вторник, 24 апреля 2012 г.

СОИБ. Лицензирование деятельности связанных с шифрованием



На сайте правительства РФ опубликовано Постановление от 16 апреля 2012 г. №313 Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).


Во-первых, добавилось явное исключение, описывающее случаи, когда деятельность не попадает под лицензирование:
“1. … если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя”

Во-вторых, расширено определение СКЗИ, теперь включающее не только компоненты реализующие шифрование, но и компоненты обеспечивающие шифрование и хранящие ключи:
“ж) аппаратные шифровальные (криптографические) средства - устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин;
з) программные шифровальные (криптографические) средства - программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно-аппаратных шифровальных (криптографических) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием шифровальных (криптографических) средств;
и) программно-аппаратные шифровальные (криптографические) средства - устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части.”

В-третьих расширен список типов СКЗИ, которые не попадают под лицензирование:
·        средства аутентификации;
·        встроенные средства ОС;
·        персональные смарт-карты;
·        средства защиты от копирования и защиты авторских прав;
·        комплексные средства, в которых производителем заблокирована функция СКЗИ.
“3. Настоящее Положение не распространяется на деятельность с использованием:
в) товаров, содержащих шифровальные (криптографические) средства, имеющих либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющих электронную подпись;
г) шифровальных (криптографических) средств, являющихся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной;
д) персональных смарт-карт (интеллектуальных карт), криптографические возможности которых ограничены использованием в оборудовании или системах, указанных в подпунктах »е» - »и» настоящего пункта, или персональных смарт-карт (интеллектуальных карт) для широкого общедоступного применения, криптографические возможности которых недоступны пользователю и которые в результате специальной разработки имеют ограниченные возможности защиты хранящейся на них персональной информации;
ж) оборудования, криптографические возможности которого недоступны пользователю, специально разработанного и ограниченного для осуществления следующих функций:
исполнение программного обеспечения в защищенном от копирования виде;
обеспечение доступа к защищенному от копирования содержимому, хранящемуся только на доступном для чтения носителе информации, либо доступа к информации, хранящейся в зашифрованной форме на носителях, когда эти носители информации предлагаются на продажу населению в идентичных наборах;
контроль копирования аудио- и видеоинформации, защищенной авторскими правами;
м) товаров, у которых криптографическая функция гарантированно заблокирована производителем.”

В-четвертых, расширен и детализирован перечень видов работ, связанных с СКЗИ. Теперь их 28. На все нужные вам виды работ выдается одна лицензия, а виды работ перечисляются на обратной стороне или на дополнительном приложении.

В-пятых поменялись лицензионные требования:
·        замена требования аттестованных рабочих мест, на более полит корректное:
Вместо “д) применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации;”
Теперь “в) наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;”
·        уточнение требований к квалификации персонала  -  высшее образование или переподготовка в направлении «Информационная безопасность» (от 100 до 1000 аудиторных часов, в зависимости от вида работ).
·        для видов работ 1 - 11, 16 – 19 требуется наличие неких приборов и оборудования.
“е) наличие у соискателя лицензии приборов и оборудования, прошедших поверку и калибровку в соответствии с Федеральным законом «Об обеспечении единства измерений», принадлежащих ему на праве собственности или ином законном основании и необходимых для выполнения работ и оказания услуг, указанных в пунктах 1 - 11, 16 - 19 перечня;”
В-шестых уточнили перечень документов предоставляемых при лицензировании:
·        Вместо перечня внутренних документов, которые готовились в рамках аттестации рабочих мест, теперь необходимо предоставить копии самих внутренних документов связанных с КИ:
б) копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;
·        Вместо аттестата теперь предоставляем:
и) сведения о документе, подтверждающем наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;
·        По сотрудникам, ответственным за лицензионную деятельность, теперь предоставляем кроме дипломов ещё и копии трудовых книжек и должностных инструкций:
“д) копии трудовых книжек сотрудников, определенных подпунктом »д» пункта 6 настоящего Положения;
е) копии должностных инструкций сотрудников, определенных подпунктом «д» пункта 6 настоящего Положения;”

В-седьмых теперь явно требуется указать все территориально распределенные офисы, в которых планируется осуществлять лицензионную деятельность и необходимо  обеспечить выполнение лицензионных требований во всех офисах.  То есть, если интегратор хочет оказывать услуги связанные с СКЗИ в городе N-ске, у него в лицензии должен быть перечислен этот город. Для этого многим распределенным лицензиатам по-видимому придется переоформлять лицензию.
“9. При намерении лицензиата осуществлять лицензируемую деятельность по адресу места ее осуществления, не указанному в лицензии, в заявлении о переоформлении лицензии указываются этот адрес и следующие сведения:”

Аналогично, если в старой лицензии нет всех нужных новых видов работ – то придется  переоформлять лицензию.


UPD. За ссылку спасибо Алексею Лукацкому. У которого в блоге так-же делался анонс проекта постановления. У него же в блоге краткий анализ утвержденного постановления.

Анализ новых требований к квалификации в блоге у Пушкиниста.

7 комментариев:

pushkinist комментирует...

6) трудовые с должностными и сейчас надо предъявлять.
7) указание всех точек осуществления деятельности в лицензии и до нового пп было. в смысле сейчас есть)

Сергей Борисов комментирует...

В постановлении Правительства РФ от 29 декабря 2007 г. N 957 таких требований не было.

Если кто-то это и делал - то скорее для подстраховки.

Я знаю кучу организаций которые получали лицензию на центральный офис. В нем имели аттестованный сегмент, например УЦ.
А в распространении СКЗИ участвовали все остальные 100500 офисов.

pushkinist комментирует...

ну да, раньше требований не было, но предоставление трудовых это единственный доступный при лицензировании способ подтверждения стажа спецов, поэтому включение этого пункта в ПП сейчас особо ничего не изменило.

ну не совсем для подстраховки.
в старом фз о лицензировании был такой пункт:
"7.2. Деятельность, на осуществление которой лицензия предоставлена федеральным органом исполнительной власти или органом исполнительной власти субъекта Российской Федерации, может осуществляться на всей территории Российской Федерации. Деятельность, на осуществление которой лицензия предоставлена лицензирующим органом субъекта Российской Федерации, может осуществляться на территориях иных субъектов Российской Федерации при условии уведомления лицензиатом лицензирующих органов соответствующих субъектов Российской Федерации в порядке, установленном уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти."
то есть в любом случае надо было уведомлять. При этом "уведомление" сводилось по сути к получению лицензии в другом территориальном органе, но без выдачи отдельной лицензии, а с приписыванием сведений к старой.

другое дело что не всегда это контролировалось, поэтому не все поступали так :)

Артем Агеев комментирует...

да и с аттестацией, видится мне, все осталось как прежде..

просто теперь подтверждением наличия этих самых условий и будет аттестат.

Сергей Борисов комментирует...

pushkinist: так как раньше у этих требований не было законных оснований, можно было получить лицензию на основной офис в федеральном органе исполнительной власти.
Дальше работать и не парится.

Артем:
На счет аттестации не уверен.
Формулировка написана так, что в перспективе возможны различные варианты.
Например, внешний аудит. Или внутренний контроль.

pushkinist комментирует...

если брать прежние лицензии, то лицензии на распространение, услуги и техобслуживание выдавались только территориальными управлениями по местонахождению головы организации.
а например лицензия на разработку - центральным.
тут выбирать не приходится)

Serj комментирует...

В отмененном положении (Постановление правительства №957-2007г.) одним из лицензионных требований являлось:
«-применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации».
Иные требования по соблюдению конфиденциальности и разграничению доступа не регламентировались.
В ходе проверки лицензиата (соискателя) осуществлялся контроль наличия объекта информатизации и аттестата соответствия на него. Этим все и ограничивалось.

В связи с принятием нового Постановления от 16.04.2012 № 313 лицензионные требования изменились (расширились):
наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации";
Т.е. это больше (шире), чем наличие аттестованной АС, речь идет о наличии системы конфиденциальности в масштабах всей организации, которая должна соответствовать требованиям, установленным Федеральным законом "Об информации, информационных технологиях и о защите информации":
- ограничения обладателем информации круга лиц имеющих доступ к информации ограниченного распространения;
- принятие определенных правовых, организационных и технических мер;
- установление ответственности за нарушения конфиденциальности.

Так же, при подаче заявления соискателю лицензии необходимо представить:
«- копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации";»
Таким образом:
- до проведения аттестации АС в организации должна быть создана (регламентирована внутренними распорядительными документами) и функционировать (включая установку средств защиты от НСД и проведение аттестации АС) система обеспечения конфиденциальности.
- внутренние распорядительные документы, регламентирующие соблюдение конфиденциальности информации будут рассматриваться (проверяться) ФСБ.