Для получения лицензии на криптографию предъявляются определённые требования, которые делятся на группы:
● Предписания для сотрудников,
● предписания к месту размещения, где осуществляется лицензируемая деятельность,
● требование к защите информации,
● требования к обеспечению работы,
● требования спецназначения,
Рассмотрим каждую группу подробнее.
Предписания для сотрудников
Лицензионную деятельность в компании должны осуществлять не менее двух работников. Требования обусловлены видом работ, предъявляемые организацией. Концепция такова, более сложные работы требуют повышенных требований, плюс увеличение числа сотрудников.
При передаче СКЗИ предъявляются простые требования, при разработке производства - сложные.
Предписания к месту размещения, где осуществляется лицензируемая деятельность
Местонахождение компании, где будет осуществляться лицензионная деятельность, напрямую связано с выдачей лицензии, так как в ней указывается именно этот адрес, и необязательно совпадающий с юридическим.
Осуществление лицензионной деятельности более, чем по одному адресу (например, филиалы), определяют вписание каждого из них в лицензию. Требования предъявляются по всем адресам.
Для лицензирования помещение должно быть зарегистрировано, как собственное или арендуемое и подтверждаться документально: договор аренды, право собственности, выписка из Росреестра, техпаспорт.
Требования к помещению не ограничивают его по площади, главное, чтобы в нём разместились сотрудники, оборудование, шкафы, сейфы, СКЗИ.
Помещение для получения лицензии на криптографию предусматривает отдельную площадь, изолированную от других помещений. Тип "OpenSpase" не подходит требованиям лицензирования этого вида деятельности.
К дверям особое предписание. Здесь важно, чтобы они были из прочного материала: дерева, металла, армированного стекла. Обязательно наличие замка и средства для опечатывания.
Окна не должны допускать проникновение в помещение посторонних. На первом и последнем этажах они оснащаются решетками и шторами.
Вход в помещение должен осуществляться под надзором системы технического контроля СКУД (средство контроля и управления доступом).
Требования к защите информации
Защитить конфиденциальную информацию помогает выполнение требования по пп.(в)п.6 313-ПП, которое гласит, что соискатель лицензии обязан предоставить условия, отвечающие за сохранение конфиденциальной информации, требующейся для реализации работ и оказания услуг, тем самым лицензирует свою деятельность в соответствии с законом РФ от 27.07.2006 года №149-ФЗ "Об информации, информационных технологиях и о защите информации". Для подтверждения выполнения требований соискатель должен пройти ряд организационных и технических мер. Таких как:
Аттестованная АС.
Соискатель лицензии обязан провести экспертизу автоматизированной системы, которая предусматривается требованиями безопасности информации нормативно-методическими документами ФСТЭК России СТР-К. Аттестация проводится только организациями, лицензированными ФСТЭК по техзащите секретной информации.
Аттестация АС проводится для всех видов деятельности, кроме передачи СКЗИ (пп. 21-24 по 313-ПП).
Производственная секретность
Компаниям надлежит организовать производственную секретность. Вся документация, составляющая коммерческую тайну, переводится в режим секретности.
Хранение СКЗИ
СКЗИ и эксплуатационную документацию компания должна хранить в сейфах или металлических шкафах, запирающихся на кодовый или механический замок. В последнем случае используются средства для опечатывания замочной скважины.
Требования к лицензируемой деятельности
Чтобы получить лицензию на криптографию, нужно выполнять требования, связанные с этой деятельностью.
● Учёт каждого экземпляра СКЗИ. Из пунктов п. 7, 26, 27 152-ФАПСИ, п. 48 ПКЗ-2005 следует, что лицензируемые организации должны вести учёт каждого экземпляра СКЗИ отдельно. Учёт похож на бухгалтерский, где вместо ТНЦ выступает СКЗИ.
Следует записывать в специальный журнал учёта СКЗИ от кого и кому передаётся криптография. Образец ведения журнала можно узнать в 152-ФАПСИ.
Каждая передача криптографии оформляется в виде акта приёма-передачи. Вместе с ней отправляются клиенту техническая и эксплуатационная документация по СКЗИ (п69 152-ФАПСИ).
● Передача СКЗИ. Согласно п. 32,33 152-ФАПСИ передача СКЗИ происходит только по внутренней почте в сейф-пакетах или лично из рук в руки сотруднику клиента.
● Правила по использованию СКЗИ. Правила пользования согласуются с п. 46 ПКЗ-2005. Сюда входит использование криптографии для оказания услуг, таких, как установка сроков действия ключа ЭЦП.
● Анализ. Требуется регулярно проводить анализ выполнения правил и требований пользования криптографией. Такой подход поможет разглядеть недочёты и их исправить, чтобы быть готовыми к проверке ФСБ, проходящие каждые 3 года.
● Юрисдикция СКЗИ. Согласно пп. 1п. 3 ст. 8 99-ФЗ организация должна иметь подтверждение законного владения СКЗИ. Это может быть лицензионный договор, договор поставки, ДКП.
Характерные требования
Оборудование для контроля и измерения
По пп. (а) п6 313-ПП организации требуется иметь в наличии контрольно-измерительные приборы, хотя у ФСБ списка таковых не опубликовано. Это объясняется рядом подтверждений:
● Оформление лицензии на передачу не требует контрольно-измерительного оборудования, так как нет предмета измерения, разве что коробки с СКЗИ.
● В деятельности, связанной с монтажом, наладкой, установкой ТО СКЗИ и др. (кроме разработки СКЗИ), контрольно-измерительные приборы не нужны. Можно обойтись утилитой для подсчёта контрольной суммы СКЗИ.
Лицензирование на телематические услуги связи
Лицензия на телематические услуги связи предоставляется, чтобы защитить каналы связи для передачи информации с помощью СКЗИ. Она оформляется до подачи заявки на получение лицензии на криптографию.
Лицензия на гостайну
Лицензионная деятельность, относящаяся к пунктам 1, 4-6, 16, 19 требует оформления лицензии ФСБ на работу с гос. тайной. Разрешение гарантируется выполнением пп. (г) по. 6 313-ПП.