А у вас есть лицензия на гостайну? Нет?! Может пора задуматься?

Кто помнит эпопею с лицензированием деятельности в области шифрования, то картина выглядела примерно так. Многие годы ФСБ была сторонницей позиции, что лицензия на деятельности в области криптографии нужна всем, кто имеет хоть какое-нибудь отношение к шифровальным средствам. Будь-то разработка, распространение, обслуживание и т.д. и т.п. И выражалось это в различных официальных письмах, которые ФСБ писала на запросы разных ассоциаций и организаций. В 2011-м году ситуация поменялась — законодатели приняли ФЗ «О лицензировании отдельных видов деятельности», которые не только сделал все лицензии бессрочными, но и заменил существовавшие ранее 4 лицензии ФСБ на одну. Да еще и техобслуживание для собственных нужд стало нелицензируемым. Ситуации хуже не представишь — столь ревностно контролируемая тема утекает сквозь пальцы.

И вот регулятор делает ход конем — и в 313-м Постановлении Правительства каким-то неуловимым образом вместо одного лицензируемого вида появляется аж целых 28 (приложение 1). И ситуация становится даже хуже, чем была раньше. А если сюда приплюсовать еще и требования по квалификации персонала, то ситуация становится хуже некуда. Неслучайно на юге России уже несколько уголовных дел за отсутствие лицензий (в т.ч. и непродленных) было возбуждено.

Но поговорить я хотел сегодня о другом. А точнее о такой интересной операции, которая проводится достаточно регулярно — обновление или ремонт СКЗИ. Например, вышла новая версия ПО (сертифицированная) или надо сгоревшую сетевую карточку поменять или блок питания сгорел у VPN-шлюза и надо его сдать в ремонт. Нередкие, скажем прямо, операции. Но под какой из 28 лицензируемых видов они попадают? Разработка, изготовление, монтаж, передача, предоставление услуг?… Нет. Ремонт так и назван ремонтом (16-18 виды работ из приложения 1). С обновлением чуть сложнее. Оно может попасть как под 5-й вид (модернизация шифровальных средств), так и под работы по обслуживанию шифровальных средств, предусмотренные технической и эксплуатационной документацией для обспечения собственных нужд.

Если это последний вариант, то все просто замечательно — это вид деятельности нелицензируемый и можно им заниматься беспрепятственно. Но представим, что обновление попадает под 5-й вид деятельности. Согласно 7-го пункта ПП-313 соискатель на получение лицензии на оказание данного вида работ должен представить среди прочего «сведения о документе, подтверждающем наличие допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну«.

Самое неприятное то, что четкого ответа на вопрос, к какому  виду работ относится обновление СКЗИ, нет. Регулятор молчит ;-( И если с ремонтом все понятно — лучше им самостоятельно не заниматься и отдавать на откуп лицензиатам, то что делать с обновлением пока непонятно. И если ответ на этот вопрос пойдет по не самому позитивному сценарию, то кажется мне, что это станет еще большей головной болью, чем решение вопроса с обучением в течение 500 часов…

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Den N Shilkin

    То есть, если организация вынуждена обновлять версию СКЗИ (кончился сертификат на старую версию; обнаружен критический баг, который исправлен в новой версии) — не будет ли это модернизацией со всеми вытикающими… Всё же интересно, что они под модернизацией понимают…

    Ответить
  2. Алексей Лукацкий

    Вот именно… Интересно

    Ответить
  3. Евгений

    Алексей, вам не угодишь :). То не понятно, что именно имеется в виду под "техническим обслуживанием", то не нравится весьма подробный список работ и услуг, раскрывающий понятие деятельности по СКЗИ.

    И что вас удивляет в том, что для ремонта СКЗИ требуется специалист от лицензиата? Скажите, Cisco распространяет гарантию на свои устройства, в которых "специалисты" заказчика своими силами поменяли блок питания?

    По поводу обновления тоже мне кажется все просто — устанавливая новую версию СКЗИ, вы не производите изменение самого СКЗИ, а используете его как продукт. А значит п.12 "Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств.". Под модернизацией же СКЗИ стоит понимать например установку дополнительной памяти в железячное устройство, замена его прошивки, изменение кода программного СКЗИ.

    Ответить
  4. Алексей Лукацкий

    Т.е. на установку дополнительной памяти мне нужна лицензия на гостайну?

    А установка патча — это установка или модернизация?

    Ответить
  5. Евгений

    Алексей, вы настолько специалист, что можете определить как повлияет устанавливаемая память на функционирование механизмов СКЗИ?
    И это не считая необходимости ее тестирования. Ведь преимущество железячных СКЗИ именно в оттестированности железа и ПО (в идеальном мире конечно :)).

    Скажите (я честно не очень в курсе про всех), а патчи для программных СКЗИ выпускаются? Или все-таки дают новую версию ПО, которые нужно установить?

    Ответить
  6. Евгений

    А лицензия на гостайну очевидно нужна для получения документов с требованиями к разработке и модернизации СКЗИ. Поскольку конечный заказчик этим не занимается, то до настоящего времени с этим и не было проблем.

    Ответить
  7. malotavr

    > патчи для программных СКЗИ выпускаются

    На сертифицированные не выпускается.

    Была забавная ситуация — в одном сертифицированном СКЗИ в сообщении об ошибке была неприятная опечатка. В ответ на дружескую просьбу в в Центр ЛСЗ: "Пацаны, давайте мы с текстовомресурсе одну буковку заеним". Можно говорят, но потом — полная пересертификация. В итоге чинить не стали.

    Ответить
  8. Анонимный

    Не все так страшно.
    ПП не распространяется на массу средств. Например, "шифровальных (криптографических) средств, используемых для защиты технологических каналов информационно-телекоммуникационных систем и сетей связи, не относящихся к критически важным объектам".

    А КВО = объект, оказывающий существенное влияние на национальную безопасность Российской Федерации, прекращение или нарушение функционирования которого приводит к чрезвычайной ситуации или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, другой сферы хозяйства или инфраструктуры страны, либо для жизнедеятельности населения, проживающего на соответствующей территории, на длительный период времени.

    Ответить
  9. Андрейка

    А по уголовным делам можно где почитать?

    Ответить
  10. Алексей Лукацкий

    Нигде 😉

    Ответить
  11. Sergey Soldatov

    Приведенный пример с заменой карточки и прочие попадают под пп 17-18 ПП313, для выполнения этих работ допуска к гостайне не надо.

    Ответить
  12. Алексей Лукацкий

    Это ТВОЯ точка зрения, а не официальная позиция. Консультации по телефону об использовании СКЗИ ты врядли будешь считать лицензируемым видом деятельности, а ЦЛСЗ считает

    Ответить