На сайте правительства РФ опубликовано Постановление от 16 апреля 2012 г. №313 Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
Во-первых, добавилось явное исключение, описывающее случаи, когда деятельность не попадает под лицензирование:
“1. … если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя”
Во-вторых, расширено определение СКЗИ, теперь включающее не только компоненты реализующие шифрование, но и компоненты обеспечивающиешифрование и хранящиеключи:
“ж) аппаратные шифровальные (криптографические) средства - устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин;
з) программные шифровальные (криптографические) средства - программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно-аппаратных шифровальных (криптографических) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием шифровальных (криптографических) средств;
и) программно-аппаратные шифровальные (криптографические) средства - устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части.”
В-третьих расширен список типов СКЗИ, которые не попадают под лицензирование:
· средства аутентификации;
· встроенные средства ОС;
· персональные смарт-карты;
· средства защиты от копирования и защиты авторских прав;
· комплексные средства, в которых производителем заблокирована функция СКЗИ.
“3. Настоящее Положение не распространяется на деятельность с использованием:
в) товаров, содержащих шифровальные (криптографические) средства, имеющих либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющих электронную подпись;
г) шифровальных (криптографических) средств, являющихся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной;
д) персональных смарт-карт (интеллектуальных карт), криптографические возможности которых ограничены использованием в оборудовании или системах, указанных в подпунктах »е» - »и» настоящего пункта, или персональных смарт-карт (интеллектуальных карт) для широкого общедоступного применения, криптографические возможности которых недоступны пользователю и которые в результате специальной разработки имеют ограниченные возможности защиты хранящейся на них персональной информации;
ж) оборудования, криптографические возможности которого недоступны пользователю, специально разработанного и ограниченного для осуществления следующих функций:
исполнение программного обеспечения в защищенном от копирования виде;
обеспечение доступа к защищенному от копирования содержимому, хранящемуся только на доступном для чтения носителе информации, либо доступа к информации, хранящейся в зашифрованной форме на носителях, когда эти носители информации предлагаются на продажу населению в идентичных наборах;
контроль копирования аудио- и видеоинформации, защищенной авторскими правами;
м) товаров, у которых криптографическая функция гарантированно заблокирована производителем.”
В-четвертых, расширен и детализирован перечень видов работ, связанных с СКЗИ. Теперь их 28. На все нужные вам виды работ выдается одна лицензия, а виды работ перечисляются на обратной стороне или на дополнительном приложении.
В-пятых поменялись лицензионные требования:
· замена требования аттестованных рабочих мест, на более полит корректное:
Вместо “д) применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации;”
Теперь “в) наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;”
· уточнение требований к квалификации персонала - высшее образование или переподготовка в направлении «Информационная безопасность» (от 100 до 1000 аудиторных часов, в зависимости от вида работ).
· для видов работ 1 - 11, 16 – 19 требуется наличие неких приборов и оборудования.
“е) наличие у соискателя лицензии приборов и оборудования, прошедших поверку и калибровку в соответствии с Федеральным законом «Об обеспечении единства измерений», принадлежащих ему на праве собственности или ином законном основании и необходимых для выполнения работ и оказания услуг, указанных в пунктах 1 - 11, 16 - 19 перечня;”
В-шестых уточнили перечень документов предоставляемых при лицензировании:
· Вместо перечня внутренних документов, которые готовились в рамках аттестации рабочих мест, теперь необходимо предоставить копии самих внутренних документов связанных с КИ:
б) копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;
· Вместо аттестата теперь предоставляем:
и) сведения о документе, подтверждающем наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;
· По сотрудникам, ответственным за лицензионную деятельность, теперь предоставляем кроме дипломов ещё и копии трудовых книжек и должностных инструкций:
“д) копии трудовых книжек сотрудников, определенных подпунктом »д» пункта 6 настоящего Положения;
е) копии должностных инструкций сотрудников, определенных подпунктом «д» пункта 6 настоящего Положения;”
В-седьмых теперь явно требуется указать все территориально распределенные офисы, в которых планируется осуществлять лицензионную деятельность и необходимо обеспечить выполнение лицензионных требований во всех офисах. То есть, если интегратор хочет оказывать услуги связанные с СКЗИ в городе N-ске, у него в лицензии должен быть перечислен этот город. Для этого многим распределенным лицензиатам по-видимому придется переоформлять лицензию.
“9. При намерении лицензиата осуществлять лицензируемую деятельность по адресу места ее осуществления, не указанному в лицензии, в заявлении о переоформлении лицензии указываются этот адрес и следующие сведения:”
Аналогично, если в старой лицензии нет всех нужных новых видов работ – то придется переоформлять лицензию.
За ссылку спасибо Алексею Лукацкому. У которого в блоге так-же делался анонс проекта постановления .
Анализ новых требований к квалификации в блоге у Пушкиниста .
