Выполнение лицензионных требований по СКЗИ

Все требования к соискателю лицензии можно условно разделить на следующие группы:

• требования к работникам;
• требования к месту (помещению) осуществления лицензируемой деятельности;
• требования по обеспечению конфиденциальности;
• требования к организации работы;
• особенные требования.

В компании должны быть минимум двое работников, которые будут заниматься лицензируемой деятельностью. Требования к работникам отличаются в зависимости от видов работ, на которые претендует организация. Общий принцип такой, чем сложнее и ответственнее вид работ, тем более высокие требования предъявляются к работникам и тем больше таких работников требуется. Самые простые требования предъявляются в отношении передачи СКЗИ, самые сложные – в отношении разработки и производства СКЗИ.

Подробно требования к работникам мы рассмотрели в отдельной статье.

Лицензия на криптографию выдается на конкретный адрес, по которому компания планирует осуществлять деятельность. Такой адрес называется местом осуществления лицензируемой деятельности, и оно может не совпадать с юридическим адресом.

Помещение для лицензируемой деятельности может быть в аренде или в собственности. Компания должна иметь необходимые правоустанавливающие документы (например, ДКП, договор аренды, свидетельство о праве собственности, выписка из Росреестра, экспликация и поэтажный план,), подтверждающие право пользования помещением.

Явных ограничений по площади помещения нет, при этом площадь помещения должна быть достаточной для размещения работников и хранилищ (запираемых шкафов, сейфов) СКЗИ, сетевого и серверного оборудования (для некоторых выходов работ).

Помещение для лицензируемой деятельности должно быть изолированным, использование помещений типа «OpenSpace» не допускается.

Двери помещения должны быть прочными, подходят двери-сейфы, прочные металлические или деревянные двери, двери из армированного стекла. Если для запирания двери используется механический замок, то на такой двери дополнительно должно быть размещено средство для опечатывания.

Окна помещения, расположенного на первом или последнем этажах здания или в непосредственной близости от пожарной лестницы, должны быть защищены от проникновения металлическими решетками, и от просмотра с улицы – шторами.

Доступ в помещение должен быть ограничен техническими средствами контроля и управления доступом (СКУД), а также охранной сигнализацией.

В соответствии с пп.(в) п.6 313-ПП соискатель лицензии должен обеспечить условия для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом от 27.07.2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Подтверждением выполнения указанного лицензионного требования является комплекс следующих организационных и технических мер.

1. Аттестованная АС. Соискатель лицензии должен аттестовать автоматизированную систему по требования безопасности информации в соответствии нормативно-методическим документом ФСТЭК России СТР-К. Работы по аттестации имеют право проводить организации, имеющие лицензию ФСТЭК на техническую защиту конфиденциальной информации.

2. Режим коммерческой тайны. В организации должен быть установлен режим коммерческой тайны, ключевые документы, техническая и эксплуатационная документация на СКЗИ, документы по защите информации должны быть отнесены к информации, составляющей коммерческую тайну.

3. Места для хранения СКЗИ. Организация должна иметь достаточное количество мест для хранения СКЗИ и эксплуатационной документации на СКЗИ. Подойдут сейфы, металлические шкафы с кодовым замком или механическим замком и средством опечатывания замочной скважины.

Существуют требования непосредственно к лицензируемой деятельности:

1. Поэкземплярный учет СКЗИ (п.7, 26, 27 152-ФАПСИ, п.48 ПКЗ-2005). Организация должна вести такой учет. Поэкземплярный значит каждый экземпляр должен быть учтен отдельно, а не вся коробка или партия. Большая часть вашей работы будет сводиться к поэкземплярному учету СКЗИ. Это как бухгалтерский учет, только вместо ТМЦ – СКЗИ. Нужно записать от кого получил криптографию и кому ее потом передал. Для этого существует специальный журнал учета СКЗИ. Образец журнала можно найти в 152-ФАПСИ. Также каждую передачу криптографии следует оформлять актом приема-передачи. Кроме самих СКЗИ в журнале учета должна учитываться техническая и эксплуатационная документация на СКЗИ (п.69 152-ФАПСИ), которая передается клиентам вместе с СКЗИ.

2. Передача СКЗИ (п.32, 33 152-ФАПСИ). Передавать СКЗИ можно только специальным образом. Только по внутренней почте в сейф-пакетах или сотруднику клиента лично в руки. Есть еще вариант с фельдъегерской службой (этакая спецпочта), но вам это не для простых смертных.

3. Правила пользования СКЗИ (п.46 ПКЗ-2005). Организация должна руководствоваться правилами пользования СКЗИ. Если вы используете криптографию для оказания услуг, например, для установки определенных сроков действия ключа ЭЦП, то использовать ее следует в соответствии с правилами пользования.

4. Аудит (п.51 ПКЗ-2005) Необходимо проводить регулярный аудит соблюдения правил пользования криптографией и выполнения лицензионных требований. Эта формальная процедура не лишена и практической пользы. По результатам аудита вы узнаете свои слабые места и сможете их оперативно исправить, и, тем самым, подготовиться к проверкам ФСБ, которые они должны проводить каждые три года.

5. Владение СКЗИ (пп.1 п.3 ст.8 99-ФЗ). Организация должна владеть СКЗИ на законном основании, а также иметь документы, подтверждающие законность владения СКЗИ (например, лицензионный договор, договор поставки, ДКП и др.).

Закончим список лицензионных требований еще тремя совсем не очевидными:

1. Контрольно-измерительное оборудование (пп.(а) п.6 313-ПП). Организация должна его иметь, но это в теории. ФСБ, в отличии от ФСТЭК, свой перечень оборудования не опубликовало, что породило множество спекуляций.

На практике все оказывается достаточно просто:

• для лицензии на передачу, в принципе, не требуется контрольно-измерительное оборудование (а что, собственно, измерять? Габариты коробок с СКЗИ?);
• для монтажа, наладки, установки, ТО СКЗИ и прочего (что не связано с разработкой СКЗИ) подойдет утилита для подсчета контрольной суммы СКЗИ. Но самым верным вариантом будет указать, что контрольно-измерительное оборудование вам для деятельности не требуется. Практика говорит, что этого будет достаточно, главное – обосновать почему оборудование не нужно;
• для лицензии на разработку СКЗИ (в особенности программно-аппаратных СКЗИ) я допускаю, что такое оборудование действительно может понадобиться. Но у меня нет опыта получения таких лицензий, и ничего определенного я сказать не могу.

2. Лицензия на телематические услуги связи. Для получения лицензии на 27 вид работ – предоставление защищенных с использованием СКЗИ каналов связи для передачи информации – требуется лицензия на телематические услуги связи. Лицензия должна быть у организации к моменту подачи заявки на получение лицензии на криптографию. Логика такая, что без лицензии на услуги связи нельзя оказывать услуги по организации защищенной (с помощью шифрования) связи. Но в 313-ПП, к сожалению, об этом ни слова.

3. Лицензия на гостайну. Для получения лицензии на 1, 4 - 6, 16 и 19 виды работ требуется лицензия ФСБ на работу с гостайной. Об этом косвенно указывает пп.(г) п.6 313-ПП – наличие у соискателя допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну. С оформлением лицензии на работу с гостайну существуют сложности, и именно из-за этого я не могу помочь с получение лицензии на указанные виды работ. Если только у вас уже есть лицензия на работу с гостайной или вы возьмете на себя ее получение.