.3 ст.8 99-ФЗ). Наличие документов, подтверждающих законность владения СКЗИ (например, лицензионный договор, договор поставки, ДКП и др.).
Требования к оборудованию
Индивидуально в зависимости от оказываемых услугах заявителя. Например для категорий 21-24 не требуется оборудования (помимо автоматизированной системы/персонального компьютера), а для категорий 1-11,16-19 потребуется наличие приборов прошедших поверку и калибровку специального ПО и т.д.
Требования к персоналу
Все требования к персоналу отражены в ПП № 313. Рассмотрим несколько вариантов:
- Для 21-24 видов работ нужно иметь 2 сотрудников с 100 часами курсов по информационной безопасности, стаж не требуется. В данном случае можно обучить сотрудников уже работающих в организации (обучении длится около 2 месяцев, требуется наличие любого высшего образования) либо нанять новых.
- Для 2, 3, 7-15, 17, 18, 20, 25-28 видов работ нужно иметь 2 сотрудников с 500 часами курсов по информационной безопасности или академическим образованием и стажем в лицензируемой деятельности более 3 лет.
- Для 1, 4-6, 16, 19 видов работ нужно иметь 2 сотрудников с 1000 часами курсов по информационной безопасности или академическим образованием и стаже в лицензируемой деятельности более 5 лет.
Сотрудники должны быть оформлены в штат на основное место работы. Работа по совместительству невозможна.
Дополнительные требования
- При выборе категорий пунктах 1, 4 — 6, 16 и 19 перечня заявителю потребуется лицензия на «Осуществление работ, связанных с использованием сведений, составляющих государственную тайну». Без неё получение данных пунктов невозможно.
- При работе с персональными данными и выборе соответствующих категорий потребуется лицензия от ФСТЭК на деятельность по деятельности по технической защите конфиденциальной информации.
- При выборе пункта 27 в перечне категорий потребуется лицензия Роскомнадзора на оказание телематических услуг.
3 Выполнение требований к заявителю
Основной сложностью при выполнении требований является, как правило, подбор персонала и получение дополнительных лицензий.
По персоналу
Для оформления лицензии по категориям 21-24 самым простым вариантом будет переобучить имеющихся сотрудников. Для категорий имеющих требования по стажу работу оформление лицензии затрудняется так как требуется подтвержденный стаж работы именно в компании уже имеющей лицензию по требуемым категориям. Ранее была возможно работа по совместительству, что сильно упрощало получение лицензии. На данный момент требуется постоянное наличие сотрудника на полную ставку (сотрудники должны быть оформлены в штат на основное место работы). К сожалению, простого решения данной проблемы нет, только поиск данных квалифицированных кадров.
По дополнительным лицензиям
Лицензию от ФСТЭК на деятельность по деятельности по технической защите конфиденциальной информации можно оформлять параллельно с лицензия ФСБ на криптографию и шифрование (имеются схожие позиции и требования). Рекомендуем ознакомиться с Постановлением Правительства РФ от 3 февраля 2012 г. N 79 «О лицензировании деятельности по технической защите конфиденциальной информации».
Лицензия Роскомнадзора на оказание телематических услуг не займет много времени и сил и также может быть оформлена параллельно с лицензией ФСб криптографию и шифрование.
Лицензию на «Осуществление работ, связанных с использованием сведений, составляющих государственную тайну» лучше оформлять заранее. Процесс получения данной лицензии длительный и дорогостоящий.
4 Подготовка и подача документов
Для получения лицензии вне зависимости от выбранных категорий придется подготовить следующие документы:
- Создание органа криптографической защиты (ОКЗ) (п.6 152-ФАПСИ). Оформляется приказом, в котором прописываются цели и задачи ОКЗ, а также персональный состав сотрудников ОКЗ. Следует отметить, что ОКЗ – это не отдельное структурное подразделение компании а дополнительные роли, которые выполняют штатные сотрудники. Например, в ОКЗ могут входить сотрудники разных подразделений. Как правило, ОКЗ состоит из сотрудников отдела информационной безопасности если такой присутствует в организации.
- Должностные инструкции ОКЗ (п.18 152-ФАПСИ). Каждому сотруднику ОКЗ прописывают дополнительные должностные инструкции, которые описывают перечень прав и обязанностей в рамках лицензируемой деятельности. Отдельные должностные инструкции для руководителя ОКЗ, отдельные – для инженерно-технических работников. Рекомендуемый набор прав и обязанностей вы найдете в инструкции ФАПСИ № 152.
- Инструкция по работе с СКЗИ (п.7, 10 152-ФАПСИ). Инструкция регулирует порядок обращения с СКЗИ. Как передается, обрабатывается или хранится конфиденциальная информация, с учетом используемых СКЗИ. Инструкцию можно разработать на базе инструкции ФАПСИ № 152.
- Ограничение доступа в помещение ОКЗ (п.54, 55, 63 152-ФАПСИ). Компания обязана ограничить доступ к криптографии неуполномоченным работникам. Это можно сделать установив режим охраны помещений ОКЗ, в том числе правила допуска сотрудников и посетителей в рабочее и нерабочее время. Установленный режим охраны должен предусматривать периодический контроль за состоянием технических средств охраны. Также следует утвердить и вести журнал контроля технических средств охраны.
- Заявление на получение лицензии. Форма приведена в приказе ФСБ от 30 августа 2012 г. N 440
- Документы подтверждающие законное владение помещением
- Документы подтверждающие образование и стаж работы сотрудников (в том числе копии дипломов и трудовых книжек)
- Нотариальные копии учредительных документов (устав, свидетельства о регистрации и постановке, протокол о назначении гендиректора, выписка из ЕГРЮЛ)
Копии всех документов вместе с оплаченной государственной пошлиной (в размере 7500 руб.) сдается в Центр по лицензированию, сертификации и защите государственной тайны ФСБ России (для Москвы) или региональное управление ФСБ (для других регионов России).
Какие документы подаются в ФСБ при оформлении лицензии?
Для наглядного понимания ниже отражаем пример сопроводительного письма с указанием комплекта документов подаваемых в ФСБ при оформлении лицензии ФСБ на криптографию по категориям 21-24:
- Заявление
- Копия платежного поручения (реквизиты можно найти на сайте ЦСЛЗ ФСБ)
- Справка о лицензируемой деятельности юридического лица, в соответствии с постановлением Правительства № 313 от 26.04.2012 года № 313 на _ листах (В ней отражаются данные о помещение органа КЗИ, сотрудниках органа КЗИ и документацией. Напоминаем что заявителю придется организовать орган Криптографической Защиты Информации для оформления лицензии).
- Копии документов, подтверждающих нахождение в штате соискателя лицензии сотрудников, необходимых для осуществления лицензируемой деятельности (включает в себя приказы о приеме на работу, трудовой договоры, дипломы, трудовые книжки, должностные инструкции и обязательство о неразглашении коммерческой тайны по каждому сотруднику):
- Копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации, установленных Федеральным законом «Об информации, информационных технологиях и о защите информации»:
- Копии документов, подтверждающих право собственности или иное законное основание на владение (например аренда) и использование помещений.
- Нотариально заверенные копии учредительных документов.
5 Прохождение проверки ФСБ
В течение 45 рабочих дней после подачи документов к вам должны приехать проверяющие из ФСБ. Это выездная проверка которая может пройти в любой момент после подачи документов (но как правило ближе к концу срока 45 раб. дней). При проверке лучше присутствовать представителю организации который подготавливал и подавал документы (чтобы можно было дать ответы на вопросы по комплекту документов и т.д.). Сотрудники ФСБ могут озвучить замечания которые потребуется устранить до 45 рабочего дня иначе будет получен отказ в выдаче лицензии с указанием замечаний (далее можно подать документы повторно но срок рассмотрение будет опять же 45 рабочих дней).