Введение
Деятельность, связанная с разработкой, производством, распространением и техническим обслуживанием шифровальных (криптографических) средств, подлежит обязательному лицензированию в Российской Федерации. Лицензирующим органом выступает Федеральная служба безопасности Российской Федерации (ФСБ России). Данная статья поможет разобраться в нормативно-правовой базе, лицензионных требованиях и порядке получения лицензии.
1. Нормативно-правовая база
Регулирование лицензирования криптографической деятельности осуществляется следующими документами:
| Документ | Ссылка | Значение |
|---|---|---|
| Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» | consultant.ru | Устанавливает общие принципы лицензирования |
| Постановление Правительства РФ от 16.04.2012 № 313 | garant.ru | Утверждает Положение о лицензировании криптографической деятельности |
| Приказ ФАПСИ от 13.06.2001 № 152 | garant.ru | Регламентирует организацию защиты информации с использованием СКЗИ |
| Приказ ФСБ России от 10.07.2014 № 378 | garant.ru | Утверждает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных |
| Приказ ФСБ РФ от 24.10.2022 № 524 | consultant.ru | Актуальные требования к криптографической защите информации |
Важно: ФАПСИ был упразднён в 2003 году, его функции переданы ФСБ России. Однако отдельные требования Инструкции № 152 остаются актуальными для организации внутренней криптографической защиты.
Дополнительные нормативные акты, влияющие на криптографическую деятельность:
| Документ | Ссылка | Примечание |
|---|---|---|
| Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» | consultant.ru | Определяет требования к конфиденциальности информации |
| Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» | consultant.ru | Регулирует защиту ПДн, в т.ч. с использованием СКЗИ |
| Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности КИИ РФ» | consultant.ru | Требования к защите критической информационной инфраструктуры |
| Постановление Правительства РФ от 01.11.2012 № 1119 | consultant.ru | Уровни защищённости персональных данных |
| Приказ ФСТЭК России от 18.02.2013 № 21 | fstec.ru | Требования к защите информации в государственных информационных системах |
2. Какие виды деятельности требуют лицензии
Согласно Приложению к Постановлению № 313, лицензированию подлежат 28 видов работ и услуг, объединённых в следующие категории:
2.1. Разработка и производство
- Разработка шифровальных (криптографических) средств
- Разработка защищённых информационных и телекоммуникационных систем
- Разработка средств изготовления ключевых документов
- Производство (тиражирование) шифровальных средств и защищённых систем
- Изготовление изделий для подтверждения прав доступа
2.2. Монтаж, ремонт и обслуживание
- Монтаж, установка, наладка шифровальных средств
- Ремонт и сервисное обслуживание шифровальных средств и защищённых систем
- Работы по обслуживанию согласно технической документации
2.3. Распространение и услуги
- Передача шифровальных средств и защищённых систем
- Предоставление услуг по шифрованию информации
- Предоставление услуг по имитозащите информации
- Предоставление защищённых каналов связи
- Изготовление и распределение ключевых документов
Полный перечень работ и услуг содержится в Приложении к Постановлению Правительства РФ № 313.
3. Деятельность, не требующая лицензии
Постановление № 313 (пункт 3) устанавливает исключения, когда лицензия не требуется:
| Категория | Примеры |
|---|---|
| Средства для защиты гостайны | Регулируются отдельными требованиями |
| Слабые криптоалгоритмы | Симметричные ≤ 56 бит, асимметричные ≤ 512 бит |
| Встроенные средства ОС | Криптовозможности неизменяемы пользователем |
| Смарт-карты | С ограниченной защитой персональной информации |
| Бытовое оборудование | POS-терминалы, банкоматы с неизменяемой криптографией |
| Мобильная связь | Без сквозного шифрования от абонента к абоненту |
| Беспроводное оборудование | Дальность < 400 м без усиления |
| Заблокированная криптография | Функция гарантированно заблокирована производителем |
4. Лицензионные требования
Для получения лицензии соискатель должен соответствовать следующим требованиям (пункт 6 Положения № 313):
4.1. Помещения и оборудование
- Право собственности или иное законное основание на помещения
- Наличие технологического, испытательного, контрольно-измерительного оборудования
- Оборудование должно пройти поверку и калибровку (для работ № 1-11, 16-19 перечня)
4.2. Квалифицированный персонал
| Категория работ | Требования к руководителю | Требования к инженерам |
|---|---|---|
| Разработка, производство, ремонт (п. 1, 4-6, 16, 19) | ВО по инфобезопасности + >1000 часов переподготовки + стаж ≥ 5 лет | Минимум 2 человека, ВО + >1000 часов + стаж ≥ 5 лет |
| Монтаж, наладка, обслуживание (п. 2, 3, 7-15, 17, 18, 20, 25-28) | ВО по инфобезопасности + >500 часов переподготовки + стаж ≥ 3 года | Минимум 1 человек, ВО + >500 часов + стаж ≥ 3 года |
| Отдельные виды работ (п. 21-24) | ВО или СПО по инфобезопасности + >100 часов | 1 человек с ВО или СПО по инфобезопасности |
Важно: Требования к образованию и стажу должны соответствовать Общероссийскому классификатору специальностей.
4.3. Конфиденциальность и допуск
- Условия для соблюдения конфиденциальности информации (по ФЗ «Об информации…»)
- Допуск к гостайне (для работ № 1, 4-6, 16, 19 перечня)
4.4. Программное обеспечение
- Использование ПО и баз данных на законном основании (собственность или лицензия)
4.5. Ограничения для иностранных лиц
Важно: Осуществление лицензируемой деятельности иностранными юридическими лицами не допускается (пункт 11 Положения № 313).
5. Порядок получения лицензии
5.1. Подача заявления
Заявление подаётся в ФСБ России одним из способов:
- Через Единый портал государственных услуг (Gosuslugi.ru)
- Непосредственно на бумажном носителе
- Заказным почтовым отправлением с уведомлением о вручении
Примечание: Для лицензий, выдаваемых ФСБ, электронная подача через портал может быть ограничена (ст. 13, ч. 5.1 ФЗ № 99-ФЗ).
5.2. Необходимые документы
| Документ | Назначение |
|---|---|
| Правоустанавливающие документы на помещения | Подтверждение законности владения |
| Внутренние распорядительные документы | Подтверждение условий конфиденциальности |
| Документы об образовании сотрудников | Дипломы, свидетельства о переподготовке |
| Трудовые книжки или сведения о трудовой деятельности | Подтверждение стажа работы |
| Должностные инструкции | Закрепление обязанностей персонала |
| Документы на оборудование | Поверка и калибровка приборов |
| Документ о допуске к гостайне | Для соответствующих видов работ |
5.3. Сроки рассмотрения
- Стандартный срок: до 45 рабочих дней (ст. 14, ч. 1 ФЗ № 99-ФЗ)
- Оценка соответствия: документарная и/или выездная (ст. 19.1 ФЗ № 99-ФЗ)
- Уведомление о результате: в течение 1 рабочего дня после внесения записи в реестр
5.4. Государственная пошлина
За предоставление лицензии уплачивается государственная пошлина в размере, установленном законодательством о налогах и сборах (ст. 10 ФЗ № 99-ФЗ).
Актуально: С 1 января 2024 г. по 31 декабря 2029 г. оплата госпошлин за предоставление лицензии не требуется (примечание к ст. 10 ФЗ № 99-ФЗ).
6. Действие лицензии
| Параметр | Значение |
|---|---|
| Срок действия | Бессрочно (ст. 9, ч. 4 ФЗ № 99-ФЗ) |
| Территория действия | Вся территория РФ (ст. 9, ч. 2 ФЗ № 99-ФЗ) |
| Внесение изменений | При изменении адреса, видов работ, реорганизации |
| Приостановление | При грубых нарушениях лицензионных требований |
| Аннулирование | По решению суда при неустранении нарушений |
7. Лицензионный контроль
Контроль за соблюдением лицензионных требований осуществляется:
- Плановые и внеплановые проверки (по ФЗ № 248-ФЗ «О государственном контроле…»)
- Периодическое подтверждение соответствия — каждые 3 года (ст. 19.3 ФЗ № 99-ФЗ)
- Оценка соответствия — при внесении изменений в реестр лицензий
7.1. Грубые нарушения
К грубым нарушениям относятся (пункт 11 Положения № 313):
- Отсутствие права на помещения
- Отсутствие допуска к гостайне (где требуется)
- Несоответствие квалификационным требованиям персонала
Последствия: приостановление лицензии на срок до 60 дней, при неустранении — аннулирование через суд.
8. Организация криптографической защиты внутри организации
Для организаций, использующих средства криптографической защиты информации (СКЗИ), рекомендуется руководствоваться Инструкцией ФАПСИ № 152 (текст), которая регламентирует:
8.1. Орган криптографической защиты
- Создание одного или нескольких органов криптографической защиты
- Письменное уведомление ФСБ о создании
- Назначение ответственных сотрудников
8.2. Учёт СКЗИ и ключевых документов
- Поэкземплярный учёт в журналах (Приложения 1-3 к Инструкции)
- Лицевые счета на каждого пользователя СКЗИ
- Отчётность об уничтожении ключевых документов (не реже 1 раза в год)
8.3. Хранение и защита
- Спецпомещения с надёжными замками и охранной сигнализацией
- Раздельное хранение действующих и резервных ключевых документов
- Опечатывание хранилищ и технических средств
8.4. Компрометация ключей
- Немедленный вывод из действия при подозрении на компрометацию
- Розыск и локализация последствий
- Уведомление органа криптографической защиты
9. Практические рекомендации
9.1. Перед подачей заявления
- Проведите аудит текущей деятельности на предмет необходимости лицензии
- Проверьте соответствие помещений лицензионным требованиям
- Убедитесь в наличии квалифицированного персонала с подтверждённым стажем
- Подготовьте внутренние распорядительные документы
9.2. В процессе лицензирования
- Следите за сроками устранения замечаний (30 дней)
- Обеспечьте доступ для выездной оценки
- Сохраняйте все документы в лицензионном деле
9.3. После получения лицензии
- Вносите изменения в реестр при изменении адреса или видов работ
- Проходите периодическое подтверждение соответствия (каждые 3 года)
- Ведите учёт СКЗИ и ключевых документов согласно Инструкции № 152
- Своевременно реагируйте на предписания лицензирующего органа
10. Ответственность за работу без лицензии
Осуществление лицензируемой деятельности без лицензии влечёт:
- Административную ответственность (ст. 14.1 КоАП РФ)
- Уголовную ответственность (ст. 171 УК РФ — при крупном ущербе)
- Конфискацию оборудования и продукции
- Приостановление деятельности
Заключение
Лицензирование криптографической деятельности — обязательное требование российского законодательства для всех организаций, работающих с шифровальными средствами. Процесс получения лицензии требует тщательной подготовки, соответствия квалификационным требованиям и соблюдения условий конфиденциальности.
Рекомендуется заблаговременно изучить нормативную базу, провести внутренний аудит и при необходимости обратиться за консультацией в лицензирующий орган (ФСБ России) для уточнения требований к конкретному виду деятельности.
Полезные ссылки и ресурсы
Официальные источники
- ФСБ России: fsb.ru
- ФСТЭК России: fstec.ru
- Роскомнадзор: rkn.gov.ru
- Портал госуслуг: gosuslugi.ru
Нормативные документы
Методические материалы ФСТЭК
- Базовая модель угроз безопасности ПДн
- Методика определения актуальных угроз ПДн
- Банк данных угроз ФСТЭК
- Требования по безопасности информации (приказы ФСТЭК)
Сертификация и стандарты
- Система сертификации ФСБ России
- Порядок проведения сертификации (приказ ФСТЭК № 240)
- ГОСТ Р 51583-2014 — Защита информации. Общие требования
- ГОСТ Р 56939-2024 — Защита информации. Уязвимости ПО