Как получить лицензию ФСТЭК в 2023 году

Организации, которые ведут работы и оказывают услуги по технической защите конфиденциальной информации, занимаются разработкой и производством СЗИ¹,  в обязательном порядке должны получить лицензии ФСТЭК России. Процедура получения достаточно сложная, так как с 2017 года лицензирующий орган установил более жёсткие требования к квалификации и трудовому стажу персонала.

Лицензии ФСТЭК бывают 2 видов:

1. РиПСЗИ. Выдаётся организациям на разработку и производство средств защиты конфиденциальной информации.
2. ТКЗИ. Выдаётся организациям на работы и оказание услуг по технической защите конфиденциальной информации.

Определяем пункты лицензии ФСТЭК

Определение пунктов является первым этапом, через который необходимо пройти соискателю. Их немного, но регулируют они обширный перечень видов деятельности, доступных организации:

ФСТЭК (ТЗКИ)

• а, г, е: п.п. 1-3 (с КИО²) — контроль защищенности информации от от утечек по техническим каналам; услуги по аттестации АРМ³, АС⁴, ИС⁵, ИС⁶; установка, монтаж, ремонт, наладка СЗИ (технических, программных (программно-технических) средств);
• в — мониторинг, развёртывание SOC-центра мониторинга и реагирования на инциденты информационной безопасности;
• б, д, е: п.п. 4-6 (без КИО) — контроль защищённости информации от НСД⁷ (аудит, пентест); проектирование СЗИ в ИС; ЗП; установка, монтаж, наладка СЗИ (программных (программно-технических) средств).

ФСТЭК (РиПСЗКИ)

• а, б (с КИО) — разработка и производство средств защиты конфиденциальной информации;
  
• а, б: 4-6 (без КИО) — разработка и производство средств защиты конфиденциальной информации.

¹ Средства защиты информации
² Контрольно-измерительное оборудование
³ Автоматизированное рабочее место
⁴ Автоматизированная система
⁵ Информационная система
⁶ Защищаемое помещение
⁷ Несанкционированный доступ

Подготовка документов

Данный этап является важнейшим для соискателя и на него приходится большинство отказов от лицензирующего органа. Здесь ключевую роль играет тот факт, что процедура получения дистанционная и все внимание лицензирующего органа приковано именно к документам. Обычно их объём составляет 200-300 страниц. При этом на исправление ошибок при отказе дается всего 30 дней и связь с лицензирующим органом, который 1 на всю страну, ограничена. 

Чтобы не рисковать и не сталкиваться с ошибками, лучше обратиться к профессионалам, которые правильно подадут документы, помогут найти сотрудников и оборудование и подготовят помещение, чтобы не проходить процедуру проверки несколько раз.

Итак, какие документы потребуются соискателю: 

• Заявление на получение лицензии с указанием пунктов; 
• учредительные для организаций, которые получают лицензию впервые, сюда также входят: устав, ИНН, свидетельство о регистрации юр.лица; 
• подтверждающие право собственности или аренды оборудования; 
• подтверждающие образование и опыт работников; 
• подтверждающие наличие оборудования, которое требуется для получения лицензии, и его калибровка (поверка); 
• ГОСТы, требуемые для оказания услуг по защите информации;
• описание процесса работы с информацией по форме ФСТЭК.

Подготовка помещения

К помещению выдвигаются стандартные требования. Основным из них является нахождение помещения в собственности соискателя или в аренде/субаренде. Во втором случае потребуется предоставление всей цепочки документов вплоть до владельца помещения, что значительно усложняет задачу. Также необходимо точное совпадение фактических и кадастровых номеров, чтобы помещение можно было однозначно идентифицировать. Опять же, процедура проверки дистанционная, что и вызывает множество затруднений. Помещения должно быть аттестовано по требования безопасности информации для ведения конфиденциальных переговоров. Для получения лицензии ТЗКИ у соискателя так же должно быть аттестовано по требованиям безопасности автоматизированное рабочее место (АРМ).

Подбор персонала

К сотрудникам выдвигаются серьезные требования в плане квалификации, которую могут проверить во время плановой проверки. 

Требования, выдвигаемые к сотрудникам:

1. 3 и более сотрудников, которые официально трудоустроены у соискателя. 
2. Высшее образование по направлению «Информационная безопасность» и стаж от 3 до 5 лет по лицензируемому виду деятельности.
3. Высшее образование в области естественных, технических, инженерных или математических наук с приложением диплома о прохождение курсов переподготовки по направлению «Информационная безопасность». Стаж по лицензируемому виду деятельности в данном случае – более 5 лет. 

Аренда оборудования

Оборудование является последним камнем преткновения на пути к получению лицензии и здесь также могут возникнуть проблемы. Комплект нового оснащения обойдется порядка 1,5 миллиона рублей, что с финансовой точки зрения потянуть может далеко не каждая компания. Оборудование должно быть обязательно с метрологической поверкой. Многие соискатели пытаются сэкономить и покупают б/у, либо берут необходимые устройства в аренду, рискуя получить отказ от ФСТЭК. Кроме того, аренда должна быть специально оформлена документально, что оборудование используется арендатором. При этом, недобросовестный арендодатель может сдавать оборудование не один раз и номера могут фигурировать в документах разных соискателей, что выясняется только при проверке документов. 

Таким образом, отказ можно получить даже при правильной подготовке документов и соблюдении всех требований. Проверенная компания поможет выбрать оптимальный вариант приобретения оборудования для вашей организации, чтобы процедура получения прошла без неожиданных сюрпризов.