15 июля, 2012, BIS Journal №3(6)/2012

Кто предупреждён, вот вооружён


Левиев Дмитрий

Председатель Совета (НП «Партнерство специалистов по информационной безопасности»)

Сравнительный анализ новых требований лицензирования криптографических услуг, предоставляемых банками

В соответствии с новым федеральным законом о лицензировании отдельных видов деятельности Правительство РФ выпустило 16 апреля 2012 года постановление № 313. Главное − изменение перечня лицензируемых видов деятельности в области криптографических средств: вместо прежних 4 лицензий теперь выдается только одна, в которой указывается, какие из 28 видов деятельности будет осуществлять лицензиат. Чем новшество чревато для банков?

Чтобы помочь сотрудникам подразделений информационной безопасности банков лучше ориентироваться в новых требованиях ФСБ России к организациям, использующим средства криптографической защиты, предлагается таблица, в которой нововведения обстоятельно сравниваются со старыми нормами.

Сравнительная таблица лицензионных требований к кредитно-финансовым организациям для получения лицензий на ФСБ России на оказание услуг шифрования, технического обслуживания и распространение средств СКЗИ

Лицензионное требование

Требования ПП 957 (старые)

Требования ПП 313 (новые)

Выполнимость требования

1

Наличие помещений, технологического, испытательного, контрольно-измерительного оборудования, иных объектов и сооружений, необходимых для осуществления лицензируемой деятельности

Наличие у соискателя лицензии (лицензиата) на указанные сооружения и объекты права собственности или иного законного основания

Наличие у соискателя лицензии (лицензиата) права собственности или иного законного основания на владение и использование помещений, сооружений, технологического, испытательного, контрольно-измерительного оборудования и иных объектов, необходимых для осуществления лицензируемой деятельности

Отсутствует перечень, который необходим для осуществления деятельности, особенно учитывая вопросы выполнения требования к объектам автоматизации. Требования к помещениям, где осуществляется деятельность (адреса оказания услуг) выполнимы

2

Требования к образованию руководителя лицензируемого вида деятельности на оказание услуг шифрования информации и технического обслуживания СКЗИ (лицензии типа Х, У)

Высшее профессиональное образование или профессиональная подготовка в области информационной безопасности, стаж работы в области информационной безопасности не менее 5 лет

Высшее профессиональное образование по направлению подготовки информационная безопасность в соответствии с общероссийским классификатором специальностей и (или) переподготовка по одной из специальностей этого направления (нормативный срок − свыше 500 аудиторных часов), а также стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 3 лет

Невыполнимое требование.
Указанным требованиям отвечают выпускники вузов только 2009 года, т.к. действующая редакция общероссийского классификатора специальностей принята в 2004 году. Срок базового обучения по направлению информационная безопасность − 5 (6) лет. Отсутствует какой-либо нормативный документ, относящийся к специальностям, полученным при обучении до 2009 года

3

Требования к образованию руководителя лицензируемого вида деятельности по распространению СКЗИ (лицензия типа Р)

Высшее профессиональное образование или профессиональная подготовка в области информационной безопасности, стаж работы в области информационной безопасности не менее 5 лет

Руководитель и (или) лицо, уполномоченное руководить работами в рамках лицензируемой деятельности, имеющие высшее или среднее профессиональное образование по направлению подготовки информационная безопасность в соответствии с общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок − свыше 100 аудиторных часов)

Невыполнимое требование.
Указанным требованиям отвечают выпускники вузов только 2009 года, т.к. действующая редакция общероссийского классификатора специальностей принята в 2004 году. Базовый срок обучения по направлению информационная безопасность − 5 (6) лет. Отсутствует какой-либо нормативный документ, относящийся к специальностям, полученным при обучении до 2009 года

4

Требования к образованию инженерно-технического работника лицензируемого вида деятельности на оказание услуг шифрования и технического обслуживания СКЗИ (лицензии типа Х, У)

Высшее профессиональное образование или переподготовка (повышение квалификации) в области информационной безопасности, необходимая для работы с шифровальными (криптографическими) средствами

Инженерно-технический работник (минимум 1 человек), имеющий высшее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или) прошедший переподготовку по одной из специальностей этого направления (нормативный срок − свыше 500 аудиторных часов), а также имеющий стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 3 лет

Невыполнимое требование.
Указанным требованиям отвечают выпускники вузов только 2009 года, т.к. действующая редакция общероссийского классификатора специальностей принята в 2004 году. Базовый срок обучения по направлению Информационная безопасность − 5 (6) лет. Отсутствует какой-либо нормативный документ, относящийся к специальностям, полученным при обучении до 2009 года. В большинстве кредитно-финансовых организаций инженерно-технический персонал составляют молодые специалисты, имеющие, при наличии необходимого образования, стаж 1-2 года

5

Требования к образованию инженерно-технического работника лицензируемого вида деятельности по распространению СКЗИ (лицензия типа У)

Высшее профессиональное образование или прошедшие переподготовку (повышение квалификации) в области информационной безопасности, необходимую для работы с шифровальными (криптографическими) средствами

Инженерно-технический работник, имеющий высшее или среднее профессиональное образование по направлению подготовки информационная безопасность в соответствии с общероссийским классификатором специальностей

Требования к инженерно-техническому работнику при осуществлении лицензируемого вида деятельности распространение СКЗИ выше, чем к его руководителю, что нарушает требования Трудового кодекса РФ.
Требования к инженерно-техническому работнику по распространению СКЗИ противоречаттребованиям к техническому персоналу, непосредственно осуществляющему деятельность по созданию и выдаче сертификатов в соответствии с пп. 4 п. 3 с. 16 федерального закона 63-ФЗ от 06.04.2011 «Об электронной подписи» (иметь высшее профессиональное образование в области информационных технологий или информационной безопасности либо высшее или среднее профессиональное образование с последующим прохождением переподготовки или повышения квалификации по вопросам использования электронной подписи)

6

Требования, устанавливаемые в соответствии со статьями 11.2 и 13 федерального закона «О федеральной службе безопасности»

Выполнение указанных требований

Выполнение указанных требований

В настоящий момент кредитно-финансовыми организациями выполнение указанного требованияосуществляется формально на основании ФЗ-294 и федерального закона «Об оперативно-розыскной деятельности»

7

Представление перечня СКЗИ

Представление перечня шифровальных (криптографических) средств, в том числе иностранного производства, не имеющих сертификата Федеральной службы безопасности РФ или Федерального агентства правительственной связи и информации при Президенте РФ, технической документации, определяющей состав, характеристики и условия эксплуатации этих средств, и (или) образцов шифровальных (криптографических) средств

Представление соискателем лицензии (лицензиатом) в лицензирующий орган перечня шифровальных (криптографических) средств, в том числе иностранного производства, не имеющих сертификата Федеральной службы безопасности РФ, технической документации, определяющей состав, характеристики и условия эксплуатации этих средств, и (или) образцов шифровальных (криптографических) средств

Выполнимо

8

Использование программ для ЭВМ

Использование лицензионного программного обеспечения на основании договора, заключенного с правообладателем

Использование соискателем лицензии (лицензиатом) предназначенных для осуществления лицензируемой деятельности программ для электронных вычислительных машин и баз данных, принадлежащих соискателю лицензии (лицензиату) на праве собственности или ином законном основании

Выполнимо согласно 4 части ГК РФ

9

Реализациякриптографическихалгоритмов при техническомобслуживании и оказании услуг шифрованияинформации

Реализация криптографических алгоритмов, рекомендованных лицензирующим органом, в разрабатываемых шифровальных (криптографических) средствах, применяемых в информационно− телекоммуникационных системах и сетях критически важных объектов, федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, органов местного самоуправления и организаций, осуществляющих выполнение работ или оказание услуг с использованием шифровальных (криптографических) средств для государственных и муниципальных нужд

Нет

Требования по использованию сертифицированных алгоритмов установлены приказом ФСБ России от 27 декабря 2011 г. № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра» (зарегистрировано в Минюсте РФ 09 февраля 2012 № 23191)

10

Требования к средствамобработки информации

Применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями к защите информации

Наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными федеральным законом «Об информации, информационных технологиях и о защите информации»

Смотри примечание

11

Требования ведения учета

Ведение лицензиатом учета изготовления, выдачи, возврата и уничтожения ключевых документов

Нет

Ведение учёта ведётся согласно приказу ФАПСИ от 13.06.2001 №152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (зарегистрирован в Минюсте РФ 06.08.2001 №2848)

12

Требования уничтожения исходной ключевой информации

Обеспечение лицензиатом уничтожения исходной ключевой информации путем физического уничтожения носителя, на котором она расположена, или путем стирания (разрушения) исходной ключевой информации без повреждения носителя (для обеспечения возможности его многократного использования) в соответствии с эксплуатационной и технической документацией к соответствующим шифровальным (криптографическим) средствам, а также с указаниями организации, производившей запись исходной ключевой информации

Нет

Порядок уничтожения исходной ключевой информации определён Приказом ФАПСИ от 13.06.2001 №152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (зарегистрирован в Минюсте РФ 06.08.2001 №2848)

13

Наличие поверенного оборудования

Нет

Наличие у соискателя лицензии приборов и оборудования, прошедших поверку и калибровку в соответствии с федеральным законом «Об обеспечении единства измерений», принадлежащих ему на праве собственности или ином законном основании и необходимых для выполнения работ и оказания услуг, указанных в п. 7 (производство (тиражирование) шифровальных (криптографических) средств)

Отсутствует перечень приборов и оборудования, необходимый для выполнения указанного пункта. Кредитно-финансовые организации выполняют тиражирование СКЗИ в системах Банк-Клиент для выдачи своим партнерам и клиентам на основании договора с правообладателем или на основании лицензии Роскомнадзора по изготовлению экземпляров аудиовизуальных произведений, программ для электронных вычислительных машин (программ для ЭВМ), баз данных и фонограмм на любых видах носителей (за исключением случаев, если указанная деятельность самостоятельно осуществляется лицами, обладающими правами на использование указанных объектов авторских и смежных прав в силу федерального закона или договора)

 

ПРИМЕЧАНИЯ

  • Согласно п.12 ст. 2 федерального закона «Об информации, информационных технологиях и о защите информации», лицензиат является оператором информационной системы, использованием которой он оказывает лицензируемые виды деятельности.
  • Согласно ст. 9 федерального закона «Об информации, информационных технологиях и о защите информации» оператор системы обязан принимать меры по обеспечению конфиденциальности информации.
  • Согласно п.6 ст. 13 федерального закона «Об информации, информационных технологиях и о защите информации» при создании и эксплуатации информационных систем оператор обязан выполнять требования действующих федеральных законов РФ.
  • При оказании услуг по шифрованию или выдаче ключевой информации при использовании средств ЭП и УЦ согласно ПКЗ-2005 ключевая информация отнесена к конфиденциальной информации.
  • Согласно федеральному закону «Об электронной подписи» и приказу ФСБ РФ от 27.12.2011 №795 «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи» (зарегистрированоному в Минюсте РФ 27.01.2012 N 23041) установлен перечень обрабатываемой информации, который по федеральному закону «О персональных данных» и действующих постановлений Правительства РФ №687 и №781 требует использования сертифицированных средств защиты информации и проведение оценки соответствия.
  • Согласно федеральному закону «О лицензировании отдельных видов деятельности» и постановлению Правительства РФ от 03.02.2012 №79 «О лицензировании деятельности по технической защите конфиденциальной информации» (вместе с «Положением о лицензировании деятельности по технической защите конфиденциальной информации») каждый лицензиат ФСБ России обязан иметь лицензию ФСТЭК России на техническую защиту конфиденциальной информации. Или − привлекать для выполнения работ (оказания услуг) организацию, имеющую указанную лицензию на установку, монтаж, испытания и ремонт средств защиты информации (технических средств защиты информации, защищённых технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно технических) средств обработки информации, программных (программно- технических) средств контроля защищенности информации), пройти аттестационные испытания и аттестацию на соответствие требованиям по защите информации.

Как видим, требования к оборудованию и техническим средствам хоть и ужесточились, но их при соответствующих затратах можно выполнить. Опасения внушают требования к персоналу. В первую очередь − наличия у инженерно-технических специалистов и руководителей лицензируемых видов деятельности и соответствующего образования, и трудового стажа. Если по отдельности эти требования предельно жесткие, то вместе − и говорить нечего! Однако исполнять придется: невыполнение требований по персоналу является грубым нарушением лицензионных требований и карается очень жёстко.

Что касается квалификационных требований, то главную трудность представляет недоработка Министерства образования и науки РФ, издавшего в 2004 году общероссийский классификатор специальностей, в котором есть перечень направления информационной безопасности. Зато нет ни одного нормативного документа соотнесения с новой классификацией дипломов, полученных до 2004 года.

Таким образом, руководители лицензируемых видов деятельности, связанной с использованием крипто- средств, получившие образование в СССР, сразу перестали соответствовать лицензионным требованиям. Хотя имеют большой стаж по работе с шифровальными средствами, в том числе, в силовых ведомствах − более 10, а некоторые и свыше 20 лет. Для повышения квалификации как для руководителя, так и для инженерно-технического персонала необходимо пройти курсы объёмом более 500 аудиторных часов. Указанный объём − это обучение в течение семестра с полным отрывом от работы или в течение 9 месяцев занятий по вечерам.

Но есть банки, которые сами разрабатывают информационные системы, защищённые использованием шифровальных (криптографических) средств. В этом случае необходимо пройти повышение квалификации более 1 000 часов и при этом в штате должно быть не менее 2 инженерно-технических работников и руководитель, т.е. банк должен иметь 3 сотрудника в штате.

Поневоле руководство банка задается вопросом: готов ли банк фактически выключить на 1 год (обучения по вечерам) из рабочего процесса работника и оплатить ему не только это время, но и дорогостоящий учебный курс? Сформировать и сохранять такую команду профессионалов достаточно проблематично. Ведь согласно Трудовому кодексу РФ работник может уйти через 2 недели после написания заявления об уходе и никаким договором не заставишь его работать дольше. Максимально, что получится вернуть − затраты финансовые, но не потраченное время.

Да и совсем уж чудесная ситуация складывается с требованиями лицензирования распространения криптографических средств и клиентских модулей систем Банк-Клиент. Согласно новым нормам, руководителем может быть любой сотрудник банка, прошедший 100-часовые курсы без опыта работы. А вот простым инженером, который выдает криптосредства − только специалист с профильным образованием. Указанное требование противоречит требованиям федерального закона «Об электронной подписи» по аккредитации удостоверяющих центров. Но у нас никто не обращает внимание на такие нестыковки нормативно-правовых актов.

Как было сказано выше, помимо образования, новые правила требуют от работника еще и минимум 3 лет стажа, что не мотивирует банки принимать на работу молодых специалистов. Пока не ясно, где им набирать этот стаж. Специалистов, у которых есть стаж, место рядового исполнителя, а не руководителя лицензируемого вида деятельности, может привлечь только приличным окладом. Таким образом, банкам следует быть готовыми увеличить оплату труда.

Впрочем, и этого зачастую оказывается мало. Дело в том, что спрос в данном сегменте рынка труда давно уже опережает предложение, и разрыв этот неуклонно продолжает расти. Причём объективно новые лицензионные требования тому способствуют. Специалисты с профильным образованием нужны не только банку, но и каждому отдельному его филиалу. И не только им, но и внебюджетным фондам, в том числе пенсионного и обязательного медицинского страхования. Причём каждому региональному отделению, а также банковским субагентам, интеграторам.

А как быть с открывающимися повсеместно удостоверяющими центрами? Так что самое время с нашей табличкой в руках всерьез подумать, а нужно ли получать лицензию. Допустим, если у какого-то регионального филиала всего 5 клиентов, стоит ли ему получать её, или можно воспользоваться услугами фельдъегерской почты? А кому-то, возможно, проще сдать свою информационную безопасность в аутсорсинг местному интегратору, у которого необходимые лицензии имеются.

Серьёзное беспокойство вызывает положение небольших региональных банков. Им новые требования к лицензированию создают крайне неблагоприятные условия. Персонала у них не так много, и содержать собственную команду в области криптосредств накладно. В регионах положение с аутсорсингом тоже не на высоком уровне − как правило, это одна организация в регионе. В этом случае возможна ситуация, поражающая свой комичностью: банки получают в качестве ещё одного регулятора Федеральную антимонопольную службу − ФАС России. Которая установит для региона фиксированные нерыночные тарифы на оказание услуг с использованием криптосредств, рассчитанные её экспертами.

Все вышеизложенное − повод заранее задуматься о необходимых действиях и повышении квалификации персонала, включая создание кадрового резерва. В конце концов, ещё древние говорили: кто предупреждён, тот вооружён.

 

Смотрите также

Подпишись на новости!
Подписаться