Кому нужна лицензия
Лицензия ФСБ на криптографию (шифрование) необходима тем организациям, чья деятельность связана со средствами технической защиты информации (СКЗИ). Это специальные программы или устройства в которых применяется принцип шифрования. Например, ключи электронной подписи, фискальные накопители, тахографы, смарт-карты, рутокены и др.
Если организация планирует проводить работу по проектированию, производству, обслуживанию или продаже этих технических средств, ей необходима лицензия ФСБ на криптографию. Получить её могут любые коммерческие организации, государственные учреждения и индивидуальные предприниматели.
Примеры сфер деятельности, соискателей лицензии ФСБ на криптографию:
- Мастерские по тахографам
- Банки и кредитно-финансовые организации
- Разработчики софта и IT-компании
- Медицинские информационно-аналитические центры
- Центры технического обслуживания
- Бухгалтерские компании
- Удостоверяющие центры и точки выдачи ЭП
- Операторы фискальных данных
- Операторы электронной отчетности
- SaaS-сервисы
1. Мастерские по тахографам
Тахографическим мастерским требуется лицензирование ФСБ, если перечень оказываемых ими услуг предусматривает:
- Продажу (передачу) карт и блоков СКЗИ, не установленных в тахограф (П. 21);
- Установку не активизированного блока СКЗИ тахографа в тахограф (П. 12, 20);
- Активизацию блока СКЗИ тахографа, активизацию тахографа, поскольку она включает в себя работы по активизации блока СКЗИ тахографа (П. 12);
- Ремонт и обслуживание тахографов с установкой или заменой блока СКЗИ тахографов, включая его активизацию (П. 17, 18).
2. Банки и кредитно-финансовые организации
Криптографические методы защиты (СКЗИ) используются в организациях с дистанционным банковским обслуживанием для аутентификации, имитозащиты и подписи электронных платежных поручений.
Обычно субъекты финансового рынка получают лицензию на следующие виды работ:
- Продажа (передача) USB-токенов (П. 21, 22)
- Установка и настройка СКЗИ на своём оборудовании (П. 12)
- Установка системы интернет-банка (П. 13, 14)
- Обслуживание криптобиблиотек (П. 20)
- Защита интернет-канала передачи данных банк — клиент (П. 25, 26)
3. Разработчики софта и IT-компании
Технологические IT-компании разрабатывают и продают программное обеспечение, содержащее криптографию (СКЗИ). Эта деятельность соответствует 21 пункту 313 ПП. Помимо разработки есть ещё и системные интеграторы, которые могут осуществлять установку и техническое обслуживанию этих СКЗИ. Это соответствует пунктам 12, 13, 20.
4. Медицинские информационно-аналитические центры
МИАЦ осуществляют систематический сбор, анализ и интерпретацию персональных данных пациентов лечебно-профилактических учреждений (ЛПУ). К безопасности информационных систем и открытых каналов связи, по которым медицинские учреждения осуществляют обмен информацией, предъявляются самые строгие требования – вся информация должна быть зашифрована и защищена от несанкционированного доступа, неконтролируемого распространения и разглашения, искажения или копирования. Это соответствует пунктам 25, 27.
5. Центры технического обслуживания
ЦТО обслуживают и ремонтируют контрольно-кассовую технику, в которых используются фискальные накопители. Для обеспечения конфиденциальности передаваемых данных через интернет в налоговую службу в ФН заложена функция шифрования. Однако в некоторых случаях для ЦТО лицензия ФСБ не требуется.
18 мая 2017 г. в ПП-№313 были внесены изменения. Теперь для продажи кассы с фискальным накопителем в её составе лицензию получать не нужно. А если организация собирается заниматься только продажей фискальных накопителей, лицензия уже необходима.
6. Бухгалтерские компании
Компании, занимающиеся подготовкой бухгалтерской отчёностью, передают данные своих клиентов через интернет в налоговые органы, ПФР, ФСС. Отчетность подписывается электронной подписью и передаётся в налоговую инспекцию через интернет в зашифрованном виде.
7. Удостоверяющие центры и точки выдачи ЭП
Удостоверяющие центры осуществляют выпуск ключей электронных цифровых подписей (П. 21) и ключей проверки электронных подписей (П. 28). Помимо этого они производят инсталляцию/обновление ПО на своём оборудовании (П. 12, 13, 14) и шифруют канал передачи данных между УЦ и клиентом (П. 25, 26).
8. Операторы фискальных данных
ОФД осуществляют приём и передачу сведений с кассовых аппаратов клиентов в налоговые органы. В целях защиты конфиденциальных данных от деструктивного воздействия, эта информация передается в зашифрованном виде (П. 25).
9. Операторы электронной отчетности
Операторам электронной отчётности необходима лицензия на разработку, производство, распространение шифровальных (криптографических) средств и оказание услуг в области шифрования информации (П. 12, 13, 14, 20, 21, 25, 26, 27, 28). Данные требования описаны в приказе ФНС России от 04.03.2014 N ММВ-7-6/76@.
10. SaaS-сервисы
SaaS-сервисы разрабатывают и обслуживают облачное программное обеспечение. Для обеспечения безопасности обработки и хранения конфиденциальной информации своих клиентов применяются криптографические средства защиты.