Организация Удостоверяющего Центра На Базе Организации

[funt]

Хотим организовать Удостоверяющий центр по выдачи ЭЦП на базе организации. Подскажите какие документы и лицензии для этого нужно. Лизензии ФСБ по обслуживанию, разработке и распространению криптосредств уже получили...

[pharaon]

Хотим организовать Удостоверяющий центр по выдачи ЭЦП на базе организации. Подскажите какие документы и лицензии для этого нужно. Лизензии ФСБ по обслуживанию, разработке и распространению криптосредств уже получили...

С мая 2012го есть одна лицензия касающаяся деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) с перечнем видов деятельности http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=128739

Для УЦ, по моему мнению, необходимы

7. Производство (тиражирование) шифровальных (криптографических) средств.

11. Изготовление с использованием шифровальных (криптографических) средств изделий, предназначенных для подтверждения прав (полномочий) доступа к информации и (или) оборудованию в информационных и телекоммуникационных системах.

12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств.

13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.

14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.

15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.

20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

21. Передача шифровальных (криптографических) средств.

22. Передача защищенных с использованием шифровальных (криптографических) средств информационных систем.

23. Передача защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.

24. Передача средств изготовления ключевых документов.

25. Предоставление услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей.

26. Предоставление услуг по имитозащите информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей.

28. Изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств.

[funt]

С мая 2012го есть одна лицензия касающаяся деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) с перечнем видов деятельности http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=128739

Для УЦ, по моему мнению, необходимы

7. Производство (тиражирование) шифровальных (криптографических) средств.

11. Изготовление с использованием шифровальных (криптографических) средств изделий, предназначенных для подтверждения прав (полномочий) доступа к информации и (или) оборудованию в информационных и телекоммуникационных системах.

12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств.

13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.

14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.

15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.

20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

21. Передача шифровальных (криптографических) средств.

22. Передача защищенных с использованием шифровальных (криптографических) средств информационных систем.

23. Передача защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.

24. Передача средств изготовления ключевых документов.

25. Предоставление услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей.

26. Предоставление услуг по имитозащите информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей.

28. Изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств.

нам выдали 3 лицензии по 957 постановлению я так понял, я когда сказал им что оно утратило силу они на меня посмотрели удивленными глазами...

в своем вопросе про УЦ я имел ввиду какие документы надо разрабатывать, там же еще надо регистрировать его в типа как ЕГРЮЛ для юр лиц а это для УЦ

[pharaon]

нам выдали 3 лицензии по 957 постановлению я так понял, я когда сказал им что оно утратило силу они на меня посмотрели удивленными глазами...

в своем вопросе про УЦ я имел ввиду какие документы надо разрабатывать, там же еще надо регистрировать его в типа как ЕГРЮЛ для юр лиц а это для УЦ

наверное вы документы на лицензии подавали в марте-апреле.

по документам не подскажу

[slavanchuk]

Хотим организовать Удостоверяющий центр по выдачи ЭЦП на базе организации. Подскажите какие документы и лицензии для этого нужно. Лизензии ФСБ по обслуживанию, разработке и распространению криптосредств уже получили...

Документы следующие:

1. Регламент удостоверяющего центра.

2. Приказ об организации удостоверяющего центра.

3. Приказ о назначении уполномоченного лица.

4. Журнал учёта СКЗИ, документации и ключей.

5. Прочая бюрократия по ФАПСИ-152.

6. Письмо в минкомсвязь для включения сертификата в перечень.

[Savas]

Опишу ситуацию:

Есть группа компаний: К1, К2, К3, К4, К5. В группе компаний задействован электронный документооборот. Соответственно, согласование документов происходит путем подписания документов ЭП (ЭЦП). Все сертификаты для подписания выдаются Центром сертификации, установленном в компании К1. На данный момент сертификаты используются только внутри компании. Задача следующая: Необходимо документально оформить легетимность использования ЭП (ЭЦП) внутри группы компаний. По этому поводу хочу проконсультироваться у Вас, уважаемые, по следующим вопросам:

1. Какой комплект документов должен быть разработан в соответствии с описанной схемой

2. Какие законы утверждают комплект этих документов

[slavanchuk]

Опишу ситуацию:

Есть группа компаний: К1, К2, К3, К4, К5. В группе компаний задействован электронный документооборот. Соответственно, согласование документов происходит путем подписания документов ЭП (ЭЦП). Все сертификаты для подписания выдаются Центром сертификации, установленном в компании К1. На данный момент сертификаты используются только внутри компании. Задача следующая: Необходимо документально оформить легетимность использования ЭП (ЭЦП) внутри группы компаний. По этому поводу хочу проконсультироваться у Вас, уважаемые, по следующим вопросам:

1. Какой комплект документов должен быть разработан в соответствии с описанной схемой

2. Какие законы утверждают комплект этих документов

Чтобы узаконить данный документооборот, необходимо иметь соглашения между данными организациями.

Вопросы электронной подписи регулируются законом "Об электронной подписи":

1. Статья 3, часть 1 - "Отношения в области использования электронных подписей регулируются ...., а также соглашениями между участниками электронного взаимодействия. .... Если иное не установлено федеральными законами, то порядок использования электронной подписи регулируется оператором данной системы или участников документооборота". (немного перефразированный отрывок закона).

2. Особенности возникают в части электронной подписи для государственных структур (и при взаимодействии с государственными структурами) или, к примеру, при передаче в электронном виде счетов-фактур (для которых установлен особый порядок).

3. Также удостоверяющий центр обязан вести реестр сертификатов.

Таким образом, если судить по закону, то основной документ, который требуется Вашим организациям - соглашения друг с другом.

[Savas]

Таким образом, если судить по закону, то основной документ, который требуется Вашим организациям - соглашения друг с другом.

Большое спасибо. Теперь возникает вопрос, сколько этих соглашений должно быть.

1. Единое соглашение, в котором прописано, что между компаниями реализован электронный документооборот с использованием ЭП, в рамках которого все сертификаты выдаются ЦС, зарегистрированным в компании К1.

2. Много соглашений между каждой из компаний. Этот вариант, видится, менее предпочтительный.

Также буду очень признателен за полезные советы по структуре Соглашения, то есть из каких разделов оно должно состоять, возможно есть полезные статьи/рекомендации по этому поводу. Заранее спасибо

[slavanchuk]

Большое спасибо. Теперь возникает вопрос, сколько этих соглашений должно быть.

1. Единое соглашение, в котором прописано, что между компаниями реализован электронный документооборот с использованием ЭП, в рамках которого все сертификаты выдаются ЦС, зарегистрированным в компании К1.

2. Много соглашений между каждой из компаний. Этот вариант, видится, менее предпочтительный.

Также буду очень признателен за полезные советы по структуре Соглашения, то есть из каких разделов оно должно состоять, возможно есть полезные статьи/рекомендации по этому поводу. Заранее спасибо

На самом деле, пресловутый Регламент удостоверяющего центра - тоже своего рода соглашение, когда организации, пользующиеся услугами централизованного оператора подписывают заявление о присоединении к нему. Эта система используется многими удостоверяющими центрами. У нас головная организация предложила единый регламент, который является приложением к типовому соглашению. Это соглашение мы должны заключать с каждым взаимодействующим субъектом. Вариант с регламентом и присоединением к нему выглядит более привлекательным. Структура у него обычно следующая:

1. Статус документа, общие положения, термины и определения
   
2. Порядок присодинения и расторжения, дополнения.
   
3. Права и обязанности сторон
   
4. Ответственность сторон
   
5. Решение споров
   
6. Порядок предоставления и пользования услугами (выдача ЭП, аннулирование, приостановление, экспертиза).
   
7. О средствах ЭП и сертификатах
   
8. Конфединциальность
   
9. Форс-мажор
   
10. Заключительные положения
    

Примеров в сети много. Любой регламент удостоверяющего центра. Если нужно - кину наш пример в личку.

[fedro]

На самом деле, пресловутый Регламент удостоверяющего центра - тоже своего рода соглашение, когда организации, пользующиеся услугами централизованного оператора подписывают заявление о присоединении к нему. Эта система используется многими удостоверяющими центрами. У нас головная организация предложила единый регламент, который является приложением к типовому соглашению. Это соглашение мы должны заключать с каждым взаимодействующим субъектом. Вариант с регламентом и присоединением к нему выглядит более привлекательным. Структура у него обычно следующая:

1. Статус документа, общие положения, термины и определения
   
   
2. Порядок присодинения и расторжения, дополнения.
   
   
3. Права и обязанности сторон
   
   
4. Ответственность сторон
   
   
5. Решение споров
   
   
6. Порядок предоставления и пользования услугами (выдача ЭП, аннулирование, приостановление, экспертиза).
   
   
7. О средствах ЭП и сертификатах
   
   
8. Конфединциальность
   
   
9. Форс-мажор
   
   
10. Заключительные положения
    

Примеров в сети много. Любой регламент удостоверяющего центра. Если нужно - кину наш пример в личку.

Схожий вопрос возник у нашей организации. Возможно ли при всем при этом организовать обмен персональными данными, который бы не противоречил 152ФЗ, приказу фстэк 781?

[slavanchuk]

Схожий вопрос возник у нашей организации. Возможно ли при всем при этом организовать обмен персональными данными, который бы не противоречил 152ФЗ, приказу фстэк 781?

Чтобы не противоречить закону и, в случае если вы не ведёте обработку и передачу в соответствии с какими-либо федеральными законами (в которых прописано что кому и в каком объёме передаётся), то с каждого субъекта персональных данных нужно брать согласие на передачу в определённые организации данных в определённом объёме. А между организациями должно быть соглашение, в котором оговорена обязанность обеспечивать конфиденциальность (и желательно даже расписать каким образом и какими методами). Но при любых соглашениях без наличия согласия субъекта (за исключением работы по ФЗ или случаев, когда согласие не требуется) обмен данных будет являться незаконным.

[fedro]

Чтобы не противоречить закону и, в случае если вы не ведёте обработку и передачу в соответствии с какими-либо федеральными законами (в которых прописано что кому и в каком объёме передаётся), то с каждого субъекта персональных данных нужно брать согласие на передачу в определённые организации данных в определённом объёме. А между организациями должно быть соглашение, в котором оговорена обязанность обеспечивать конфиденциальность (и желательно даже расписать каким образом и какими методами). Но при любых соглашениях без наличия согласия субъекта (за исключением работы по ФЗ или случаев, когда согласие не требуется) обмен данных будет являться незаконным.

Согласие и все необходимое -есть по организации обработки, хранении итд итп.

Есть вопрос в плане технической части - каким продуктами vipnet это можно организовать.

Как я понял - это vipnet clienet(деловая почта)+ vipnet клиент монитор.

т.о. остается получить лицензии у фсб на криптографию и шифрование, поставить всю это технику на отдельный сервер, подписать соглашения о взаимодействии с нашим уц (работы по вышенаписанному) и обмениваться уже персональными данными?

Или есть еще какие-то требования под это?

[slavanchuk]

Согласие и все необходимое -есть по организации обработки, хранении итд итп.

Есть вопрос в плане технической части - каким продуктами vipnet это можно организовать.

Как я понял - это vipnet clienet(деловая почта)+ vipnet клиент монитор.

т.о. остается получить лицензии у фсб на криптографию и шифрование, поставить всю это технику на отдельный сервер, подписать соглашения о взаимодействии с нашим уц (работы по вышенаписанному) и обмениваться уже персональными данными?

Или есть еще какие-то требования под это?

Требований хватает. Лицензия ФСБ - обязательно, если кто-то будет оператором для других организаций. Для этого, чтобы организовать обмен можно использовать VipNet Custom. В рамках этого продукта необходимо приобрести:

1. VipNet Administrator (программа управления сетью и выдачи сертификатов).

2. VipNet Coordinator (не менее одного, лучше failover). Есть варианта - для Windows, для Linux и коробочный вариант HW1000.

3. VipNet Client на каждое рабочее место (сюда входит и монитор и деловая почта).

Если есть собственные информационные системы с отлаженной передачей, то можно поставить в каждую организацию по VipNet Coordinator и докупить туннели на каждое рабочее место. Если нужна программа для отправки и цифровой подписи, то можно либо VipNet Client (VPN+средство ЭП), либо VipNet CSP. Но для использования VipNet CSP необходимо ещё иметь VipNet Registration Point.

По технической части для обмена больше ничего не нужно. Единственное, определитесь с уровнем защиты (КС1,КС2, КС3 и т.п.). В зависимости от нарушителя разные комплекты поставки. Ну средства защиты от НСД никто не отменял (но это уже не о передаче вопрос).

[Savas]

Примеров в сети много. Любой регламент удостоверяющего центра. Если нужно - кину наш пример в личку.

Буду весьма признателен.

[slavanchuk]

Буду весьма признателен.

Ссылку отправил в личку.

[fedro]

Требований хватает. Лицензия ФСБ - обязательно, если кто-то будет оператором для других организаций. Для этого, чтобы организовать обмен можно использовать VipNet Custom. В рамках этого продукта необходимо приобрести:

1. VipNet Administrator (программа управления сетью и выдачи сертификатов).

2. VipNet Coordinator (не менее одного, лучше failover). Есть варианта - для Windows, для Linux и коробочный вариант HW1000.

3. VipNet Client на каждое рабочее место (сюда входит и монитор и деловая почта).

Если есть собственные информационные системы с отлаженной передачей, то можно поставить в каждую организацию по VipNet Coordinator и докупить туннели на каждое рабочее место. Если нужна программа для отправки и цифровой подписи, то можно либо VipNet Client (VPN+средство ЭП), либо VipNet CSP. Но для использования VipNet CSP необходимо ещё иметь VipNet Registration Point.

По технической части для обмена больше ничего не нужно. Единственное, определитесь с уровнем защиты (КС1,КС2, КС3 и т.п.). В зависимости от нарушителя разные комплекты поставки. Ну средства защиты от НСД никто не отменял (но это уже не о передаче вопрос).

Спасибо за ответ!

[fedro]

Требований хватает. Лицензия ФСБ - обязательно, если кто-то будет оператором для других организаций. Для этого, чтобы организовать обмен можно использовать VipNet Custom. В рамках этого продукта необходимо приобрести:

1. VipNet Administrator (программа управления сетью и выдачи сертификатов).

2. VipNet Coordinator (не менее одного, лучше failover). Есть варианта - для Windows, для Linux и коробочный вариант HW1000.

3. VipNet Client на каждое рабочее место (сюда входит и монитор и деловая почта).

Если есть собственные информационные системы с отлаженной передачей, то можно поставить в каждую организацию по VipNet Coordinator и докупить туннели на каждое рабочее место. Если нужна программа для отправки и цифровой подписи, то можно либо VipNet Client (VPN+средство ЭП), либо VipNet CSP. Но для использования VipNet CSP необходимо ещё иметь VipNet Registration Point.

По технической части для обмена больше ничего не нужно. Единственное, определитесь с уровнем защиты (КС1,КС2, КС3 и т.п.). В зависимости от нарушителя разные комплекты поставки. Ну средства защиты от НСД никто не отменял (но это уже не о передаче вопрос).

А, возможно ли сделать это таким образом, по проще?

К примеру, в качестве УЦ использовать стороннего поставщика? Т.е. к чему это я - чтобы минимизировать получение всякого рода лицензий фсб, в частности?

[slavanchuk]

А, возможно ли сделать это таким образом, по проще?

К примеру, в качестве УЦ использовать стороннего поставщика? Т.е. к чему это я - чтобы минимизировать получение всякого рода лицензий фсб, в частности?

Если у Вас есть квалифицированные люди, то получение лицензий ФСБ Вам дорого не встанет. Дороже выйдет потом платить сторонней контроре постоянно... и зависить от их занятости. Скажу по опыту, что аутсорсинг - вещь не всегда удобная. В случае с лицензией ФСТЭК затраты большие. В случае с лицензией ФСБ - сравнительно меньшие. Главное требование - кадры. А остальные требования Вам в любом случае придётся исполнять - в части организации режима помещений и тому подобное. Сейчас требуется по новому закону - 3 человека с образованием по профилю "информационная безопасность" или прошедших переподготовку по данному направлению. Стоимость переподготовки - 20 тысяч за бумажку (пройдя обучение онлайн). Так что - получайте лицензию. Вот мой совет. Окупится с лихвой. Далеко не все лицензиаты смогут Вам организовать нормально работу с криптографией - клиентов у них много, а желание приводить бумажки в порядок - мало.

[fedro]

Если у Вас есть квалифицированные люди, то получение лицензий ФСБ Вам дорого не встанет. Дороже выйдет потом платить сторонней контроре постоянно... и зависить от их занятости. Скажу по опыту, что аутсорсинг - вещь не всегда удобная. В случае с лицензией ФСТЭК затраты большие. В случае с лицензией ФСБ - сравнительно меньшие. Главное требование - кадры. А остальные требования Вам в любом случае придётся исполнять - в части организации режима помещений и тому подобное. Сейчас требуется по новому закону - 3 человека с образованием по профилю "информационная безопасность" или прошедших переподготовку по данному направлению. Стоимость переподготовки - 20 тысяч за бумажку (пройдя обучение онлайн). Так что - получайте лицензию. Вот мой совет. Окупится с лихвой. Далеко не все лицензиаты смогут Вам организовать нормально работу с криптографией - клиентов у них много, а желание приводить бумажки в порядок - мало.

Спасибо за совет! Очень признателен!

[slavanchuk]

Спасибо за совет! Очень признателен!

Совсем забыл ещё один важный факт. Опыт работы у них по профилю должен быть не менее трёх лет.

[fedro]

Совсем забыл ещё один важный факт. Опыт работы у них по профилю должен быть не менее трёх лет.

Как я понял для Организации УЦ приема/передачи конфиденциальной информации с ПДн необходимо:

1) Лицензия ФСБ «Деятельность по разработке, производству, распространению шифровальных (криптографических) средств…» - а есть ли список лицензий, которые надо получить от фсб и фстэк?

2) Специально оборудованное помещение

3) Квалифицированный персонал: 1 руководитель, 2 инженерно-технический персонал. C образованием по профилю "информационная безопасность" или прошедших переподготовку по данному направлению

ПО:

1. Сервер

2. VipNet Custom (для приема/передачи данных по деловой почте)

3. СЗИ от НСД

Вроде я правильно понял

[slavanchuk]

Как я понял для Организации УЦ приема/передачи конфиденциальной информации с ПДн необходимо:

1) Лицензия ФСБ «Деятельность по разработке, производству, распространению шифровальных (криптографических) средств…» - а есть ли список лицензий, которые надо получить от фсб и фстэк?

2) Специально оборудованное помещение

3) Квалифицированный персонал: 1 руководитель, 2 инженерно-технический персонал. C образованием по профилю "информационная безопасность" или прошедших переподготовку по данному направлению

ПО:

1. Сервер

2. VipNet Custom (для приема/передачи данных по деловой почте)

3. СЗИ от НСД

Вроде я правильно понял

1. Лицензия ФСБ даётся теперь у нас одна. Нужно получать не все виды деятельности. На разработку получать не нужно (да и требования там выше - 5 лет опыта работы). Все остальные виды деятельности (связанные с распространением, обслуживанием и выработке ключей) нужно заявлять. Если хотите точный перечень - могу написать и его.

2. Помещение необходимо с сигнализацией, зашторенными окнами, сейфом. Желательно замок, который зашёлкивается при закрытии двери. У нас, например, два замка (один - обычный с ключом, второй - электронный защёлкивающийся).

3. VipNet Administrator и компьютер для него.

4. VipNet Coordinator в помещении с ограниченным доступом (можно в том же помещении).

5. На компьютер с администратором желательно АПМДЗ и СЗИ от НСД.

6. По персоналу всё правильно поняли.

Лицензию ФСТЭК на ТЗКИ получать довольно дорого. Да и, честно говоря, для организации удостоверяющего центра это и не нужно вовсе. Есдинственное, Вам придётся пригласить один раз лицензиата ФСТЭК для того, чтобы у Вас был аттестат соответствия по требованиям безопасности на компьютер с СЗИ от НСД. Порядка 30 тысяч это будет стоить. А лицензия ФСТЭК может обойтись в весьма кругленькую сумму.

[shsv]

Сейчас требуется по новому закону - 3 человека с образованием по профилю "информационная безопасность" или прошедших переподготовку по данному направлению. - какой закон (редакция) упоминается?

[slavanchuk]

Сейчас требуется по новому закону - 3 человека с образованием по профилю "информационная безопасность" или прошедших переподготовку по данному направлению. - какой закон (редакция) упоминается?

В случае получения лицензий ФСБ на деятельность в области криптографии (предоставление услуг, распространение криптосредств и техническое обслуживание) требуется минимум три человека, имеющий высшее образование по направлению "информационная безопасность" или прошедших переподготовку (не менее 500 аудиторных часов). Требование это можно прочесть в постановлении Правительства РФ №313 от 16 апреля 2012. Именно этим документом руководствуются специалисты ФСБ при выдаче лицензий нового образца (в соответствии с изменениями в законе "О лицензировании отдельных видов деятельности"). Само собой, это распространяется на случаи предоставления услуг третьим лицам. Для организации корпоративного удостоверяющего центра внутри одной организации, данные лицензии получать не нужно. Таким образом, новые требования гораздо жёстче предыдущих. Тем не менее, это - правильная тенденция, которая позволяет заниматься безопасностью именно профессионалам. Если посмотреть на многих сегодняшних лицензиатов, то что там творится - даже говорить не хочется.

[Rokot]

Коллеги. Очень интересная тема и для меня актуальная. Скажите, а можно обойтись без получения лицензии в условиях холдинга где есть управляющая компания и ДЗО таким образом: Основные участники юридически значимого документооборота - работники юр. лица УК, в каждом из ДЗО есть несколько работников допущенных в нашу ИС и наш СЭД. Если этих работников принять в УК по совместительству (на какую-нибкдь сотую или тысячную долю оклада) - потребность в лицензии снимается? А то как то хлопотно из-за пары десятков человек получать лицензию... Заранее благодарю вас за ответ.