Лицензия ФСБ на криптографию.
Кому нужна?

Коротко: ИТ-компаниям, банкам, ЦТО, бухгалтерским компаниям,
тахографам, УЦ, ЭДО, МИАЦ, ОФД.
Консультация
Расчёт стоимости
Александр Цахариас
Получаю лицензии ФСБ на криптографию для банков, IT-компаний и ЦТО с 2012 г.
1. Что такое криптография?
Криптография или СКЗИ (от средство криптографической защиты информации) – это специальная программа или устройство, которые используются для защиты информации. Например, когда вы оплачиваете покупку в интернете, криптография незаметно для вас шифрует и тем самым защищает от злоумышленников интернет соединение между вами и банком, чтобы злоумышленники не смогли украсть ваши деньги.

Вот несколько примеров криптографии:
  • Ключ электронной подписи (ЭЦП). Выглядит как флэшка. Этим ключом компании подписывают бухгалтерскую отчетность, чтобы потом передать в налоговую инспекцию. Ваш бухгалтер должен знать.
  • Фискальный накопитель (ФН) – это специальное устройство в составе кассы, которое записывает и передает в налоговую инспекцию сведения о пробитых кассовых чеках и другую информацию. Кстати, к 1 июля 2019 г. все должны перейти на новые кассы, которые работают с фискальными накопителями.
  • Тахограф – специальный прибор в автобусе или грузовом автомобиле, который контролирует и регистрирует скорость движения, пробег автомобиля, периоды труда и отдыха экипажа. Спросите у водителя вашего автобуса.
2. Расскажите подробнее о лицензии ФСБ на криптографию. Для чего она нужна?
Лицензия нужна, чтобы заниматься определенными видами работ. Их 28. См. приложение № 1 к постановлению правительства № 313 (313-ПП).

Все 28 видов работ можно поделить на условные группы:
  • передача криптографии
  • монтаж, установка, наладка криптографии
  • техническое обслуживание криптографии
  • ремонт криптографии
  • оказание услуг с использованием криптографии
  • встраивание криптографии
  • разработка, модернизация и производство криптографии
Вы можете получить лицензию на один, несколько или все 28 видов работ (если располагаете бюджетом).

Лицензию выдает ФСБ России юридическим лицам (ООО, АО и др.) и индивидуальным предпринимателям. Срок действия лицензии неограничен, но там есть нюансы. Я о них еще расскажу.
4. Системные интеграторы, ИТ-компании
Системные интеграторы и ИТ-компании продают криптографию. Например, HSM (от англ. hardware security module). Это соответствует пункту 21 313-ПП. Также они оказывают услуги по монтажу, установке, наладке и техническому обслуживанию криптографии. Это соответствует пунктам 12, 13, 20 313-ПП.
5. Разработчики софта
Разрабатывают софт, в котором применяется (или может) криптография. Это соответствует пункту 2 313-ПП.

Примеры такого софта:
  • системы Клиент-Банк или Интернет-банк (Сбербанк Онлайн, Тинькофф Бизнес)
  • платежные системы (Western Union, Золотая Корона)
  • системы ЭДО (Диадок, Такском)
  • софт для удостоверяющих центров (КриптоПро УЦ, Notary-PRO)
  • софт для ЭТП, МИАЦ, ОФД
  • и другой софт, где применяется ЭЦП или шифрование

Разработчики софта также могут заниматься и другими видами работ. См. Системные интеграторы, ИТ-компании.
6. Банки и НКО
Банки и НКО оказывают услуги по дистанционному банковскому обслуживанию с помощью систем Клиент-Банк или Интернет-банк. В системах Клиент-Банк используется криптография для подписи электронных платежных поручений, для их проверки и для шифрования интернет соединения между банком и клиентом для защиты данных.

Как правило, банки получают лицензии на следующие пункты из 313-ПП:
  • 21, 22 для передачи своим клиентам USB-токенов и дистрибутивов Офлайн-банка
  • 12 для установки и настройки криптографии на своем серверном оборудовании
  • 13, 14 для установки системы Клиент-Банк на сервере банка и последующее ее обновление
  • 20 для обслуживания криптобиблиотек и USB-токенов в соответствии с эксплуатационной документацией к ним
  • 25, 26 для защиты интернет канала передачи данных между банком и клиентом с помощью криптографии

Крупные банки, которые самостоятельно разрабатывают свои системы Банк-Клиент, включают в лицензию дополнительный пункт 2 313-ПП на встраивание криптографии.
7. Центры технического обслуживания кассовой техники (ЦТО)
ЦТО занимаются обслуживанием контрольно-кассовой техники (ККТ). Частью кассовой техники является фискальный накопитель (ФН), который является криптографией. Соответственно для ЦТО нужна лицензия на криптографию, но есть нюансы.

В мае 2017 года правительство внесло изменения в Постановление Правительства № 313. Теперь для продажи (21 пункт 313-ПП) и монтажа (12 пункт 313-ПП) фискальных накопителей не требуется лицензия. Для прочих видов работ по обслуживанию кассовой техники по-прежнему необходимо получать лицензию.

Дело в том, что фискальный накопитель как деталь кассы и касса, в которой есть фискальный накопитель, с точки зрения Постановления Правительства № 313, разные вещи:
  • Фискальный накопитель как деталь кассы – это криптографическое средство.
  • Касса, в которой есть фискальный накопитель – это программно-аппаратная информационная система, защищенная с использованием криптографического средства.
И для работы с каждым из них нужны разные виды работ из Постановления Правительства № 313.

Продаете кассы и фискальные накопители? Продажа фискальных накопителей соответствует 21 пункту 313-ПП, но для 21 пункта теперь не нужна лицензия. Все хорошо.
А вот если вы решили торговать непосредственно кассами, в составе которых уже есть фискальный накопитель, то вам потребуется 22 пункт 313-ПП. И для этого пункта правительство не сделало исключения. Для него требуется получать лицензию на криптографию.

Занимаетесь заменой фискальных накопителей в кассах? Монтаж фискального накопителя в кассу соответствует 12 пункту 313-ПП. Для него также не нужна лицензия.
А вот если вы заменить в кассе «старый» фискальный накопитель на «новый», то вам потребуется 13 пункт 313-ПП. И для него требуется получать лицензию на криптографию.

Занимаетесь ремонтом и гарантийным сервисным обслуживанием касс? Для этого вам требуется 16, 17 пункты 313-ПП. Для него не предусмотрено исключений. По-прежнему нужно получать лицензию на криптографию.

Занимаетесь регистрацией касс в налоговой от лица клиента? Для этого вам требуется 25 пункт 313-ПП. Для него не предусмотрено исключений. По-прежнему нужно получать лицензию на криптографию.

На тему необходимости получения ЦТО лицензии на криптографию не мало сломано копий. На мой взгляд, пока программа по переводу всех предпринимателей на кассы не завершится (закончится 1 июля 2019 г.), зажимать ЦТО не будут. А дальше кто его знает. Держу руку на пульсе.

Ответ ФСБ на мой запрос по видам работ, которые нужны для ЦТО
Я обратился в ФСБ. К сожалению, в ответе никакой конкретики по необходимым видам работ для ЦТО.
8. Бухгалтерские компании
Бухгалтерские и аудиторские компании передают бухгалтерскую отчетность своих клиентов в ФНС России. При этом отчетность подписывается ЭЦП клиента и шифруется в момент ее передачи в налоговую инспекцию. А это, по мнению ФСБ России, лицензируемая деятельность, которая требуется 25 пункта 313-ПП.

Было интересное решение суда, когда бухгалтерская компания оказывала платные услуги по ведению бухгалтерского и налогового учета. Компания составляла и передавала отчетность в ФНС России с использованием программы «СБИС++» и встроенным СКЗИ «КриптоПроCSP». УФСБ России по республике Марий-Эл посчитало, что компания должна была иметь лицензию на криптографию, и оштрафовало генерального директора за работу без лицензии, а также обязало компанию получить лицензию на криптографию.
9. Автомастерские (тахографы)
Некоторые автомастерские работают с тахографами:
  • продают (передают) карты тахографа, блоков СКЗИ тахографов (21 пункт 313-ПП)
  • производят установку (монтаж) и активацию блока СКЗИ тахографа (12 пункт 313-ПП)
  • выполняют ремонт (сервисное обслуживание) тахографов с установкой/заменой блока СКЗИ (16 пункт 313-ПП)

Росавтотранс в 2015 году получил от ФСБ России разъяснения о необходимости получения лицензии на криптографию для работы с тахографами.
10. Удостоверяющие центры (УЦ)
Удостоверяющие центры (УЦ) работают с электронной подписью (ЭЦП):
  • выдают клиентам средства электронной подписи, содержащие ключ электронной подписи и ключ проверки электронной подписи (21 пункт 313-ПП)
  • создают для клиентов ключи электронных подписей и ключи проверки электронных подписей (28 пункт 313-ПП)
  • устанавливают и обновляют программное обеспечение УЦ на своем серверном оборудовании (12, 13, 14 пункты 313-ПП)
  • шифруют интернет канал передачи данных между УЦ и клиентом с помощью криптографии (25, 26 пункты 313-ПП)

Минкомсвязи подтвердило необходимость получения лицензии на криптографию.
11. Операторы электронного документооборота (ЭДО) и счетов-фактур
В пункте 4 приказа ФНС России от 04.03.2014 N ММВ-7-6/76@ «Об утверждении требований к оператору электронного документооборота» прямо сказано, что оператор электронного документооборота должен иметь лицензию на криптографию на виды работ (пункты) 12-14, 20, 21, 25-27 из 313-ПП.
12. Медицинские информационные аналитические центры (МИАЦ)
Медицинские информационные аналитические центры (МИАЦ) собирают, хранят и обрабатывают информацию (медицинскую, финансовую, кадровую, техническую), полученную от медицинских организаций. Также передают информацию в уполномоченные госорганы. Информация принимается и передается в зашифрованном виде. Для этого необходимо получить лицензию на криптографию на 25 пункт 313-ПП.
13. Операторы фискальных данных (ОФД)
Операторы фискальных данных (ОФД) передают в ФНС России фискальные данные в зашифрованном виде. Для этого необходимо получить лицензию на криптографию на 25 пункт 313-ПП.
14. Как выбрать виды работ? Рекомендация.
Включайте в лицензию только те виды работ, которые реально будете использовать на практике.
Например, вы - системный интегратор, и собираетесь поставлять в банки телекоммуникационное оборудование с криптоалгоритмами.
Также вы планируете производить монтаж, установку, наладку, и осуществлять техническое обслуживание оборудования. Вот эти виды работ и включайте.
Не включайте в лицензию услуги по шифрованию или созданию ключевых документов, если вы этим не собираетесь заниматься.
Дело в том. что регулятор может во время выездной проверки уточнить у вас, для чего вам нужны те или иные виды работ. И если вы не сможете внятно ответить, то регулятор может попросить вас исключить эти виды работ из лицензии. Как минимум, вы потеряете месяц на переоформление документов.
Консультация
Оставить заявку на бесплатную консультацию по лицензии ФСБ на криптографию
Расчет стоимости
Оставить заявку на бесплатный расчет стоимости лицензии ФСБ на криптографию