И вот регулятор делает ход конем — и в 313-м Постановлении Правительства каким-то неуловимым образом вместо одного лицензируемого вида появляется аж целых 28 (приложение 1). И ситуация становится даже хуже, чем была раньше. А если сюда приплюсовать еще и требования по квалификации персонала, то ситуация становится хуже некуда. Неслучайно на юге России уже несколько уголовных дел за отсутствие лицензий (в т.ч. и непродленных) было возбуждено.
Но поговорить я хотел сегодня о другом. А точнее о такой интересной операции, которая проводится достаточно регулярно — обновление или ремонт СКЗИ. Например, вышла новая версия ПО (сертифицированная) или надо сгоревшую сетевую карточку поменять или блок питания сгорел у VPN-шлюза и надо его сдать в ремонт. Нередкие, скажем прямо, операции. Но под какой из 28 лицензируемых видов они попадают? Разработка, изготовление, монтаж, передача, предоставление услуг?… Нет. Ремонт так и назван ремонтом (16-18 виды работ из приложения 1). С обновлением чуть сложнее. Оно может попасть как под 5-й вид (модернизация шифровальных средств), так и под работы по обслуживанию шифровальных средств, предусмотренные технической и эксплуатационной документацией для обспечения собственных нужд.
Если это последний вариант, то все просто замечательно — это вид деятельности нелицензируемый и можно им заниматься беспрепятственно. Но представим, что обновление попадает под 5-й вид деятельности. Согласно 7-го пункта ПП-313 соискатель на получение лицензии на оказание данного вида работ должен представить среди прочего «сведения о документе, подтверждающем наличие допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну«.
Самое неприятное то, что четкого ответа на вопрос, к какому виду работ относится обновление СКЗИ, нет. Регулятор молчит ;-( И если с ремонтом все понятно — лучше им самостоятельно не заниматься и отдавать на откуп лицензиатам, то что делать с обновлением пока непонятно. И если ответ на этот вопрос пойдет по не самому позитивному сценарию, то кажется мне, что это станет еще большей головной болью, чем решение вопроса с обучением в течение 500 часов…
То есть, если организация вынуждена обновлять версию СКЗИ (кончился сертификат на старую версию; обнаружен критический баг, который исправлен в новой версии) — не будет ли это модернизацией со всеми вытикающими… Всё же интересно, что они под модернизацией понимают…
Вот именно… Интересно
Алексей, вам не угодишь :). То не понятно, что именно имеется в виду под "техническим обслуживанием", то не нравится весьма подробный список работ и услуг, раскрывающий понятие деятельности по СКЗИ.
И что вас удивляет в том, что для ремонта СКЗИ требуется специалист от лицензиата? Скажите, Cisco распространяет гарантию на свои устройства, в которых "специалисты" заказчика своими силами поменяли блок питания?
По поводу обновления тоже мне кажется все просто — устанавливая новую версию СКЗИ, вы не производите изменение самого СКЗИ, а используете его как продукт. А значит п.12 "Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств.". Под модернизацией же СКЗИ стоит понимать например установку дополнительной памяти в железячное устройство, замена его прошивки, изменение кода программного СКЗИ.
Т.е. на установку дополнительной памяти мне нужна лицензия на гостайну?
А установка патча — это установка или модернизация?
Алексей, вы настолько специалист, что можете определить как повлияет устанавливаемая память на функционирование механизмов СКЗИ?
И это не считая необходимости ее тестирования. Ведь преимущество железячных СКЗИ именно в оттестированности железа и ПО (в идеальном мире конечно :)).
Скажите (я честно не очень в курсе про всех), а патчи для программных СКЗИ выпускаются? Или все-таки дают новую версию ПО, которые нужно установить?
А лицензия на гостайну очевидно нужна для получения документов с требованиями к разработке и модернизации СКЗИ. Поскольку конечный заказчик этим не занимается, то до настоящего времени с этим и не было проблем.
> патчи для программных СКЗИ выпускаются
На сертифицированные не выпускается.
Была забавная ситуация — в одном сертифицированном СКЗИ в сообщении об ошибке была неприятная опечатка. В ответ на дружескую просьбу в в Центр ЛСЗ: "Пацаны, давайте мы с текстовомресурсе одну буковку заеним". Можно говорят, но потом — полная пересертификация. В итоге чинить не стали.
Не все так страшно.
ПП не распространяется на массу средств. Например, "шифровальных (криптографических) средств, используемых для защиты технологических каналов информационно-телекоммуникационных систем и сетей связи, не относящихся к критически важным объектам".
А КВО = объект, оказывающий существенное влияние на национальную безопасность Российской Федерации, прекращение или нарушение функционирования которого приводит к чрезвычайной ситуации или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, другой сферы хозяйства или инфраструктуры страны, либо для жизнедеятельности населения, проживающего на соответствующей территории, на длительный период времени.
А по уголовным делам можно где почитать?
Нигде 😉
Приведенный пример с заменой карточки и прочие попадают под пп 17-18 ПП313, для выполнения этих работ допуска к гостайне не надо.
Это ТВОЯ точка зрения, а не официальная позиция. Консультации по телефону об использовании СКЗИ ты врядли будешь считать лицензируемым видом деятельности, а ЦЛСЗ считает