Лицензия ФСБ на СКЗИ — Работы и услуги предусмотренные в отношении шифровальных (криптографических) средств

1 комментарий / Cтатьи / От
   Время чтения 15 минут

Нередко возникает ситуация, когда заказчик просит предоставить лицензию ФСБ СКЗИ на деятельность по разработке, производству, распространению шифровальных (криптографических) средств — лицензию на СКЗИ, с указанием неверных или не требуемых работ / услуг.

Приложение к Постановлению Правительства РФ к Положению о лицензировании

В Приложении к Положению о лицензировании, утвержденного Постановлением Правительства РФ от 16 апреля 2012 г. №313, приведен перечень выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств, а в п.2 указанного Положения приведены основные определения к шифровальным (криптографическим) средствам (средствам криптографической защиты информации). Другой открытой информации, касающейся более детальной расшифровки видов работ/услуг по данной лицензии, к сожалению, нет.

В настоящей статье мы постараемся дать более развернутую информацию, касающуюся видов работ/услуг, указанных в Перечне выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств (Приложение к Положению о лицензировании, утвержденного Постановлением Правительства РФ от 16 апреля 2012 г. №313).

Для начала следует процитировать п.2 указанного выше Положения о лицензировании, дающий основные определения:

«К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), включая документацию на эти средства, относятся:

  1. средства шифрования – аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче;
    • Например: программно-аппаратные комплексы (ПАК) АПКШ «Континент», ViPNet, С-Терра и т.д., программные С-Терра Виртуальный Шлюз, ViPNet client, Континент-АП, некоторое (телекоммуникационное) оборудование и средства шифрования иностранного производства, таких марок, как CISCO, Check Point, Thales, Huawei, за исключением средств шифрования, подпадающих под исключения п.3 Положения о лицензировании, утвержденного Постановлением Правительства РФ от 16 апреля 2012 г. №313.
  2. средства имитозащиты – аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможностивыявления изменений, имитации, фальсификации или модифицирования информации;
  3. средства электронной подписи;
    • Например: КриптоПРО CSP как криптопровайдер, и КриптоАРМ как средство простановки подписи.
  4. средства кодирования – средства шифрования, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций;
  5. средства изготовления ключевых документов – аппаратные, программные программно-аппаратные шифровальные (криптографические) средства, обеспечивающие возможность изготовления ключевых документов для шифровальных (криптографических) средств, не входящие в состав этих шифровальных (криптографических) средств;
  6. ключевые документы – электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах;
  7. аппаратные шифровальные (криптографические) средства – устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин;
  8. программные шифровальные (криптографические) средства – программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно- аппаратных шифровальных (криптографических) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием шифровальных (криптографических) средств;
  9. программно-аппаратные шифровальные (криптографические) средства — устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части.

Ниже будут приведены виды работ/услуг, предусмотренные для лицензии на СКЗИ и дано более подробное описание к ним, полученное на основе накопленного опыта и анализа тендерной документации различных заказчиков.

Перечень выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств:

  1. Разработка шифровальных (криптографических) средств

    Данный пункт нужен, если организация предполагает заниматься разработкой, т.е. процессом проектирования, конструирования и программирования шифровальных (криптографических) средств, которые могут быть выполнены в виде программных продуктов, аппаратных средств шифрования или программно-аппаратных комплексов. Данный вид работ является самым сложным в отношении выполнения соискателем лицензионных требований и условий, а также требующий наличия в штате квалифицированных работников, имеющих значительный опыт в разработке шифровальных (криптографических) средств и непосредственно выполняющих данный вид работ. Также следует учесть, что для выполнения данных работ организации необходимо иметь лицензию на деятельность по проведению работ, связанных с использованием сведений, составляющих государственную тайну, имеющую степень секретности сведений, не ниже «секретно». Техническая документация и сами изделия подлежат согласованию с органом исполнительной власти, ответственным за применение шифровальных (криптографических) средств на территории Российской Федерации. Следует также сказать, что обычно разработка шифровальных (криптографических) средств подразумевает их последующую сертификацию в системе сертификации ФСБ России.

  2. Разработка защищенных с использованием шифровальных (криптографических) средств информационных систем

    В отличие от п.1 данный пункт предусматривает проектирование и разработку информационных систем, т.е. систем, предназначенных для хранения и обработки информации, с использованием уже готовых (имеющихся на рынке) шифровальных (криптографических) средств. Данный пункт не предусматривает создание новых шифровальных (криптографических) средств, как пример: интеграция какого-либо криптопровайдера в систему электронного документооборота, система типа «банк-клиент».

  3. Разработка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем

    Здесь все то же, что и в предыдущем пункте, за исключением того, что готовые шифровальные (криптографические) средства применяются для разработки телекоммуникационных систем, т.е. систем, представляющих собой распределенную сеть, объединяющую традиционные сети передачи данных с передачей сообщений в цифровой форме и телефонные сети с передачей сообщений в аналоговой форме, предназначенную для передачи между абонентами трафика различной природы и с различными вероятностно-временными характеристиками. Например: у С-Терра был модуль NME-RVPN для оборудования Cisco, все вместе (маршрутизатор Cisco+NME RVPN С-Терра) – это будет телекоммуникационным оборудованием. Чтобы такое спроектировать, разработать, нужен данный пункт лицензии на СКЗИ.

  4. Разработка средств изготовления ключевых документов

    Процесс проектирования и конструирования средств, определение которых указано в пп. дп.2 Положения о лицензировании, утвержденного Постановлением Правительства РФ от 16 апреля 2012 г. №313. Если говорить простым языком, то это средства, позволяющие производить ключи шифрования, генерировать пары открытый и закрытый ключ в PKI и записывать их на носитель. Например «Admin-PKI» от «Сигнал-КОМ».

  5. Модернизация шифровальных (криптографических) средств

    Обновление шифровальных (криптографических) средств, приведение их в соответствие с новыми требованиями и нормами, техническими условиями, показателями качества. Как правило, модернизация осуществляется производителем шифровальных (криптографических) средств либо компанией, уполномоченной производителем и имеющей всю необходимую документацию, необходимую для модернизации. Например: есть вышла новая прошивка для ПАК, то возможно потребуется для ее установки модернизация аппаратной части (планку памяти поставить больше).

  6. Модернизация средств изготовления ключевых документов

    То же самое что и для предыдущего пункта, но в отношении средств изготовления ключевых документов.

  7. Производство (тиражирование) шифровальных (криптографических) средств

    Данный пункт предусматривает производство, т.е. процесс создания (изготовления) шифровальных (криптографических) средств, их тиражирование (серийное производство) для последующей продажи потребителям. Виды шифровальных (криптографических) средств, а также их примеры приведены в п. 1 настоящего перечня. Этот вид работ предусматривает наличие у производителя соответствующих технических возможностей и мощностей для производства, включая наличие всей необходимой технической документации на шифровальные (криптографические) средства, которая может относиться к сведениям, составляющим государственную тайну.

  8. Производство защищенных с использованием шифровальных (криптографических)средств информационных систем

    Непосредственное создание (изготовление) ранее разработанных информационных систем с использованием готовых шифровальных (криптографических) средств, см. п.2 настоящего перечня.

  9. Производство защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем

    Непосредственное создание (изготовление) ранее разработанных телекоммуникационных систем с использованием готовых шифровальных (криптографических) средств, см. п.3 настоящего перечня.

  10. Производство средств изготовления ключевых документов

    Процесс создания (изготовления) указанных средств. См. п.4 настоящего перечня.

  11. Изготовление с использованием шифровальных (криптографических) средств изделий, предназначенных для подтверждения прав (полномочий) доступа к информации и (или) оборудованию в информационных и телекоммуникационных системах

    Под данным пунктом подразумеваются работы, связанные с изготовлением изделий для авторизации с соответствующими правами в информационных и телекоммуникационных системах, имеющие в себе зашифрованную информацию, необходимую для подтверждения прав (полномочий) доступа к информации и (или) оборудованию. Примером таких средств могут служить аппаратные токены, используемые для авторизации в каких-либо системах, с применением CSP на борту таких токенов.

  12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации

    Собственно все необходимые работы, связанные с запуском готовых шифровальных (криптографических) средств, например на рабочих местах пользователей, в ЦОДах.

  13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем

    То же что и п.12, только в отношении информационных систем с использованием шифровальных (криптографических) средств.

  14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем

    То же что и п.12, но для телекоммуникационных систем с использованием шифровальных (криптографических) средств.

  15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов

    Собственно все необходимые работы, связанные с запуском средств изготовления ключевых документов. Работы по развертыванию аппаратных генераторы случайных чисел (ГСЧ), необходимые для формирования ключей, средства работы с ГСЧ и записи готовых ключевых документов на носители.

  16. Ремонт шифровальных (криптографических) средств

    Комплекс мероприятий по восстановлению работоспособного или исправного состояния шифровального (криптографического) средства и/или восстановлению его ресурса. Как правило, ремонт осуществляется производителем шифровальных (криптографических) средств либо компанией, уполномоченной производителем и имеющей всю необходимую документацию, требуемую для ремонта, а также квалифицированный персонал. В случае с иностранными шифровальными (криптографическими) средствами, как правило, осуществляется их замена.

  17. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных систем

    Комплекс мероприятий по восстановлению работоспособного или исправного состояния информационных систем, защищенных с использованием шифровальных (криптографических)
    средств и/или обслуживание (в течение определенного срока, который, как правило, превышает гарантийный срок) этих систем в процессе их эксплуатации производителем или уполномоченной производителем организацией.

  18. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем

    То же, что и п.17, только в отношении телекоммуникационных систем.

  19. Ремонт, сервисное обслуживание средств изготовления ключевых документов

    То же, что и п.17, только в отношении средств изготовления ключевых документов.

  20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)

    Регулярные работы, необходимые для нормальной работоспособности шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (в случае, если осуществляются работы, предусмотренные именно технической документацией в интересах одного юридического лица (с использованием информации только данного юридического лица), то получение лицензии не требуется).

  21. Передача шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации

    Продажа или передача третьим лицам безвозмездно (в случае если передающий извлекает выгоду не от продажи самих СКЗИ, а из услуг, оказываемых
    посредством передаваемых СКЗИ) таких средств производителем, уполномоченной производителем организацией, либо иной организацией, имеющей лицензию на СКЗИ. Под передачей понимается, например, как и безвозмездное пользование, так и аренда.

  22. Передача защищенных с использованием шифровальных (криптографических) средств информационных систем

    То же, что и п.21, только в отношении информационных систем, защищенных с использованием шифровальных (криптографических) средств.

  23. Передача защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств

    То же, что и п.21, только в отношении телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств.

  24. Передача средств изготовления ключевых документов

    То же, что и п.21, только в отношении средств изготовления ключевых документов.

  25. Предоставление услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей.

    Данный пункт лицензии необходим организациям, которые, например, предоставляют ПАК защиты каналов в аренду с оказанием услуг по их администрированию.

  26. Предоставление услуг по имитозащите информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей.

    Аналогично п.25, если предполагается предоставление СКЗИ в виде готового сервиса, с администрированием, то организации, которая предоставляет такие услуги необходим данный пункт в лицензии на СКЗИ.

  27. Предоставление юридическим и физическим лицам защищенных с использованием шифровальных (криптографических) средств каналов связи для передачи информации

    Данный пункт подразумевает под собой услуги операторов связи, дата-центров, предоставляющих защищенные каналы связи с использованием шифровальных (криптографических) средств для передачи информации своим клиентам (только при наличии данных каналов связи в собственности юридического лица, а также наличия шифровальных (криптографических) средств, обеспечивающих их (каналов) защиту).

  28. Изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств

    Услуги удостоверяющих центров по выпуску сертификатов ключей цифровой подписи, их удостоверение и проверка. Также пункт необходим в случае, если используемая информационно-
    телекоммуникационная система подразумевает (содержит) функционал по автоматическому распределению ключей электронной подписи.

Мы рассмотрели весь перечень выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в рамках лицензии ФСБ СКЗИ.

Похожие →

Подписаться
Уведомить о
1 Комментарий
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
Cosmacom
Автор
11 месяцев назад

Не стесняйтесь задавать вопросы и комментировать материал!

0
error: Контент защищен, сохраните страницу в закладки или поделитесь ссылкой!
Прокрутить вверх
1
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x