09.02.2023

Проверки ФСБ (2023)

1 февраля Алексей Лукацкий в своем Telegram-канале «Пост Лукацкого» опубликовал пост с информацией про результаты проверок ФСБ в части выполнения требований по шифрованию, которым с ним поделились коллеги. В этом посте прекрасно все, поэтому решили процитировать полностью. Ссылка на источник.

1. Текст письма
2. Мнение эксперта
Задать вопрос

1. Текст письма

"Интересным поделились коллеги в одном из чатиков про результаты проверок ФСБ в части выполнения требований по шифрованию. Если это локальная история только одного региона - это одно. Но если это общая тенденция, то хреново, конечно.

У нас в регионе прошли проверки организаций по выполнению лицензионных требований по СКЗИ. И есть несколько очень грустных новостей:

1. VPN между офисами рассматривают как лицензируемый вид деятельности и в рамках проверки по нему тоже требуется предоставить информацию. Логику этого подхода я так и не понял. Оспорить тоже похоже ни у кого не получилось. По крайней мере мне такие случаи не известны.

2. Просто работа с криптографией для выполнения требований к стажу работников не засчитывается. Должен быть стаж именно в организации, имевшей лицензию СКЗИ, в которой были указаны такие же виды деятельности как в вашей лицензии.

3. Работа с криптографией, которая соответствует таким же видами деятельности как в лицензии, но для собственных нужд тоже не засчитывается. То есть если человек на прошлой работе генерил ключи на корпоративном УЦ для внутреннего ЭДО, то стажа для лицензии СКЗИ (вид деятельности 28) у него нет. Чтобы иметь стаж, он должен был генерить ключи клиентам в рамках лицензии.

4. Стаж должен быть подтверждён документально. И исходя из п.2 и п.3 будет недостаточно сказать, что у бывшего работодателя нынешнего работника была лицензия на СКЗИ. Надо предоставить внутренние документы с прошлого места работы из которых прямо следует, что он занимался именно таким видом деятельности в области предоставления лицензируемых услуг СКЗИ."

2. Мнение эксперта

Так и напрашивается "Никогда такого не было и вот опять!".

Эти требования были всегда. Только многие закрывали глаза и не торопились выполнять. А если кому-то скажешь "что для собственных нужд" в отношении лицензии на СКЗИ не проходит – крутят у виска – мол, "тогда все организации, которые используют криптомаршрутизаторы для организации защищенной сети, подпадают под требования лицензирования". Да и еще раз да. Этот такой же лицензируемый вид деятельности как оборот этилового спирта. Да неудобно, но уж так повелось на Руси… Во всем виновата ФСТЭК;-)

Уже писал про это, но повторюсь. Бытует мнение, если организация осуществляет работы с СКЗИ для собственных нужд, ей лицензия не требуется. Такое мнение сложилось, во многом, благодаря позиции ФСТЭК России в информационном сообщении от 31 июля 2018 г. N 240/13/3330 относительно того, что лицензия на деятельность по технической защите конфиденциальной информации требуется только для оказания услуг сторонним организациям.

С лицензией на СКЗИ ситуация сложнее – в 313-ПП описаны исключения, при которых лицензия не требуется – к ним относятся а) исключения, описанные в п.3 313-ПП, б) работы по техническому обслуживанию СКЗИ (1 из 28 лицензируемых возможных видов работ), в) передача и монтаж фискальных накопителей. Для остальных работ с СКЗИ требуется лицензия, в т.ч. и для собственных нужд. Например, хотите, чтобы ваш сетевой инженер устанавливал криптошлюзы для организации сети с филиалом – получайте лицензию на СКЗИ, хотите установить криптопровайдер на АРМ бухгалтера… Ну, вы поняли. Как вариант, можно привлечь внешнего подрядчика с лицензией на СКЗИ, который выполнит всю работу за вас.

UPD. У нас вышла новая статья про реестр плановых проверок ФСБ.