В рамках рубрики Клуб экспертов мы продолжаем публикацию книги А.В.Лукацкого Мифы и заблуждения информационной безопасности
Алексей Лукацкий — менеджер по развитию бизнеса Cisco Systems
Очень часто меня спрашивают про наличие лицензии ФСБ на эксплуатацию средств шифрования. Этот миф идет к нам из глубины 90-х годов, от пресловутого Указа Президента от 3 апреля 1994 года «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации».
4-й пункт этого Указа гласит, что «в интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации «О федеральных органах правительственной связи и информации». И хотя с тех пор прошло уже больше 15 лет, это заблуждение до сих пор витает в среде специалистов по безопасности.
Попробуем его опровергнуть.
Начнем с того, что согласно п.1 ст.49 Гражданского Кодекса «отдельными видами деятельности, перечень которых определяется законом, юридическое лицо может заниматься только на основании специального разрешения (лицензии)». Аналогичное положение применяется и к индивидуальным предпринимателям (п.3 ст.23 ГК РФ).
Единственным федеральным законом, который устанавливает перечень отдельных видов деятельности, на которые требуется лицензия, является 128-ФЗ от 8 августа 2001 года «О лицензировании отдельных видов деятельности». В нем сказано, что лицензированию в области криптографической защиты информации подлежат только следующие виды деятельности (п.1 ст.17):
- деятельность по распространению шифровальных (криптографических) средств
- деятельность по техническому обслуживанию шифровальных (криптографических) средств
- предоставление услуг в области шифрования информации
- разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем.
Мы видим, что никаких лицензий на эксплуатацию не требуется. Но пойдем дальше. Часто упоминаемая ссылка, что Указ Президента расширяет перечень, приведенный в законе, не выдерживает никакой критики.
Указ был принят не только до 128-ФЗ, но и до предшествующего ему одноименного 158-ФЗ от 25.09.1998. Чтобы не было разногласий по этому поводу в п.19 Постановления Пленума Верховного Суда РФ и Пленума Высшего Арбитражного Суда РФ N 6/8 от 1 июля 1996 года «О некоторых вопросах, связанных с применением части первой Гражданского кодекса Российской Федерации» прямо сказано «после введения в действие Кодекса /первой его части – примечание автора/ виды деятельности, подлежащие лицензированию, могут устанавливаться только законом».
Не отключается графический ключ Android
А первая часть ГК РФ была введена в действие Федеральным законом 52-ФЗ от 30 ноября 1994 года «О введении в действие части первой Гражданского Кодекса Российской Федерации» с 1-го января 1995 года, т.е. после выхода Указа Президента № 334. В статье 4 данного 52-ФЗ говорится, что «изданные до введения в действие части первой Кодекса нормативные акты… Президента Российской Федерации… по вопросам, которые согласно части первой Кодекса могут регулироваться только федеральными законами, действуют впредь до введения в действие соответствующих законов».
И такой закон был введен. Это уже упомянутый 128-ФЗ «О лицензировании отдельных видов деятельности». Таким образом, получается, что пресловутый 4-й пункт Указа, требующий лицензию на эксплуатацию шифровальных средств, с момента вступления в силу 128-ФЗ прекратил свое действие.
Что же у нас получается? Лицензия на эксплуатацию шифровальных средств – это миф?
Если следовать буквальному прочтению мифа – да, но относительно недавно проявились определенные сложности. Начнем с того, что в соответствие с 128-ФЗ Постановление Правительства РФ от 23 сентября 2002 года № 691 было принято 4 положения о лицензировании:
- деятельность по распространению шифровальных (криптографических) средств
- деятельность по техническому обслуживанию шифровальных (криптографических) средств
- предоставление услуг в области шифрования информации
- разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем.
В контексте рассматриваемого мифа нас интересует второе Положение. В перечне мероприятий, описываемых термином «деятельность по техническому обслуживанию» были такие пункты:
- монтаж, установка, наладка шифровальных (криптографических) средств;
- ремонт, сервисное обслуживание шифровальных (криптографических) средств;
- утилизация и уничтожение шифровальных (криптографических) средств;
- работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд).
Последний пункт очень важен – он, по сути, говорил о том, что использование шифровальных средств «для себя» не требовало получения лицензий ФСБ. Но в канун Нового, 2008-го года, ситуация коренным образом поменялась.
На смену 691-му Постановлению Правительства пришло 957-е одноименное Постановление. В нем, к большому сожалению, исчезла приписка «за исключением случая, если указанные работы проводятся для обеспечения собственных нужд».
В итоге, согласно букве действующего сегодня Постановления Правительства, мероприятия, проводимые в соответствие с эксплуатационной документацией (а что это как не эксплуатация) на криптографические продукты, требует от банка, как и любого другого юридического лица, лицензии ФСБ на техническое обслуживание шифровальных средств. Получается, что был семилетний период с момента принятия 128-ФЗ и до принятия 957-ПП, когда лицензии на эксплуатацию средств криптографической защиты не требовалось, но сейчас все поменялось.
К слову сказать, представители надзорных органов, сами не до конца пришли к единому мнению, нужна ли лицензия ФСБ для собственных нужд или нет – все будет зависеть от конкретных проверяющих. Правда, надо признать, что для многих банков это не станет большой проблемой, т.к. они давно уже позаботились о получении лицензий ФСБ на деятельность в области:
- распространения шифровальных средств – для распространения комплектов ПО «Клиент-Банк»;
- технического обслуживания шифровальных средств – для обслуживания ПО «Клиент-Банк» или «Интернет-Банк»;
- оказания услуг в области шифрования – для генерации ключей ЭЦП для клиентов банка.
Тем же, кто такие лицензии не получал, надо скорее опасаться претензий именно за эту, внешнюю деятельность в области шифрования, а не за использование криптографических продуктов для внутренних нужд.
ЗЫ. Миф о легитимности применения статьи 171-й Уголовного Кодекса «О незаконном предпринимательстве» в случае отсутствия лицензий ФСБ мы рассмотрим в следующий раз.
