На авито и других подобных сайтах полно объявлений о продаже криптошлюзов. Незадачливые продавцы не задумываются, что в соответствии с Постановлением Правительства №313 (п. 21) передача СКЗИ – это лицензируемая деятельность. Отсутствие лицензии потенциально грозит продавцу административной, а иногда и уголовной ответственностью. У покупателя тоже могут быть проблемы – как он объяснит появление у него СКЗИ, которое изначально продано другому клиенту?
Как же быть тем, кто хочет избавиться от этих ненужных «коробок» и не нарушить закон? Очень просто – предварительно удалить СКЗИ и ограничиться продажей аппаратной платформы. Аналогично нужно действовать перед передачей аппаратных средств, на которых установлено СКЗИ, для ремонта в стороннюю организацию.
Процесс вывода из эксплуатации СКЗИ регламентируется Приказом ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», а также эксплуатационной документацией СКЗИ.
В отдельных случаях могут быть специальные «отраслевые» требования, например, для тахографов и ККТ.
Как же быть тем, кто хочет избавиться от этих ненужных «коробок» и не нарушить закон? Очень просто – предварительно удалить СКЗИ и ограничиться продажей аппаратной платформы. Аналогично нужно действовать перед передачей аппаратных средств, на которых установлено СКЗИ, для ремонта в стороннюю организацию.
Процесс вывода из эксплуатации СКЗИ регламентируется Приказом ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», а также эксплуатационной документацией СКЗИ.
В отдельных случаях могут быть специальные «отраслевые» требования, например, для тахографов и ККТ.
В соответствии с действующим приказом ФАПСИ №152:
43. СКЗИ уничтожают (утилизируют) в соответствии с требованиями Положения ПКЗ-99 по решению обладателя конфиденциальной информации, владеющего СКЗИ, и по согласованию с лицензиатом ФАПСИ.
Намеченные к уничтожению (утилизации) СКЗИ подлежат изъятию из аппаратных средств, с которыми они функционировали. При этом СКЗИ считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к СКЗИ процедура удаления программного обеспечения СКЗИ, и они полностью отсоединены от аппаратных средств.
44. Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения, не предназначенные специально для аппаратной реализации криптографических алгоритмов или иных функций СКЗИ, а также совместно работающее с СКЗИ оборудование (мониторы, принтеры, сканеры, клавиатура и т.п.) разрешается использовать после уничтожения СКЗИ без ограничений. При этом информация, которая может оставаться в устройствах памяти оборудования (например, в принтерах, сканерах), должна быть надежно удалена (стерта).
Положение ПКЗ-99 уже не действует, вместо него введено ПКЗ-2005, которое не предъявляет требований к утилизации СКЗИ. Таким образом, требуется «изъять» СКЗИ из аппаратных средств, и далее можно использовать эти аппаратные средства без ограничений.
При этом нужно учесть еще два момента:
- Пользователь СКЗИ должен вести поэкземплярный учет используемых СКЗИ. В форме, указанной в Приложениях 1 и 2 приказа ФАПСИ №152, необходима отметка об изъятии СКЗИ из аппаратных средств и уничтожении ключевых документов. Эти действия, а также весь процесс вывода из эксплуатации, должны быть отражены в инструкции, регламентирующей обращение с СКЗИ.
- Для воспрепятствования использованию ключевой информации утилизируемых СКЗИ необходимо её аннулировать (например, CRL в PKI-инфраструктуре).
Резюме
Вывод СКЗИ из эксплуатации производится согласно приказу ФАПСИ №152 и эксплуатационной документации конкретного СКЗИ. Он необходим в следующих случаях:
- СКЗИ больше не будет использоваться на данной аппаратной платформе. Например, на текущую версию СКЗИ закончился сертификат соответствия, а новая не может быть установлена на эту платформу. После удаления СКЗИ платформу можно использовать повторно – установить на неё другое ПО или списать и продать :)
- Нужно передать аппаратную платформу, на которой установлено СКЗИ, для ремонта в стороннюю организацию.
Юридическая ответственность за осуществление деятельности без лицензии и нарушение порядка лицензирования
ОтветитьУдалитьhttp://www.mosobrazovanie.ru/uridicheskaya_otvetstvennost.html