25.4.12

Краткий анализ 313-го Постановления, сменившего на посту ПП-957

16 апреля закончилась эпоха 957-го Постановления Правительства "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами". Ему на смену пришло новое Постановление № 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, ехническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)".

Про проект этого Постановления я уже писал, как и про заключение Минэкономразвития на него. И вот финальный текст. Какие в нем изменения? Вот краткий перечень того, за что уцепился мой взгляд:
  • Расширен перечень того, что попадает в определение "шифровальные (криптографические) средства (СКЗИ)". Новых три элемента - аппаратные шифровальные средства, программные шифровальные средства и программно-аппаратные шифровальные средства. На мой взгляд это было лишним, т.к. эти три новых определения покрываются подпунктом а), вводящим определение средств шифрования. Но видимо у разработчиков были причины вносить три новых определения. Кстати, в новой редакции были растолкованы термины, ранее неопределенные, например, "ключевые документы".
  • На два пункта был расширен перечень средств, на которые Положение не распространяется. В частности это "товары, содержащие шифровальные (криптографические) средства, имеющие либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющие электронную подпись" (в), "оборудование, криптографические возможности которого недоступны пользователю, специально разработанное и ограниченное для осуществления следующих функций..." (ж) и "товары, у которых криптографическая функция гарантированно заблокирована производителем" (м). А также были уточнены имеющиеся ранее исключения. Исключены из исключений контрольно-кассовые машины.
  • Положение не распространяется на деятельность, связанную с электронной подписью. Т.е. теперь эта деятельность не лицензируется ФСБ. По крайней мере это вытекает из статьи 3в.
  • Перечень лицензируемых работ и услуг был вынесен в приложение для облегчения понимания. Из 30 видов в проекте осталось 28. Но все равно немало.
  • Жесткие требования к квалификации персонала. В зависимости от вида лицензируемых работ и услуг необходимо иметь высшее профессиональное образование по специальности, переподотовку в течение 1000 (500 или 100) аудиторных часов и иметь стаж 5 (3) года. При требования к квалификации я уже писал. Так что ничего нового. Но зато появилась ясность.Кстати, 1000 аудиторных часов - это полноценный институтский курс по информационной безопасности, читаемый в течении 5-6 лет! Где руководители будут получать такое обучение? Ни один учебный центр не в состоянии не то что появившийся спрос удовлетворить, но и вообще реализовать это требование. 1000 часов! Это к слову 125 полностью загруженных (по 8 часов) рабочих дней.
Что интересно. По замечаниям Минэкономразвития авторы поступили просто. Проигнорировали их. Например, в МЭР закономерно написали, что обязательное лицензирование можно вводить тогда, когда есть угроза жизни, здоровью... ну и т.д. И что в проекте постановления ни одна из целей, указанных в законе "О лицензировании отдельных видов деятельности", не установлена и не упомянута. Т.е. нет предмета для лицензирования вообще. Но авторы закрыли глаза на это замечание. МЭР тоже.

Замечания по отсутствию обоснования установленного количества часов также не устранено. Как и замечание по используемому контрольно-измерительному оборудованию. Требование заменить 56 бит на 64 и добавить упоминание продуктов для "mass-market", как того требовали Вассенаарские соглашения (1996 год), которые подписала и Россия. Видимо авторы, как это часто бывает, посчитали устранять эти замечания нецелесообразными ;-( А жаль.

Из занятного. Постановление называется "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств...". Т.е. слово распространение в названии есть. А вот по тексту Постановления оно нигде больше не встречается. Нигде. На это указывало и Минэкономразвития. Но все осталось без изменения. Получается, что деятельности по распространению СКЗИ теперь выпала из лицензирования?!.. А может термин "распространение" был заменен на "передача"? Но это не очевидно. Например, разместив на сайте СКЗИ и дав возможность ее скачивать всем своим клиентам и контрагентам, я осуществляю распространение, но не передачу СКЗИ... Тут есть о чем подумать.

25 коммент.:

Dmitry Leviev комментирует...

Требования по повышению квалификации сильно ударят по финансовому сектору. Найти персонал в регионе с указанными требованиями практически невозможно.

eugene комментирует...

В статье 3в сказано "товаров, .... .... .... .... имеющих электронную подпись".
А про средства ЭЦП, их использование там ничего нет.

Unknown комментирует...

Никак не пойму что значит "техническое обслуживание шифровальных средств". Кто-нибудь может растолковать?

Анонимный комментирует...

Алексей, а вы не в курсе: ПП по уровням защищенности и требованиям будут проходить оценку регулирующего воздействия в МЭР?

pushkinist комментирует...

конечно же ПП распространяется на электронную подпись и эта деятельность как и раньше лицензируется.
см. пункт 2в

ZZubra комментирует...

От себя добавлю:
1. ошибка со статьей 112 ФЗ о ФСБ все еще существует. Это плохо.
2. Что конкретно (какие действия и мероприятия) подразумевается под пунктами 6б и 6в непонятно - а это основные требования для получения лицензий. Как такое могли пропустить - явная коррупционная составляющая ;) Или не прав?
3. в названии: "...(за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)" - не раскрыто и непонятно. Если есть в ФЗ о лицензировании, что тогда в название пихать, при этом в пункте 3 "Настоящее Положение не распространяется..." ничего подобного не указано. Хочу отметить, что насколько мне известно, названия НЕ являются нормами права. Вывод понятен. Хотя конечно п20 перечня немного понижает градус, но не снимает.
4. аналоги и замены направлению "Информационная безопасность" не определены и непонятны (по крайне мере мне)
5. пункт 10ж - от слова жесть :)
6. разделение п 12 и 15 перечня - зачем это надо?

Svyazist комментирует...

Определение "ключевой документ" было в 152-ФАПСИ.
Ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию.
Почему, когда появляется на множественное число, смысл становится другим:
ключевые документы - электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах.

Фин комментирует...

Алексей, отсутствие требований аттестации как то прокомментируете?

vsv комментирует...

Алексей, по поводу ЭП - Вы не правы (наверное слишком бегло прочитали). П.2в к криптографическим средствам относит средства электронной подписис. А в п.3в ключевым является "за исключением ... имеющих ЭП"

Алексей Лукацкий комментирует...

Сергей, это Вы не правы ;-) п.2 всего лишь дает определение, что такое шифровальные средства и логично, что ЭП туда попадает. А вот пункт 3в читается так: "Настоящее Положение не распространяется на деятельность с использованием товаров, содержащих шифровальные (криптографические) средства, имеющих либо функцию аутентификации..., либо имеющих электронную подпись".

Алексей Лукацкий комментирует...

Коллеги, п.2в всего лишь дает определение. Под него попадает и шифрование в банкоматах. Только оно исключено из лицензирование в п.3. С ЭП тот же вариант. И это кстати, логично в свете последних веяний, когда УЦ, их аккредитация, ЭП отдаются на откур Минкомсвязи

Алексей Лукацкий комментирует...

Ak-Kedul: Действия в соответствие с эксплуатационной документацией. А вообще вот тут (http://blogs.cisco.ru/2011/11/11/%d0%be%d0%b1-%d0%b8%d0%bc%d0%bf%d0%be%d1%80%d1%82%d0%b5-%d1%88%d0%b8%d1%84%d1%80%d0%be%d0%b2%d0%b0%d0%bb%d1%8c%d0%bd%d1%8b%d1%85-%d1%81%d1%80%d0%b5%d0%b4%d1%81%d1%82%d0%b2/), на слайде 34, дано определение этого термина по ГОСТу.

Сергей: Да, будут.

Фин: Не, не прокомментирую. Когда Сиско получала лицензию ФСБ, мы аттестовывали помещение.

Ditrich комментирует...

В отношении исключений ключевая все-таки фраза "...на деятельность с использованием". Деятельность с использованием ЭП и раньше не требовала наличие лицензии у владельца ЭП. А вот УЦ, если он занимается не только выпуском СКП, но и генерацией ключевой пары, не попадающей под исключение п.3б, такую лицензию иметь должен.

pushkinist комментирует...
Этот комментарий был удален автором.
pushkinist комментирует...

"3в: товаров, имеющих электронную подпись."

это означает что "товары" подписаны электронной подписью.
сам факт наличия у чего-либо электронной подписи имеет мало чего общего с деятельностью в области электронной подписи.

"И это кстати, логично в свете последних веяний, когда УЦ, их аккредитация, ЭП отдаются на откур Минкомсвязи"

требования к средствам УЦ, средствам ЭП, формат сертификата КЭП, оценка соответствия и т.д. - все в ведении ФСБ

Алексей Лукацкий комментирует...

Направил запрос в контору для уточнения ;-)

Zuz комментирует...

pushkinist прав, ни какого отношения товар с ЭП не имеет к деятельности. Например, многое ПО (его компоненты в виде исполняемых файлов, файлов библиотек и т.п.)подписаны ЭП.
Т.е., например, передавать/распространять такие товары можно без лицензии.

Алексей Лукацкий комментирует...

В конторе тоже считают, что на деятельность с ЭП не распространяется

Zuz комментирует...

Но 3в к этому не имеет отношения, там об ином. )

Serj комментирует...

В отмененном положении (Постановление правительства №957-2007г.) одним из лицензионных требований являлось:
«-применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации».
Иные требования по соблюдению конфиденциальности и разграничению доступа не регламентировались.
В ходе проверки лицензиата (соискателя) осуществлялся контроль наличия объекта информатизации и аттестата соответствия на него. Этим все и ограничивалось.

В связи с принятием нового Постановления от 16.04.2012 № 313 лицензионные требования изменились (расширились):
наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации";
Т.е. это больше (шире), чем наличие аттестованной АС, речь идет о наличии системы конфиденциальности в масштабах всей организации, которая должна соответствовать требованиям, установленным Федеральным законом "Об информации, информационных технологиях и о защите информации":
- ограничения обладателем информации круга лиц имеющих доступ к информации ограниченного распространения;
- принятие определенных правовых, организационных и технических мер;
- установление ответственности за нарушения конфиденциальности.

Так же, при подаче заявления соискателю лицензии необходимо представить:
«- копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации";»
Таким образом:
- до проведения аттестации АС в организации должна быть создана (регламентирована внутренними распорядительными документами) и функционировать (включая установку средств защиты от НСД и проведение аттестации АС) система обеспечения конфиденциальности.
- внутренние распорядительные документы, регламентирующие соблюдение конфиденциальности информации будут рассматриваться (проверяться) ФСБ.

Serj комментирует...

В отмененном положении (Постановление правительства №957-2007г.) одним из лицензионных требований являлось:
«-применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации».
Иные требования по соблюдению конфиденциальности и разграничению доступа не регламентировались.
В ходе проверки лицензиата (соискателя) осуществлялся контроль наличия объекта информатизации и аттестата соответствия на него. Этим все и ограничивалось.

В связи с принятием нового Постановления от 16.04.2012 № 313 лицензионные требования изменились (расширились):
наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации";
Так же, при подаче заявления соискателю лицензии необходимо представить:
«- копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации,
Таким образом:
- до проведения аттестации АС и подачи заявления в лицензирующий орган в организации должна быть создана (регламентирована внутренними распорядительными документами) и функционировать (включая установку средств защиты от НСД и проведение аттестации АС) система обеспечения конфиденциальности.
- внутренние распорядительные документы, регламентирующие соблюдение конфиденциальности информации будут рассматриваться (проверяться) ФСБ.

Serj комментирует...

В отмененном положении (Постановление правительства №957-2007г.) одним из лицензионных требований являлось:
«-применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации».
Иные требования по соблюдению конфиденциальности и разграничению доступа не регламентировались.
В ходе проверки лицензиата (соискателя) осуществлялся контроль наличия объекта информатизации и аттестата соответствия на него. Этим все и ограничивалось.

В связи с принятием нового Постановления от 16.04.2012 № 313 лицензионные требования изменились (расширились):
наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации";
Так же, при подаче заявления соискателю лицензии необходимо представить:
«- копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации,
Таким образом:
- до проведения аттестации АС и подачи заявления в лицензирующий орган в организации должна быть создана (регламентирована внутренними распорядительными документами) и функционировать (включая установку средств защиты от НСД и проведение аттестации АС) система обеспечения конфиденциальности.
- внутренние распорядительные документы, регламентирующие соблюдение конфиденциальности информации будут рассматриваться (проверяться) ФСБ.

TEgerX1 комментирует...

Для обработки сведений составляющих ГТ применимо данное 313-Постановление ? Не требуется лицензирование деятельности по .. производству .. информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ в области шифрования информации,
для случая, если техническое обслуживание .. осуществляется для обеспечения собственных нужд юридического лица ?

Алексей Лукацкий комментирует...

Там вроде ГТ выведена

Serj комментирует...

Вопросы лицензирования по защите ГТ регулируются другим постановлением- ПП № 333-95 года.