Главная » Блоги Экспертов И ИТ-Компаний » СОИБ. Лицензирование деятельности связанных с шифрованием
Возможность размещать посты на проекте остановлена

Редакция CNews готова принять пресс-релизы компаний на адрес news@cnews.ru.

Приглашаем вас делиться комментариями о материалах CNews на наших страницах платформ Facebook, Telegram и Twitter.

СОИБ. Лицензирование деятельности связанных с шифрованием

По материалам из http://sborisov.blogspot.com/2012/04/blog-post_24.html

 

На сайте правительства РФ опубликовано Постановление от 16 апреля 2012 г. №313 Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

Во-первых, добавилось явное исключение, описывающее случаи, когда деятельность не попадает под лицензирование:

“1. … если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя” 

Во-вторых, расширено определение СКЗИ, теперь включающее не только компоненты реализующие шифрование, но и компоненты обеспечивающие шифрование и хранящие ключи:

“ж) аппаратные шифровальные (криптографические) средства - устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин;

з) программные шифровальные (криптографические) средства - программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно-аппаратных шифровальных (криптографических) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием шифровальных (криптографических) средств;

и) программно-аппаратные шифровальные (криптографические) средства - устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части.”

В-третьих расширен список типов СКЗИ, которые не попадают под лицензирование:

·        средства аутентификации;

·        встроенные средства ОС;

·        персональные смарт-карты;

·        средства защиты от копирования и защиты авторских прав;

·        комплексные средства, в которых производителем заблокирована функция СКЗИ.

“3. Настоящее Положение не распространяется на деятельность с использованием:

в) товаров, содержащих шифровальные (криптографические) средства, имеющих либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющих электронную подпись;

г) шифровальных (криптографических) средств, являющихся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной;

д) персональных смарт-карт (интеллектуальных карт), криптографические возможности которых ограничены использованием в оборудовании или системах, указанных в подпунктах »е» - »и» настоящего пункта, или персональных смарт-карт (интеллектуальных карт) для широкого общедоступного применения, криптографические возможности которых недоступны пользователю и которые в результате специальной разработки имеют ограниченные возможности защиты хранящейся на них персональной информации;

ж) оборудования, криптографические возможности которого недоступны пользователю, специально разработанного и ограниченного для осуществления следующих функций:

исполнение программного обеспечения в защищенном от копирования виде;

обеспечение доступа к защищенному от копирования содержимому, хранящемуся только на доступном для чтения носителе информации, либо доступа к информации, хранящейся в зашифрованной форме на носителях, когда эти носители информации предлагаются на продажу населению в идентичных наборах;

контроль копирования аудио- и видеоинформации, защищенной авторскими правами;

м) товаров, у которых криптографическая функция гарантированно заблокирована производителем.”

В-четвертых, расширен и детализирован перечень видов работ, связанных с СКЗИ. Теперь их 28. На все нужные вам виды работ выдается одна лицензия, а виды работ перечисляются на обратной стороне или на дополнительном приложении.

В-пятых поменялись лицензионные требования:

·        замена требования аттестованных рабочих мест, на более полит корректное:

Вместо “д) применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации;”

Теперь “в) наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;”

·        уточнение требований к квалификации персонала  -  переподготовка в направлении «Информационная безопасность» (от 100 до 1000 аудиторных часов, в зависимости от вида работ).

·        для видов работ 1 - 11, 16 – 19 требуется наличие неких приборов и оборудования.

“е) наличие у соискателя лицензии приборов и оборудования, прошедших поверку и калибровку в соответствии с Федеральным законом «Об обеспечении единства измерений», принадлежащих ему на праве собственности или ином законном основании и необходимых для выполнения работ и оказания услуг, указанных в пунктах 1 - 11, 16 - 19 перечня;”

В-шестых уточнили перечень документов предоставляемых при лицензировании:

·        Вместо перечня внутренних документов, которые готовились в рамках аттестации рабочих мест, теперь необходимо предоставить копии самих внутренних документов связанных с КИ:

б) копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;

·        Вместо аттестата теперь предоставляем:

и) сведения о документе, подтверждающем наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;

·        По сотрудникам, ответственным за лицензионную деятельность, теперь предоставляем кроме дипломов ещё и копии трудовых книжек и должностных инструкций:

“д) копии трудовых книжек сотрудников, определенных подпунктом »д» пункта 6 настоящего Положения;

е) копии должностных инструкций сотрудников, определенных подпунктом «д» пункта 6 настоящего Положения;”

В-седьмых теперь явно требуется указать все территориально распределенные офисы, в которых планируется осуществлять лицензионную деятельность и необходимо  обеспечить выполнение лицензионных требований во всех офисах.  То есть, если интегратор хочет оказывать услуги связанные с СКЗИ в городе N-ске, у него в лицензии должен быть перечислен этот город. Для этого многим распределенным лицензиатам по-видимому придется переоформлять лицензию.

“9. При намерении лицензиата осуществлять лицензируемую деятельность по адресу места ее осуществления, не указанному в лицензии, в заявлении о переоформлении лицензии указываются этот адрес и следующие сведения:”

Аналогично, если в старой лицензии нет всех нужных новых видов работ – то придется  переоформлять лицензию.

За ссылку спасибо Алексею Лукацкому. У которого в блоге так-же делался анонс проекта постановления.

Анализ новых требований к квалификации в блоге у Пушкиниста.


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://sborisov.blogspot.com/ , https://www.ussc.ru/
Информационные технологии



Забыли пароль?

Редакция CNews готова принять пресс-релизы компаний на адрес news@cnews.ru.

Приглашаем вас делиться комментариями о материалах CNews на наших страницах платформ Facebook, Telegram и Twitter.