Деятельность, связанная с криптографическими средствами, подлежит обязательному лицензированию. Это сложный и трудоемкий процесс, подготовка к которому занимает несколько месяцев. Лицензия ФСБ на услуги в области криптографии не исключение. Приготовление нужно начинать заблаговременно и первым делом ознакомиться с Постановлением Правительства РФ №313 от 16.04.2012г. Оно включает в себя Положение о лицензировании и Перечень работ и услуг, связанных с шифровальными средствами, которые подлежат лицензированию.
Что относится к шифровальным средствам?
Второй пункт Положения дает определение средствам криптографии. К ним относятся:
- технические, программные, смешанные средства, которые используют криптографические алгоритмы для охраны информации;
- средства защиты шифровальной системы: технические, программные, смешанные;
- инструменты электронно-цифровой подписи;
- средства кодирования, в которых шифровальные действия с данными выполняются вручную или автоматизированно;
- инструменты изготовления ключевых документов: технические, программные, смешанные;
- ключевые документы в электронном виде и в бумажном, если они содержат ключевую информацию для изменения при помощи шифрования.
Что относится к предоставлению услуг в сфере шифрования?
Если фирма планирует заниматься оказанием услуг в области криптографии информации, она задается вопросом о необходимости лицензии ФСБ. В Перечне перечислены работы, которые считаются предоставлением услуг в области шифрования и подлежат лицензированию:
- услуги по шифрованию данных, которые не являются гостайной, для физических и юридических лиц;
- услуги по имитозащите данных, которые не являются гостайной, для физических и юридических лиц;
- снабжение физических и юридических лиц системами для передачи информации, которые защищены при помощи средств шифрования;
- создание и распределение ключевых документов и исходных ключевых данных.
Лицензионные требования
Если лицензия все же нужна, фирме предстоит долгая подготовка. Самое главное надо привести предприятие в соответствие с лицензионными нормами. Малейшие отклонения помешают получить документ. Претендент на лицензию должен:
- быть собственником или иметь договоры на помещения, оборудование и аппаратуру, которая будет использоваться в работе;
- соблюдать информационную безопасность согласно Федеральному закону №40-Ф3 от 03.04.1995г.;
- сохранять секретность информации согласно Федеральному закону №149-Ф3 от 27.07.2006;
- иметь в фирме директора, который получил высшее образование в сфере информационной безопасности, прошел не менее 500 часов специального обучения по этому направлению, имеет непрерывный стаж в области лицензированной деятельности от 3 лет;
- иметь в компании 2 и более инженеров, которые получили высшее образование в сфере информационной безопасности, прошли не менее 500 часов специального обучения по этому направлению, имеют непрерывный стаж в области лицензированной деятельности от 3 лет;
- предоставить список средств шифрования и бумаги с их техническими свойствами;
- использовать ЭВМ и базы данных, которые находятся во владении или на другом законном основании.
Какие документы нужны?
Если фирма соответствует всем требованиям, можно приступать к подаче заявления. Оно подается в УФСБ, к нему прилагаются следующие документы:
- копии бумаг на помещения и оборудование, которые будут задействованы в работе;
- копии внутренних документов, которые подтверждают условия для сохранения конфиденциальности информации;
- копии бумаг, которые подтверждают наличие сотрудников с нужной квалификацией;
- копии должностных инструкций, трудовых книжек, аттестатов и дипломов этих работников;
- копии документов, доказывающих наличие аппаратуры и инструментов, которые прошли контроль и настройку согласно Федеральному закону №102-Ф3 от26.06.2008г.;
- реквизиты документа, который подтверждает сохранение секретности информации согласно Федеральному закону №149-Ф3 от 27.07.2006г.;
- реквизиты документов, доказывающих право владения.
Проверка перед получением лицензии
После того, как лицензирующий орган принял заявление, проводится проверка достоверности указанных данных и соответствия требованиям. Предпринимается выездной контроль, в ходе которого инспектируются:
- помещения, оборудование и аппаратура;
- работники и их соответствие требованиям;
- организация хранения, учета и доступа к СКЗИ.
Фирма не должна препятствовать инспекции. На принятие решения о возможности выдачи лицензии отводится 45 дней.
Лицензия на услуги в сфере криптографических средств
После прохождения выездного контроля фирма получает лицензию либо отказ в выдаче таковой. Причинами отказа могут быть несоответствие требованиям и проблемы с документами. В случае отказа нужно перепроверить фирму по всем пунктам и попробовать снова.
Получить лицензию важно, потому что работа без нее подлежит уголовной или административной ответственности. Фирма может быть оштрафована, а владелец рискует попасть в тюрьму. Сумма штрафа зависит от заработка организации.
Лицензия бессрочна и действует на территории всей Российской Федерации. Однако ФСБ постоянно контролирует лицензиатов. В первые три года могут устраиваться незапланированные проверки, потом проверки будут только плановые. План проверок на год публикует Генеральная прокуратура РФ. При выявлении нарушений ФСБ вправе отозвать лицензию.
Лицензия действует бессрочно и не требует продления.