Новости

Всем привет! В полупраздничную первую половину мая произошло несколько важных событий, о которых хочу рассказать и структурировать информацию для себя. Итак:

1. Аккредитация УЦ

Опубликован Приказ Министерства связи и массовых коммуникаций РФ от 23 ноября 2011 г. N 320 «Об аккредитации удостоверяющих центров» (зарегистрировано в Минюсте РФ 4 мая 2012 г., регистрационный N 24067). Данный нормативный акт утверждает: Правила аккредитации удостоверяющих центров и Порядок проверки соблюдения аккредитованными удостоверяющими центрами требований, на соответствие которым эти удостоверяющие центры были аккредитованы.

Фактически Приказ дает зеленый свет квалифицированной электронной подписи.

 

— сообщает нам www.cryptopro.ru. Фактически это означает, что для УЦ начались жаркие дни в погоне за получением очередного статуса Аккредитованного Удостоверяющего Центра, которые у нас не раздает разве что ленивый. Тем не менее, именно этот статус, по всей видимости, будет основным в нашем государстве, поскольку даст право выдавать сертификаты квалифицированной электронной подписи, в соответствии с 63-ФЗ.

Из основных требований к аккредитованному УЦ —

1) стоимость чистых активов УЦ составляет не менее чем один миллион рублей;

2)  наличие  финансового  обеспечения  ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном таким  УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем полтора миллиона рублей;

3) наличие средств электронной подписи  и  средств  УЦ, получивших подтверждение соответствия требованиям, установленным федеральным органом

исполнительной власти в области обеспечения безопасности;

4) наличие в штате УЦ не  менее  двух  работников, непосредственно осуществляющих деятельность по созданию  и  выдаче  сертификатов   ключей

проверки  электронных   подписей, имеющих высшее профессиональное образование  в  области  информационных  технологий  или   информационной

безопасности либо высшее или среднее  профессиональное образование с последующим прохождением переподготовки или  повышения  квалификации   по

вопросам использования электронной подписи.

Вроде бы ничего сверхестественного. На момент написания поста, не смотря на отсутствие сертификатов ФСБ на КриптоПро УЦ 1.5R2 и СКЗИ КриптоПро CSP, позиция Ю.Г. Маслова — «аккредитуйтесь», чем мы, собственно и начали заниматься.

2. Лицензирование ФСБ

Постановлением Правительства от 16 апреля 2012 г. №313 утверждено Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)

За ужасным названием кроется порядок лицензирования ФСБ, который раньше был описан в 957-го Постановлении Правительства РФ «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами». Эпоха с тремя каноничными лицензиями уходит в прошлое, на смену им идет одна лицензия с включенными пунктами, касаемы рода деятельности, связанно с криптографией. Выбрать есть из чего, всего их 28. На фоне всех требований выделяются требования к персоналу, в частности, к его компетенции и образованию.

Посчитаем вместе с Алексеем Лукацким:

В зависимости от вида лицензируемых работ и услуг необходимо иметь высшее профессиональное образование по специальности, переподотовку в течение 1000 (500 или 100) аудиторных часов и иметь стаж 5 (3) года. Кстати, 1000 аудиторных часов — это полноценный институтский курс по информационной безопасности, читаемый в течении 5-6 лет! Где руководители будут получать такое обучение? Ни один учебный центр не в состоянии не то что появившийся спрос удовлетворить, но и вообще реализовать это требование. 1000 часов! Это к слову 125 полностью загруженных (по 8 часов) рабочих дней.

и Ю.Г. Масловым:

Подскажите под какие виды работ по данному постановление попадает УЦ?

Это зависит от того, какие функции (действия) УЦ прописаны в договоре (регламенте), заключаемого между УЦ и пользователем:
Если УЦ работает в централизованном режиме т.е. сотрудник УЦ формирует ключевую информацию для пользователей, то:
21. Передача шифровальных (криптографических) средств.
28. Изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств.

Если УЦ работает в распределённом режиме т.е. пользователь УЦ сам формирует себе ключевую информацию, используя АРМ пользователя «КриптоПро УЦ», то:
25. Предоставление услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей.

Если УЦ предоставляет пользователям дистрибутивы СКЗИ и/или лицензии на право использования СКЗИ, то:
21. Передача шифровальных (криптографических) средств.

Если УЦ оказывает услуги пользователям по установке и/или настройке СКЗИ, то:
12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств.

Если УЦ оказывает услуги пользователям по техническому обслуживанию имеющихся у них СКЗИ, то:
20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства.

Вот как-то так видится…

Итого имеем: нужен руководитель, имеющий  высшее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок — свыше 500 аудиторных часов), а также имеющие стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 3 лет и  инженерно-технический работник (минимум 1 человек), имеющий высшее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или) прошедший переподготовку по одной из специальностей этого направления (нормативный срок — свыше 500 аудиторных часов), а также имеющий стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 3 лет.

Думаю, сейчас многие руководители задумались о своих часах, а может быть и стаже, и своих работниках :). Не совсем ясным видится и необходимость оперативного переоформления организациями своих трех действующих лицензий, раньше окончания срока их действия. Если не надо — то есть время. Если надо — то это очень грустно.

3. Электронные счета-фактуры.

Федеральная налоговая служба () сформулировала требования к «операторам электронного документооборота». Речь идет о компаниях, имеющих право передавать в налоговую и контрагентам электронные счета-фактуры (ЭСФ). Служба опубликовала приказ, утверждающий «временное положение о сети доверенных операторов электронного документооборота» и аналогичный документ о порядке присоединения к этой сети.

-сообщает cnews.ru

Напомню, в апреле Минюст зарегистрировал другой приказ ФНС, утверждающий форматы самих счетов-фактур, журнала их учета и других связанных с электронным документооборотом документов. Ранее же, было опубликовано письмо ФНС, которое говорило о том, что требования к операторам ЭСФ во многом аналогичны требованиям к спеоператорам связи в рамках подачи электронных налоговых деклараций.

Во «Временном положении о Сети доверенных  операторов электронного документооборота» вполне ожидаемые фразы, а вот во «Временном Положении о порядке присоединения к Сети доверенных операторов электронного документооборота» присутствует одна деталь — в дополнении к традиционным для спецоператора трем лицензиям ФСБ и лицензией Минкомсвязи на телематические услуги связи, добавлена лицензия ФСТЭк на техническую защиту конфиденциальной информации. Причем для лицензии на телематику сделана поблажка в виде возможности заключения договора с лицензиатом при отсутствии собственной лицензии, а вот лицензию ФСТЭК придется иметь собственную и никак иначе. Это печально и, на мой взгляд, мало поддается логическому объянению. Получить лицензию ФСТЭК на ТКЗИ — достаточно ёмкая, во всех смыслах, процедура.

Вот такие дела, будьте в курсе!

 

Связанные записи

Метки: , , , , , ,