Кто помнит эпопею с лицензированием деятельности в области шифрования, то картина выглядела примерно так. Многие годы ФСБ была сторонницей позиции, что лицензия на деятельности в области криптографии нужна всем, кто имеет хоть какое-нибудь отношение к шифровальным средствам. Будь-то разработка, распространение, обслуживание и т.д. и т.п. И выражалось это в различных официальных письмах, которые ФСБ писала на запросы разных ассоциаций и организаций. В 2011-м году ситуация поменялась - законодатели приняли ФЗ "О лицензировании отдельных видов деятельности", которые не только сделал все лицензии бессрочными, но и заменил существовавшие ранее 4 лицензии ФСБ на одну. Да еще и техобслуживание для собственных нужд стало нелицензируемым. Ситуации хуже не представишь - столь ревностно контролируемая тема утекает сквозь пальцы.
И вот регулятор делает ход конем - и в 313-м Постановлении Правительства каким-то неуловимым образом вместо одного лицензируемого вида появляется аж целых 28 (приложение 1). И ситуация становится даже хуже, чем была раньше. А если сюда приплюсовать еще и требования по квалификации персонала, то ситуация становится хуже некуда. Неслучайно на юге России уже несколько уголовных дел за отсутствие лицензий (в т.ч. и непродленных) было возбуждено.
Но поговорить я хотел сегодня о другом. А точнее о такой интересной операции, которая проводится достаточно регулярно - обновление или ремонт СКЗИ. Например, вышла новая версия ПО (сертифицированная) или надо сгоревшую сетевую карточку поменять или блок питания сгорел у VPN-шлюза и надо его сдать в ремонт. Нередкие, скажем прямо, операции. Но под какой из 28 лицензируемых видов они попадают? Разработка, изготовление, монтаж, передача, предоставление услуг?... Нет. Ремонт так и назван ремонтом (16-18 виды работ из приложения 1). С обновлением чуть сложнее. Оно может попасть как под 5-й вид (модернизация шифровальных средств), так и под работы по обслуживанию шифровальных средств, предусмотренные технической и эксплуатационной документацией для обспечения собственных нужд.
Если это последний вариант, то все просто замечательно - это вид деятельности нелицензируемый и можно им заниматься беспрепятственно. Но представим, что обновление попадает под 5-й вид деятельности. Согласно 7-го пункта ПП-313 соискатель на получение лицензии на оказание данного вида работ должен представить среди прочего "сведения о документе, подтверждающем наличие допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну".
Самое неприятное то, что четкого ответа на вопрос, к какому виду работ относится обновление СКЗИ, нет. Регулятор молчит ;-( И если с ремонтом все понятно - лучше им самостоятельно не заниматься и отдавать на откуп лицензиатам, то что делать с обновлением пока непонятно. И если ответ на этот вопрос пойдет по не самому позитивному сценарию, то кажется мне, что это станет еще большей головной болью, чем решение вопроса с обучением в течение 500 часов...
И вот регулятор делает ход конем - и в 313-м Постановлении Правительства каким-то неуловимым образом вместо одного лицензируемого вида появляется аж целых 28 (приложение 1). И ситуация становится даже хуже, чем была раньше. А если сюда приплюсовать еще и требования по квалификации персонала, то ситуация становится хуже некуда. Неслучайно на юге России уже несколько уголовных дел за отсутствие лицензий (в т.ч. и непродленных) было возбуждено.
Но поговорить я хотел сегодня о другом. А точнее о такой интересной операции, которая проводится достаточно регулярно - обновление или ремонт СКЗИ. Например, вышла новая версия ПО (сертифицированная) или надо сгоревшую сетевую карточку поменять или блок питания сгорел у VPN-шлюза и надо его сдать в ремонт. Нередкие, скажем прямо, операции. Но под какой из 28 лицензируемых видов они попадают? Разработка, изготовление, монтаж, передача, предоставление услуг?... Нет. Ремонт так и назван ремонтом (16-18 виды работ из приложения 1). С обновлением чуть сложнее. Оно может попасть как под 5-й вид (модернизация шифровальных средств), так и под работы по обслуживанию шифровальных средств, предусмотренные технической и эксплуатационной документацией для обспечения собственных нужд.
Если это последний вариант, то все просто замечательно - это вид деятельности нелицензируемый и можно им заниматься беспрепятственно. Но представим, что обновление попадает под 5-й вид деятельности. Согласно 7-го пункта ПП-313 соискатель на получение лицензии на оказание данного вида работ должен представить среди прочего "сведения о документе, подтверждающем наличие допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну".
Самое неприятное то, что четкого ответа на вопрос, к какому виду работ относится обновление СКЗИ, нет. Регулятор молчит ;-( И если с ремонтом все понятно - лучше им самостоятельно не заниматься и отдавать на откуп лицензиатам, то что делать с обновлением пока непонятно. И если ответ на этот вопрос пойдет по не самому позитивному сценарию, то кажется мне, что это станет еще большей головной болью, чем решение вопроса с обучением в течение 500 часов...