- Для чего нужна лицензия фсб россии на криптографию и шифрование
- Изучаем исходные данные
- Камни преткновения
- Лайфхак по успешному лицензированию
- Онлайн сервис подачи документов для получения сертификатов (портал заявителя)
- Первичное получение лицензии и плановая проверка: отличия
- Работы по лицензированию: цена вопроса
- Федеральная служба по надзору в сфере здравоохранения
- Читаем документы
Для чего нужна лицензия фсб россии на криптографию и шифрование
Деятельность в области работ, связанных с СКЗИ и шифрованием, регулируется Постановлением Правительства РФ от 16.04.2021 № 313, уточняющим 99-ФЗ в части лицензирования околокриптографических работ. Напомним, что Федеральный закон от 04.05.
Основные условные категории лицензиатов (организаций, которые получают лицензию):
Вид деятельности | Сложность получения лицензии | Когда актуально | |
|---|---|---|---|
1. | Перепродажа СКЗИ | Чуть ниже среднего | При необходимости расширить реализуемый спектр товаров средствами шифрования |
2. | Перепродажа, установка и обслуживание (настройка) СКЗИ | Средняя | При выдаче сертификатов электронной подписи (например, для работы с электронными торговыми площадками), при установке и настройке СКЗИ или систем, неразрывно связанных со СКЗИ для клиентов, при услугах по шифрованию информации |
3. | Перепродажа, установка, обслуживание и разработка собственных систем с использованием СКЗИ | Выше среднего | При разработке или производстве продуктов, включающих СКЗИ, либо при встраивании СКЗИ в свои продукты, при ремонте СКЗИ |
На практике за лицензией ФСБ обращаются в двух случаях: после проверки контролирующего органа, чтобы деятельность не была приостановлена (обычно в предписании на устранение замечаний одним из требований как раз и является получение лицензии), либо когда компания решает расширить ассортимент товаров и/или услуг за счет лицензируемых видов деятельности, чтобы не потерять доходы или долю на рынке, а возможно и расширить круг клиентов.
Изучаем исходные данные
Прежде чем решиться на подготовку к получению лицензии ФСБ на шифрование, разумно будет проанализировать собственные будущие финансовые и временные затраты, а именно:
1. Оценить рынок. О получении лицензии на шифрование часто задумываются, когда хотят расширить спектр услуг и товаров или чтобы не потерять клиентов, желающих в довесок к основному продукту приобретать что-то, требующее лицензии ФСБ. В данном случае желательно соотнести потенциальные доходы от услуг с объемом работы по получению лицензии и ее стоимостью.
2. Оценить собственные кадровые возможности. Закон предъявляет ряд требований к лицензиату относительно кадров и оборудования. Возможно, придется провести ряд кадровых перестановок или найти сотрудников на рынке труда, чтобы выполнить (и выполнять все время, пока будете заниматься лицензируемыми видами деятельности!) требования по лицензированию.
3. Оценить серьезность собственных намерений. Закон требует веского обоснования необходимости получения лицензии. Если лицензиат не занимается данным видом деятельности какое-то время, может быть поставлен вопрос об отзыве лицензии. Перед вложением средств желательно оценить поток заказов по выбранному направлению.
4. Заглянуть на три года вперед. Лицензия ФСБ выдается бессрочно, в течение первых трех лет возможны только внеплановые проверки. Первая плановая проверка может состояться лишь через три года или позднее. Проверяться будет всё: реальная квалификация специалистов, наличие оборудования и ПО, указанного в заявительных документах, своевременность актуализации истекающих со временем параметров — сертификаты, лицензии на ПО, договоры с контрагентами по аренде, охране, поставке иных услуг. По сути, проверка мало чем отличается по объему от первоначального получения лицензии.
Если вы решили, что выгода от получения лицензии ФСБ на криптографию превышает объемы затрат, необходимо обстоятельно изучить нормативную базу по данному вопросу, оценить возможность выполнения требований лицензирующего органа, прояснить непонятные моменты у компетентных лиц — и лицензироваться!
Никита Ярков, эксперт компании «СКБ Контур», проект Контур.Безопасность
Камни преткновения
Во время работ по лицензированию организации сталкиваются с тремя основными сложностями:
- Оборудование. Для выполнения работ и оказания услуг по аттестации защищаемых помещений и автоматизированных систем необходимо закупить (иметь в собственности или на любом ином законном основании) оборудование. Стоимость комплекта варьируется, но составляет около миллиона рублей. И если начать работы по лицензированию с покупки оборудования, то к моменту подачи заявления может оказаться так, что его придется заново поверять (сертификаты о поверке действительны один год). Можно попытаться сэкономить и взять оборудование в аренду, но она должна быть специальным образом оформлена. Требуется периодически подтверждать владение оборудованием, заключать дополнительные соглашения к договорам аренды о том, что оборудование находится именно у арендатора. Минус варианта с арендой в том, что он снижает шансы на получение лицензии — велика вероятность оформить отношения неверно и получить отказ.
- Аренда помещений. Если соискатель лицензии арендует помещение у субарендатора, то необходимо представлять всю цепочку документов вплоть до владельца помещения. Также необходимо следить за тем, чтобы фактические номера помещений совпадали с кадастровыми, чтобы помещения однозначно идентифицировались исходя из одних лишь документов.
- Кадровая документация. У сотрудников должны быть дипломы о высшем профессиональном образовании в области технической защиты информации и стаж более трех лет либо диплом о высшем образовании с курсов переподготовки / о высшем техническом образовании и стаж более пяти лет. Сотрудников должно быть не менее трех, и они должны быть трудоустроены у соискателя по основному месту работы.
Лайфхак по успешному лицензированию
Для того чтобы получить лицензию, а затем успешно проходить в случае необходимости плановые проверки ФСТЭК на соблюдение требований, предлагаем учесть ряд моментов:
- Оборудование (если оно необходимо для выбранного вами вида деятельности) лучше покупать, а не брать в аренду.
- Постоянно следить за изменениями в законодательной базе и поддерживать документацию в актуальном состоянии, в том числе периодически обновлять и докупать ГОСТы (информация об этом не является тайной, официальный сайт ФСТЭК России открыт для всех).
- Своевременно обновлять антивирусное ПО и лицензии на контрольно-измерительное программное обеспечение и оборудование.
- Вовремя проводить переаттестацию помещений и автоматизированных систем, поскольку аттестаты действительны максимум три года.
Онлайн сервис подачи документов для получения сертификатов (портал заявителя)
Для получения квалифицированного сертификата ключа проверки электронной подписи (далее – сертификат), созданного Удостоверяющим центром Федерального казначейства (далее – УЦ ФК), необходимо:
Обратиться в территориальный орган Федерального казначейства (далее – ТОФК) при принадлежности к кругу лиц, определённому в пункте 2
Порядка реализации Федеральным казначейством функций аккредитованного удостоверяющего центра и исполнения его обязанностей, утвержденному приказом Федерального казначейства от 16.03.2020 № 11н. 
Проверить настройку АРМ для работы с Порталом заявителя ИС УЦ (
проверить
).
Получить средство электронной подписи (КриптоПро CSP версии 4.0) в ТОФК, в случае его отсутствия.
Настроить автоматизированное рабочее место (далее – АРМ) для работы с Порталом заявителя:
Обеспечить на АРМ наличие одной из следующих операционных систем: ОС Windows 7 с пакетом обновления 1 (SP1) и выше, ОС Astra Linux («Астра Линукс»), ОС Альт Линукс, ОС GosLinux («ГосЛинукс»), РЕД ОС;
Обеспечить на АРМ наличие одной из следующих операционных систем: ОС Windows 7 с пакетом обновления 1 (SP1) и выше, ОС Astra Linux («Астра Линукс»), ОС Альт Линукс, ОС GosLinux («ГосЛинукс»), РЕД ОС; Обеспечить на АРМ наличие любого Web-браузера с поддержкой криптоалгоритмов ГОСТ: Internet Explorer (версии 9.х, 10.х, 11.х), Яндекс.Браузер (скачать), Браузер «Спутник» с поддержкой отечественной криптографии (скачать), Браузер Chromium ГОСТ (скачать);
Установить сертифицированную версию СКЗИ КриптоПро CSP 4.0;
Установить сертифицированную версию СКЗИ КриптоПро CSP 4.0; Установить «КриптоПро ЭЦП Browser Plugin» версии 2.0 (скачать);
Установить драйвера ключевого носителя (например, Рутокен (скачать), e-Token (скачать);
Установить драйвера ключевого носителя (например, Рутокен (скачать), e-Token (скачать); Установить сертификаты Минцифры России (ГУЦ) и УЦ ФК ГОСТ Р 34.10-2021 (инструкция);
Проверить работу КриптоПро ЭЦП Browser plug-in (проверить).
Проверить работу КриптоПро ЭЦП Browser plug-in (проверить).
Подать документы на создание сертификата с использованием Портала заявителя:
Для подачи документов на создание сертификата без использования ЭП, необходимо руководствоваться инструкцией подачи запроса на сертификат без использования ЭП;
Для подачи документов на создание сертификата с использованием действующего ключа ЭП, который соответствует сертификату, созданному УЦ ФК, необходимо руководствоваться инструкцией по смене сертификата с использованием ЭП.
В случае возникновения ошибок при работе с Порталом заявителя рекомендуем воспользоваться «Списком часто задаваемых вопросов» либо обратиться в Единый контактный центр Федерального казначейства по номеру телефона 8(800) 301-07-77
Для работы с Порталом заявителя нажмите на кнопку ниже
Первичное получение лицензии и плановая проверка: отличия
Когда соискатель впервые получает лицензию, то связь с лицензирующим органом дистанционная: стороны обмениваются документами и общаются по телефону. Никаких личных визитов контролирующие органы соискателю не наносят.
Плановая проверка может проводиться через три года после получения лицензии. В этом случае представители ФСТЭК изучают, существуют ли в реальности кадры, помещения, оборудование и ПО, которые были заявлены при получении лицензии. В том числе проводится оценка знаний и компетенций кадров, заявленных в документах на получение лицензии.
Проверяющие могут запросить перечень аттестатов, которые выдала аттестующая организация (в случае если такой виде деятельности есть в лицензии), а также перечень клиентов, которым выданы эти аттестаты. Таким образом контролирующие органы удостоверяются, действительно ли аттестующая организация оказала эти услуги и насколько они качественные.
Возможна также внеплановая проверка, которая проводится в любое время по заявлению граждан, юридических лиц, прокуратуры или по решению суда.
Работы по лицензированию: цена вопроса
С 1 января 2021 года госпошлина за первичное получение лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации составляет 7 500 рублей, за продление — 3 500 рублей. Это неизбежные расходы и наименее затратная часть работ.
В соответствии с требованиями регламента по лицензированию необходимо провести аттестации и разработку документов по аттестации защищаемого помещения и автоматизированной системы обработки конфиденциальной информации. Эти услуги оказывают лицензиаты ФСТЭК, например представители проекта Контур.Безопасность.
В комплекс услуг входят:
Федеральная служба по надзору в сфере здравоохранения
В результатах поиска отобразится необходимая Вам информация, которую можно выгрузить в файл Excel, нажав справа от заголовка таблицы на появившуюся кнопку «.xls» (кнопка появится, если в результатах поиска есть хоты бы одна запись).
Если сервис корректно не работает:
Необходимо проверить сетевые настройки (межсетевой экран, firewall, антивирус), вероятно политика безопасности блокирует скрипты, отвечающие за отображение данного сервиса. Удостовериться, что сервис работает корректно можно, подключившись к альтернативной сети, например, через мобильный Интернет.
Читаем документы
Федеральный закон № 99 и Постановлением Правительства РФ № 313 описывают общий вектор действий, необходимых для получения лицензии ФСБ в области криптографии. На практике действия по лицензированию в каждом регионе Российской Федерации типичны, но могут иметь свои особенности, поскольку лицензированием занимаются отдельные региональные управления ФСБ. Заявление на получение лицензии подается в то территориальное отделение ФСБ, где зарегистрирована компания.
Постановление Правительства № 313 содержит уточнения и разъяснения к основополагающему федеральному закону. Этот документ включает 14 пунктов, множество подпунктов и обилие ссылок на другие уточняющие документы. Например, в постановлении указано требование к соискателю лицензии — квалификация и стаж сотрудников, которые должны быть в штате у соискателя.
Однако следует учитывать, что таких сотрудников еще нужно правильно оформить: в штат организации, на основное место работы, с записью в трудовой книжке. На них должны быть возложены определенные функции по работе со СКЗИ, и все это определенным образом должно быть зафиксировано во внутренних документах компании.