ФСБ

Обновление ключей и лицензия ФСБ


В предыдущей заметке я рассматривал кейс с лицензированием при установке СКЗИ для собственных нужд. В комментариях к посту в ТГ возник логичный вопрос – а что входит в это техническое обслуживание, которое как раз можно осуществлять для собственных нужд без лицензии? Самая интересная часть обслуживания — обновление ключевой информации. Связано это с многообразием реализации в различных СКЗИ: собственные или внешние системы управления, генерация ключей на СКЗИ или в отдельной системе и так далее.

Традиционно направил запрос регулятору

Добрый день! В Постановлении Правительства №313 есть оговорка «за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)». Обновление ключевой информации через систему управления СКЗИ (например, ЦУС АПКШ Континент или ViPNet Administrator) описано в документации на соответствующие СКЗИ и может трактоваться как техническое обслуживание. Может ли сотрудник организации, не являющейся лицензиатом ФСБ России, проводить ежегодное обновление ключевой информации на СКЗИ?

И ответ не заставил себя долго ждать.

Ответ ФСБ России про лицензирование и обновление ключевой информации в СКЗИ

Получается следующая ситуация:

Хорошая новость — обновление ключевой информации входит в техническое обслуживание, для собственных нужд лицензия не требуется.

Для распределения ключевой информации требуется пункт 28. Если компания занимается изготовлением и распределением ключевой информации, например, является удостоверяющим центром, то в её лицензии ФСБ России должен быть пункт «28. Изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств» из ПП313. Типичный пример – подключение сторонних организаций к собственным информационным системам.

Для эксплуатации СКЗИ подрядчиком требуется пункт 20. При передаче эксплуатации СКЗИ на аутсорс у подрядчика в лицензии ФСБ достаточно пункта «20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)». Пункт 28 необязателен, если средство изготовления ключевых документов входит в состав СКЗИ.