Согласно "Положений о лицензировании... ", утвержденных Постановлением Правительства РФ от 29 декабря 2007 г. N 957, статьи 2 пункт в), средства ЭЦП относятся к шифровальным (криптографическим) средствам. Поэтому есть ли у Вас шифрование или только ЭЦП - роли не играет. Всё равно "КриптоПро CSP" относится к шифровальным (криптографическим) средствам.
По статусу удостоверяющего центра...
Если, согласно пункту 1 статьи 6 1-ФЗ "Об ЭЦП" статус удостоверяющего центра, выдающего сертификаты ключей подписей для использования в информационных системах общего пользования, определен как юридическое лицо, удовлетворяющее требованиям, определенными Правительством РФ, то статус удостоверяющего центра, обеспечивающего функционирование корпоративной информационной системы, определяется ее владельцем или соглашением участников этой системы.
Т.е. УЦ, обеспечивающий функционирование корпоративной информационной системы, может быть определен как:
Вариант 1: юридическое лицо, являющееся носителем субъективных прав и обязанностей в части обеспечения выполнения функции, предусмотренных 1-ФЗ "Об ЭЦП" в части удостоверяющего центра;
Вариант 2: индивидуальный предприниматель без образования юридического лица, являющийся носителем субъективных прав и обязанностей в части обеспечения выполнения функции, предусмотренных 1-ФЗ "Об ЭЦП" в части удостоверяющего центра;
Вариант 3: юридическое лицо, являющееся носителем субъективных прав и обязанностей в части обеспечения выполнения функции, предусмотренных 1-ФЗ "Об ЭЦП" в части удостоверяющего центра и застраховавшее свою ражданскую ответственность по договорам предсотавления услуг удостоверяющего центра пользователям информационной системы ИНФОРМАЦИОННАЯ СИСТЕМА "ИИИ".
Вариант 4: и ещё много и много вариантов.
По статусу прояснили ситуацию?
УЦ - это всегда лицо. Правильно? Это не сервер ЦС или не программа для ЭВМ. Иначе странно бы звучала фраза в статье 9 1-ФЗ "деятельность удостоверяющего центра". Если посмотрим Толковый словарь Ушакова, то увидим, что "деятельность - работа, систематическое применение своих сил в какой-н. области". Если случайно заглянем в Большой энциклопедический словарь, то увидим такое определение "ДЕЯТЕЛЬНОСТЬ - специфическая человеческая форма отношения к окружающему миру, содержание которой составляет его целесообразное изменение в интересах людей; условие существования общества. Деятельность включает в себя цель, средства, результат и сам процесс.".
Из вышеизложенного можем сделать вывод, что деятельность присуща лицу, но никак не ЦС.
А если заглянем в статью 17 128-ФЗ "О лицензировании отдельных видов деятельности" то увидим там, что подлежат обязательному лицензированию следующие, в том числе, виды деятельности:
• распространение шифровальных (криптографических) средств;
• техническое обслуживание шифровальных (криптографических) средств;
• предоставление услуг в области шифрования.
Итак, у нас есть:
- лицо, осуществляющее деятельность удостоверяющего центра в соответствии с 1-ФЗ "Об ЭЦП"
- "Положения о лицензировании... ", утвержденные Постановлением Правительства РФ от 29 декабря 2007 г. N 957
1. Лицо, согласно пункту 1 статьи 9 1-ФЗ "Об ЭЦП" "создает ключи электронных цифровых подписей по обращению участников информационной системы". Смотрим в "Положение о лицензировании деятельности по распространению шифровальных (криптографических) средств" и видим в статье 2 пункт е) что ключи относятся к шифровальным (криптографическим) средствам. Значит, что бы передать ключи другому юридическому лицу (осуществить деятельность по распространению) нужно иметь лицензию на распространение шифровальных (криптографических) средств;
2. Лицо, согласно пункту 1 статьи 9 1-ФЗ "Об ЭЦП" "приостанавливает и возобновляет действие сертификатов ключей подписей, а также аннулирует их; ведет реестр сертификатов ключей подписей, обеспечивает его актуальность и возможность свободного доступа к нему участников информационных систем;". Т.е. лицо обслуживает сертификаты ключей подписей, содержащих открытый ключ. Смотрим в "Положение о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств" и видим в статье 2 пункт е) что ключи (открытый ключ тоже) относятся к шифровальным (криптографическим) средствам. Значит, что бы обслуживать сертификаты других юридических лиц нужно иметь лицензию на техническое обслуживание шифровальных (криптографических) средств.
3. Две лицензии уже "натянули" - осталось лицензия на услуги в области шифрования. Это тоже можно натянуть, если при оказании услуги УЦ используется зашифрованный канал связи между пользователем и УЦ (например, при распределенном обслуживании).
Я Вам озвучил приблизительные аргументы лицензионного органа ФСБ России. Вы можете со мной соглашаться или нет. Рассудит лицензионный орган ФСБ :-) Преценденты есть, к сожалению. Помните про статью 171 УК РФ! Точнее о неё должен помнить единоличный исполнительный орган Вашей организации.
