Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ Александр Астахов Получение лицензий ФСБ на криптографию и дипломов по направлению ИБ на практике
Protectiva Compliance Manager
Навигация
 

Получение лицензий ФСБ на криптографию и дипломов по направлению ИБ на практике

Автор: Александр Астахов опубликовано: 14-05-2013 последнее изменение: 14-05-2013

Лицензирование деятельности в области шифрования информации, осуществляемое ФСБ России по поручению Правительства РФ, началось еще с Ельцинского Указа № 334 в уже далеком 1995 году, который строго запрещал в стране любую деятельность, связанную с криптографией, без лицензий и сертификатов ФАПСИ.

А именно Указ № 334 запрещал: 

  1. использование государственными организациями несертифицированных криптосредств, а также размещение государственных заказов на предприятиях использующих несертифицированные криптосредства
  2. использование коммерческими банками несертифицированных криптосредств при взаимодействии с ЦБ РФ
  3. деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также оказанием любых услуг в области шифрования информации
  4. ввоз на территорию РФ шифровальных средств иностранного производства без разрешения ФАПСИ

Другими словами, любая деятельность в области шифрования и любые криптосредства, не имеющие сертификата установленного образца, раз и навсегда были поставлены в нашей стране вне закона. 

Тем, кто увлечен таким невинным занятием как скачивание бесплатных программулек типа PGP, TrueCrypt и прочих шифровальщиков информации, либо балуется программированием в стиле DES, AES и им подобными штуками, следует помнить о том, что данная безобидная на первый взгляд деятельность любознательного студента фактически приравнивается нашим правительством к числу таких занятий как производство оружия массового поражения, наркотических средств или, скажем, осуществление тестов по проникновению на сайт Минобороны. В связи с этим, за эту деятельность предусмотрена вполне конкретная уголовная ответственность, как минимум, по статье 171 УК РФ.

Для того, чтобы примирить столь жесткую позицию государства в отношении криптографии с суровой действительностью, в законодательство о лицензировании криптографической деятельности неоднократно вносились дополнения и уточнения. На данный момент действует Постановление Правительства РФ от 16 апреля 2012 г. № 313 "О лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем..."

Из лицензирования исключены криптосредства по которым на практике не реально осуществить лицензионные мероприятия, включая:

- криптосредства, используемые с сотовых телефонах и кредитных картах

- криптосредства, используемые в коммерческой телевизионной и радиоаппаратуре

- криптосредства, применяемые в банкоматах и контрольно-кассовых машинах

- криптосредства, реализующие симметричные алгоритмы шифрования с длиной ключа не более 56 бит

- криптосредства, реализующие ассиметричные алгоритмы шифрования с длиной с максимальной длиной ключа 122 или 512 бит (в зависимости от вида алгоритма)

- и т.д.

На всякий случай к шифровальным средствам теперь относят также и средства кодирования информации, поскольку использование слова "кодирование" вместо "шифрования" в технической документации - любимый способ обхода лицензионных ограничений отечественными разработчиками ПО и системными интеграторами.

Лицензии ФСБ России на шифровальную деятельность теперь выдаются бессрочно, а не на 5 лет как раньше, и лицензирование теперь не распространяется на техническое обслуживание криптосредств, выполняемое для собственных нужд, зато ужесточились требования к квалификации персонала лицензиата.

Для руководителей и инженерно-технических работников лицензиата (которых должно быть не менее 2 человек) в зависимости от вида лицензируемой шифровальной деятельности установлены требования к подготовке по специальности по направлению "информационная безопасность" в объеме от 100 до 1000 аудиторных часов и опыту работы от 3 до 5 лет.

Эти требования служат камнем преткновения для многих организаций, решившихся легализовать свою деятельность в области криптографии. Далеко не каждый может себе позволить отправить своих сотрудников на курсы повышения квалификации в области ИБ на срок от месяца до полугода.

Выходом из этой ситуации служит дистанционное обучение по направлению ИБ с получением дипломов государственного образца. Стоимостные и временные затраты на такое обучение не сопоставимы с аудиторными занятиями. Интеграция GlobalTrust с учебными центрами теперь позволяет предоставлять два дистанционных курса для тех кому требуется соответственно больше 500 часов подготовки и больше 100 часов подготовки по направлению ИБ:

IB001 - Технологии и средства обеспечения компьютерной безопасности

IB002 - Технологии и средства защиты информации на объектах информатизации

Для тех, кому также как и мне лень самому возится с получением лицензий (готовить комплекты ОРД по защите информации, формировать лицензионные дела, организовывать аттестационные мероприятия и т.д.) на рынке существует широкое предложение по соответствующему комплексу услуг, связанных с получением лицензий. Структура и стоимость подобных услуг не сильно варьируется. На примере GlobalTrust соответствующее предложение выглядит следующим образом:

Структура консультационных услуг по получению лицензий ФСБ России

Дополнительно можно также почитать снискавшую популярность статью Получение лицензий ФСТЭК на практике, т.к. лицензирование деятельности по ТЗКИ имеет много общего с лицензированием шифровальной деятельности.

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex