Краткий анализ 313-го Постановления, сменившего на посту ПП-957

Краткий анализ 313-го Постановления, сменившего на посту ПП-957
16 апреля закончилась эпоха 957-го Постановления Правительства "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами". Ему на смену пришло новое Постановление № 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, ехническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)".

Про проект этого Постановления я уже писал , как и про заключение Минэкономразвития на него. И вот финальный текст. Какие в нем изменения? Вот краткий перечень того, за что уцепился мой взгляд:
  • Расширен перечень того, что попадает в определение "шифровальные (криптографические) средства (СКЗИ)". Новых три элемента - аппаратные шифровальные средства, программные шифровальные средства и программно-аппаратные шифровальные средства. На мой взгляд это было лишним, т.к. эти три новых определения покрываются подпунктом а), вводящим определение средств шифрования. Но видимо у разработчиков были причины вносить три новых определения. Кстати, в новой редакции были растолкованы термины, ранее неопределенные, например, "ключевые документы".
  • На два пункта был расширен перечень средств, на которые Положение не распространяется. В частности это "товары, содержащие шифровальные (криптографические) средства, имеющие либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющие электронную подпись" (в), "оборудование, криптографические возможности которого недоступны пользователю, специально разработанное и ограниченное для осуществления следующих функций..." (ж) и "товары, у которых криптографическая функция гарантированно заблокирована производителем" (м). А также были уточнены имеющиеся ранее исключения. Исключены из исключений контрольно-кассовые машины.
  • Положение не распространяется на деятельность, связанную с электронной подписью. Т.е. теперь эта деятельность не лицензируется ФСБ. По крайней мере это вытекает из статьи 3в.
  • Перечень лицензируемых работ и услуг был вынесен в приложение для облегчения понимания. Из 30 видов в проекте осталось 28. Но все равно немало.
  • Жесткие требования к квалификации персонала. В зависимости от вида лицензируемых работ и услуг необходимо иметь высшее профессиональное образование по специальности, переподотовку в течение 1000 (500 или 100) аудиторных часов и иметь стаж 5 (3) года. При требования к квалификации я уже писал . Так что ничего нового. Но зато появилась ясность.Кстати, 1000 аудиторных часов - это полноценный институтский курс по информационной безопасности, читаемый в течении 5-6 лет! Где руководители будут получать такое обучение? Ни один учебный центр не в состоянии не то что появившийся спрос удовлетворить, но и вообще реализовать это требование. 1000 часов! Это к слову 125 полностью загруженных (по 8 часов) рабочих дней.
Что интересно. По замечаниям Минэкономразвития авторы поступили просто. Проигнорировали их. Например, в МЭР закономерно написали, что обязательное лицензирование можно вводить тогда, когда есть угроза жизни, здоровью... ну и т.д. И что в проекте постановления ни одна из целей, указанных в законе "О лицензировании отдельных видов деятельности", не установлена и не упомянута. Т.е. нет предмета для лицензирования вообще. Но авторы закрыли глаза на это замечание. МЭР тоже.

Замечания по отсутствию обоснования установленного количества часов также не устранено. Как и замечание по используемому контрольно-измерительному оборудованию. Требование заменить 56 бит на 64 и добавить упоминание продуктов для "mass-market", как того требовали Вассенаарские соглашения (1996 год), которые подписала и Россия. Видимо авторы, как это часто бывает, посчитали устранять эти замечания нецелесообразными ;-( А жаль.

Из занятного. Постановление называется "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств...". Т.е. слово распространение в названии есть. А вот по тексту Постановления оно нигде больше не встречается. Нигде. На это указывало и Минэкономразвития. Но все осталось без изменения. Получается, что деятельности по распространению СКЗИ теперь выпала из лицензирования?!.. А может термин "распространение" был заменен на "передача"? Но это не очевидно. Например, разместив на сайте СКЗИ и дав возможность ее скачивать всем своим клиентам и контрагентам, я осуществляю распространение, но не передачу СКЗИ... Тут есть о чем подумать.
    законодательство лицензирование криптография ФСБ
    Alt text
    Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

    Ищем баги вместе! Но не те, что в продакшене...

    Разбираем кейсы, делимся опытом, учимся на чужих ошибках

    Зафиксируйте уязвимость своих знаний — подпишитесь!