Законодательная база российской федерации. Скзи

03.07.2020

Приказ ФАПСИ от 13 июня 2001 г. N 152
«Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»

Генеральный директор Агентства

* Собрание законодательства Российской Федерации, 1995, N 8, ст.609.

** Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации, 1993, N 12, ст.423.

Регистрационный N 2848

Определяется единый порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием сертифицированных ФАПСИ средств криптографической защиты (шифровальных средств) подлежащей в соответствии с законодательством РФ обязательной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

Регистрационный N 2848

Настоящий приказ вступает в силу по истечении 10 дней после дня его официального опубликования

152-й приказ ФАПСИ

Гость 32001
вот тело
Приказ ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»

В соответствии с Федеральным законом от 20 февраля 1995 г. N 24-ФЗ «Об информации, информатизации и защите информации»*, Законом Российской Федерации от 19 февраля 1993 г. N 4524-1 «О федеральных органах правительственной связи и информации»** и Положением о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Положение ПКЗ-99), утвержденным приказом ФАПСИ от 23 сентября 1999 г. N 158, зарегистрированным Министерством юстиции Российской Федерации 28 декабря 1999 г., регистрационный N 2029***, с целью определения порядка организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну приказываю:
Утвердить Инструкцию об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (прилагается).

152-й приказ ФАПСИ

В преамбуле к документу обычно пишут для кого (коммерческий ресурс, госресурс) и какой характер (рекомендательный, обязательный) носит документ.

А так, я подобный 152-ой приказ не видел и прочитал о нём только. В другой теме написано, что он регулирует применение криптографии для конфиденциалки, если это так, то я в недоумении, т.к. есть два документа 8 центра ФСБ России, регулирующие применение криптосредств.

Гость 32001
Вы бы сами определились — нужно оно Вам или будете использовать Пиндосскую ломанную контрабанду.
вот тело
http://base.garant.ru/183628/
Приказ ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»

В соответствии с Федеральным законом от 20 февраля 1995 г. N 24-ФЗ «Об информации, информатизации и защите информации»*, Законом Российской Федерации от 19 февраля 1993 г. N 4524-1 «О федеральных органах правительственной связи и информации»** и Положением о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Положение ПКЗ-99), утвержденным приказом ФАПСИ от 23 сентября 1999 г. N 158, зарегистрированным Министерством юстиции Российской Федерации 28 декабря 1999 г., регистрационный N 2029***, с целью определения порядка организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну приказываю:
Утвердить Инструкцию об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (прилагается).

В вашем вопросе нет вопроса — есть проблема выбора

152-й приказ ФАПСИ

В преамбуле к документу обычно пишут для кого (коммерческий ресурс, госресурс) и какой характер (рекомендательный, обязательный) носит документ.

А так, я подобный 152-ой приказ не видел и прочитал о нём только. В другой теме написано, что он регулирует применение криптографии для конфиденциалки, если это так, то я в недоумении, т.к. есть два документа 8 центра ФСБ России, регулирующие применение криптосредств.

Гость 32001
Вы бы сами определились — нужно оно Вам или будете использовать Пиндосскую ломанную контрабанду.
вот тело
http://base.garant.ru/183628/
Приказ ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»

В соответствии с Федеральным законом от 20 февраля 1995 г. N 24-ФЗ «Об информации, информатизации и защите информации»*, Законом Российской Федерации от 19 февраля 1993 г. N 4524-1 «О федеральных органах правительственной связи и информации»** и Положением о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Положение ПКЗ-99), утвержденным приказом ФАПСИ от 23 сентября 1999 г. N 158, зарегистрированным Министерством юстиции Российской Федерации 28 декабря 1999 г., регистрационный N 2029***, с целью определения порядка организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну приказываю:
Утвердить Инструкцию об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (прилагается).

В вашем вопросе нет вопроса — есть проблема выбора

152-й приказ ФАПСИ

В преамбуле к документу обычно пишут для кого (коммерческий ресурс, госресурс) и какой характер (рекомендательный, обязательный) носит документ.

А так, я подобный 152-ой приказ не видел и прочитал о нём только. В другой теме написано, что он регулирует применение криптографии для конфиденциалки, если это так, то я в недоумении, т.к. есть два документа 8 центра ФСБ России, регулирующие применение криптосредств.

Гость 32001
Вы бы сами определились — нужно оно Вам или будете использовать Пиндосскую ломанную контрабанду.
вот тело
http://base.garant.ru/183628/
Приказ ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»

В соответствии с Федеральным законом от 20 февраля 1995 г. N 24-ФЗ «Об информации, информатизации и защите информации»*, Законом Российской Федерации от 19 февраля 1993 г. N 4524-1 «О федеральных органах правительственной связи и информации»** и Положением о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Положение ПКЗ-99), утвержденным приказом ФАПСИ от 23 сентября 1999 г. N 158, зарегистрированным Министерством юстиции Российской Федерации 28 декабря 1999 г., регистрационный N 2029***, с целью определения порядка организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну приказываю:
Утвердить Инструкцию об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (прилагается).

  • О выходе из гражданства кыргызской республики Президент Кыргызской Республики Сооронбай Жээнбеков подписал 8 Указов Президента Кыргызской Республики о приеме в гражданство Кыргызской Республики и о выходе из гражданства Кыргызской […]
  • Тема 7. ГРАЖДАНСТВО И МЕЖДУНАРОДНОЕ ПРАВО; 1. Гражданство как институт конституционного и международно­го права. Приобретение гражданства и его утрата. Дипломатиче­ская защита. 2. Двойное гражданство и безгражданство. Международные […]
  • Публикации С 1 января государство повысило выплаты будущим мамам и семьям, где появился малыш. Как рассчитать размер пособий с учетом новшеств, какие подвохи, трудности встречаются на практике, и как найти выход из типичных проблемных […]
  • Президиум (9) Юридический стаж - c 1986 года Стаж работы в качестве адвоката - c 1999 года Является Председателем Президиума с 2006 года Телефон: +7 922 207-12-22 Юридический стаж - c 1994 года Стаж работы в качестве адвоката - c 1998 […]
  • ООО "С-Нова", Вера Колмакова, бухгалтер

    Сегодня я была на семинаре с представителями ФСС и специалистом по Трудовым вопросам.
    Благодарю организаторов и спикеров!
    Я считаю, очень важно получить концентрированную точную информацию вовремя, и даже заранее. Это позволяет с большей осознанностью подготовиться к переменам, а также выработать стратегию работы на ближайшее время и перспективу.
    Приятно, что Арча заботится о своих клиентах в нескольких направлениях:
    1. доведение ценной информации до клиентов устами сотрудников гос.органов и специалистов в определенной области права;
    2. готовое практическое программное решение;
    3. техническое и даже методическое сопровождение от сотрудников техподдержки Арчи по программам.
    При такой поддержке бухгалтер и кадровик работают с большей уверенностью и спокойствием.
    Спасибо!

    «..Благодаря «Арча-сервис» я довольно быстро — не прошло и трёх дней с момента первого моего звонка в компанию - вошла в число счастливых обладателей усиленной квалифицированной ЭЦП. Теперь на сайте «Госуслуги» мне доступны все услуги без ограничений, и это очень удобно....Благодарна сотрудникам «Арча -сервис» за быстрое и компетентное обслуживание. И рада, что, наконец, и у меня есть электронная подпись, ведь она открывает новые возможности и экономит время.."

    « Большое СПАСИБО за помощь, мы не только смогли пройти регистрацию, но и успели подать заявку. Выражаем вашим сотрудникам огромную благодарность за оперативность и понимание. Очень рада, что сотрудничаем с вашей компанией!»

    Акционерное общество «Кировградский завод твердых сплавов» 08 июня 2017 г.

    «Благодаря Вашим усилиям, наша компания приобрела в кратчайшие сроки электронную подпись и смогла принять участие в очень важном для нас тендере. Очень приятно, что нас окружает такой ответственный, отзывчивый и молниеносно реагирующий коллектив»

    ООО «ЭКИПТРЕЙД» 21 июня 2017 г.

    «За время нашей работы, Ваши специалисты своевременно оказывали услуги по получения электронной подписи, профессионально консультировали по вопросам аккредитации и работы на электронных площадках, оказывали помощь в настройках ПК, оповещали о семинарах, ответственно подходили к вопросу оперативной обратной связи».

    ООО «МАТРИКС» 21 июня 2017 г.

    «Выражаем Вам искреннюю признательность за чуткое отношение, понимание и слаженную работу. За время нашего сотрудничества Ваша компания зарекомендовала себя как надежный и солидный партнер, с которым приятно работать».

    ЗАО "Рос Сталь Конструкция" 08 августа 2017 г.

    Даже не помню сколько лет назад я познакомилась с компанией "Арча". Нужна была мне тогда простая, понятная, профессиональная программа по заработной плате. С тех пор я прикипела к этому замечательному коллективу профессионалов душой. Меняю места работы, программу внедряю и на новом месте, друзьям советую. А как по-другому, хорошим хочется делиться. Программа замечательная, доступная для понимания, удобная в пользовании, всё время совершенствуется. За эти годы добавилось много интересных и полезных сервисов.

    Уважаемый Андрей Львович!

    Наше предприятие благодарит Вас и коллектив ООО "Арча-сервис" за длительное и продуктивное сотрудничество. ООО "Медсилк" пользуется программой "Арча. Учёт доходов физических лиц" и дополнительным блоком "Кадры" с 2010 года. Ваша программа проста и удобна. Легко формируются отчёты во все контролирующие органы. Очень много вспомогательных отчётов, что значительно облегчает работу бухгалтера.

    Выражаем благодарность Вашим сотрудникам за терпение и доброжелательное отношение к клиентам!

    Примите глубокую благодарность от ООО "Экодор" и искреннюю признательность за продуктивное сотрудничество с 20009 г. с программой "Арча-сервис". Я считаю её лучшей, простой и доступной. По моей рекомендации уже работает несколько предприятий с Вашей программой в нашем городе. Я удовлетворена вашим вежливым и квалифицированным персоналом, быстрыми и чёткими ответами на заданные вопросы, удобством в работе с программой. Наша организация рассчитывает на дельнейшее сотрудничество в будущем с Вашей компанией.

    ООО Управляющая компания "Щербакова" использует компьютерную программу "Арча" для расчёта заработной платы с 2011 года. Начинали с бесплатной версии, но довольно быстро приняли решение перейти на использование платной Базовой версии, т.к Базовая версия программы "Арча" позволяет получить более расширенный перечень расчетов и отчётов по сотрудникам и организации в целом.

    Благодарны сотрудникам ООО "Арча-сервис" за внимательное отношение к нашей организации!

    ТСЖ "Калининец96" выражает благодарность Исполнительному директору ООО "Арча-сервис" Барыкиной Любови Анатольевне за программу по начислению заработной платы и налогам разработанную организацией. Программа удобна в работе. В случае возникновения вопросов, у ваших сотрудников получаешь исчерпывающую консультацию. Огромной спасибо!

    Уважаемы сотрудники ООО "Арча-сервис"!

    Выражаем свою благодарность за создание такого отличного продукта, как программа "Арча. Расчёты с персоналом и отчётность". Пользуемся этой программой с 2010 года. Кроме расчётов заработной платы и страховых взносов приобрели дополнительный модуль "Кадровые документы". В программе удобный интерфейс, всё просто и понятно, минимум времени на обучение. В случае возникновения внештатных ситуаций техподдержка всегда помогает. Словом за кадровые документы и расчёт заработной платы мы спокойны.

    Надеемся на дальнейшее сотрудничество и желаем творческих успехов!

    Благодарим Вас за сотрудничество с нашим ломбардом, за понимание в решении не всегда простых, но актуальных проблем в учёте, начислении и отчётности по заработной плате. Мы являемся пользователями программы "Арча" и модуля "Кадровые документы" с 2010 года.

    Поскольку мы, бухгалтера, должны быстро реагировать на происходящие изменения в законодательстве, Ваша программа позволяет делать нам это оперативно и качественно. В этом Ваш большой вклад!

    Благодарность предприятию ООО "Арча-сервис"!

    Позвольте поблагодарить Вас за Вашу программу "Арча" с которой работает ЗАО "СРУП Уралавтозаз" на протяжении 5 лет, а также выразить восхищение уровню Вашего профессионализма, целеустремлённости и лидерским качествам, благодаря которым наше предприятие достигло значительных успехов.

    Мы высоко ценим Ваш неутомимый и добросовестный труд, высокую ответственность и отдаём дань достойному выполнению поставленных перед Вами задач.

    Желаем дальнейших успехов в работе!

    Наше предприятие уже более 3 лет использует в своей работе программу "Арча". За это время программа, с нашей точки зрения, значительно расширила свои функциональные возможности. В отличии от многих программ, горячая линия поддержки всегда доступна, специалисты всегда готовы оказать помощь и дать исчерпывающую информацию. По нашему мнению, программа является идеальной для малого бизнеса и расчёта заработной платы.

    Надеемся на долгосрочное взаимовыгодное сотрудничество!

    Государственное областное учреждение дополнительного образования "Школа высшего спортивного мастерства" выражает благодарность разработчикам бухгалтерской программы "Арча". Она доступна в обучении, легка и свободна в работе. Является помощником для бухгалтера в составлении налоговой отчетности.

    Большое спасибо всему коллективу компании "Арча-сервис". Желаем дальнейших успехов, удач и благополучия!

    Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ".

    А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ). А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ.

    С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных”, утвержденных руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622. Но после выхода ПП РФ №1119, данный документ потерял актуальность и ФСБ России сообщила что необходимо руководствоваться именно Инструкцией.


    В рамках гос. контроля именно по выполнению положений данной Инструкции находится большое количество нарушений.


    По применению Инструкции есть много вопросов, ведь писалась она в те времена, когда сертифицированные СКЗИ применялись в редких организациях в единичных экземплярах. Сейчас же, когда серт. криптография становится повсеместной, вызывает сложности дословное выполнение Инструкции.

    Сразу же хочу обратить внимание на тот факт, что Инструкция в связке с 99-ФЗ дают однозначные результаты о необходимости получения лицензии ФСБ России или заключения договора с лицензиатом:


    Ст.12 99-ФЗ: “1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:

    1) … выполнение работ … в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);”

    Постановление правительства РФ №313. Приложение к положению: “ПЕРЕЧЕНЬ ВЫПОЛНЯЕМЫХ РАБОТ И ОКАЗЫВАЕМЫХ УСЛУГ, СОСТАВЛЯЮЩИХ ЛИЦЕНЗИРУЕМУЮ ДЕЯТЕЛЬНОСТЬ, В ОТНОШЕНИИ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ

    12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.

    13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.

    14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.

    15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.

    20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая , если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

    28. Изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств.”

    Но Инструкция содержит более строгие требования.

    Инструкция ФАПСИ №152: 4. Безопасность хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации, обладатели которой не имеют лицензий ФАПСИ, лицензиаты ФАПСИ организуют и обеспечивают... на основании договоров на оказание услуг по криптографической защите конфиденциальной информации.

    6. Для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации лицензиат ФАПСИ создает один или несколько органов криптографической защиты…”

    Основной вывод следующий: организация без лицензии ФСБ не может самостоятельно организовать работы по правильной эксплуатации СКЗИ. Для этого организации обязательно нужно обратится к лицензиату, заключить с ним договор на обслуживание. У лицензиата ФСБ в структуре выделяется ОКЗИ, который организует работы по обеспечению безопасности в организации-заказчике и контролирует их выполнение (а иногда и сам выполняет).

    PS : По применению отдельных пунктов Инструкции у меня также было много вопросов, самые интересные я задавал регулятору и в следующей статье поделюсь наиболее интересной информацией…

    Также интересно увидеть какие у Вас, коллеги, были сложности или наоборот положительный опыт применения Инструкции.


    9 комментариев:

    Unknown комментирует...

    Сложности, в основном, как раз возникают в понимании того самого указания о "личных нуждах", указанных в 99-ФЗ, и однозначном понимании в Инструкции ФАПСИ того, что всё сводится к тому, что на предприятии для организации всего необходимого комплекса мер связанных с организацией хранения и эксплуатации СКЗИ (обучения персонала, налаживания учёта СКЗИ и т.д.) необходимо создавать орган криптозащиты. Который, соответственно, невозможно создать без наличия соответствующей лицензии ФСБ.
    Вот, например, у одной компании эксплуатируется сеть ViPNet (принадлежащая ей же) на базе координаторов HW. Эта компания, для организации защищенного электронного документооборота, устанавливает в нескольких других компаниях координаторы HW из своей сети. Но не берёт за это оплаты, а использует это всё для "собственных нужд", чтобы обеспечивать безопасность передачи ПДн между этими компаниями. Нужно ли в этом случае компании владельцу ViPNet-сети получать лицензию ФСБ на деятельность в сфере криптозащиты?

    Сергей Борисов комментирует...

    Я специально процитировал приложение к ПП 313, из которого видно что под исключение (собственные нужны) попадает только текущее обслуживание. Работы по установке, настройке и выпуску ключей идут отдельными пунктами и на них исключение не распространяется.
    При администрировании VipNet сети придется делать как минимум перевыпуск ключений и изменение настроек. Чаще всего, ещё и переустановку. Так что без лицензии не обойтись.

    На счет именно фразы "собственные нужды" однозначно ответить не могу.
    В примере с VipNet, если бы у каждой организации была своя vipnet сеть, между которыми устанавливается межсетевое взаимодействие, и каждый эксплуатирует только свою часть, то это подходит под "собственные нужны". Если много организаций в одной сети, то это уже не собственные нужны, а нужны нескольких лиц.

    Задавал вопрос ФСБ устно, сказали что если даже на безвозмездной основе, но для нужд других организаций - то это подпадает под необходимость лицензии. Письменно отказались 99-ФЗ комментировать, сказали что ФЗ - это не их документ.

    Unknown комментирует...

    Сейчас ЛЮБАЯ организация передает данные в ФНС, ПФР, ФСС.
    А еще работает с сайтом закупок, используя криптографию (КриптоПРО CSP,ViPNet CSP).
    Государственные организации работают с Казначейством своего региона.
    И для всего этого нужна лицензия ФСБ?

    Сергей Борисов комментирует...

    Получается что либо нужна лицензия ФСБ России, либо нужно привлечение лицензиата для поставки, установки, настройки СКЗИ и для постоянного обслуживания в качестве ОКЗИ.
    Для новых установок и поставок - это понятно.

    А вот с различными СКЗИ получаемыми от других организаций - беда. Надо как-то выходить на эти организации (а они тоже должны обладать лицензиями ФСБ России иначе не могли бы распространять), просить их выступить в качестве ОКЗИ. Если не получится, передавать и эти СКЗИ на обслуживание лицензиату.

    Unknown комментирует...

    Извините, много текста получилось...

    Сергей, в первую очередь я хочу сказать, что с Вами согласен по поводу общего понимая требований нормативных документов. Но вот эта фраза "для собственных нужд" вносит очень большое непонимание. Нет однозначного трактования. А именно в споре с коллегой я говорю, что "для собственных нужд" - это когда одна, какая-то конкретная компания/фирма/предприятие/организация использует СКЗИ только в внутри себя. Самый распространенный пример - в компании (даже с филиалами) поднята ViPNet-сеть с "Деловой почтой" для передачи конфиденциальной информации между работниками ОДНОЙ И ТОЙ ЖЕ копании. Специально обученный специалист выпускает ключи только для работников именно этой компании и ни для какой другой. Коллега же утверждает, что даже если компания пускает в свою ViPNet-сеть совершенно другую фирму (выпускает ключи для работников совершенно другого юридического лица, производит установку ПО ViPNet-клиент, осуществляет сопровождение этого АРМ) для организации защищенного конфиденциального документооборота (например, для передачи ПДн), то это всё равно всё "для собственных нужд", так как фирма владелец ViPNet-сети предоставляет рабочее место ViPNet-клиента другому юр. лицу именно безвозмездно и для нужд, необходимых именно этой фирме. Например, фирма владелец ViPNet-сети выступает инициатором именно такого способа передачи ПДн и обеспечения их безопасности, и в связи с этим безвозмездно оказывает услуги по выпуску и установке СКЗИ. И вот эта неоднозначность в законе как раз и не даёт чёткого понимания. Ни в ФЗ "О лицензируемых видах деятельности", ни в других нормативных документах ФАПСИ/ФСБ нет однозначного трактования: "выпускаешь СКЗИ исключительно для себя - можно. Передал кому-то другому даже безвозмездно - нельзя, нарушаешь!". Как доказать это всё?

    В устном разговоре представители регулятора говорят, что лицензия на работы с СКЗИ нужна в любом случае - не важно, для своих нужд, или не для своих. Отчасти, наверно, скорее так, чем нет, так как в соответствии с инструкцией ФАПСИ - ОКЗИ может создавать только лицензиат. Другое дело - можно отдать это на аутсорс. Но с другой стороны 99-ФЗ говорит, что "не лицензируется для собственных нужд"...

    Надо как-то выходить на эти организации (а они тоже должны обладать лицензиями ФСБ России иначе не могли бы распространять), просить их выступить в качестве ОКЗИ.
    Не получается - другие организации категорически отказываются выстапь в качестве СКЗИ. Скажу более - есть в Инструкции администратора безопасности КриптоПро такой раздел, в котором говорится, что админ центра регистрации должен каждому своему пользователю выдавать "Карточку компрометации ключа", в которой указаны контакты УЦ для, соответственно, экстренной компрометации. Так вот многие УЦ нашего города в глаза этого не видели. А когда, в ходе проверки ФСБ, проверяющие на это указали, и были написаны соответствующие письма по этому поводу, эти УЦ начали такие глупости писать в ответ, лишь бы как-то откреститься от того, чего от них требуют. Отсюда, кстати, возникает закономерный вопрос: как эти УЦ получили лицензию на работу с СКЗИ, если они не выполняют требования по эксплуатации разработчика этих СКЗИ? А требования эти, в свою очередь, регламентированы в пунке 46 ПКЗ-2005...

    Unknown

    В соответствии с Федеральным законом от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" , Российской Федерации от 19 февраля 1993 г. N 4524-1 "О федеральных органах правительственной связи и информации" и о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Положение ПКЗ-99), утвержденным ФАПСИ от 23 сентября 1999 г. N 158, зарегистрированным Министерством юстиции Российской Федерации 28 декабря 1999 г., регистрационный N 2029 , с целью определения порядка организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих приказываю:

    Данным порядком рекомендуется руководствоваться также при организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием сертифицированных ФАПСИ средств криптографической защиты не подлежащей обязательной защите конфиденциальной информации, доступ к которой ограничивается в соответствии с законодательством Российской Федерации или по решению обладателя конфиденциальной информации (за исключением информации, содержащей сведения, к которым в соответствии с законодательством Российской Федерации не может быть ограничен доступ).

    2. Настоящая Инструкция не регламентирует порядка организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации в учреждениях Российской Федерации за границей.

    Лица, оказывающие возмездные услуги по организации и обеспечению безопасности хранения и обработки с использованием СКЗИ конфиденциальной информации, передаваемой вне сетей конфиденциальной связи, должны иметь лицензию ФАПСИ на деятельность по предоставлению услуг в области шифрования информации.

    4. Безопасность хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации, обладатели которой не имеют лицензий ФАПСИ, лицензиаты ФАПСИ организуют и обеспечивают либо по указанию вышестоящей организации, либо на основании договоров на оказание услуг по криптографической защите конфиденциальной информации.

    5. Лицензиаты ФАПСИ несут ответственность за соответствие проводимых ими мероприятий по организации и обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации лицензионным требованиям и условиям, эксплуатационной и технической документации к СКЗИ, а также положениям настоящей Инструкции.

    6. Для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации лицензиат ФАПСИ создает один или несколько органов криптографической защиты , о чем письменно уведомляет ФАПСИ.

    проверку готовности обладателей конфиденциальной информации к самостоятельному использованию СКЗИ и составление заключений о возможности эксплуатации СКЗИ (с указанием типа и номеров используемых СКЗИ, номеров аппаратных, программных и аппаратно-программных средств, где установлены или к которым подключены СКЗИ, с указанием также номеров печатей (пломбиров), которыми опечатаны (опломбированы) технические средства, включая СКЗИ, и результатов проверки функционирования СКЗИ);

    разработку мероприятий по обеспечению функционирования и безопасности применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, а также в соответствии с эксплуатационной и технической документацией к этим средствам;

    подачу заявок в ФАПСИ или лицензиату, имеющему лицензию ФАПСИ на деятельность по изготовлению ключевых документов для СКЗИ, на изготовление ключевых документов или исходной . Изготовление из исходной ключевой информации ключевых документов, их распределение, рассылку и учет;

    расследование и составление заключений по фактам нарушения условий использования СКЗИ, которые могут привести к снижению уровня защиты конфиденциальной информации; разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

    разработку схемы организации криптографической защиты конфиденциальной информации (с указанием наименования и размещения нижестоящих органов криптографической защиты, если таковые имеются, обладателей конфиденциальной информации, реквизитов договоров на оказание услуг по криптографической защите конфиденциальной информации, а также с указанием типов применяемых СКЗИ и к ним, видов защищаемой информации, используемых совместно с СКЗИ технических средств связи, прикладного и общесистемного программного обеспечения и средств вычислительной техники). Указанную схему утверждает лицензиат ФАПСИ.

    8. Обладатели конфиденциальной информации, если они приняли решение о необходимости криптографической защиты такой информации или если решение о необходимости ее криптографической защиты в соответствии с принято государственными органами или государственными организациями, обязаны выполнять указания соответствующих органов криптографической защиты по всем вопросам организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации.

    9. Для организации взаимодействия обладателей конфиденциальной информации, безопасность хранения, обработки и передачи по каналам связи которой с использованием СКЗИ организуют и обеспечивают различные лицензиаты ФАПСИ, из созданных этими лицензиатами ФАПСИ органов криптографической защиты выделяется координирующий орган криптографической защиты. Все органы криптографической защиты, образованные этими лицензиатами ФАПСИ, обязаны выполнять указания координирующего органа криптографической защиты по обеспечению такого взаимодействия.