В соответствии с новым федеральным законом о лицензировании отдельных видов деятельности Правительство РФ выпустило 16 апреля 2012 года постановление № 313. Главное − изменение перечня лицензируемых видов деятельности в области криптографических средств: вместо прежних 4 лицензий теперь выдается только одна, в которой указывается, какие из 28 видов деятельности будет осуществлять лицензиат. Чем новшество чревато для банков?
Чтобы помочь сотрудникам подразделений информационной безопасности банков лучше ориентироваться в новых требованиях ФСБ России к организациям, использующим средства криптографической защиты, предлагается таблица, в которой нововведения обстоятельно сравниваются со старыми нормами.
Сравнительная таблица лицензионных требований к кредитно-финансовым организациям для получения лицензий на ФСБ России на оказание услуг шифрования, технического обслуживания и распространение средств СКЗИ
|
№ |
Лицензионное требование |
Требования ПП 957 (старые) |
Требования ПП 313 (новые) |
Выполнимость требования |
|---|---|---|---|---|
|
1 |
Наличие помещений, технологического, испытательного, контрольно-измерительного оборудования, иных объектов и сооружений, необходимых для осуществления лицензируемой деятельности |
Наличие у соискателя лицензии (лицензиата) на указанные сооружения и объекты права собственности или иного законного основания |
Наличие у соискателя лицензии (лицензиата) права собственности или иного законного основания на владение и использование помещений, сооружений, технологического, испытательного, контрольно-измерительного оборудования и иных объектов, необходимых для осуществления лицензируемой деятельности |
Отсутствует перечень, который необходим для осуществления деятельности, особенно учитывая вопросы выполнения требования к объектам автоматизации. Требования к помещениям, где осуществляется деятельность (адреса оказания услуг) выполнимы |
|
2 |
Требования к образованию руководителя лицензируемого вида деятельности на оказание услуг шифрования информации и технического обслуживания СКЗИ (лицензии типа Х, У) |
Высшее профессиональное образование или профессиональная подготовка в области информационной безопасности, стаж работы в области информационной безопасности не менее 5 лет |
Высшее профессиональное образование по направлению подготовки информационная безопасность в соответствии с общероссийским классификатором специальностей и (или) переподготовка по одной из специальностей этого направления (нормативный срок − свыше 500 аудиторных часов), а также стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 3 лет |
Невыполнимое требование. |
|
3 |
Требования к образованию руководителя лицензируемого вида деятельности по распространению СКЗИ (лицензия типа Р) |
Высшее профессиональное образование или профессиональная подготовка в области информационной безопасности, стаж работы в области информационной безопасности не менее 5 лет |
Руководитель и (или) лицо, уполномоченное руководить работами в рамках лицензируемой деятельности, имеющие высшее или среднее профессиональное образование по направлению подготовки информационная безопасность в соответствии с общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок − свыше 100 аудиторных часов) |
Невыполнимое требование. |
|
4 |
Требования к образованию инженерно-технического работника лицензируемого вида деятельности на оказание услуг шифрования и технического обслуживания СКЗИ (лицензии типа Х, У) |
Высшее профессиональное образование или переподготовка (повышение квалификации) в области информационной безопасности, необходимая для работы с шифровальными (криптографическими) средствами |
Инженерно-технический работник (минимум 1 человек), имеющий высшее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или) прошедший переподготовку по одной из специальностей этого направления (нормативный срок − свыше 500 аудиторных часов), а также имеющий стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 3 лет |
Невыполнимое требование. |
|
5 |
Требования к образованию инженерно-технического работника лицензируемого вида деятельности по распространению СКЗИ (лицензия типа У) |
Высшее профессиональное образование или прошедшие переподготовку (повышение квалификации) в области информационной безопасности, необходимую для работы с шифровальными (криптографическими) средствами |
Инженерно-технический работник, имеющий высшее или среднее профессиональное образование по направлению подготовки информационная безопасность в соответствии с общероссийским классификатором специальностей |
Требования к инженерно-техническому работнику при осуществлении лицензируемого вида деятельности распространение СКЗИ выше, чем к его руководителю, что нарушает требования Трудового кодекса РФ. |
|
6 |
Требования, устанавливаемые в соответствии со статьями 11.2 и 13 федерального закона «О федеральной службе безопасности» |
Выполнение указанных требований |
Выполнение указанных требований |
В настоящий момент кредитно-финансовыми организациями выполнение указанного требованияосуществляется формально на основании ФЗ-294 и федерального закона «Об оперативно-розыскной деятельности» |
|
7 |
Представление перечня СКЗИ |
Представление перечня шифровальных (криптографических) средств, в том числе иностранного производства, не имеющих сертификата Федеральной службы безопасности РФ или Федерального агентства правительственной связи и информации при Президенте РФ, технической документации, определяющей состав, характеристики и условия эксплуатации этих средств, и (или) образцов шифровальных (криптографических) средств |
Представление соискателем лицензии (лицензиатом) в лицензирующий орган перечня шифровальных (криптографических) средств, в том числе иностранного производства, не имеющих сертификата Федеральной службы безопасности РФ, технической документации, определяющей состав, характеристики и условия эксплуатации этих средств, и (или) образцов шифровальных (криптографических) средств |
Выполнимо |
|
8 |
Использование программ для ЭВМ |
Использование лицензионного программного обеспечения на основании договора, заключенного с правообладателем |
Использование соискателем лицензии (лицензиатом) предназначенных для осуществления лицензируемой деятельности программ для электронных вычислительных машин и баз данных, принадлежащих соискателю лицензии (лицензиату) на праве собственности или ином законном основании |
Выполнимо согласно 4 части ГК РФ |
|
9 |
Реализациякриптографическихалгоритмов при техническомобслуживании и оказании услуг шифрованияинформации |
Реализация криптографических алгоритмов, рекомендованных лицензирующим органом, в разрабатываемых шифровальных (криптографических) средствах, применяемых в информационно− телекоммуникационных системах и сетях критически важных объектов, федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, органов местного самоуправления и организаций, осуществляющих выполнение работ или оказание услуг с использованием шифровальных (криптографических) средств для государственных и муниципальных нужд |
Нет |
Требования по использованию сертифицированных алгоритмов установлены приказом ФСБ России от 27 декабря 2011 г. № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра» (зарегистрировано в Минюсте РФ 09 февраля 2012 № 23191) |
|
10 |
Требования к средствамобработки информации |
Применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями к защите информации |
Наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными федеральным законом «Об информации, информационных технологиях и о защите информации» |
Смотри примечание |
|
11 |
Требования ведения учета |
Ведение лицензиатом учета изготовления, выдачи, возврата и уничтожения ключевых документов |
Нет |
Ведение учёта ведётся согласно приказу ФАПСИ от 13.06.2001 №152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (зарегистрирован в Минюсте РФ 06.08.2001 №2848) |
|
12 |
Требования уничтожения исходной ключевой информации |
Обеспечение лицензиатом уничтожения исходной ключевой информации путем физического уничтожения носителя, на котором она расположена, или путем стирания (разрушения) исходной ключевой информации без повреждения носителя (для обеспечения возможности его многократного использования) в соответствии с эксплуатационной и технической документацией к соответствующим шифровальным (криптографическим) средствам, а также с указаниями организации, производившей запись исходной ключевой информации |
Нет |
Порядок уничтожения исходной ключевой информации определён Приказом ФАПСИ от 13.06.2001 №152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (зарегистрирован в Минюсте РФ 06.08.2001 №2848) |
|
13 |
Наличие поверенного оборудования |
Нет |
Наличие у соискателя лицензии приборов и оборудования, прошедших поверку и калибровку в соответствии с федеральным законом «Об обеспечении единства измерений», принадлежащих ему на праве собственности или ином законном основании и необходимых для выполнения работ и оказания услуг, указанных в п. 7 (производство (тиражирование) шифровальных (криптографических) средств) |
Отсутствует перечень приборов и оборудования, необходимый для выполнения указанного пункта. Кредитно-финансовые организации выполняют тиражирование СКЗИ в системах Банк-Клиент для выдачи своим партнерам и клиентам на основании договора с правообладателем или на основании лицензии Роскомнадзора по изготовлению экземпляров аудиовизуальных произведений, программ для электронных вычислительных машин (программ для ЭВМ), баз данных и фонограмм на любых видах носителей (за исключением случаев, если указанная деятельность самостоятельно осуществляется лицами, обладающими правами на использование указанных объектов авторских и смежных прав в силу федерального закона или договора) |
ПРИМЕЧАНИЯ
- Согласно п.12 ст. 2 федерального закона «Об информации, информационных технологиях и о защите информации», лицензиат является оператором информационной системы, использованием которой он оказывает лицензируемые виды деятельности.
- Согласно ст. 9 федерального закона «Об информации, информационных технологиях и о защите информации» оператор системы обязан принимать меры по обеспечению конфиденциальности информации.
- Согласно п.6 ст. 13 федерального закона «Об информации, информационных технологиях и о защите информации» при создании и эксплуатации информационных систем оператор обязан выполнять требования действующих федеральных законов РФ.
- При оказании услуг по шифрованию или выдаче ключевой информации при использовании средств ЭП и УЦ согласно ПКЗ-2005 ключевая информация отнесена к конфиденциальной информации.
- Согласно федеральному закону «Об электронной подписи» и приказу ФСБ РФ от 27.12.2011 №795 «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи» (зарегистрированоному в Минюсте РФ 27.01.2012 N 23041) установлен перечень обрабатываемой информации, который по федеральному закону «О персональных данных» и действующих постановлений Правительства РФ №687 и №781 требует использования сертифицированных средств защиты информации и проведение оценки соответствия.
- Согласно федеральному закону «О лицензировании отдельных видов деятельности» и постановлению Правительства РФ от 03.02.2012 №79 «О лицензировании деятельности по технической защите конфиденциальной информации» (вместе с «Положением о лицензировании деятельности по технической защите конфиденциальной информации») каждый лицензиат ФСБ России обязан иметь лицензию ФСТЭК России на техническую защиту конфиденциальной информации. Или − привлекать для выполнения работ (оказания услуг) организацию, имеющую указанную лицензию на установку, монтаж, испытания и ремонт средств защиты информации (технических средств защиты информации, защищённых технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно технических) средств обработки информации, программных (программно- технических) средств контроля защищенности информации), пройти аттестационные испытания и аттестацию на соответствие требованиям по защите информации.
Как видим, требования к оборудованию и техническим средствам хоть и ужесточились, но их при соответствующих затратах можно выполнить. Опасения внушают требования к персоналу. В первую очередь − наличия у инженерно-технических специалистов и руководителей лицензируемых видов деятельности и соответствующего образования, и трудового стажа. Если по отдельности эти требования предельно жесткие, то вместе − и говорить нечего! Однако исполнять придется: невыполнение требований по персоналу является грубым нарушением лицензионных требований и карается очень жёстко.
Что касается квалификационных требований, то главную трудность представляет недоработка Министерства образования и науки РФ, издавшего в 2004 году общероссийский классификатор специальностей, в котором есть перечень направления информационной безопасности. Зато нет ни одного нормативного документа соотнесения с новой классификацией дипломов, полученных до 2004 года.
Таким образом, руководители лицензируемых видов деятельности, связанной с использованием крипто- средств, получившие образование в СССР, сразу перестали соответствовать лицензионным требованиям. Хотя имеют большой стаж по работе с шифровальными средствами, в том числе, в силовых ведомствах − более 10, а некоторые и свыше 20 лет. Для повышения квалификации как для руководителя, так и для инженерно-технического персонала необходимо пройти курсы объёмом более 500 аудиторных часов. Указанный объём − это обучение в течение семестра с полным отрывом от работы или в течение 9 месяцев занятий по вечерам.
Но есть банки, которые сами разрабатывают информационные системы, защищённые использованием шифровальных (криптографических) средств. В этом случае необходимо пройти повышение квалификации более 1 000 часов и при этом в штате должно быть не менее 2 инженерно-технических работников и руководитель, т.е. банк должен иметь 3 сотрудника в штате.
Поневоле руководство банка задается вопросом: готов ли банк фактически выключить на 1 год (обучения по вечерам) из рабочего процесса работника и оплатить ему не только это время, но и дорогостоящий учебный курс? Сформировать и сохранять такую команду профессионалов достаточно проблематично. Ведь согласно Трудовому кодексу РФ работник может уйти через 2 недели после написания заявления об уходе и никаким договором не заставишь его работать дольше. Максимально, что получится вернуть − затраты финансовые, но не потраченное время.
Да и совсем уж чудесная ситуация складывается с требованиями лицензирования распространения криптографических средств и клиентских модулей систем Банк-Клиент. Согласно новым нормам, руководителем может быть любой сотрудник банка, прошедший 100-часовые курсы без опыта работы. А вот простым инженером, который выдает криптосредства − только специалист с профильным образованием. Указанное требование противоречит требованиям федерального закона «Об электронной подписи» по аккредитации удостоверяющих центров. Но у нас никто не обращает внимание на такие нестыковки нормативно-правовых актов.
Как было сказано выше, помимо образования, новые правила требуют от работника еще и минимум 3 лет стажа, что не мотивирует банки принимать на работу молодых специалистов. Пока не ясно, где им набирать этот стаж. Специалистов, у которых есть стаж, место рядового исполнителя, а не руководителя лицензируемого вида деятельности, может привлечь только приличным окладом. Таким образом, банкам следует быть готовыми увеличить оплату труда.
Впрочем, и этого зачастую оказывается мало. Дело в том, что спрос в данном сегменте рынка труда давно уже опережает предложение, и разрыв этот неуклонно продолжает расти. Причём объективно новые лицензионные требования тому способствуют. Специалисты с профильным образованием нужны не только банку, но и каждому отдельному его филиалу. И не только им, но и внебюджетным фондам, в том числе пенсионного и обязательного медицинского страхования. Причём каждому региональному отделению, а также банковским субагентам, интеграторам.
А как быть с открывающимися повсеместно удостоверяющими центрами? Так что самое время с нашей табличкой в руках всерьез подумать, а нужно ли получать лицензию. Допустим, если у какого-то регионального филиала всего 5 клиентов, стоит ли ему получать её, или можно воспользоваться услугами фельдъегерской почты? А кому-то, возможно, проще сдать свою информационную безопасность в аутсорсинг местному интегратору, у которого необходимые лицензии имеются.
Серьёзное беспокойство вызывает положение небольших региональных банков. Им новые требования к лицензированию создают крайне неблагоприятные условия. Персонала у них не так много, и содержать собственную команду в области криптосредств накладно. В регионах положение с аутсорсингом тоже не на высоком уровне − как правило, это одна организация в регионе. В этом случае возможна ситуация, поражающая свой комичностью: банки получают в качестве ещё одного регулятора Федеральную антимонопольную службу − ФАС России. Которая установит для региона фиксированные нерыночные тарифы на оказание услуг с использованием криптосредств, рассчитанные её экспертами.
