Особенности переходного этапа

Особенности переходного этапа

Для успешного решения задач по защите информации необходимо, прежде всего, быть специалистами в этой области, иметь соответствующие знания и практические навыки. Но так устроено наше законодательство, что если кто-то хочет предоставлять услуги по защите информации, то надо ещё иметь на это и право. Наличие права на эту деятельность подтверждается соответствующими лицензиями.

Раздел статьи о лицензировании деятельности, связанной с шифровальными (криптографическими) средствами, предназначенными для защиты информации, не содержащей сведений, составляющих государственную тайну, написан Д.В. Козюрой. Раздел по дополнительному образованию специалистов в области информационной безопасности, удовлетворяющих лицензионным требованиям, подготовлен В.А. Шапошниковым.

ЛИЦЕНЗИРОВАНИЕ ДЕЯТЕЛЬНОСТИ, СВЯЗАННОЙ С ШИФРОВАЛЬНЫМИ (КРИПТОГРАФИЧЕСКИМИ) СРЕДСТВАМИ

По Российскому законодательству лицензирование деятельности, связанной с шифровальными (криптографическими) средствами, осуществляет ФСБ России. Нормы, регламентирующие процедуру лицензирования, определены в ряде нормативных документов [1], [4] и [6].

Ч. 2 ст. 2 Федерального закона «О лицензировании отдельных видов деятельности» [1] устанавливает, что соответствие соискателя лицензии лицензионным требованиям является необходимым условием для предоставления лицензии, а их соблюдение лицензиатом обязательно при осуществлении лицензируемого вида деятельности. То есть лицензионным требованиям надо соответствовать в течение всего срока действия лицензии. Федеральный Закон о лицензировании [1] и Гражданский кодекс РФ предусматривают ответственность за нарушение лицензионных требований (приостановление действия лицензии, штраф).

В Регламенте [6] приведена форма типового заявления о предоставлении лицензии, телефоны управлений ФСБ России по регионам, которым делегированы права по лицензированию видов работ и услуг 2–3, 7–15, 17–18, 20–28 (в соответствии с приложением к Положению [4]), адрес в Москве, по которому ведется работа с заявителями из Москвы и Московской области.

Основным документом, который определяет лицензирование, является Положение о лицензировании [4]. Именно в нём изложены лицензионные требования, приведён перечень представляемых документов, определён порядок лицензирования.

В Положении [4] дано определение шифровальных (криптографических) средств. По сравнению с предыдущим оно стало более детальным. Его надо внимательно прочитать, чтобы представлять, о чём идет речь. Так, например, особо выделены средства изготовления ключевых документов (см. [4], п. 2д). К средствам изготовления ключевых документов относятся шифровальные (криптографические) средства, обеспечивающие возможность изготовления ключевых документов для шифровальных (криптографических) средств, но не входящие в состав этих шифровальных (криптографических) средств. Таким образом, средства изготовления ключевых документов – это некие обособленные (изолированные) средства.

Как правило, в широко используемых шифровальных (криптографических) средствах одновременно в одном средстве реализованы сразу 3 функции – изготовления ключевых документов, шифрования, формирования электронной подписи. В силу приведённого выше определения такое средство не является средством изготовления ключевых документов, хотя возможность изготовления ключевых документов в нём заложена. А некоторые соискатели лицензий, в силу того, что возможность изготовления ключевых документов в средстве реализована, «относят» его к средствам изготовления ключевых документов и просят разрешить им виды работ и услуг, связанные с такими средствами.

Вряд ли большинство банков имеет дело со средствами изготовления ключевых документов (по крайней мере, в системе «Клиент – Банк»). К шифровальным (криптографическим) средствам относятся и ключевые документы (см. [4], п. 2е). И тут даже получается некий парадокс. Если вы кому-то изготовили и передали ключевой документ, то, с одной стороны, вы оказали услугу в области шифрования информации, а с другой – распространили шифровальное (криптографическое) средство.

Надо также внимательнее просмотреть тот раздел, в котором сказано, на что не распространяется действие Положения [4] (см. п. 3). На самом деле, перечень достаточно объёмный. Есть там и пункты, которые относятся к банкам. Например, шифровальное (криптографическое) оборудование, специально разработанное и ограниченное применением для банковских или финансовых операций в составе терминалов единичной продажи (банкоматов), POS-терминалов и терминалов оплаты различного вида услуг, криптографические возможности которых не могут быть изменены пользователями (см. [4], п. 3з). Не подпадают под действие Положения [4] и некоторые виды персональных смарт-карт (см. [4], п. 3д).

В приложении к Положению о лицензировании [4] приведено 28 видов работ и услуг, на которые разбивается объёмный вид деятельности, связанной с шифровальными (криптографическими) средствами. Раньше было 4 вида деятельности, связанных с шифровальными (криптографическими) средствами, сейчас их объединили в один. Банки, как правило, получают лицензию на три направления: оказание услуг в области шифрования информации, распространение и техническое обслуживание шифровальных (криптографических) средств. Реально получают лицензию на какие-то виды работ и услуг из числа видов работ и услуг 12–14, 20–23, 25–26, 28 (в соответствии с приложением к Положению [4]). У каждого банка этот набор относительно индивидуален. На практике на вид услуг 27 (предоставление юридическим и физическим лицам защищённых с использованием шифровальных (криптографических) средств каналов связи для передачи информации) претендуют организации, имеющие лицензию на предоставление услуг связи.

Редко банки получают лицензию на разработку и производство защищённых с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем, их ремонт и сервисное обслуживание. Это какие-то виды работ и услуг из числа видов работ и услуг 2–3, 8–9, 17–18 (в соответствии с приложением к Положению [4]). Большинство банков покупает готовое банковское программное обеспечение со встроенными шифровальными (криптографическими) средствами.

В Положении о лицензировании [4] определены лицензионные требования. Условно, для наглядности, их можно сгруппировать и изложить следующим образом.

1. Наличие на законном основании помещений, технологического оборудования и иных объектов, необходимых для осуществления лицензируемой деятельности.
2. Наличие внутренних распорядительных документов по защите конфиденциальной информации.
3. Наличие аттестованного по требованиям безопасности информации средства обработки информации (например, какого-то сегмента системы «Клиент – Банк» со встроенными шифровальными (криптографическими) средствами).
4. Наличие в штате квалифицированного персонала, имеющего определённый уровень образования и стаж работы.

Раньше требование к стажу было более мягким. Требовался стаж в области защиты информации. Теперь требуется стаж в заявленной области (т.е. стаж работы с шифровальными (криптографическими) средствами). Раньше достаточно было пройти повышение квалификации в объёме 72 часов. Теперь на самый простой вид деятельности – распространение – требуется наличие специалиста с высшим или средним профессиональным образованием по направлению подготовки «Информационная безопасность» в соответствии с действующим Общероссийским классификатором специальностей (ОКСО), и (или) прошедшего курсы повышения квалификации в объёме более 100 аудиторных часов по одной из специальностей этого направления.

На предоставление услуг и технического обслуживания требуется наличие не менее двух специалистов с высшим образованием по направлению подготовки «Информационная безопасность», и (или) прошедших профессиональную переподготовку в объёеме более 500 аудиторных часов по одной из специальностей того же направления подготовки, а также имеющих стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 3 лет. Разница – и в стоимости, и во времени обучения существенная.

Требование наличия в штате лицензиата такого квалифицированного персонала представляется наиболее сложным.

Кроме количественных требований к стажу и объёму часов в дополнительных программах, в Положении о лицензировании [4] содержатся еще 2 принципиальных требования:

1. Основное высшее (среднее) профессиональное образование и (или) дополнительное образование для представителей лицензиатов должно соответствовать специальностям по направлению подготовки «Информационная безопасность», установленным в действующем Общероссийском классификаторе специальностей (ОКСО);
2. Если представители лицензиатов получают дополнительное образование по указанным специальностям, то они должны представить в лицензирующий орган копии документов о дополнительном образовании государственного образца.

Именно по содержанию и условиям реализации этих двух требований у представителей лицензиатов и возникает наибольшее число вопросов и различных толкований, причем подчас не вполне корректных.

На самом же деле, оба положения четко определяются и регламентируются действующим Федеральным Законом «Об образовании» [2], Постановлением Правительства [5] и рядом нормативных документов Минобрнауки, Рособрнадзора и Ростехрегулирования.

I. ДЕЙСТВУЮЩИЙ ОКСО 2003 Г. С ИЗМЕНЕНИЯМИ №1 2005 ОКСО И №2 2010 ОКСО

В направление подготовки «Информационная безопасность» (090000) ОКСО входят 7 специальностей подготовки специалистов с высшим профессиональным образованием – код квалификации 65:

• криптография(090101);
• компьютерная безопасность(090102);
• организация и технология защиты информации(090103);
• комплексная защита объектов информатизации(090104);
• комплексное обеспечение информационной безопасности автоматизированных систем(090105);
• информационная безопасность телекоммуникационных систем (090106);
• противодействие техническим разведкам (090107). Выпускникам вузов по первым двум специальностям присваивается квалификация «математик», а по остальным – «специалист по защите информации».

Также в направление подготовки «Информационная безопасность» (090000) входит одна специальность подготовки специалистов со средним профессиональным образованием – код квалификации 51 – техник (52 – старший техник):

• Информационная безопасность (090108)

(введено Изменением № 1 2005 ОКСО, утв. Ростехрегулированием).

Для 1-го разряда кода квалификации, характеризующего уровень образования с учётом принятых в Российской Федерации уровней образования, используются следующие значения:

1 – среднее профессиональное образование;
2 – высшее профессиональное образование.

Для 2-го разряда кода квалификации, характеризующего уровень квалификации, используются следующие значения:

• для среднего профессионального образования:

1 – базовый уровень подготовки (51),
2 – повышенный уровень подготовки (52);

• для высшего профессионального образования:

2 – бакалавр (62),
5 – дипломированный специалист (65),
8 – магистр (68).

Специальность «Информационная безопасность» (090108) введена с 01.10.2005 изменением № 1 2005 ОКСО. По этой специальности готовятся техники (код 51) и старшие техники (код 52). Поэтому в системе ДПО по этой специальности может проводиться лишь среднее дополнительное профессиональное образование (ДПО). Однако на рекламных страницах официальных сайтов некоторых образовательных учреждений в системе ДПО можно найти объявления о том, эти учреждения осуществляют профессиональную переподготовку (объемом свыше 500 аудиторных часов) специалистов для получения лицензии ФСБ России в соответствии с Положением [4] именно по специальности «Информационная безопасность» (090108). Понятно, что такая реклама явно дезинформирует заказчиков.

Следует отметить, что в действующий ОКСО формально не входит направление подготовки «Информационная безопасность» (090900) высшего профессионального образования, подтверждаемого присвоением квалификации «бакалавр». Направление «Информационная безопасность» (090900) для бакалавров предусмотрено Перечнем, утвержденным Приказом Минобрнауки от 17.09.2009 № 337 (в редакции Приказа № 168 от 09 марта 2010 года).

Но Приказом Минобрнауки РФ № 201 от 17 февраля 2011 года определено соответствие этого направления для бакалавров и направления подготовки «Информационная безопасность» (090000), а также входящим в него специальностям из ОКСО. Действующий Федеральный Закон «Об образовании» [2] разрешает (!) Минобрнауки устанавливать такое соответствие и обязывает образовательные организации руководствоваться установленными соответствиями.

Таким образом, диплом бакалавра по направлению подготовки «Информационная безопасность» (090900) также соответствует требованиям Положения о лицензировании [4]. Кроме того, по этому направлению может проводиться и дополнительное образование, требуемое в Положении [4].

Добавим также, что все указанные специальности по направлению подготовки «Информационная безопасность» (090000) из действующего ОКСО соответствуют федеральным государственным образовательным стандартам (ФГОС ВПО) второго поколения.

Классификатор специальностей, соответствующих Федеральным государственным стандартам (ФГОС ВПО) третьего поколения, утвержденным в январе 2011 года, пока не введен, да и сами стандарты в настоящее время перерабатываются в соответствии с новым ФЗ-273 «Об образовании в Российской Федерации» [3], вступающим в силу с 1 сентября 2013 года.

Нормативная база по специальностям размещена на сайте «Классификаторы в сфере образования» – Inforating.ru: www.inforating.ru/lawattestation/education.html.

II. ДОКУМЕНТЫ ГОСУДАРСТВЕННОГО И УСТАНОВЛЕННОГО ОБРАЗЦА

До момента вступления в силу ФЗ-273 «Об образовании в Российской Федерации» [3] Минобрнауки РФ различает 2 вида документов об образовании в системе ДПО: государственного и установленного образца.

В письме Минобрнауки России от 27.07.2012 № АК-51/06 «О выдаче документов государственного образца» специально дается разъяснение:

«В связи с многочисленными обращениями граждан и организаций по вопросу выдачи документов государственного образца по образовательным программам дополнительного профессионального образования Минобрнауки России информирует.

В настоящее время лицам, завершившим обучение по образовательным программам дополнительного профессионального образования (далее – ОП ДПО), выдаются документы как государственного, так и установленного образца.

Образовательное учреждение имеет право выдавать документы государственного образца только по аккредитованным образовательным программам» (П. 23 ст. 33.2 закона об образовании [3] в ред. Федерального закона от 8 ноября 2010 года № 293-ФЗ). <...> документы государственного образца могут выдаваться лицам, завершившим обучение по образовательным программам повышения квалификации и профессиональной переподготовки, указанным в свидетельстве об аккредитации, если на момент завершения обучения у образовательного учреждения не истёк срок государственной аккредитации по этим программам...

Если образовательное учреждение не имеет государственной аккредитации по реализуемым им образовательным программам, то в соответствии с лицензией выдает лицам, прошедшим итоговую аттестацию, документы о соответствующем образовании и (или) квалификации установленного образца. Форма указанных документов определяется самим образовательным учреждением».

В процитированном Письме Минобрнауки приведено лишь 2 из 3 обязательных условий, выполнение которых дает право образовательному учреждению выдавать документы об образовании государственного образца.

Для лучшего и точного понимания требования Положения о лицензировании [4] воспроизведём без изъятия начало п. 2 ст. 27 «Документы об образовании» закона «Об образовании» [2]:

«...2. Образовательное учреждение или научная организация, имеющие государственную аккредитацию, выдают по реализуемым ими аккредитованным образовательным программам лицам, прошедшим государственную (итоговую) аттестацию, документы государственного образца об уровне образования и (или) квалификации, кроме случаев, предусмотренных Федеральным законом от 10 ноября 2009 года № 259-ФЗ «О Московском государственном университете имени М.В. Ломоносова и Санкт-Петербургском государственном университете»...».

Таким образом, организация-заказчик образовательной услуги при выборе образовательного учреждения для подготовки к получению лицензии ФСБ России должна убедиться в том, что это учреждение:

1. аккредитовано;
2. имеет необходимые аккредитованные дополнительные профессиональные образовательные программы по соответствующим специальностям из ОКСО;
3. в состоянии организовать и провести в установленном порядке государственную (итоговую) аттестацию по итогам обучения.

Лишь образовательное учреждение, удовлетворяющее одновременно этим трём условиям, имеет право выдавать документы об образовании государственного образца.

Как правило, образовательные учреждения, работающие на рынке образовательных услуг, имеют и аккредитацию, и аккредитованные программы. Вузы, реализующие дополнительные профессиональные образовательные программы вне своих основных образовательных программ (МФТИ, МАИ, МИФИ и др.), а также образовательные учреждения из системы ДПО, заключившие соответствующие соглашения с такими вузами, проводят государственную (итоговую) аттестацию установленным порядком в соответствии с требованиями федеральных государственных образовательных стандартов.

Последнее становится понятным, если посмотреть, как определяется государственная (итоговая) аттестация в Постановлении Правительства РФ [5]:

«14. Освоение гражданскими служащими образовательных программ профессиональной переподготовки завершается обязательной государственной итоговой аттестацией, предусматривающей выпускную квалификационную (аттестационную) работу и экзамен...

20. Освоение гражданскими служащими образовательных программ повышения квалификации завершается обязательной государственной итоговой аттестацией, предусматривающей следующие виды аттестационных испытаний:

а)  по краткосрочным программам повышения квалификации – экзамен в форме тестирования;
б) по программам повышения квалификации объемом свыше 72 часов – экзамен в форме тестирования и защита итоговой работы».

Для проведения государственной (итоговой) аттестации в образовательном учреждении должна быть образована Государственная аттестационная комиссия. В вузе такая комиссия создается ежегодно приказом ректора и функционирует постоянно. Организация такой комиссии в негосударственном образовательном учреждении без помощи вуза требует специальных организационных мероприятий со стороны образовательного учреждения и его учредителя.

Процитированные положения статей 14 и 20 из Постановления Правительства РФ [5] установлены для системы ДПО государственных (!) гражданских служащих. Однако если какое-либо образовательное учреждение претендует на вручение выпускникам документов государственного образца о прохождении ДПО, то это учреждение обязано соблюдать основные требования соответствующих нормативных документов.

Приведем в пересказе еще три положения Постановления [5], которые полезно учитывать при планировании обучения персонала для получения лицензии ФСБ России и выборе соответствующего образовательного учреждения.

1. Образовательное учреждение самостоятельно определяет содержание дополнительных профессиональных образовательных программ, а значит, и их наименование. Самостоятельно же определяется и технология обучения, причем допускается и дистанционное обучение.
2. Минимальный срок обучения определяется максимально допустимым объемом аудиторных часов в неделю – 41 час. Например, по программе повышения квалификации в 102 аудиторных часов минимальный срок обучения составит 102:41 = 2,5 (недели).
3. При освоении дополнительной программы слушателю в качестве её разделов могут быть засчитаны программы прохождения его предыдущего дополнительного образования, освоение которых подтверждено документами государственного образца, полученными не позднее 3 лет до начала обучения по соответствующей дополнительной программе.

При получении документа о дополнительном образовании государственного образца выпускнику необходимо внимательно проверить правильность его заполнения. Документ должен быть заполнен в соответствии с требованиями «Инструкции о порядке заполнения государственных документов о повышении квалификации и профессиональной переподготовке специалистов» (Приказ Госкомвуза России № 708 от 19 апреля 1996 года). Например, на правой стороне разворота диплома о профессиональной переподготовке государственного образца должно дважды повторяться название программы. Любое различие в этих записях, как и любые другие отклонения от установленных норм и любые ошибки, в соответствии с п. 8 приказа № 708, делают документ недействительным.

В заключении отметим, что по Федеральному Закону «Об образовании в Российской Федерации» [3], вступающему в силу с 1 сентября 2013 года, в системе ДПО будут выдаваться документы об образовании установленного образца, поскольку государственная (итоговая) аттестация в Законе [3] заменена в системе ДПО на итоговую аттестацию. Как разрешится вопрос о несоответствии требований Положения [4] этой новой норме – трудно сказать. Возможно, будет определён некоторый переходный период до корректировки Положения [4]. Непонятно также, каким образом будут разрабатываться новые дополнительные программы по направлению «Информационная безопасность».

Во всяком случае, Минобрнауки так и не определился с Порядком их разработки. На сайте выложен лишь проект соответствующего приказа. До сентября 2013 года система ДПО живет по установленным нормам.

НОРМАТИВНЫЕ ДОКУМЕНТЫ

[1]. ФЗ РФ «О лицензировании отдельных видов деятельности» от 4 мая 2011 года № 99-ФЗ.

[2].ФЗ РФ «Об образовании» от 10 июля 1992 г. № 3266-1-ФЗ

[3]. ФЗ РФ «Об образовании в Российской Федерации» от 29 декабря 2012 г. № 273-ФЗ.

[4]. Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных: систем и телекоммуникационных систем, защищённых с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищённых с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя). Утверждено Постановлением Правительства РФ от 16 апреля 2012 г. № 313.

[5]. «Государственные требования к профессиональной переподготовке, повышению квалификации и стажировке государственных гражданских служащих Российской Федерации». Утверждены Постановлением Правительства РФ от 06.05.2008г. № 362.

[6]. Административный регламент Федеральной службы безопасности Российской Федерации о порядке лицензирования деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищённых с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищённых с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищённых с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), утверждён Приказом ФСБ России от 30 августа 2012 г. № 440, зарегистрирован в Минюсте РФ 27сентября 2012 г., регистрационный № 25563.

BIS-СПРАВКА

ООО ЦИБИТ («Центр исследования безопасности информационных технологий») организует получение необходимого дополнительного образования специалистам – представителям лицензиатов совместно с Московским физико-техническим институтом (государственным университетом):

• на базе института осуществляется повышение квалификации по программе «Технологии и средства защиты компьютерных систем» (в объёме 102 аудиторных часов) и профессиональная переподготовка по программе «Технологии и средства обеспечения компьютерной безопасности» (в объеме 540 аудиторных часов);
• по окончании обучения выдаются в установленном порядке документы государственного образца о полученном дополнительном образовании по профилю основной образовательной программы «Компьютерная безопасность» (090102) направления подготовки «Информационная безопасность» (090000) по действующему ОКСО;
• компания оказывает консалтинговые услуги в части подготовки к получению лицензии ФСБ России на деятельность, связанную с шифровальными (криптографическими) средствами;
• проводится аудит на предмет соответствия организации лицензионным требованиям, определяются меры, которые надо реализовать для соответствия лицензионным требования;
• при необходимости проводится аттестация средства обработки информации, организуется переподготовка специалистов, доработка (разработка) необходимых документов.

Электронный адрес: http://www.cibit.ru/ и ЦИБИТ.рф.