Итоги вебинара "Требования ФСБ для получения лицензии на работу с шифровальными средствами"

Аватар пользователя Lindt
Автор: Наталья Мутель, Ответственный редактор BISA
(4)
()
Опубликовано в: ,

10 апреля «DLP-Эксперт»  и компания ЦИБИТ провели совместный вебинар по теме «Требования ФСБ для получения лицензии на работу с шифровальными средствами». В обсуждении участвовали Сергей Лынин ‒ представитель Центра по лицензированию, сертификации и гостайны ФСБ, Дмитрий Козюра ‒  ведущий эксперт ООО "ЦИБИТ" по лицензированию деятельности, связанной с шифровальными (криптографическими) средствами, а также Виталий Шапошников ‒  ведущий эксперт ООО "ЦИБИТ" по образовательным проектам в рамках подготовки к лицензированию деятельности, связанной с шифровальными (криптографическими) средствами.

Докладчики обозначили проблемы, связанные с обновленным законодательством и предложили их решения.

140 человек внимательно слушали нас и активно задавали вопросы. Ответы на некоторые из них опубликованы ниже. Их можно обсудить или задать другие вопросы в окне комментариев под текстом.

Каковы  финансовые затраты на лицензирование?

Цибит: ОТВЕТ:

Размер государственной пошлины определяет Налоговый кодекс РФ, часть II раздел VIII глава 23.5 статья 333.33 пункт 92, а именно:

  • первичное предоставление - 6000 рублей;
  • переоформление в связи с добавлением/изменением адресов, добавлением/изменением перечня выполняемых работ - 2600 рублей;
  • продление лицензии - 600 рублей;
  • дубликат лицензии - 600 рублей.

Однако финансовые затраты на лицензирование могут также включать: затраты на аттестацию рабочего места или части автоматизированной системы; обучение (повышение квалификации, переподготовка) сотрудников; затраты на подбор необходимых специалистов; получение консультационной помощи при подготовке пакета документов; затраты на приобретение сейфа и оборудование комнаты для работы с СКЗИ охранной сигнализацией и т.п. 

В каждом конкретном случае необходимость и размер затрат определяется индивидуально.

Со стоимостью услуг, предоставляемых Центром, можно ознакомиться на сайте www.cibit.ru

Для получения лицензии на разработку КС необходима лицензия на деятельность с гостайной. Для получения лицензии на гостайну необходимо подтверждение степени секретности сведений, выданное госорганом (ПП № 333). Какой госорган должен выдавать такое подтверждение, если лицензиат пока вообще еще не работает с гостайной?

Цибит: ОТВЕТ:

Подтверждение степени секретности сведений выдаётся органом государственной власти.  Если заказчиком секретных работ выступает организация, не являющаяся ОГВ, то такому заказчику необходимо предоставить письмо-ходатайство в ОГВ на получение от него подтверждения степени секретности.

За более детальной информацией можете обратиться в Департамент лицензирования ЦИБИТ.

Требует ли лицензирования деятельность по передаче средств ЭП? Например, средства ЭП в виде смарт-карт - УЭК. На недавней конференции «Рускрипто» Андрей Ковалев вроде бы высказался, что нет.

Цибит: ОТВЕТ:

Подпункт в) пункта 2 Положения о лицензировании, утверждённого постановлением Правительства от 16 апреля 2012 года № 313 гласит, что средства электронной подписи относятся к шифровальным (криптографическим) средствам.

А деятельность по распространению СКЗИ подлежит лицензированию.

Поскольку универсальные электронные карты (УЭК) изначально криптографии не содержат, то на передачу УЭК без криптографии лицензия не нужна.

Однако тем, кто будет актуализировать УЭК, закачивать в нее криптографию, генерить ключи  пользователя, лицензия понадобится.

На каком основании должна осуществляться аттестация средств обработки информации? (конкретно п. ФЗ).

Цибит: ОТВЕТ:

На основании п.п. 6в) и 7и) Постановления правительства 313 и пункта 1 статьи 16 Закона РФ от 27.07.2006 № 149-ФЗ: "Защита информации представляет собой принятие правовых, организационных и технических мер..."

Возможно ли привлечение специалистов, работающих по совместительству?

Цибит: ОТВЕТ:

Если в Вашем вопросе речь идет о персонале, вовлеченном в процесс криптографической деятельности, то практика показывает, что в Москве и Московской области это возможно.

Возможно ли использовать одно помещение, аттестованное по 1Г, для получения лицензии ФСТЭК на ТЗКИ и для получения лицензии ФСБ на СКЗИ?

Цибит: ОТВЕТ:

Для получения лицензии ФСБ на СКЗИ аттестованное помещение не требуется. Требуется аттестованная автоматизированная система (автоматизированное рабочее место). Можно при соответствующей аттестации сделать так, что эта АС подойдет и для ФСБ и для ФСТЭК.

В наличии диплом по защите информации, 5 лет работы по ИБ, но без опыта работы с шифровальными средствами. Это достаточная квалификация для специалиста (для лицензии)? И как/надо ли это доказывать для ФСБ?

Цибит: ОТВЕТ:

Это недостаточная квалификация.

Подтверждением квалификации и опыта, как правило, выступают: диплом, трудовая книжка и выписки по должностным обязанностям из трудового договора.

Вопрос по переоформлению лицензии: закончился срок ранее выданной лицензии. В законе нет ссылки на этот случай.

Цибит: ОТВЕТ:

В этом случае Вы получаете лицензию по схеме как впервые.

При передаче средств, использующих СКЗИ по требованиям 313П передачу должен осуществлять специалист, имеющий высшее профильное образование. Профпереподготовка в этом случае не подходит? Ошибка в 313ПП!

Цибит: ОТВЕТ:

Ошибка в 313ПП состоит в том, что в п. 6д), который предъявляет требования к передаче (п.п. 21-24 Перечня), вместо повышения квалификации значится переподготовка.

Коллизия данного требования состоит в том, что переподготовкой считается дополнительное образование в объеме более 500 часов, а от 100 до 500 – это повышение квалификации.

Однако если внимательно прочитать п.6д):

руководитель и (или) лицо, уполномоченное руководить работами в рамках лицензируемой деятельности, имеющие высшее или среднее профессиональное образование по направлению подготовки "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок - свыше 100 аудиторных часов) (только для работ и услуг, указанных в пунктах 21 - 24 перечня);

то можно констатировать, что для работ по передаче (п.п.21-24) подходит и профильное высшее образование, и переподготовка в объеме более 500 часов, и повышение квалификации более 100 часов.

Если имеется 1 сотрудник, имеющий стаж 1 год и получивший диплом на 1000 часов, и 2 сотрудника по 100 часов с опытом работы 5 лет. Можем ли мы получить лицензию на настройку КриптоПро?

Цибит: ОТВЕТ:

Формально вы не удовлетворяете лицензионным требованиям на монтаж, наладку, установку СКЗИ.

Образования Ваших сотрудников будет достаточно только для пунктов 21, 22, 23 и 24 Перечня (ПП № 313) (передача).

Есть ли список образовательных учреждений, реализующих обучение согласно программам подготовки/переподготовки?

Цибит: ОТВЕТ:

Общего списка нет.

Если говорить о частных ИТ-компаниях, то надо смотреть на соответствующие сайты, обращая внимание на  название программ и их содержание, а также на наличие документов по лицензии и аккредитации (до 01.09.2013 г.), как у МФТИ – партнера компании ЦИБИТ.

При привлечении по совместительству достаточно будет предоставить копии трудового договора вместо трудовой книжки с отметкой?

Цибит: ОТВЕТ:

Трудовой договор (копия) и приказ о приеме на работу (копия) подтверждают факт работы по совместительству. Копия трудовой книжки также представляется, она подтверждает стаж работы по заявленным направлениям.

Недавно узнавал по поводу обучения по программе повышения квалификации руководителей предприятий, их структурных подразделений и специалистов, обеспечивающих защиту государственной тайны, а также должностных лиц и граждан, впервые получивших допуск к государственной тайне по курсу «Организация и обеспечение режима секретности» продолжительностью 78 часов - представитель ВУЗа уваряет что их (часов) достаточно, лукавит?

Цибит: ОТВЕТ:

Для получения лицензии на гостайну может и достаточно, а для лицензии на деятельность с СКЗИ  ‒ недостаточно.

Что относить к средствам изготовления ключевых документов?

Цибит: ОТВЕТ:

П. 2д) Постановления правительства 313 дает такое определение:

д) средства изготовления ключевых документов - аппаратные, программные, программно-аппаратные шифровальные (криптографические) средства, обеспечивающие возможность изготовления ключевых документов для шифровальных (криптографических) средств, не входящие в состав этих шифровальных (криптографических) средств;

Однако дополнительной подсказкой для Вас может быть сертификат, в котором сказано, что изделие является средством изготовления ключевых документов.

Так достаточно ли переквалификции? В случае " инженерно-технический работник, имеющий высшее или среднее профессиональное образование по направлению подготовки "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей (только для работ и услуг, указанных в пунктах 21 - 24 перечня)?

Цибит: ОТВЕТ:

На практике ‒ достаточно.

Возможно ли получение лицензии, если технический персонал и руководитель проходят обучение в размере 530 часов, имеют 100часов обучения и 1,5 года стажа ?

Цибит: ОТВЕТ:

Нет, поскольку требуется стаж 3 года.

Закончился срок действия лицензии. Как переоформить?

Цибит: ОТВЕТ:

Вам необходимо выполнить лицензионные требования как получающему впервые.

Если есть старые лицензии, и подходит срок их окончания ‒ это будет переоформление? И за какое время до окончания должны подаваться документы?

Цибит: ОТВЕТ:

Да, переоформление. Желательно, чтобы ваше заявление попало в лицензирующий орган за 30 рабочих дней до окончания срока действия лицензий.

Что такое информационная система, защищенная с помощью шифросредств? Любая система, где используются шифросредства или подразумевается системы, в которых эти шифросредства встраиваются (с последующей оценкой влияния)?

Цибит: ОТВЕТ:

Любая. Если в системе используются шифрсредства, то они туда встроены (либо, другими словами, шифрсредства сопряжены с системой, или сочленены с системой).

ЭКЛЗ попадает под лицензирование?

Цибит: ОТВЕТ:

Попадает.

В случае организации для заказчика VPN, достаточно лицензии на обслуживание, монтаж и установку, или ещё нужны на предоставление услуг в области шифрования?

Цибит: ОТВЕТ:

Всё зависит от того, что вы вкладываете в понятие «организация». Если только установку шифрсредств, то достаточно. Но скорее всего Вам надо удовлетворить требования для п.п. 12, 20 и 21 Перечня.

Программа профпереподготовки у Вас согласована с регулятором?

Цибит: ОТВЕТ:

Да.

Если есть высшее образование в области ИБ. Нужна ли переаттестация, если да, то в каких случаях?

Цибит: ОТВЕТ:

Переаттестация не нужна.

Однако необходимо повышение квалификации один раз в 5 лет (пункт 7 ПП № 610 от 26.06.1995).

Мы хотим стать дилерами по распространению СКЗИ. Стаж по какому виду деятельности в этом случае котируется?

Цибит: ОТВЕТ:

Формально по распространению СКЗИ. Но на практике может пройти и другой стаж по СКЗИ.

Как лучше подавать заявку ‒ очно или письмом. Если очно, то по какому адресу (г. Москва)? Аналогично, если письмом ‒ по какому адресу?

Цибит: ОТВЕТ:

Лучше почтой по адресу: 101000, г. Москва, ул. Б. Лубянка, д. 2. Начальнику Центра по лицензированию, сертификации и защите государственной тайны ФСБ России Васюкову Юрию Константиновичу.

Должны ли курсы быть согласованы с ФСБ или это прерогатива Минобразования?

Цибит: ОТВЕТ:

Формально до 01.09.2013 г. (дата вступления в силу закона об образовании) согласования учебных программ ДПО с Регулятором не требуется, однако обучение по согласованным программам – это один из способов обезопасить себя от неожиданностей при рассмотрении Вашего дела Регулятором и признании обучения несоответствующим требованиям Постановления №313.

Если диплом есть, а должного опыта в 3 года нет?

Цибит: ОТВЕТ:

Решить данную проблему можно двумя способами: найти специалиста со стажем либо дождаться достижения собственного стажа в 3 года.

При переоформлении лицензии в случае изменения в адресе места распространения шифросредств к заявлению прикладываются: оригинал лицензии, подтверждение уплаты госпошлины, подтверждение права собственности, подтверждение наличия условий ‒ этого достаточно (п.3 ст.18 99-ФЗ, п.9 ПП 313)?

Цибит: ОТВЕТ:

Достаточно. Только подтверждение наличия условий – это емкое понятие. Например, надо приложить и копию аттестата на АС по новому адресу.

Также надо руководствоваться пунктом 7 статьи 18 ФЗ № 99-ФЗ от 04.05.2011: "При намерении лицензиата осуществлять лицензируемый вид деятельности по адресу места его осуществления, не указанному в лицензии, в заявлении о переоформлении лицензии указываются этот адрес и сведения, подтверждающие соответствие лицензиата лицензионным требованиям при осуществлении лицензируемого вида деятельности по этому адресу. Перечень таких сведений устанавливается положением о лицензировании конкретного вида деятельности"

Является ли стартом исчисления стажа факт получения удостоверения о подготовке/переподготовке?

Цибит: ОТВЕТ:

Нет. Исчисляется стаж трудовой деятельности.

Где можно посмотреть требования к помещению и ведению внутренней документации?

Цибит: ОТВЕТ:

Например, в Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утверждена  Приказом ФАПСИ от 13 июня 2001 года № 152 (зарегистрирован в Минюсте РФ 6 августа 2001года, регистрационный № 2848).

Есть ли общедоступный реестр лицензиатов? Если нет, планируется ли?

Цибит: ОТВЕТ:

Реестра нет. По Вашему обращению Вам будет направлена информация об интересующей Вас Организации.

Планируем заниматься разработкой крипросредств. Необходимо ли получение лицензии на разработку сразу до начала разработки или возможно получение лицензии перед сертификацией разработанного продукта?

Цибит: ОТВЕТ:

Сразу до начала разработки.

Необходимо ли проводить аттестацию серверов на которых установлены СКЗИ и производится проверка валидности подписи клиента?

Цибит: ОТВЕТ:

В ряде случаев для лицензирования достаточно иметь один аттестованный объект. Это может быть, как сервер СКЗИ, так и АРМ для разбора конфликтной ситуации по ЭП. При выборе объекта для аттестации необходимо руководствоваться статьёй 16 ФЗ № 149ФЗ от 27.07.2006

Окончил университет в 2003 г.. сейчас по моей специальности изменился шифр в общероссийском классификаторе. Буду ли я соответствовать требованиям?

Цибит: ОТВЕТ:

Если специальность, по сути, была по ИБ, то, вероятно, на практике будете.

Надо смотреть диплом и приложение к нему.

Стаж у интегратора ИБ подойдет?

Цибит: ОТВЕТ:

Нужен стаж по заявленным направлениям деятельности, т.е. заведомо по криптографической защите.

Образоование MBA CSO "Информационная безопасность" приравнивается к магистратуре?

Цибит: ОТВЕТ:

Нет. В требованиях Постановления №313 речь идет о получении образования в области ИБ в системе высшего или среднего профессионального образования (в том числе и ДПО) в Российской Федерации.

Вопрос про передачу СКЗИ. Подходит ли переподготовка для ИТР?

Цибит: ОТВЕТ:

На практике подходит.

Курсов на 1000 часов у Вас нет?

Цибит: ОТВЕТ:

В настоящее время такая программа разрабатывается. Соответствующие вопросы

согласуются с Регулятором и  УМО по образованию в области ИБ.

Оцените материал:
Total votes: 428
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Илья Лыков

Вере Мальченко:
В отделе кадров в/ч или вышестоящего штаба (например, Округа и выше) необходимо получить справку "по месту требования". Положения в тексте справки: "... настоящим подтверждаем, что....... в период с....по .... проходил воинскую службу на должностях, связанных с работой с шифровальными (криптографическими) средствами." роспись+печать

up
24 users have voted.
Аватар пользователя Илья Лыков

Вере Мальченко:
В отделе кадров в/ч или вышестоящего штаба (например, Округа и выше) необходимо получить справку "по месту требования". Положения в тексте справки: "... настоящим подтверждаем, что....... в период с....по .... проходил воинскую службу на должностях, связанных с работой с шифровальными (криптографическими) средствами." роспись+печать

up
24 users have voted.
Аватар пользователя Игорь

Какие виды деятельности должны быть выбраны, в ситуации в нашей организации приобретен VipNet Custom, один специалист, наш сотрудник, проходил обучение и ему был выдан сертификат. У нас есть подведомственные учреждения, в которых мы устанавливаем VipNet Client и вышеуказанный сотрудник генерирует для них DST файлы и сертификаты, дистрибутивы мы не предоставляем.

up
33 users have voted.
Аватар пользователя Serj Kochunts

Добрый день. Подскажите пожалуйста, я клиент одного из банков и использую программу "Клиент-банк", для связи с банком ( подписывание плтежных документов с помощью ЭП), должна ли быть у банка лицензия ФСБ и ФСТЭК?

up
25 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.