16 апреля закончилась эпоха 957-го Постановления Правительства "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами". Ему на смену пришло новое Постановление № 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, ехническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)".
Про проект этого Постановления я уже писал , как и про заключение Минэкономразвития на него. И вот финальный текст. Какие в нем изменения? Вот краткий перечень того, за что уцепился мой взгляд:
Замечания по отсутствию обоснования установленного количества часов также не устранено. Как и замечание по используемому контрольно-измерительному оборудованию. Требование заменить 56 бит на 64 и добавить упоминание продуктов для "mass-market", как того требовали Вассенаарские соглашения (1996 год), которые подписала и Россия. Видимо авторы, как это часто бывает, посчитали устранять эти замечания нецелесообразными ;-( А жаль.
Из занятного. Постановление называется "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств...". Т.е. слово распространение в названии есть. А вот по тексту Постановления оно нигде больше не встречается. Нигде. На это указывало и Минэкономразвития. Но все осталось без изменения. Получается, что деятельности по распространению СКЗИ теперь выпала из лицензирования?!.. А может термин "распространение" был заменен на "передача"? Но это не очевидно. Например, разместив на сайте СКЗИ и дав возможность ее скачивать всем своим клиентам и контрагентам, я осуществляю распространение, но не передачу СКЗИ... Тут есть о чем подумать.
Про проект этого Постановления я уже писал , как и про заключение Минэкономразвития на него. И вот финальный текст. Какие в нем изменения? Вот краткий перечень того, за что уцепился мой взгляд:
- Расширен перечень того, что попадает в определение "шифровальные (криптографические) средства (СКЗИ)". Новых три элемента - аппаратные шифровальные средства, программные шифровальные средства и программно-аппаратные шифровальные средства. На мой взгляд это было лишним, т.к. эти три новых определения покрываются подпунктом а), вводящим определение средств шифрования. Но видимо у разработчиков были причины вносить три новых определения. Кстати, в новой редакции были растолкованы термины, ранее неопределенные, например, "ключевые документы".
- На два пункта был расширен перечень средств, на которые Положение не распространяется. В частности это "товары, содержащие шифровальные (криптографические) средства, имеющие либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющие электронную подпись" (в), "оборудование, криптографические возможности которого недоступны пользователю, специально разработанное и ограниченное для осуществления следующих функций..." (ж) и "товары, у которых криптографическая функция гарантированно заблокирована производителем" (м). А также были уточнены имеющиеся ранее исключения. Исключены из исключений контрольно-кассовые машины.
- Положение не распространяется на деятельность, связанную с электронной подписью. Т.е. теперь эта деятельность не лицензируется ФСБ. По крайней мере это вытекает из статьи 3в.
- Перечень лицензируемых работ и услуг был вынесен в приложение для облегчения понимания. Из 30 видов в проекте осталось 28. Но все равно немало.
- Жесткие требования к квалификации персонала. В зависимости от вида лицензируемых работ и услуг необходимо иметь высшее профессиональное образование по специальности, переподотовку в течение 1000 (500 или 100) аудиторных часов и иметь стаж 5 (3) года. При требования к квалификации я уже писал . Так что ничего нового. Но зато появилась ясность.Кстати, 1000 аудиторных часов - это полноценный институтский курс по информационной безопасности, читаемый в течении 5-6 лет! Где руководители будут получать такое обучение? Ни один учебный центр не в состоянии не то что появившийся спрос удовлетворить, но и вообще реализовать это требование. 1000 часов! Это к слову 125 полностью загруженных (по 8 часов) рабочих дней.
Замечания по отсутствию обоснования установленного количества часов также не устранено. Как и замечание по используемому контрольно-измерительному оборудованию. Требование заменить 56 бит на 64 и добавить упоминание продуктов для "mass-market", как того требовали Вассенаарские соглашения (1996 год), которые подписала и Россия. Видимо авторы, как это часто бывает, посчитали устранять эти замечания нецелесообразными ;-( А жаль.
Из занятного. Постановление называется "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств...". Т.е. слово распространение в названии есть. А вот по тексту Постановления оно нигде больше не встречается. Нигде. На это указывало и Минэкономразвития. Но все осталось без изменения. Получается, что деятельности по распространению СКЗИ теперь выпала из лицензирования?!.. А может термин "распространение" был заменен на "передача"? Но это не очевидно. Например, разместив на сайте СКЗИ и дав возможность ее скачивать всем своим клиентам и контрагентам, я осуществляю распространение, но не передачу СКЗИ... Тут есть о чем подумать.