03.10.2012

А у вас есть лицензия на гостайну? Нет?! Может пора задуматься?

Кто помнит эпопею с лицензированием деятельности в области шифрования, то картина выглядела примерно так. Многие годы ФСБ была сторонницей позиции, что лицензия на деятельности в области криптографии нужна всем, кто имеет хоть какое-нибудь отношение к шифровальным средствам. Будь-то разработка, распространение, обслуживание и т.д. и т.п. И выражалось это в различных официальных письмах, которые ФСБ писала на запросы разных ассоциаций и организаций. В 2011-м году ситуация поменялась - законодатели приняли ФЗ "О лицензировании отдельных видов деятельности", которые не только сделал все лицензии бессрочными, но и заменил существовавшие ранее 4 лицензии ФСБ на одну. Да еще и техобслуживание для собственных нужд стало нелицензируемым. Ситуации хуже не представишь - столь ревностно контролируемая тема утекает сквозь пальцы.

И вот регулятор делает ход конем - и в 313-м Постановлении Правительства каким-то неуловимым образом вместо одного лицензируемого вида появляется аж целых 28 (приложение 1). И ситуация становится даже хуже, чем была раньше. А если сюда приплюсовать еще и требования по квалификации персонала, то ситуация становится хуже некуда. Неслучайно на юге России уже несколько уголовных дел за отсутствие лицензий (в т.ч. и непродленных) было возбуждено.

Но поговорить я хотел сегодня о другом. А точнее о такой интересной операции, которая проводится достаточно регулярно - обновление или ремонт СКЗИ. Например, вышла новая версия ПО (сертифицированная) или надо сгоревшую сетевую карточку поменять или блок питания сгорел у VPN-шлюза и надо его сдать в ремонт. Нередкие, скажем прямо, операции. Но под какой из 28 лицензируемых видов они попадают? Разработка, изготовление, монтаж, передача, предоставление услуг?... Нет. Ремонт так и назван ремонтом (16-18 виды работ из приложения 1). С обновлением чуть сложнее. Оно может попасть как под 5-й вид (модернизация шифровальных средств), так и под работы по обслуживанию шифровальных средств, предусмотренные технической и эксплуатационной документацией для обспечения собственных нужд.

Если это последний вариант, то все просто замечательно - это вид деятельности нелицензируемый и можно им заниматься беспрепятственно. Но представим, что обновление попадает под 5-й вид деятельности. Согласно 7-го пункта ПП-313 соискатель на получение лицензии на оказание данного вида работ должен представить среди прочего "сведения о документе, подтверждающем наличие допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну".

Самое неприятное то, что четкого ответа на вопрос, к какому  виду работ относится обновление СКЗИ, нет. Регулятор молчит ;-( И если с ремонтом все понятно - лучше им самостоятельно не заниматься и отдавать на откуп лицензиатам, то что делать с обновлением пока непонятно. И если ответ на этот вопрос пойдет по не самому позитивному сценарию, то кажется мне, что это станет еще большей головной болью, чем решение вопроса с обучением в течение 500 часов...

12 коммент.:

Den N Shilkin комментирует...

То есть, если организация вынуждена обновлять версию СКЗИ (кончился сертификат на старую версию; обнаружен критический баг, который исправлен в новой версии) - не будет ли это модернизацией со всеми вытикающими... Всё же интересно, что они под модернизацией понимают...

Алексей Лукацкий комментирует...

Вот именно... Интересно

Евгений комментирует...

Алексей, вам не угодишь :). То не понятно, что именно имеется в виду под "техническим обслуживанием", то не нравится весьма подробный список работ и услуг, раскрывающий понятие деятельности по СКЗИ.

И что вас удивляет в том, что для ремонта СКЗИ требуется специалист от лицензиата? Скажите, Cisco распространяет гарантию на свои устройства, в которых "специалисты" заказчика своими силами поменяли блок питания?

По поводу обновления тоже мне кажется все просто - устанавливая новую версию СКЗИ, вы не производите изменение самого СКЗИ, а используете его как продукт. А значит п.12 "Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств.". Под модернизацией же СКЗИ стоит понимать например установку дополнительной памяти в железячное устройство, замена его прошивки, изменение кода программного СКЗИ.

Алексей Лукацкий комментирует...

Т.е. на установку дополнительной памяти мне нужна лицензия на гостайну?

А установка патча - это установка или модернизация?

Евгений комментирует...

Алексей, вы настолько специалист, что можете определить как повлияет устанавливаемая память на функционирование механизмов СКЗИ?
И это не считая необходимости ее тестирования. Ведь преимущество железячных СКЗИ именно в оттестированности железа и ПО (в идеальном мире конечно :)).

Скажите (я честно не очень в курсе про всех), а патчи для программных СКЗИ выпускаются? Или все-таки дают новую версию ПО, которые нужно установить?

Евгений комментирует...

А лицензия на гостайну очевидно нужна для получения документов с требованиями к разработке и модернизации СКЗИ. Поскольку конечный заказчик этим не занимается, то до настоящего времени с этим и не было проблем.

malotavr комментирует...

> патчи для программных СКЗИ выпускаются

На сертифицированные не выпускается.

Была забавная ситуация - в одном сертифицированном СКЗИ в сообщении об ошибке была неприятная опечатка. В ответ на дружескую просьбу в в Центр ЛСЗ: "Пацаны, давайте мы с текстовомресурсе одну буковку заеним". Можно говорят, но потом - полная пересертификация. В итоге чинить не стали.

Евгений Родыгин комментирует...

Не все так страшно.
ПП не распространяется на массу средств. Например, "шифровальных (криптографических) средств, используемых для защиты технологических каналов информационно-телекоммуникационных систем и сетей связи, не относящихся к критически важным объектам".

А КВО = объект, оказывающий существенное влияние на национальную безопасность Российской Федерации, прекращение или нарушение функционирования которого приводит к чрезвычайной ситуации или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, другой сферы хозяйства или инфраструктуры страны, либо для жизнедеятельности населения, проживающего на соответствующей территории, на длительный период времени.

Андрейка комментирует...

А по уголовным делам можно где почитать?

Алексей Лукацкий комментирует...

Нигде ;-)

Sergey Soldatov комментирует...

Приведенный пример с заменой карточки и прочие попадают под пп 17-18 ПП313, для выполнения этих работ допуска к гостайне не надо.

Алексей Лукацкий комментирует...

Это ТВОЯ точка зрения, а не официальная позиция. Консультации по телефону об использовании СКЗИ ты врядли будешь считать лицензируемым видом деятельности, а ЦЛСЗ считает