воскресенье, 11 ноября 2018 г.

СОК и лицензия ФСБ на СКЗИ


   Уже традиционное продолжение обмена мнениями на страницах блога с А. Лукацким. На этот раз поводом послужила его заметка "КОММЕРЧЕСКИМ SOCАМ НУЖНА ЕЩЕ И ЛИЦЕНЗИЯ ФСБ НА ШИФРОВАНИЕ" https://lukatsky.blogspot.com/2018/11/soc_7.html
    Требование о защите каналов традиционно для ФСТЭК и вполне логично, то есть, - применение СКЗИ является обязательным для лицензиата ФСТЭК по ТЗКИ (работы по мониторингу ИБ). Самым актуальным вопросом остается обязательность получения лицензии ФСБ на СКЗИ.

1. А. Лукацкий пошел по пути аналогии с банками (услуги ДБО). Мне больше импонирует аналогия с транспортными компаниями:компания оказывает услуги по транспортировке (перевозке) грузов, но ее грузовые автомобили оборудованы тахографами, а тахографы защищаются СКЗИ. Тот же СОК оказывает услуги по мониторингу, а каналы передачи данных защищаются СКЗИ. Требуется ли получать лицензию ФСБ на СКЗИ грузоперевозчикам?Ответ - нет.
     То есть, сам факт обязательного использования СКЗИ для оказания иных услуг не служит основанием для получения лицензии ФСБ. Судебной практики по тахографам очень много (ст.13.13 КоАП). Но прецедентов привлечения транспортных компаний я не выявил. Обычно идет обвинение в "производил установку, монтаж, активацию, прода¬жу тахографов с блоками криптографической защиты информации (СКЗИ) без специаль¬ного разрешения (лицензии) на данный вид деятельности, выдаваемой Управлением ФСБ России по .." к сервисным компаниям, но не к владельцам грузовиков.
     Но есть и другая аналогия: компании, предоставляющие удаленные услуги бухгалтерии. А с ними у ФСБ почему то другое отношение. Хотя суть вся та же самая, СКЗИ используется из-за обязательного требования ФНС при предоставлении отчетности, но услугу по "шифрованию" бухгалтерская фирма никому не оказывает при этом. Суды поддерживают ФСБ в этой точке зрения.
"Постановлением зам.начальника отдела Управления ФСБ РФ по Белгородской области от 14.06.2011 года установлено, что Жданова В.С., будучи должностным лицом - директором ООО «…», с октября 2009 года, в нарушение п.7 ч.1 ст.17 ФЗ от 08.08.2001года №128-ФЗ «О лицензировании отдельных видов деятельности», п.п.в п.2 "Положения о лицензировании предоставления услуг в области шифрования информации" утвержденного Постановлением Правительства РФ от 29.12.2007 N 957, осуществляет предпринимательскую деятельность по передаче персональных данных (бухгалтерской отчетности) юридическим и физическим лицам по телекоммуникационным каналам связи с использованием электронной цифровой подписи и средств криптографической защиты информации, т.е. занимается деятельностью по предоставлению услуг в области шифрования информации без лицензии.
......
при выполнении обязательств по договору на оказание услуг налогового представителя, применяя при этом средства электронной цифровой подписи (ЭЦП) и средства шифрования для отправки налоговых деклараций и бухгалтерской отчетности по телекоммуникационным каналам связи, действовала от имени, в интересах и в пользу налогоплательщика."
или
"Согласно исследованных договоров заключенных ООО <данные изъяты> с юридическими лицами по спискам юридических и физических лиц, представивших налоговую и бухгалтерскую отчетность через ООО <данные изъяты> в период с 13 января по 08 февраля 2016 года, следует, что ООО <данные изъяты> оказывает платную услугу, по ведению бухгалтерского и налогового учета, составлению отчетности в объеме, установленном действующим законодательством РФ. 
Во исполнения принятых на себя обязательств, в соответствии с условиями названого договора № от 10 октября 2012 года ООО <данные изъяты>, с помощью криптографических средств защиты информации «КриптоПроCSP» передавал отчеты доверителей с 13 января по 08 февраля 2016 года в налоговый орган.
В связи с этим и на основании вышеизложенного нельзя принять письмо ООО «Компания <данные изъяты> № от 30 марта 2016 года, о том, что уполномоченная организации, в данном случае, ООО <данные изъяты> не оказывает услуг шифрования информации.
Таким образом, ООО <данные изъяты>» по существу оказывает возмездные услуги по организации и обеспечению безопасности хранения и обработки с использованием СКЗИ конфиденциальной информации, передаваемой вне сетей конфиденциальной связи, т.е. предоставляя услуги по шифрованию информации фактически осуществляет функции оператора."

2. Касательно попытки использовать исключение по признаку "технологическая информация":
"Кроме этого, как следует из представленной Управлением выписки из шифртелеграммы от 02.04.2013 № 262912, подписанной заместителем начальника ЦЛСЗ ФСБ России, под технологическим каналом информационно-телекоммуникационной системы и сети связи следует понимать защищенный с использованием шифровальных (криптографических) средств канал связи, по которому осуществляется только передача данных для управления (конфигурирования) информационно-телекоммуникационной системой и/или сетью связи."
     Так что не вариант для СОК.
     Общий итог: вариант работы СОК без лицензии ФСБ существует - разворачивание на объектах заказчика мониторинга своих собственных технических средств, которых специалисты заказчика не будут касаться вообще (использование СКЗИ для собственных нужд). Моя рекомендация - получайте лицензию ФСБ.
     Касательно ответственности за деятельность без соответствующей лицензии. Самое опасное-предусмотрена возможность конфискации системы мониторинга, причем по КоАП, но есть и уголовная ответственность. Подробно разбирал риски для СОК за работу без лицензии в заметке https://valerykomarov.blogspot.com/2018/04/blog-post.html и в статье "Уголовно-правовые риски предоставления услуг по информационной безопасности" http://www.itsec.ru/imag/insec-1-2018/21

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

8 комментариев:

  1. Мне кажется, что все же сравнивать тахографы и направление бухгалтерской отчетности не совсем корректно. Все же тахограф функционирует для интересов самой организации, оказывающей, например, грузопассажирские услуги, чтобы она потом могла доказать полноту и правильность оказания таких услуг заказчику. А вот бухгалтерия направляет налоговые документы в интересах, в первую очередь, своих работников (оказывает им услуги) и, во вторую очередь, в своих собственных. Поэтому, можно сказать, в некоторой степени суды и ФСБ я понимаю.

    ОтветитьУдалить
  2. А авторы ФЗ от 14.06.2012 N 78-ФЗ, ПП от 23 ноября 2012 г. N 1213 и приказов минтранса от 13 февраля 2013 г. № 36 и от 21 августа 2013 года №273 и не знали, что тахографы функционируют в интересах самой организации. И обязательное наличие СКЗИ в тахографе то же видимо для блага самой организации. Даже Верховный Суд РФ от 23.06.2016 N АКПИ16-370 указал, что "Требование по оснащению транспортных средств тахографами установлено федеральным законом в целях обеспечения безопасности дорожного движения и является обязательным"

    ОтветитьУдалить
  3. Да и налоговая отчетность нужна в первую очередь государству и выполняется по требованиям государства.
    С СОК все то же самое, что и с тахографами с налоговой отчетностью.
    Хочешь мониторить ИБ - получи лицензию ФСТЭК, хочешь получить лицензию ФСТЭК - используй СКЗИ, используешь СКЗИ - получи лицензию ФСБ.
    Но СОК использует СКЗИ не для оказания услуги мониторинга, а для получения лицензии.
    Так же и перевозчики, они используют СКЗИ ка лицензиаты по грузоперевозке, у налоговиков СКЗИ используется не для оказания услуги - формирование отчетности и ее отправки, а для выполнения требований ФНС к отчетности.

    ОтветитьУдалить
  4. Этот комментарий был удален автором.

    ОтветитьУдалить
  5. Вопрос точно про СОК и лицензию СКЗИ?

    ОтветитьУдалить
    Ответы
    1. Перенесла в другой пост

      Удалить
    2. Не увидел в какой пост перенесли. Я ваш вопрос понял, как о необходимости лицензии ФСТЭК при поручении третьему лицу обработки ПДн. Если это так, то лучше обсуждать в заметке https://valerykomarov.blogspot.com/2018/12/2018_24.html

      Удалить
    3. Спасибо! По ошибке оставила вопрос в этом посте.
      Перенесла в https://valerykomarov.blogspot.com/2018/12/2018_24.html

      Удалить