Кто помнит эпопею с лицензированием деятельности в области шифрования, то картина выглядела примерно так. Многие годы ФСБ была сторонницей позиции, что лицензия на деятельности в области криптографии нужна всем, кто имеет хоть какое-нибудь отношение к шифровальным средствам. Будь-то разработка, распространение, обслуживание и т.д. и т.п. И выражалось это в различных официальных письмах, которые ФСБ писала на запросы разных ассоциаций и организаций. В 2011-м году ситуация поменялась - законодатели приняли ФЗ "О лицензировании отдельных видов деятельности", которые не только сделал все лицензии бессрочными, но и заменил существовавшие ранее 4 лицензии ФСБ на одну. Да еще и техобслуживание для собственных нужд стало нелицензируемым. Ситуации хуже не представишь - столь ревностно контролируемая тема утекает сквозь пальцы.
И вот регулятор делает ход конем - и в 313-м Постановлении Правительства каким-то неуловимым образом вместо одного лицензируемого вида появляется аж целых 28 (приложение 1). И ситуация становится даже хуже, чем была раньше. А если сюда приплюсовать еще и требования по квалификации персонала, то ситуация становится хуже некуда. Неслучайно на юге России уже несколько уголовных дел за отсутствие лицензий (в т.ч. и непродленных) было возбуждено.
Но поговорить я хотел сегодня о другом. А точнее о такой интересной операции, которая проводится достаточно регулярно - обновление или ремонт СКЗИ. Например, вышла новая версия ПО (сертифицированная) или надо сгоревшую сетевую карточку поменять или блок питания сгорел у VPN-шлюза и надо его сдать в ремонт. Нередкие, скажем прямо, операции. Но под какой из 28 лицензируемых видов они попадают? Разработка, изготовление, монтаж, передача, предоставление услуг?... Нет. Ремонт так и назван ремонтом (16-18 виды работ из приложения 1). С обновлением чуть сложнее. Оно может попасть как под 5-й вид (модернизация шифровальных средств), так и под работы по обслуживанию шифровальных средств, предусмотренные технической и эксплуатационной документацией для обспечения собственных нужд.
Если это последний вариант, то все просто замечательно - это вид деятельности нелицензируемый и можно им заниматься беспрепятственно. Но представим, что обновление попадает под 5-й вид деятельности. Согласно 7-го пункта ПП-313 соискатель на получение лицензии на оказание данного вида работ должен представить среди прочего "сведения о документе, подтверждающем наличие допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну".
Самое неприятное то, что четкого ответа на вопрос, к какому виду работ относится обновление СКЗИ, нет. Регулятор молчит ;-( И если с ремонтом все понятно - лучше им самостоятельно не заниматься и отдавать на откуп лицензиатам, то что делать с обновлением пока непонятно. И если ответ на этот вопрос пойдет по не самому позитивному сценарию, то кажется мне, что это станет еще большей головной болью, чем решение вопроса с обучением в течение 500 часов...
И вот регулятор делает ход конем - и в 313-м Постановлении Правительства каким-то неуловимым образом вместо одного лицензируемого вида появляется аж целых 28 (приложение 1). И ситуация становится даже хуже, чем была раньше. А если сюда приплюсовать еще и требования по квалификации персонала, то ситуация становится хуже некуда. Неслучайно на юге России уже несколько уголовных дел за отсутствие лицензий (в т.ч. и непродленных) было возбуждено.
Но поговорить я хотел сегодня о другом. А точнее о такой интересной операции, которая проводится достаточно регулярно - обновление или ремонт СКЗИ. Например, вышла новая версия ПО (сертифицированная) или надо сгоревшую сетевую карточку поменять или блок питания сгорел у VPN-шлюза и надо его сдать в ремонт. Нередкие, скажем прямо, операции. Но под какой из 28 лицензируемых видов они попадают? Разработка, изготовление, монтаж, передача, предоставление услуг?... Нет. Ремонт так и назван ремонтом (16-18 виды работ из приложения 1). С обновлением чуть сложнее. Оно может попасть как под 5-й вид (модернизация шифровальных средств), так и под работы по обслуживанию шифровальных средств, предусмотренные технической и эксплуатационной документацией для обспечения собственных нужд.
Если это последний вариант, то все просто замечательно - это вид деятельности нелицензируемый и можно им заниматься беспрепятственно. Но представим, что обновление попадает под 5-й вид деятельности. Согласно 7-го пункта ПП-313 соискатель на получение лицензии на оказание данного вида работ должен представить среди прочего "сведения о документе, подтверждающем наличие допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну".
Самое неприятное то, что четкого ответа на вопрос, к какому виду работ относится обновление СКЗИ, нет. Регулятор молчит ;-( И если с ремонтом все понятно - лучше им самостоятельно не заниматься и отдавать на откуп лицензиатам, то что делать с обновлением пока непонятно. И если ответ на этот вопрос пойдет по не самому позитивному сценарию, то кажется мне, что это станет еще большей головной болью, чем решение вопроса с обучением в течение 500 часов...
То есть, если организация вынуждена обновлять версию СКЗИ (кончился сертификат на старую версию; обнаружен критический баг, который исправлен в новой версии) - не будет ли это модернизацией со всеми вытикающими... Всё же интересно, что они под модернизацией понимают...
ОтветитьУдалитьВот именно... Интересно
ОтветитьУдалитьАлексей, вам не угодишь :). То не понятно, что именно имеется в виду под "техническим обслуживанием", то не нравится весьма подробный список работ и услуг, раскрывающий понятие деятельности по СКЗИ.
ОтветитьУдалитьИ что вас удивляет в том, что для ремонта СКЗИ требуется специалист от лицензиата? Скажите, Cisco распространяет гарантию на свои устройства, в которых "специалисты" заказчика своими силами поменяли блок питания?
По поводу обновления тоже мне кажется все просто - устанавливая новую версию СКЗИ, вы не производите изменение самого СКЗИ, а используете его как продукт. А значит п.12 "Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств.". Под модернизацией же СКЗИ стоит понимать например установку дополнительной памяти в железячное устройство, замена его прошивки, изменение кода программного СКЗИ.
Т.е. на установку дополнительной памяти мне нужна лицензия на гостайну?
ОтветитьУдалитьА установка патча - это установка или модернизация?
Алексей, вы настолько специалист, что можете определить как повлияет устанавливаемая память на функционирование механизмов СКЗИ?
ОтветитьУдалитьИ это не считая необходимости ее тестирования. Ведь преимущество железячных СКЗИ именно в оттестированности железа и ПО (в идеальном мире конечно :)).
Скажите (я честно не очень в курсе про всех), а патчи для программных СКЗИ выпускаются? Или все-таки дают новую версию ПО, которые нужно установить?
А лицензия на гостайну очевидно нужна для получения документов с требованиями к разработке и модернизации СКЗИ. Поскольку конечный заказчик этим не занимается, то до настоящего времени с этим и не было проблем.
ОтветитьУдалить> патчи для программных СКЗИ выпускаются
ОтветитьУдалитьНа сертифицированные не выпускается.
Была забавная ситуация - в одном сертифицированном СКЗИ в сообщении об ошибке была неприятная опечатка. В ответ на дружескую просьбу в в Центр ЛСЗ: "Пацаны, давайте мы с текстовомресурсе одну буковку заеним". Можно говорят, но потом - полная пересертификация. В итоге чинить не стали.
Не все так страшно.
ОтветитьУдалитьПП не распространяется на массу средств. Например, "шифровальных (криптографических) средств, используемых для защиты технологических каналов информационно-телекоммуникационных систем и сетей связи, не относящихся к критически важным объектам".
А КВО = объект, оказывающий существенное влияние на национальную безопасность Российской Федерации, прекращение или нарушение функционирования которого приводит к чрезвычайной ситуации или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, другой сферы хозяйства или инфраструктуры страны, либо для жизнедеятельности населения, проживающего на соответствующей территории, на длительный период времени.
А по уголовным делам можно где почитать?
ОтветитьУдалитьНигде ;-)
ОтветитьУдалитьПриведенный пример с заменой карточки и прочие попадают под пп 17-18 ПП313, для выполнения этих работ допуска к гостайне не надо.
ОтветитьУдалитьЭто ТВОЯ точка зрения, а не официальная позиция. Консультации по телефону об использовании СКЗИ ты врядли будешь считать лицензируемым видом деятельности, а ЦЛСЗ считает
ОтветитьУдалить