Особое место в этой связи занимает деятельность в сфере защиты информации криптографическими (шифровальными) методами, которую могут осуществлять только те компании, у которых есть соответствующая лицензия ФСБ на работу с криптографическими средствами.
Требования, которые должен выполнить соискатель данной лицензии для ее получения определены Положением, утвержденным Постановлением Правительства РФ от 16.04.2012 N 313, в то время как отдельные аспекты прохождения процедур лицензирования урегулированы Административным регламентом, утвержденным Приказом ФСБ России от 29.12.2020 N 641.
Перечень компаний, которым может понадобиться лицензия на криптографию, достаточно широкий: от банков и IT- разработчиков до организаций, занимающихся проведением монтажных работ в сфере комплекса программно-технических средств или занимающихся установкой и обслуживанием тахографов. Ввиду этого достаточно часто у соискателей на лицензию ФСБ возникает вопрос: «Какие именно составы работ и услуг нужны нашей компании?».
Как понять, какой нужен состав работ на лицензию ФСБ?
Все виды работ и услуг в области шифрования перечислены в приложении к вышеупомянутому Положению, утв. Постановлением Правительства РФ от 16.04.2012 N 313 (на данный момент их численность составляет 28 видов). Однако, как показывает практика, многие соискатели не до конца понимают значение данных видов работ и услуг из-за наличия в них малоизвестных понятий и специфичного характера изложения формулировок. Ввиду этого нередки случаи, когда компания не понимает какие именно виды работ ей нужны и пытается объять в рамках своей лицензии как можно больше различных видов для того, чтобы «не упустить» то, что понадобится ей в действительности.Однако на деле определиться с составом необходимых видов деятельности не так сложно, если знать исходные понятия. К примеру, если компания занимается разработкой ПО, основной целью которого является обработка и передача данных и для защиты этих данных структура данного ПО дополняется готовым модулем ЭЦП, то компании нужен второй вид работ, а именно разработка защищенных с использованием шифровальных (криптографических) средств информационных систем.
Касательно обслуживания тахографов ЦЛСЗ в ответ на запрос ФБУ «Росавтотранса» издал разъяснительное письмо (от 09.10.2013 № 8/ЛЗ/2/2-2908), указав, что мастерские, осуществляющие установку и активацию тахографов, должны иметь лицензию на 12 и 20 виды работ, согласно приложению к ПП № 313, а операторы, осуществляющие передачу карт тахографа – на 21 вид.
Нередки случаи, когда соискатели лицензии не совсем понимают разницу между понятиями информационной и телекоммуникационной систем, которые фигурируют во 2, 3, 8, 9, 13, 14, 17, 18, 22, 23 видах деятельности согласно приложению к ПП № 313. В данном случае следует обратиться к ст. 2 Федеральному закону «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ. Согласно данной статье, информационная система – это совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Иными словами, в качестве информационной системы может выступать, к примеру, любое средство вычислительной техники с размещенной на нем информацией.
В свою очередь для разрешения противоречий относительно понятия телекоммуникационной системы стоит обратиться к ГОСТ Р 53801-2010. Согласно данному стандарту, под телекоммуникационной сетью (сетью электросвязи) понимается технологическая система, включающая в себя средства связи и линии связи и предназначенная для электросвязи. В свою очередь под электросвязью в данном случае понимается передача или прием знаков, сигналов, текстов, изображений, звуков по проводной, оптической или другим электромагнитным системам (ГОСТ Р 53801-2010). На основании вышеизложенного можно прийти к выводу, что телекоммуникационная система представляет собой комплекс технических средств, обеспечивающих передачу или прием определенных знаков, сигналов, текстов, изображений или звуков по тем или иным сетям связи.
Получение лицензии ФСБ на криптографию в качестве удостоверяющего центра
Отдельного внимания заслуживает вопрос относительно получения лицензии ФСБ на криптографию для последующей аккредитации компании в качестве удостоверяющего центра. Во-первых, следует отметить, что Федеральным законом от 27 декабря 2019 г. N 476-ФЗ «О внесении изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (с изменениями и дополнениями)» были установлены новые требования для аккредитации удостоверяющих центров. В частности, минимальный размер собственных средств (капитала) для соискателей на УЦ теперь составляет не менее чем один миллиард рублей либо пятьсот миллионов рублей при наличии не менее чем в трех четвертях субъектов Российской Федерации одного или более филиала или представительства удостоверяющего центра (п. 1 ч. 3 ст. 16 ФЗ «Об электронной подписи»). Кроме этого, согласно вступающей в силу с 1 января 2022 г. ст. 17.2. ФЗ «Об электронной подписи» выдачу квалифицированных сертификатов квалифицированной электронной подписи юридическим лицам (за исключением юр. лиц и ИП кредитно-финансовой сферы) и ИП смогут осуществлять только УЦ ФНС России.Также п. 1.1. ч. 3 ст. 16 ФЗ «Об электронной подписи» установлено требование наличия у соискателя на УЦ лицензии на криптографию. Ключевым моментом является то, что в законе не уточнятся, какие именно виды работ требуются для последующей аккредитации в качестве УЦ. В данном случае следует исходить из содержания определения удостоверяющего центра, которое дается в статье второй все того же федерального закона об электронной подписи. Согласно данной статье удостоверяющий центр – юр. лицо, ИП либо государственный орган или орган местного самоуправления, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим Федеральным законом.
Таким образом, главная функция УЦ – создание и выдача сертификатов ключей проверки ЭЦП. Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные УЦ либо доверенным лицом УЦ и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи (ст. 2 ФЗ «Об электронной подписи»). Иными словами, это документ, содержащий открытый ключ, информацию о владельце ключа, области применения ключа, подписанный выдавшим его УЦ и подтверждающий принадлежность открытого ключа владельцу.
Для осуществления данного вида деятельности достаточно наличия в лицензии 28 вида работ согласно приложению к ПП № 313: «изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств».
Данный вид деятельности подразумевает использование комплекса генерации и распределения ключей и две эти различные функции (генерация и распределение) реализуются в рамках одного общего автоматического процесса (в рамках деятельности УЦ это, как правило, так и происходит).
Сертификат ключей проверки ЭЦП – это лишь частный случай ключевого документа, в то время как деятельность по передаче ключевых документов входит не только в 28, но и в 25 вид деятельности согласно приложению к ПП № 313. Главное отличие данных пунктов в том, что в рамках 25 вида деятельности, в отличие от 28 вида, генерация и распределение выступают в качестве двух отдельных процедур. В конечном итоге, если компания отдельно генерирует ключ, размещает его на определенном носителе и передает клиенту, то это входит в рамки 25 вида деятельности.
Следует также отметить, что в ч. 1 ст. 13 ФЗ «Об электронной подписи» уточняются обязанности и функции УЦ, однако в п. 10 данной статьи также содержится положение, которое можно толковать весьма широко: «осуществляет иную связанную с использованием электронной подписи деятельность». Как итог - чтобы полноценно осуществлять все функции в сфере электронной подписи УЦ, могут понадобиться как минимум 12, 20, 21 виды работ согласно приложению к ПП № 313.