13.08.2023

Работники для лицензии на криптографию

Каждая компания, претендующая на получение лицензии на криптографию или имеющая ее, должна иметь в своем штате квалифицированный персонал для занятия лицензируемой деятельностью. В этой статье я расскажу о требованиях, которые предъявляются к таким работникам.

1. Требования к работникам

Требования к работникам указаны в части 6 Постановления Правительства РФ от 16 апреля 2012 г. № 313, их можно условно разделить на 5 групп:
  • требования к количеству работников;
  • требования к образованию;
  • требования к стажу и опыту;
  • юридические требования;
  • дополнительные требования.
Также следует отметить, что требования к работникам отличаются в зависимости от видов работ, на которые претендует организация. Общий принцип такой, чем сложнее и ответственнее вид работ, тем более высокие требования предъявляются к работникам и тем больше таких работников требуется. Самые простые требования предъявляются в отношении передачи СКЗИ, самые сложные – в отношении разработки и производства СКЗИ.
О том, какими бывают лицензии на криптографию можно прочитать здесь.

1.1. Требования к количеству работников

Постановление № 313 устанавливает, что в организации должны быть не менее двух работников, которые будут заниматься лицензируемой деятельностью:
  • руководитель лицензируемой деятельности (по сути, менеджер);
  • инженерно-технический работник (непосредственно выполняет работы с СКЗИ).
Для работ и услуг, указанных в пунктах 1, 4 - 6, 16 и 19 Приложения № 1 к Постановлению № 313, инженерно-технических работников должно быть минимум двое.
Как правило, штатная структура и численность таких работников указывается в приказе «Об организации работ с СКЗИ» или «Об организации органа криптографической защиты (ОКЗ)».
Следует отметить, что Постановление № 313 определяет только минимальное количество необходимых работников, а максимальное количество работников определяется организацией самостоятельно исходя из своих потребностей. Правильной ситуацией является такая, при которой все работники, выполняющие работы с СКЗИ (передача, монтаж, установка и др.) включены в состав ОКЗ, тем самым учтены для целей лицензирования.
Особенности многофилиальных организаций
Вышеуказанные требования по минимальному количеству работников установлены только для ситуации, когда у вас один адрес лицензируемой деятельности. В случае, когда адресов у вас несколько, то в каждом дополнительном адресе должен быть минимум один инженерно-технический работник. Руководитель же для лицензируемой деятельности должен быть один на всю организацию.

1.2. Требования к образованию работников

К руководителю лицензируемой деятельности и инженерно-техническим работникам предъявляются одинаковые требования по образованию, но сами требования различаются в зависимости от видов работ, на которые претендует организация.
Лицензия на передачу СКЗИ (пункты 21, 22, 23, 24)
Работники могут иметь высшее или среднее профессиональное образование по ИБ или повышение квалификации по ИБ от 100 аудиторных часов. Повышение квалификации допускается для лиц, имеющих любое высшее или среднее профессиональное образование, даже гуманитарное.
Следует отменить, что в отличии от высшего образования по ИБ, программы повышения квалификации и профессиональной переподготовки должны быть согласованы с ФСБ России. ФСБ ведет реестр курсов с согласованной программой, который постоянно обновляется. При выборе курсов следует сверяться с этим реестром дабы не попасть в неловкую ситуацию.
Этапы и сроки получения лицензии на передачу СКЗИ (криптографии)
Рис.1 Реестр курсов на сайте УМО
Лицензия на услуги и техническое обслуживание СКЗИ (пункты 7, 8, 9, 10, 11, 12, 13, 14, 15, 17, 18, 20, 21, 22, 23, 24, 25, 26, 27, 28)
Работники должны иметь высшее профессиональное образование по ИБ или профессиональную переподготовку по ИБ от 500 аудиторных часов. Среднее профессиональное образование, повышение квалификации по ИБ или профпереподготовка до 500 аудиторных часов не допускается.
Профессиональная переподготовка допускается для лиц, имеющих любое высшее техническое образование. Желательно в информационных технологиях.
Лицензия на встраивание СКЗИ (пункты 2, 3)
Требования аналогичны требованиям для лицензии на услуги и техобслуживание СКЗИ.
Лицензия на разработку и производство СКЗИ (пункты 1, 4, 5, 6, 16, 19)
Требования аналогичны требованиям для лицензии на услуги и техобслуживание СКЗИ, за исключением того, что количество аудиторных часов для профессиональной переподготовки увеличивается с 500 до 1000.

1.3. Требования к стажу и опыту работников

Стаж в лицензируемой деятельности
Работникам для соответствия лицензионным требованиям нужен в области выполняемых работ в рамках лицензируемой деятельности. Это стаж, который удовлетворяет следующим критериям, и только он идет в зачет при получении лицензии на криптографию:
  • работник работал в организации с лицензией на криптографию (наличие лицензии проверяется ФСБ России) в которой были указаны такие же виды деятельности как в вашей лицензии;
  • работник работал на позициях, связанных с эксплуатацией и администрированием СКЗИ (как правило, работники подразделений ИТ и ИБ).
Из вышеуказанных критериев следует несколько выводов:
  1. Просто работа с криптографией для выполнения требований к стажу работников не засчитывается. Должен быть стаж именно в организации, имевшей лицензию СКЗИ, в которой были указаны такие же виды деятельности как в вашей лицензии. Объясняется это тем, что если компания не имела лицензию на криптографию, то и лицензируемой деятельностью она не могла заниматься, не нарушая закон. Соответственно, у работников такой компании нет опыта в лицензируемой деятельности.
  2. Работа с криптографией, которая соответствует таким же видами деятельности как в лицензии, но для собственных нужд тоже не засчитывается. Иными словами, если работник занимался генерацией ключей на корпоративном УЦ для внутреннего ЭДО, то стажа для лицензии на криптографию (пункт 28 Постановления № 313) у него нет. Чтобы стаж был засчитан, работник должен генерировать ключи для внешних клиентов.
  3. Стаж в компании, имеющей «низкие» виды работ (например, на передачу СКЗИ, пункты 21-24 Постановления № 313) не подойдет для получения лицензии на более «высокие» виды работ (например, на услуги и техническое обслуживание СКЗИ, пункты 7 – 15, 17, 18, 20, 25 – 28). Это справедливо для любых более «высоких» видов работ по отношению «к низким».
Указанная информация о стаже была подтверждена на практике в рамках проверок в 2023 году.
Опыт руководства лицензируемой деятельностью
До 2021 года разницы между руководителем и инженерно-техническими работниками, с практической точки зрения, не было – к ним предъявлялись единые требования к образованию и стажу. С начала 2021 года на практике регулятор стал требовать, чтобы у руководителя был опыт руководства лицензируемой деятельностью. Иными словами, чтобы должности работника на предыдущих местах работы звучали как руководитель или заместитель руководителя отдела, управления и т.п.
Опыт встраивания и разработки СКЗИ
Следует отдельно упомянуть лицензию на встраивание СКЗИ. Различий между требованиями, предъявляемых к лицензии на услуги и техническое обслуживание СКЗИ (7 – 15, 17, 18, 20, 25 – 28) и лицензии на встраивание СКЗИ (2, 3), с точки зрения Постановления № 313, нет. Тем не менее, на практике регулятор требует, чтобы у руководителя и инженерно-технического работника был опыт программирования и встраивания СКЗИ в информационные и/или телекоммуникационные системы.

1.4. Юридические требования

Работники должны находится в штате по основному месту работы, работа по совместительству не допускается. Работа на половину или четверть ставки также не подходит.
Образование, стаж и опыт должны быть подтверждены документально. К подтверждающим документам относятся копии документов, подтверждающих нахождение в штате, копии документов государственного образца (дипломы, аттестаты, свидетельства) об образовании, копии трудовых книжек, копии должностных инструкций сотрудников.
Важно понимать, что недостаточно сообщить, что у бывшего работодателя была лицензия на криптографию (ФСБ это проверяет по своему реестру). Необходимо предоставить внутренние документы с прошлого места работы, из которых прямо следует, что работник занимался именно таким видом работ в рамках лицензируемой деятельности.
Что же касается ролей – руководитель лицензируемой деятельности и инженерно-технический работник – это именно роли, а не должности. Например, руководителем может выступать руководитель службы ИБ, а инженерно-техническим работником – системный администратор.

1.5. Дополнительные требования

Доступ к государственной тайне
Среди дополнительных требований как к организации, так и работникам, можно выделить необходимость получения допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну. Такой допуск требуется при выполнении работ, указанных в пунктах 1, 4, 5, 6, 16, 19 Постановления № 313. Наличие допуска должно быть подтверждено документально.т