Кому нужна лицензия на криптографию?

Некоторые автомастерские устанавливают тахографы. Росавтотранс еще в 2015 году получил от ФСБ России разъяснения о необходимости получения лицензии на криптографию для работы с тахографами.
Автомастерским требуется лицензия на криптографию со следующими видами работ по 313-ПП:

• 21 – для продажи (поставки) карт тахографов, блоков СКЗИ тахографов;
• 12 – для установки (монтажа) и активации блока СКЗИ тахографа;
• 20 – для сервисного обслуживания тахографов с установкой/заменой блока СКЗИ.

Кроме этого, ЦЛСЗ ФСБ России выпустило информационное письмо по вопросам лицензирования деятельности, связанной с тахографами и их использованием.

Банки оказывают услуги по дистанционному банковскому обслуживанию с помощью систем Клиент-банк и Интернет-банк. ИТ-инфраструктура участников национальной платежной системы (НПС) участвует в переводах денежных средств. Некредитные финансовые организации (НПФ, страховые, управляющие компании и др.) осуществляют финансовые операции с помощью личных кабинетов и мобильных приложений специализированных информационных систем. В таких системах встроены СКЗИ, которые используются как для подписания электронных документов с помощью ЭЦП, так и для шифрования интернет-соединения между организацией и клиентом в целях защиты финансовой информации.
Банкам, НФО и участникам НПС требуется лицензия накриптографию со следующими видами работ по 313-ПП:

• 21, 22 для передачи своим клиентам USB-токенов, программных криптобиблиотек и дистрибутивов информационных систем (толстый клиент);
• 12 для установки и настройки СКЗИ на своем серверном оборудовании;
• 13, 14 для установки прикладного ПО систем ДБО (Клиент-банк, Интернет-банк) и на серверном оборудовании и последующее обновление;
• 20 для обслуживания криптобиблиотек и USB-токенов в соответствии с эксплуатационной документацией к ним (в данном случае, работы проводятся не для собственных нужд);
• 25, 27 для защиты интернет-соединения передачи данных между банком и клиентом с помощью СКЗИ.

Банки и другие финансовые организации, которые самостоятельно разрабатывают прикладное ПО своих специализированных систем (например, Клиент-банк, Интернет-банк), включают в лицензию дополнительный пункт 2 313-ПП на встраивание СКЗИ.

Бухгалтерские компании формируют и передают в ФНС России налоговую отчетность от имени своих клиентов, которая, в свою очередь, подписывается ЭЦП клиента и шифруется в момент ее передачи в налоговую инспекцию.
Подробнее в статье.

Предприятия-импортеры осуществляют ввоз на территорию РФ средств защиты информации (СрЗИ), а также оборудования, в составе которых есть СКЗИ. Например, HSM (от hardware security module) и межсетевых экранов (криптошлюзов). Экспортеры – вывозят СКЗИ с территории РФ. В обоих случая осуществляется поставка СКЗИ. Для этого требуется лицензия на криптографию с видами работ, предусмотренными п.21, 22, 23 по 313-ПП.
Строго говоря, для этого еще требуется разовая лицензия Минпромторга на ввоз/вывоз СКЗИ, но о ней мы напишем в следующий раз.

МИАЦ собирают, хранят и обрабатывают информацию (медицинскую, финансовую, кадровую, техническую), полученную от медицинских организаций, а также передают информацию в уполномоченные госорганы. Информация принимается и передается в зашифрованном виде. Для этого требуется лицензия на криптографию с видом работ, предусмотренным п.25 по 313-ПП.

Организациям, имеющим филиалы, представительства, дополнительные офисы, внешние ЦОД и иные территориальные подразделения, требуется лицензия на криптографию со следующими видами работ по 313-ПП:

• 12, 13, 14 – для монтажа, установки, наладки межсетевых экранов с возможностью шифрования (криптошлюзы) в целях создания защищенной локально-вычислительной сети (ЗЛВС) между площадками.

ОФД передают в ФНС России фискальные данные в зашифрованном виде. Для этого требуется лицензия на криптографию с видом работ, предусмотренным п.25 по 313-ПП.

Оператор электронного документооборота (ЭДО) оказывает услуги по организации обмена документами в электронной форме по телекоммуникационным каналам связи с использованием квалифицированных сертификатов ключей проверки электронной подписи.
Для этого ему нужны виды работ по 313-ПП: 12, 13, 14, 20, 21, 25, 26.
Подробнее в статье.

Поставщики и дистрибьютеры осуществляют поставку средств защиты информации (СрЗИ), а также оборудования, в составе которых есть СКЗИ. Например, HSM (от hardware security module) и межсетевых экранов (криптошлюзов).
Поставщикам требуется лицензия на криптографию со следующими видами работ по 313-ПП:

• 21, 22, 23 – поставка СКЗИ, информационных и телекоммуникационных систем.

Некоторые разработчики прикладного ПО разрабатывают софт, в котором применяются СКЗИ (например, для формирования ЭЦП).
Примеры такого софта:

• системы ДБО – Клиент-банк, Интернет-банк (Сбербанк Онлайн, Тинькофф Бизнес и др.);
• платежные системы (Western Union, Золотая Корона и др.);
• системы электронного документооборота (ЭДО) (Диадок, Такском и др.);
• средства удостоверяющих центров (УЦ) (КриптоПро УЦ, Notary-PRO и др.);
• средства ЭТП, МИАЦ, ОФД и др.

Разработчикам ПО требуется лицензия на криптографию со следующими видами работ по 313-ПП:

• 2, 3 – разработка защищенных с СКЗИ информационных и телекоммуникационных систем;
• 21, 22, 23 – поставка СКЗИ, дистрибутивов прикладного ПО.

Системные интеграторы и ИТ-компании осуществляют поставку, монтаж, наладку, установку СКЗИ.
Системным интеграторам и ИТ-компаниям требуется лицензия на криптографию со следующими видами работ по 313-ПП:

• 12, 13, 14 – монтаж, наладка, установка СКЗИ;
• 20 для технического обслуживания СКЗИ (в данном случае, работы проводятся не для собственных нужд).

УЦ работают с электронной подписью (ЭЦП) и сертификатами ЭЦП. Минцифры России подтвердило необходимость получения лицензии на криптографию со следующими видами работ по 313-ПП:

• 21 – для выдачи клиентам средств электронной подписи, ключей электронной подписи и ключей проверки электронной подписи;
• 28 – для создания клиентам ключей электронной подписи и ключей проверки электронной подписи;
• 12, 13, 14 – для установки и обновления программного обеспечения УЦ на собственном серверном оборудовании;
• 25, 27 – для шифрования канала передачи данных между УЦ и клиентами.

ЦТО занимаются обслуживанием контрольно-кассовой техники. Частью кассовой техники является фискальный накопитель (ФН), который является СКЗИ.
В мае 2017 года правительство внесло изменения в 313-ПП, в соответствии с которым для продажи (21 пункт 313-ПП) и монтажа (12 пункт 313-ПП) фискальных накопителей не требуется лицензия на криптографию. Для прочих видов работ по обслуживанию кассовой техники по-прежнему необходимо получать лицензию на криптографию.
Дело в том, что ФН как часть кассового аппарата и сам кассовый аппарат, с точки зрения 313-ПП, разные вещи. ФН – это СКЗИ, а кассовый аппарат, в составе которого есть ФН, может быть интерпретирован в терминах 313-ПП в качестве телекоммуникационной системой. И для работы с каждым из них нужны разные виды работ из 313-ПП:

• 22, 23 – для продажи (поставки) кассовых аппаратов, оборудованных фискальными накопителями;
• 13 – для замены «старого» ФН на «новый»;
• 17, 18 – для ремонта и гарантийного сервисного обслуживания кассовых аппаратов;
• 25 – для регистрации кассовых аппаратов в ФНС России от лица клиента.