Краткий анализ 313-го Постановления, сменившего на посту ПП-957

16 апреля закончилась эпоха 957-го Постановления Правительства «Об утверждении положений о лицензировании отдельных видов деятельности,
связанных с шифровальными (криптографическими) средствами». Ему на смену пришло новое Постановление № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, ехническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».

Про проект этого Постановления я уже писал, как и про заключение Минэкономразвития на него. И вот финальный текст. Какие в нем изменения? Вот краткий перечень того, за что уцепился мой взгляд:

  • Расширен перечень того, что попадает в определение «шифровальные (криптографические) средства (СКЗИ)». Новых три элемента — аппаратные шифровальные средства, программные шифровальные средства и программно-аппаратные шифровальные средства. На мой взгляд это было лишним, т.к. эти три новых определения покрываются подпунктом а), вводящим определение средств шифрования. Но видимо у разработчиков были причины вносить три новых определения. Кстати, в новой редакции были растолкованы термины, ранее неопределенные, например, «ключевые документы».
  • На два пункта был расширен перечень средств, на которые Положение не распространяется. В частности это «товары, содержащие шифровальные (криптографические) средства, имеющие либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющие электронную подпись» (в), «оборудование, криптографические возможности которого недоступны пользователю, специально разработанное и ограниченное для осуществления следующих функций…» (ж) и «товары, у которых криптографическая функция гарантированно заблокирована производителем» (м). А также были уточнены имеющиеся ранее исключения. Исключены из исключений контрольно-кассовые машины.
  • Положение не распространяется на деятельность, связанную с электронной подписью. Т.е. теперь эта деятельность не лицензируется ФСБ. По крайней мере это вытекает из статьи 3в.
  • Перечень лицензируемых работ и услуг был вынесен в приложение для облегчения понимания. Из 30 видов в проекте осталось 28. Но все равно немало.
  • Жесткие требования к квалификации персонала. В зависимости от вида лицензируемых работ и услуг необходимо иметь высшее профессиональное образование по специальности, переподотовку в течение 1000 (500 или 100) аудиторных часов и иметь стаж 5 (3) года. При требования к квалификации я уже писал. Так что ничего нового. Но зато появилась ясность.Кстати, 1000 аудиторных часов — это полноценный институтский курс по информационной безопасности, читаемый в течении 5-6 лет! Где руководители будут получать такое обучение? Ни один учебный центр не в состоянии не то что появившийся спрос удовлетворить, но и вообще реализовать это требование. 1000 часов! Это к слову 125 полностью загруженных (по 8 часов) рабочих дней.

Что интересно. По замечаниям Минэкономразвития авторы поступили просто. Проигнорировали их. Например, в МЭР закономерно написали, что обязательное лицензирование можно вводить тогда, когда есть угроза жизни, здоровью… ну и т.д. И что в проекте постановления ни одна из целей, указанных в законе «О лицензировании отдельных видов деятельности», не установлена и не упомянута. Т.е. нет предмета для лицензирования вообще. Но авторы закрыли глаза на это замечание. МЭР тоже.

Замечания по отсутствию обоснования установленного количества часов также не устранено. Как и замечание по используемому контрольно-измерительному оборудованию. Требование заменить 56 бит на 64 и добавить упоминание продуктов для «mass-market», как того требовали Вассенаарские соглашения (1996 год), которые подписала и Россия. Видимо авторы, как это часто бывает, посчитали устранять эти замечания нецелесообразными ;-( А жаль.

Из занятного. Постановление называется «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…». Т.е. слово распространение в названии есть. А вот по тексту Постановления оно нигде больше не встречается. Нигде. На это указывало и Минэкономразвития. Но все осталось без изменения. Получается, что деятельности по распространению СКЗИ теперь выпала из лицензирования?!.. А может термин «распространение» был заменен на «передача»? Но это не очевидно. Например, разместив на сайте СКЗИ и дав возможность ее скачивать всем своим клиентам и контрагентам, я осуществляю распространение, но не передачу СКЗИ… Тут есть о чем подумать.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Dmitry Leviev

    Требования по повышению квалификации сильно ударят по финансовому сектору. Найти персонал в регионе с указанными требованиями практически невозможно.

    Ответить
  2. eugene

    В статье 3в сказано "товаров, …. …. …. …. имеющих электронную подпись".
    А про средства ЭЦП, их использование там ничего нет.

    Ответить
  3. Unknown

    Никак не пойму что значит "техническое обслуживание шифровальных средств". Кто-нибудь может растолковать?

    Ответить
  4. Сергей

    Алексей, а вы не в курсе: ПП по уровням защищенности и требованиям будут проходить оценку регулирующего воздействия в МЭР?

    Ответить
  5. pushkinist

    конечно же ПП распространяется на электронную подпись и эта деятельность как и раньше лицензируется.
    см. пункт 2в

    Ответить
  6. ZZubra

    От себя добавлю:
    1. ошибка со статьей 112 ФЗ о ФСБ все еще существует. Это плохо.
    2. Что конкретно (какие действия и мероприятия) подразумевается под пунктами 6б и 6в непонятно — а это основные требования для получения лицензий. Как такое могли пропустить — явная коррупционная составляющая 😉 Или не прав?
    3. в названии: "…(за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)" — не раскрыто и непонятно. Если есть в ФЗ о лицензировании, что тогда в название пихать, при этом в пункте 3 "Настоящее Положение не распространяется…" ничего подобного не указано. Хочу отметить, что насколько мне известно, названия НЕ являются нормами права. Вывод понятен. Хотя конечно п20 перечня немного понижает градус, но не снимает.
    4. аналоги и замены направлению "Информационная безопасность" не определены и непонятны (по крайне мере мне)
    5. пункт 10ж — от слова жесть 🙂
    6. разделение п 12 и 15 перечня — зачем это надо?

    Ответить
  7. Svyazist

    Определение "ключевой документ" было в 152-ФАПСИ.
    Ключевой документ — физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости — контрольную, служебную и технологическую информацию.
    Почему, когда появляется на множественное число, смысл становится другим:
    ключевые документы — электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах.

    Ответить
  8. Фин

    Алексей, отсутствие требований аттестации как то прокомментируете?

    Ответить
  9. vsv

    Алексей, по поводу ЭП — Вы не правы (наверное слишком бегло прочитали). П.2в к криптографическим средствам относит средства электронной подписис. А в п.3в ключевым является "за исключением … имеющих ЭП"

    Ответить
  10. Алексей Лукацкий

    Сергей, это Вы не правы 😉 п.2 всего лишь дает определение, что такое шифровальные средства и логично, что ЭП туда попадает. А вот пункт 3в читается так: "Настоящее Положение не распространяется на деятельность с использованием товаров, содержащих шифровальные (криптографические) средства, имеющих либо функцию аутентификации…, либо имеющих электронную подпись".

    Ответить
  11. Алексей Лукацкий

    Коллеги, п.2в всего лишь дает определение. Под него попадает и шифрование в банкоматах. Только оно исключено из лицензирование в п.3. С ЭП тот же вариант. И это кстати, логично в свете последних веяний, когда УЦ, их аккредитация, ЭП отдаются на откур Минкомсвязи

    Ответить
  12. Алексей Лукацкий

    Ak-Kedul: Действия в соответствие с эксплуатационной документацией. А вообще вот тут (http://blogs.cisco.ru/2011/11/11/%d0%be%d0%b1-%d0%b8%d0%bc%d0%bf%d0%be%d1%80%d1%82%d0%b5-%d1%88%d0%b8%d1%84%d1%80%d0%be%d0%b2%d0%b0%d0%bb%d1%8c%d0%bd%d1%8b%d1%85-%d1%81%d1%80%d0%b5%d0%b4%d1%81%d1%82%d0%b2/), на слайде 34, дано определение этого термина по ГОСТу.

    Сергей: Да, будут.

    Фин: Не, не прокомментирую. Когда Сиско получала лицензию ФСБ, мы аттестовывали помещение.

    Ответить
  13. Ditrich

    В отношении исключений ключевая все-таки фраза "…на деятельность с использованием". Деятельность с использованием ЭП и раньше не требовала наличие лицензии у владельца ЭП. А вот УЦ, если он занимается не только выпуском СКП, но и генерацией ключевой пары, не попадающей под исключение п.3б, такую лицензию иметь должен.

    Ответить
  14. pushkinist

    Этот комментарий был удален автором.

    Ответить
  15. pushkinist

    "3в: товаров, имеющих электронную подпись."

    это означает что "товары" подписаны электронной подписью.
    сам факт наличия у чего-либо электронной подписи имеет мало чего общего с деятельностью в области электронной подписи.

    "И это кстати, логично в свете последних веяний, когда УЦ, их аккредитация, ЭП отдаются на откур Минкомсвязи"

    требования к средствам УЦ, средствам ЭП, формат сертификата КЭП, оценка соответствия и т.д. — все в ведении ФСБ

    Ответить
  16. Алексей Лукацкий

    Направил запрос в контору для уточнения 😉

    Ответить
  17. Zuz

    pushkinist прав, ни какого отношения товар с ЭП не имеет к деятельности. Например, многое ПО (его компоненты в виде исполняемых файлов, файлов библиотек и т.п.)подписаны ЭП.
    Т.е., например, передавать/распространять такие товары можно без лицензии.

    Ответить
  18. Алексей Лукацкий

    В конторе тоже считают, что на деятельность с ЭП не распространяется

    Ответить
  19. Zuz

    Но 3в к этому не имеет отношения, там об ином. )

    Ответить
  20. Serj

    В отмененном положении (Постановление правительства №957-2007г.) одним из лицензионных требований являлось:
    «-применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации».
    Иные требования по соблюдению конфиденциальности и разграничению доступа не регламентировались.
    В ходе проверки лицензиата (соискателя) осуществлялся контроль наличия объекта информатизации и аттестата соответствия на него. Этим все и ограничивалось.

    В связи с принятием нового Постановления от 16.04.2012 № 313 лицензионные требования изменились (расширились):
    наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации";
    Т.е. это больше (шире), чем наличие аттестованной АС, речь идет о наличии системы конфиденциальности в масштабах всей организации, которая должна соответствовать требованиям, установленным Федеральным законом "Об информации, информационных технологиях и о защите информации":
    — ограничения обладателем информации круга лиц имеющих доступ к информации ограниченного распространения;
    — принятие определенных правовых, организационных и технических мер;
    — установление ответственности за нарушения конфиденциальности.

    Так же, при подаче заявления соискателю лицензии необходимо представить:
    «- копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации";»
    Таким образом:
    — до проведения аттестации АС в организации должна быть создана (регламентирована внутренними распорядительными документами) и функционировать (включая установку средств защиты от НСД и проведение аттестации АС) система обеспечения конфиденциальности.
    — внутренние распорядительные документы, регламентирующие соблюдение конфиденциальности информации будут рассматриваться (проверяться) ФСБ.

    Ответить
  21. Serj

    В отмененном положении (Постановление правительства №957-2007г.) одним из лицензионных требований являлось:
    «-применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации».
    Иные требования по соблюдению конфиденциальности и разграничению доступа не регламентировались.
    В ходе проверки лицензиата (соискателя) осуществлялся контроль наличия объекта информатизации и аттестата соответствия на него. Этим все и ограничивалось.

    В связи с принятием нового Постановления от 16.04.2012 № 313 лицензионные требования изменились (расширились):
    наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации";
    Так же, при подаче заявления соискателю лицензии необходимо представить:
    «- копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации,
    Таким образом:
    — до проведения аттестации АС и подачи заявления в лицензирующий орган в организации должна быть создана (регламентирована внутренними распорядительными документами) и функционировать (включая установку средств защиты от НСД и проведение аттестации АС) система обеспечения конфиденциальности.
    — внутренние распорядительные документы, регламентирующие соблюдение конфиденциальности информации будут рассматриваться (проверяться) ФСБ.

    Ответить
  22. Serj

    В отмененном положении (Постановление правительства №957-2007г.) одним из лицензионных требований являлось:
    «-применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации».
    Иные требования по соблюдению конфиденциальности и разграничению доступа не регламентировались.
    В ходе проверки лицензиата (соискателя) осуществлялся контроль наличия объекта информатизации и аттестата соответствия на него. Этим все и ограничивалось.

    В связи с принятием нового Постановления от 16.04.2012 № 313 лицензионные требования изменились (расширились):
    наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации";
    Так же, при подаче заявления соискателю лицензии необходимо представить:
    «- копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации,
    Таким образом:
    — до проведения аттестации АС и подачи заявления в лицензирующий орган в организации должна быть создана (регламентирована внутренними распорядительными документами) и функционировать (включая установку средств защиты от НСД и проведение аттестации АС) система обеспечения конфиденциальности.
    — внутренние распорядительные документы, регламентирующие соблюдение конфиденциальности информации будут рассматриваться (проверяться) ФСБ.

    Ответить
  23. TEgerX1

    Для обработки сведений составляющих ГТ применимо данное 313-Постановление ? Не требуется лицензирование деятельности по .. производству .. информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ в области шифрования информации,
    для случая, если техническое обслуживание .. осуществляется для обеспечения собственных нужд юридического лица ?

    Ответить
  24. Алексей Лукацкий

    Там вроде ГТ выведена

    Ответить
  25. Serj

    Вопросы лицензирования по защите ГТ регулируются другим постановлением- ПП № 333-95 года.

    Ответить