Кому нужна лицензия

Лицензия ФСБ на криптографию (шифрование) необходима тем организациям, чья деятельность связана со средствами технической защиты информации (СКЗИ). Это специальные программы или устройства в которых применяется принцип шифрования. Например, ключи электронной подписи, фискальные накопители, тахографы, смарт-карты, рутокены и др.

Если организация планирует проводить работу по проектированию, производству, обслуживанию или продаже этих технических средств, ей необходима лицензия ФСБ на криптографию. Получить её могут любые коммерческие организации, государственные учреждения и индивидуальные предприниматели.

Примеры сфер деятельности, соискателей лицензии ФСБ на криптографию:

  1. Мастерские по тахографам
  2. Банки и кредитно-финансовые организации
  3. Разработчики софта и IT-компании
  4. Медицинские информационно-аналитические центры
  5. Центры технического обслуживания
  6. Бухгалтерские компании
  7. Удостоверяющие центры и точки выдачи ЭП
  8. Операторы фискальных данных
  9. Операторы электронной отчетности
  10. SaaS-сервисы

1. Мастерские по тахографам

Тахографическим мастерским требуется лицензирование ФСБ, если перечень оказываемых ими услуг предусматривает:

  • Продажу (передачу) карт и блоков СКЗИ, не установленных в тахограф (П. 21);
  • Установку не активизированного блока СКЗИ тахографа в тахограф (П. 12, 20);
  • Активизацию блока СКЗИ тахографа, активизацию тахографа, поскольку она включает в себя работы по активизации блока СКЗИ тахографа (П. 12);
  • Ремонт и обслуживание тахографов с установкой или заменой блока СКЗИ тахографов, включая его активизацию (П. 17, 18).

2. Банки и кредитно-финансовые организации

Криптографические методы защиты (СКЗИ) используются в организациях с дистанционным банковским обслуживанием для аутентификации, имитозащиты и подписи электронных платежных поручений.

Обычно субъекты финансового рынка получают лицензию на следующие виды работ:

  1. Продажа (передача) USB-токенов (П. 21, 22)
  2. Установка и настройка СКЗИ на своём оборудовании (П. 12)
  3. Установка системы интернет-банка (П. 13, 14)
  4. Обслуживание криптобиблиотек (П. 20)
  5. Защита интернет-канала передачи данных банк — клиент (П. 25, 26)

3. Разработчики софта и IT-компании

Технологические IT-компании разрабатывают и продают программное обеспечение, содержащее криптографию (СКЗИ). Эта деятельность соответствует 21 пункту 313 ПП. Помимо разработки есть ещё и системные интеграторы, которые могут осуществлять установку и техническое обслуживанию этих СКЗИ. Это соответствует пунктам 12, 13, 20.

4. Медицинские информационно-аналитические центры

МИАЦ осуществляют систематический сбор, анализ и интерпретацию персональных данных пациентов лечебно-профилактических учреждений (ЛПУ). К безопасности информационных систем и открытых каналов связи, по которым медицинские учреждения осуществляют обмен информацией, предъявляются самые строгие требования – вся информация должна быть зашифрована и защищена от несанкционированного доступа, неконтролируемого распространения и разглашения, искажения или копирования. Это соответствует пунктам 25, 27.

5. Центры технического обслуживания

ЦТО обслуживают и ремонтируют контрольно-кассовую технику, в которых используются фискальные накопители. Для обеспечения конфиденциальности передаваемых данных через интернет в налоговую службу в ФН заложена функция шифрования. Однако в некоторых случаях для ЦТО лицензия ФСБ не требуется.

18 мая 2017 г. в ПП-№313 были внесены изменения. Теперь для продажи кассы с фискальным накопителем в её составе лицензию получать не нужно. А если организация собирается заниматься только продажей фискальных накопителей, лицензия уже необходима.

6. Бухгалтерские компании

Компании, занимающиеся подготовкой бухгалтерской отчёностью, передают данные своих клиентов через интернет в налоговые органы, ПФР,  ФСС. Отчетность подписывается электронной подписью и передаётся в налоговую инспекцию через интернет в зашифрованном виде.

7. Удостоверяющие центры и точки выдачи ЭП

Удостоверяющие центры осуществляют выпуск ключей электронных цифровых подписей (П. 21) и ключей проверки электронных подписей (П. 28). Помимо этого они производят инсталляцию/обновление ПО на своём оборудовании (П. 12, 13, 14) и шифруют канал передачи данных между УЦ и клиентом (П. 25, 26).

8. Операторы фискальных данных

ОФД осуществляют приём и передачу сведений с кассовых аппаратов клиентов в налоговые органы. В целях защиты конфиденциальных данных от деструктивного воздействия, эта информация передается в зашифрованном виде (П. 25).

9. Операторы электронной отчетности

Операторам электронной отчётности необходима лицензия на разработку, производство, распространение шифровальных (криптографических) средств и оказание услуг в области шифрования информации (П. 12, 13, 14, 20, 21, 25, 26, 27, 28). Данные требования описаны в приказе ФНС России от 04.03.2014 N ММВ-7-6/76@.

10. SaaS-сервисы

SaaS-сервисы разрабатывают и обслуживают облачное программное обеспечение. Для обеспечения безопасности обработки и хранения конфиденциальной информации своих клиентов применяются криптографические средства защиты.

Практика соискателей лицензии показывает, что чаще, получение лицензии ФСБ на криптографию требуется в случаях: по расширению видов деятельности в рамках лицензионной деятельности, либо при расширении линейки/ассортимента  оборудования или программных средств, для увеличения прибыли или доли на рынке.