logo
Заказать
услугу
btn_mobile
btn_open

Шифрование и криптография

Лицензирование деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

Общие положения

Лицензирование осуществляется в соответствии с Федеральным законом от 4 мая 2011 года № 99-ФЗ «О лицензировании отдельных видов деятельности». Порядок лицензирования определен постановлением Правительства Российской Федерации от 16 апреля 2012 года № 313 «О лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».

         Лицензии предоставляет Центр по лицензированию, сертификации и защите государственной тайны ФСБ России (если соискатель лицензии (лицензиат) зарегистрирован на территории г. Москвы и Московской области), а также территориальные органы безопасности, на территории которых зарегистрирован соискатель лицензии (лицензиат), в зависимости от перечня выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств, являющегося приложением к Положению, утвержденному постановлением Правительства Российской Федерации от 16 апреля 2012 года № 313 «О лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».

К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), включая документацию на эти средства, относятся:

а) средства шифрования — аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче;
б) средства имитозащиты — аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации;

в) средства электронной подписи;

г) средства кодирования — средства шифрования, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций;

д) средства изготовления ключевых документов — аппаратные, программные, программно-аппаратные шифровальные (криптографические) средства, обеспечивающие возможность изготовления ключевых документов для шифровальных (криптографических) средств, не входящие в состав этих шифровальных (криптографических) средств;

е) ключевые документы — электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах;

ж) аппаратные шифровальные (криптографические) средства — устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин;

з) программные шифровальные (криптографические) средства — программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно-аппаратных шифровальных (криптографических) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием шифровальных (криптографических) средств;

и) программно-аппаратные шифровальные (криптографические) средства — устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части.

 

Процесс оформления лицензии ФСБ на криптографию (шифрование)

2.1. Зачем нужна Лицензия ФСБ на криптографию (шифрование)?

Лицензия ФСБ на криптографию (шифрование) необходима если Организация собирается заниматься следующими видами работ, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств:

Разработка шифровальных (криптографических) средств.
— Разработка защищенных с использованием шифровальных (криптографических) средств информационных систем.
— Разработка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
— Разработка средств изготовления ключевых документов.
— Модернизация шифровальных (криптографических) средств.
— Модернизация средств изготовления ключевых документов.
— Производство (тиражирование) шифровальных (криптографических) средств.
— Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.
— Производство защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
— Производство средств изготовления ключевых документов.
— Изготовление с использованием шифровальных (криптографических) средств изделий, предназначенных для подтверждения прав (полномочий) доступа к информации и (или) оборудованию в информационных и телекоммуникационных системах.
— Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств.
— Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.
— Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
— Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
— Ремонт шифровальных (криптографических) средств.
— Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных систем.
— Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
— Ремонт, сервисное обслуживание средств изготовления ключевых документов.
— Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
— Передача шифровальных (криптографических) средств.
— Передача защищенных с использованием шифровальных (криптографических) средств информационных систем.
— Передача защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
— Передача средств изготовления ключевых документов.
— Предоставление услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей.
— Предоставление услуг по имитозащите информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей.
— Предоставление юридическим и физическим лицам защищенных с использованием шифровальных (криптографических) средств каналов связи для передачи информации.
— Изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств.

 

Кому нужна лицензия ФСБ на криптографию (шифрование)?

    Организациям, которые осуществляют следующие виды деятельности в отношении тахографов:

    а). монтаж;

    б). установка;

    в). ремонт;

    г). распространение.

    Организациям, осуществляющим техническое обслуживание и ремонтные мероприятия в отношении кассовых аппаратов, включая ЦТО;

    Организациям, осуществляющим производство подписей электронно-цифрового типа;< Юридическим лицам, производящим, ремонтирующим и распространяющим специализированные категории радиотехнического оборудования; Организациям, деятельность которых связана с разработкой, внедрением и распространением специализированного шифровального ПО; Юридическим лицам, связанным с вопросами обеспечения систем защищенным шифрованием документооборотом; Организациям, осуществляющим установку, распространение, техобслуживание сертифицированных типов программных и аппаратных средств криптозащиты.

     

    Пример Организации Пункты Приложения к Положению о лицензировании №313
    ИТ-компании разрабатывающие ПО с элементами шифрования пункт 21 для продажи ПО

    пункт 2, 3

    Системные интеграторы пункт 21, 12, 13, 20
    Поставщики сложного телекоммуникационного оборудования пункт 21- 24 для импорта продажи сложного оборудования (например маршрутизаторы Sisco на которые отсутствует нотификация)
    Финансово-кредитные организации, коммерческие банки пункт 21, 22 для передачи (продажи) USB-токенов

    пункт 12 для установки и настройки шифрования в серверном оборудовании банковской организации

    пункт 13, 14 для установки системы Банк-клиент на сервере банка и обновления системы

    пункт 20 для обслуживания крипто-библиотек  и USB-токенов

    пункт 25, 26 для защиты интернет канала передачи данных между банком и клиентом

    пункт 2 при разработке собственного ПО типа Банк-Клиент

    Центры технического обслуживания кассовой техники (ЦТО) пункт 16, 17 при ремонте и гарантийном обслуживании касс

    пункт 25 при регистрации касс в Федеральной налоговой службе от лица клиента ЦТО

    Организации, занимающиеся продажей и ремонтом тахографов пункт 21 при продаже карт тахографов и блоков СКЗИ тахографов

    пункт 12 при установке (монтажу) и активации блоков СКЗИ тахографов

    пункт 16 при ремонте (сервисном обслуживании) тахографов с установкой и/или заменой блока СКЗИ

    Медицинские информационные аналитические центры (МИАЦ) пункт 25 по причине передачи (с предварительным сбором, хранением и обработкой) информации в уполномоченные государственные органы в зашифрованном виде
    Бухгалтерские организации и аудиторские конторы пункт 25 по причине передачи информации в уполномоченные государственные органы в зашифрованном виде (сдача отчетности через ЭЦП)
    Операторы электронного документооборота пункт 12-14, 20, 21, 25-27 в соответствии с пунктом 4 Приказа ФНС России N ММВ-7-6/76@ «Об утверждении Требований к оператору электронного документооборота» от 04.03.2014
    Удостоверяющие центры Пункт 21 в связи с выдачей ключей электронно-цифровой подписи и ключей проверки подписи

    Пункт 28 в связи с созданием ключей электронно-цифровой подписи и ключей проверки подписи

    Пункт 12, 13, 14 в связи с установкой и обновлением ПО удостоверяющего центра на серверном оборудовании УЦ

    Пункт 25, 26 в связи с шифрование канала передачи данных удостоверяющего центра и клиента

    Операторы фискальных данных Пункт 25 в связи с передачей в Федеральную налоговую службу

     

     

    3.     Требования, предъявляемые к соискателям лицензии:

    наличие помещений для осуществления лицензируемой деятельности в собственности или по договору аренды (субаренды);
    наличие в штате на основном месте работы специалистов, имеющих высшее профессиональное образование по направлениям подготовки «Информационная безопасность» и (или) прошедшие переподготовку по одной из специальностей этого направления, а также имеющие стаж в области выполняемых работ в рамках лицензируемой деятельности.
    выполнение требований по обеспечению информационной безопасности и соблюдение условий конфиденциальности информации;
    наличие лицензии ФСБ на осуществление работ, связанных с использованием сведений, составляющих государственную тайну, при выборе пунктов 1,4-6,16,19;
    наличие действующего аттестата соответствия на автоматизированное рабочее место;
    наличие сертифицированных средств защиты информации.

     

    Требования, предъявляемые к специалистам в соответствии с пунктами видов деятельности:

     

    Пункты 1, 4—6, 16 и 19:

    руководитель и (или) лицо, уполномоченное руководить работами в рамках лицензируемой деятельности, имеющие высшее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок — свыше 1000 аудиторных часов), а также имеющие стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 5 лет.

    инженерно-технические работники (минимум 2 человека), имеющие высшее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок — свыше 1000 аудиторных часов), а также имеющие стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 5 лет.

     

    Пункты 2, 3, 7—15, 17, 18, 20, 25—28:

    руководитель и (или) лицо, уполномоченное руководить работами в рамках лицензируемой деятельности, имеющие высшее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок — свыше 500 аудиторных часов), а также имеющие стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 3 лет.

    Пункты 21 —24:

    руководитель и (или) лицо, уполномоченное руководить работами в рамках лицензируемой деятельности, имеющие высшее или среднее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок — свыше 100 аудиторных часов).

    инженерно-технический работник, имеющий высшее или среднее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей.

    Дополнительные требования

    При выборе категорий пунктах 1, 4 — 6, 16 и 19 перечня заявителю потребуется лицензия на «Осуществление работ, связанных с использованием сведений, составляющих государственную тайну». Без неё получение данных пунктов невозможно.
    При работе с персональными данными и выборе соответствующих категорий потребуется лицензия от ФСТЭК на деятельность по деятельности по технической защите конфиденциальной информации.
    При выборе пункта 27 в перечне категорий потребуется лицензия Роскомнадзора на оказание телематических услуг.

     

    Документация, необходимая для получения лицензии

    Заявление с запросом на лицензирование по установленному образцу;
    Ксерокопии учредительных документов организации с нотариальным удостоверением;
    Ксерокопии правоустанавливающей документации на здания, помещения и сооружения, где будет производиться подлежащая лицензированию деятельность, если соответствующие объекты не были внесены в единую базу Росреестра;
    Ксерокопии распорядительной документации внутреннего пользования, дающие подтверждение наличия условий, необходимых для обеспечения конфиденциальности информации в ходе осуществления лицензируемой деятельности;
    Ксерокопии документации, дающей подтверждение факта зачисления в штат и нахождения на основной работе квалифицированных для исполнения соответствующих сертифицированных операций сотрудников;
    Ксерокопии дипломов, сертификатов, свидетельств, аттестатов и иных документов, подтверждающих прохождение целевыми работниками организации подготовки в области информационной безопасности в соответствии с гос. стандартами;
    Ксерокопии документации, дающей подтверждение наличия в распоряжении заявителя должным образом откалиброванных и настроенных приборов и оборудования;
    Сведения по аренде, регистрации права или иным основаниям распоряжения объектами недвижимости в местах, где планируется осуществлять деятельность по запрашиваемой лицензии;
    Данные по документу, который дает подтверждение наличия условий обеспечения конфиденциальности информации при осуществлении лицензируемой деятельности компании;
    Данные по документу, подтверждающему допуск к работе с гос. тайной;
    Ксерокопии трудовых книжек и договоров сотрудников;
    Ксерокопии должностных инструкций работников.

    Эксперт РАЦ «Эксперт Безопасности»
    Селезнев Д.В.

     

close