ФСБ предложила ослабить регулирование внутрикорпоративного использования криптозащиты

В двадцатых числах мая ФСБ России на сайте общественного обсуждения нормативных актов опубликовала проект постановления Правительства об изменении положения о лицензировании деятельности по разработке, производству, распространению шифровальных средств, информационных и телекоммуникационных систем, которое было утверждено постановлением Правительства РФ №313 в 2012 году. Общественное обсуждение проекта изменений продлится до 3 июня.



Нечеткость формулировки подпунктов 12-15 постановления №313 давала основания проверяющим со стороны ФСБ предъявлять претензии по отсутствию лицензирования. Так, Алексей Заглодин, руководитель направления в департаменте методологии информационной безопасности «Ростелекома», рассказал TAdviser, что во время проверки, проводившейся в одной учебной организации, был выявлен факт самостоятельной установки средства криптографической защиты информации (СКЗИ) системным администратором на рабочие компьютеры сотрудников и предъявлены нарушения по подпункту 12 постановления о лицензировании.

«Например, компания использует криптопровайдер для работы с электронной подписью, но устанавливает и администрирует его своими силами. Это может вызвать вопросы при проверке. Формально речь идет не о предоставлении криптографических услуг третьим лицам, а о защите собственных процессов» – привел TAdviser другой пример Игорь Тюкачев, руководитель отдела по развитию бизнеса «Индид».

Хотя администратор старается усилить безопасность корпоративной сети или просто соблюсти требования по взаимодействию с государственными ИС, которые, как правило, требуют защищенных коммуникаций. Однако самостоятельное внедрение этих инструментов может привести к нарушению лицензионного законодательства с соответствующими юридическими последствиями для компании – штрафам или даже приостановлению деятельности.

Такая деятельность может быть квалифицирована как незаконное предпринимательство, что может привести к штрафу в размере до 500 тыс. рублей или лишению свободы до 5 лет. В результате создается достаточно жесткое юридическое ограничение для как для использования СКЗИ, так и для реализации требований по взаимодействию с государственными информационными системами.

Именно поэтому в обсуждаемом документе ведомство предлагает исключить из положения необходимость привлечения лицензиатов ФСБ для проведения некоторых работ со средствами криптографической защиты, если их проведение предусмотрено эксплуатационной документацией на СКЗИ и они проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя. То есть внести в те самые подпункты 12-15 исключение: если услуги по шифрованию не предоставляются клиентам, то привлекать лицензиатов ФСБ для соответствующих работ необязательно.

«В настоящее время с учетом обострения угроз информационной безопасности, изменения видов используемых шифровальных (криптографических) средств, широкого их распространения для внутрикорпоративного использования, требования о лицензировании указанной деятельности для обеспечения собственных нужд организаций и индивидуальных предпринимателей (за исключением оказания услуг сторонним организациям) являются избыточными», – сказано в пояснительной записке к проекту постановления.

Фактически это означает, что в случае принятия подобных изменений компаниям для установки СКЗИ необязательно будет привлекать сторонних интеграторов, которые имеют лицензию ФСБ, на проведение этих работ. Монтаж, установку и наладку можно будет выполнять своими силами в соответствии с эксплуатационной документацией к продукту. Это удешевляет и ускоряет процесс введения в строй информационных систем, которым требуется криптозащита, а также снижает юридические риски для самой компании.

Предлагаемые изменения должны снять правовую неопределенность вокруг самостоятельного использования компаниями средств криптографической защиты информации для собственных нужд, из-за которой любое действие, связанное с криптографией, часто воспринимается бизнесом как потенциальный регуляторный риск.

«Широкого влияния на рынок СКЗИ не ожидается. Коммерческие компании, которые уже оказывают такие услуги, продолжат это делать. А организации, использующие или планирующие использовать СКЗИ для собственных нужд, смогут яснее понимать, какие требования к ним предъявляются». – отметил Николай Спирихин, руководитель Центра компетенций сетевой безопасности «Софтлайн Решения».

В то же время Сергей Кирюшкин, советник генерального директора и начальник удостоверяющего центра «Газинформсервис», считает, что нововведение повышает доступность криптографических средств для обеспечения защиты информации при использовании для собственных нужд, то есть в том случае, когда они не участвуют в предоставлении услуг другим юрлицам, ИП и физическим лицам.

«При этом у тех, кто подпадет под проверку, будет основание для оспаривания предъявленных нарушений, выставления штрафов, приостановления деятельности или иных санкций. В связи с чем ранее случившийся прецедент нельзя будет использовать в качестве оснований при проведении проверок и предъявлении нарушений по подпунктам 12-15», – заявил Алексей Заглодин.