Работа с криптографическими средствами (СКЗИ) в Российской Федерации строго регламентирована. Любая коммерческая или организационная деятельность, связанная с шифрованием, требует соблюдения двух уровней регулирования: получения лицензии на деятельность и организации внутреннего режима защиты информации.
Настоящая статья основана на актуальных нормативных правовых актах и предназначена для помощи в навигации по регуляторным требованиям.
Важно: Все ссылки в статье ведут на официальные или проверенные источники нормативной документации.
1. Нормативная база: на что опираться
Деятельность в области криптографической защиты информации регулируется следующими основными документами:
Федеральное законодательство
| Документ | Ссылка |
|---|---|
| Федеральный закон «О лицензировании отдельных видов деятельности» от 04.05.2011 № 99-ФЗ | consultant.ru |
| Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ | consultant.ru |
| Федеральный закон «О безопасности критической информационной инфраструктуры РФ» от 26.07.2017 № 187-ФЗ | consultant.ru |
| Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ | consultant.ru |
Подзаконные акты и ведомственные документы
| Документ | Ссылка |
|---|---|
| Постановление Правительства РФ от 16.04.2012 № 313 «О лицензировании деятельности по разработке, производству, распространению шифровальных средств…» | garant.ru |
| Приказ ФАПСИ от 13.06.2001 № 152 «Инструкция об организации и обеспечении безопасности… с использованием СКЗИ» | garant.ru |
| Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Порядка проведения работ по сертификации СКЗИ» | garant.ru |
| Приказ ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных средств» | kontur.ru |
Стандарты и методические документы
| Документ | Ссылка |
|---|---|
| ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищённом исполнении» | cntd.ru |
| ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения» | cntd.ru |
| Методический документ ФСТЭК «Меры защиты информации в государственных информационных системах» | fstec.ru |
| Требования по безопасности информации (приказ ФСТЭК № 17 от 11.02.2013) | fstec.ru |
Полезные ресурсы
| Ресурс | Ссылка |
|---|---|
| Центр по лицензированию, сертификации и защите государственной тайны ФСБ России | clsz.fsb.ru |
| Система сертификации ФСБ России | clsz.fsb.ru |
| Банк данных угроз безопасности информации ФСТЭК | bdu.fstec.ru |
| Реестр операторов персональных данных (Роскомнадзор) | pd.rkn.gov.ru |
2. Когда требуется лицензия ФСБ?
Лицензирование деятельности в области шифрования осуществляется Федеральной службой безопасности Российской Федерации (ФСБ России).
Лицензия необходима юридическим лицам и индивидуальным предпринимателям, планирующим осуществлять следующие виды деятельности (Постановление № 313, Приложение):
- Разработка: шифровальных средств, защищённых информационных и телекоммуникационных систем, средств изготовления ключевых документов.
- Производство: тиражирование шифровальных средств и защищённых систем.
- Распространение: передача шифровальных средств и ключевых документов (за исключением случаев передачи для собственных нужд).
- Техническое обслуживание: монтаж, наладка, ремонт, сервисное обслуживание шифровальных средств и защищённых систем.
- Услуги: предоставление услуг по шифрованию, имитозащите информации, предоставление защищённых каналов связи, изготовление и распределение ключевых документов.
Исключения: когда лицензия не нужна
Согласно п. 3 Постановления № 313, лицензирование не распространяется на деятельность с использованием:
- Средств для защиты информации, составляющей государственную тайну (для них существует отдельный режим).
- Средств со слабой криптографией (симметричный ключ ≤ 56 бит, асимметричный алгоритм с размером чисел ≤ 512 бит и т.д.).
- Товаров массового применения, где криптография недоступна пользователю или ограничена (например, защита паролей, электронная подпись в бытовых целях).
- Программных ОС, где криптографические возможности не могут быть изменены пользователем.
- Персональных смарт-карт ограниченного применения.
- Приемной аппаратуры радиовещания и ТВ (без сквозного шифрования сигнала).
- Оборудования для защиты авторских прав (контроль копирования).
- Банковских терминалов (POS, банкоматы) с неизменяемыми криптовозможностями.
- Мобильных средств гражданской связи без сквозного шифрования.
- Беспроводного оборудования с дальностью действия менее 400 метров (за исключением критически важных объектов).
- Средств для защиты технологических каналов, не относящихся к критически важным объектам.
- Товаров с гарантированно заблокированной криптографической функцией.
Рекомендация: Перед началом деятельности целесообразно направить запрос в Центр по лицензированию ФСБ для получения официального разъяснения о необходимости лицензирования в конкретной ситуации.
3. Лицензионные требования к соискателю
Для получения лицензии организация должна соответствовать ряду жестких требований (Постановление № 313, п. 6):
3.1. Помещения и материальная база
- Наличие права собственности или иного законного основания на владение помещениями, необходимыми для деятельности.
- Наличие условий для соблюдения конфиденциальности информации (согласно ФЗ «Об информации…»).
- Наличие приборов и оборудования, прошедших поверку и калибровку (для работ по разработке, производству, ремонту и т.д.).
3.2. Персонал
В штате должны присутствовать квалифицированные специалисты по направлению «Информационная безопасность». Требования зависят от вида работ:
| Категория работ | Требования к руководителю | Требования к инженерно-техническому персоналу |
|---|---|---|
| Повышенной сложности (разработка, производство СКЗИ, ключевых документов) | Высшее образование или переподготовка (>1000 часов), стаж ≥ 5 лет | Мин. 2 человека: высшее образование или переподготовка (>1000 часов), стаж ≥ 5 лет |
| Средней сложности (монтаж, наладка, обслуживание систем) | Высшее образование или переподготовка (>500 часов), стаж ≥ 3 лет | Мин. 1 человек: высшее образование или переподготовка (>500 часов), стаж ≥ 3 лет |
| Отдельные виды работ | Высшее/среднее проф. образование или переподготовка (>100 часов) | Высшее или среднее проф. образование |
3.3. Допуск к государственной тайне
Для выполнения работ, указанных в пунктах 1, 4-6, 16 и 19 Перечня (разработка, производство средств шифрования и ключевых документов, ремонт), наличие допуска к государственной тайне обязательно.
4. Организация работы с СКЗИ: внутренние требования
Получение лицензии даёт право на деятельность, но эксплуатация криптографических средств требует соблюдения строгого внутреннего режима. Основным документом, регламентирующим эти процессы для информации конфиденциального характера (не содержащей гостайну), является Инструкция (Приказ ФАПСИ № 152).
4.1. Орган криптографической защиты
Лицензиат должен создать один или несколько органов криптографической защиты (ОКЗ) или возложить эти функции на специальное структурное подразделение (п. 6 Инструкции).
Функции ОКЗ:
- Проверка готовности пользователей к работе с СКЗИ.
- Разработка мероприятий по безопасности.
- Обучение персонала.
- Поэкземплярный учёт СКЗИ и ключевых документов.
- Заявки на изготовление ключевых документов.
- Контроль за соблюдением условий использования СКЗИ.
- Расследование нарушений.
4.2. Работа с ключевыми документами
Ключевые документы (носители ключевой информации) требуют особого обращения (Раздел III Инструкции):
- Учёт: Ведутся журналы поэкземплярного учёта СКЗИ и ключевых документов (Приложения 1, 2 к Инструкции). Каждая единица учёта регистрируется отдельно.
- Хранение: Действующие и резервные ключевые документы хранятся раздельно в шкафах (ящиках, хранилищах) индивидуального пользования, исключающих бесконтрольный доступ (п. 30).
- Передача: Допускается только между пользователями и сотрудниками ОКЗ под расписку. Пересылка почтой возможна только для документации, ключевые документы пересылаются фельдъегерской связью или нарочными (п. 32-33).
- Уничтожение: Ключевые документы уничтожаются в сроки, указанные в документации, или не позднее 10 суток после вывода из действия. Факт уничтожения оформляется актом или отметкой в журнале (п. 45-46).
- Компрометация: При подозрении на компрометацию ключи должны быть немедленно выведены из действия (п. 47).
4.3. Требования к помещениям (Спецпомещения)
Помещения, где установлены СКЗИ или хранятся ключевые документы, должны быть оборудованы специальным образом (Раздел IV Инструкции):
- Конструкция: Прочные входные двери с замками. Окна на первых/последних этажах или возле пожарных лестниц должны иметь решётки, ставни или сигнализацию (п. 52).
- Охрана: Спецпомещения ОКЗ должны быть оснащены охранной сигнализацией (п. 57).
- Хранилища: Наличие металлических хранилищ (сейфов) с внутренними замками и приспособлениями для опечатывания (п. 58).
- Ключи: Ключи от помещений и хранилищ учитываются, нумеруются и выдаются под расписку. Дубликаты хранятся в сейфе руководителя ОКЗ (п. 55, 58).
- Режим: Двери должны быть постоянно закрыты на замок. В нерабочее время хранилища опечатываются (п. 59).
4.4. Персонал
- К работе с СКЗИ допускаются лица, включённые в перечень пользователей, утверждённый обладателем информации (п. 19).
- Пользователи обязаны не разглашать сведения о криптоключах и немедленно сообщать об утрате ключевых документов (п. 20).
- Допуск к работе возможен только после обучения и сдачи зачётов комиссией ОКЗ (п. 21).
5. Пошаговое руководство к действию
Для легального начала работы в области шифрования рекомендуется следующий алгоритм:
Этап 1: Аудит деятельности
- Определите, подпадает ли ваша деятельность под лицензирование (см. раздел 2).
- Если вы планируете только использовать СКЗИ для собственных нужд (без оказания услуг и распространения), лицензия может не требоваться, но требования по организации защиты (Инструкция № 152) остаются актуальными.
- При необходимости направьте запрос в Центр по лицензированию ФСБ для официального разъяснения.
Этап 2: Подготовка инфраструктуры
- Оборудуйте помещения согласно требованиям к спецпомещениям (сейфы, сигнализация, решётки).
- Приобретите необходимое поверенное оборудование.
- Обеспечьте условия для соблюдения конфиденциальности информации в соответствии с ФЗ-149.
Этап 3: Подбор персонала
- Наймите специалистов с профильным образованием («Информационная безопасность») и необходимым стажем.
- Оформите должностные инструкции.
- Организуйте обучение сотрудников (при необходимости — через организации с лицензией на образовательную деятельность).
Этап 4: Организация внутреннего режима
- Приказом назначьте ответственных за криптографическую защиту.
- Разработайте и утвердите инструкции по работе с СКЗИ.
- Заведите журналы учёта (поэкземплярный учёт СКЗИ, ключевых документов, технический журнал).
- Организуйте обучение пользователей и проведите аттестацию.
Этап 5: Подача заявления в ФСБ
- Подготовьте пакет документов:
- Копии документов на помещения.
- Дипломы сотрудников, трудовые книжки.
- Сведения об оборудовании.
- Перечень СКЗИ, с которыми планируется работа.
- Копии внутренних распорядительных документов о соблюдении конфиденциальности.
- Подайте заявление через портал госуслуг или в территориальный орган ФСБ.
Этап 6: Прохождение оценки
- Лицензирующий орган проведёт документарную и выездную оценку соответствия лицензионным требованиям.
- При необходимости предоставьте образцы СКЗИ и техническую документацию.
Этап 7: Получение лицензии
- При успешном прохождении проверки сведения вносятся в реестр лицензий.
- Лицензия выдаётся в электронной форме или на бумажном носителе.
Полезный ресурс: Информация о порядке сертификации СКЗИ доступна на сайте Центра по лицензированию ФСБ.
6. Контроль и ответственность
Лицензионный контроль осуществляет ФСБ России (Постановление № 313, п. 13).
Виды контроля
| Вид контроля | Кто проводит | Что проверяется |
|---|---|---|
| Лицензионный контроль | ФСБ России | Соответствие деятельности лицензионным требованиям, условия использования СКЗИ |
| Государственный контроль | ФСТЭК России, ФСБ России | Организация защиты информации, уровень криптографической защиты |
| Ведомственный контроль | Орган криптографической защиты лицензиата | Соблюдение обладателями информации указаний по организации защиты |
Возможные последствия нарушений
- Предписание: Устранение выявленных недостатков в установленный срок.
- Приостановление лицензии: При выявлении грубых нарушений (ФЗ-99, ст. 19).
- Аннулирование лицензии: При неустранении нарушений в срок или при неоднократных нарушениях.
- Запрет на использование СКЗИ: При реальной угрозе утечки конфиденциальной информации (п. 74 Инструкции № 152).
- Административная/уголовная ответственность: За нарушение правил работы с конфиденциальной информацией.
Важно: Выявление серьёзных нарушений, из-за которых становится реальной утечка конфиденциальной информации, может привести к немедленному прекращению использования СКЗИ до устранения причин нарушений (п. 74 Инструкции № 152).
7. Дополнительные рекомендации
7.1. Сертификация СКЗИ
Использование несертифицированных СКЗИ для защиты информации, подлежащей обязательной защите, не допускается. Реестр сертифицированных средств доступен на сайте Центра по лицензированию ФСБ.
7.2. Учёт угроз безопасности
При построении системы защиты информации рекомендуется использовать:
- Базовую модель угроз безопасности персональных данных
- Банк данных угроз ФСТЭК
- Методику оценки угроз безопасности информации
7.3. Соответствие отраслевым требованиям
Если ваша деятельность связана с обработкой персональных данных, дополнительно необходимо соблюдать:
- Постановление Правительства № 1119 — уровни защищённости ПДн.
- Приказ ФСТЭК № 17 — требования к защите ПДн.
- Приказ ФСТЭК № 21 — требования к ИСПДн.
7.4. Документирование процессов
Вся деятельность по организации криптографической защиты должна быть документально зафиксирована:
- Приказы о назначении ответственных.
- Инструкции по работе с СКЗИ.
- Журналы учёта (СКЗИ, ключевых документов, технического обслуживания).
- Акты уничтожения ключевых документов и СКЗИ.
- Отчёты об обучении персонала.
Заключение
Работа с криптографией в России требует комплексного подхода. Лицензия ФСБ подтверждает право на деятельность, но реальная безопасность обеспечивается ежедневным соблюдением инструкций по учёту, хранению и уничтожению ключевой информации. Игнорирование требований к спецпомещениям или персоналу может привести не только к штрафам, но и к аннулированию лицензии и запрету на использование средств защиты информации.
Ключевые принципы успешного соблюдения регуляторных требований:
- Заблаговременность: Начинайте подготовку к лицензированию за 6–12 месяцев до планируемого старта деятельности.
- Документирование: Любое действие с СКЗИ должно быть зафиксировано в соответствующем журнале или акте.
- Обучение: Регулярно проводите обучение и аттестацию персонала, работающего с криптографией.
- Актуализация: Следите за изменениями в нормативной базе — требования могут обновляться.
- Взаимодействие: Поддерживайте контакт с территориальными органами ФСБ и ФСТЭК для получения актуальных разъяснений.
Статья подготовлена на основе анализа нормативных правовых актов Российской Федерации. Все ссылки на документы проверены и актуальны на момент публикации.