Работы по технической защите конфиденциальной информации и разработке средств для оказания таких услуг регулируются федеральной службой по техническому и экспортному контролю. Для доступа к таким видам деятельности необходимо получить лицензию ФСТЭК России. Она даёт право работать с информацией, которой требуется повышенный уровень безопасности.
К технической защите данных относятся мероприятия по защите конфиденциальной информации. Если точнее, то противостояние утечкам и несанкционированному доступу, а также действиям, цель которых исказить, уничтожить или блокировать доступ к данным.
Разрешение имеет неограниченный период действия. Оно действует на всей территории России. Дополнительно обращаться в ведомство потребуется, чтобы получить копию, либо внести изменения.
Зачем необходимо лицензирование ФСТЭК
Лицензия ФСТЭК подтверждает готовность компании разрабатывать технические средства защиты данных, применять их в работе, хранить конфиденциальную информацию, а также участвовать в конкурсах и тендерах на оказание таких услуг.
К конфиденциальной информации относятся:
- Персональные данные (ПДн) клиентов и сотрудников любых фирм.
- Коммерческая и государственная тайны.
Участие в государственных тендерах могут принимать только лицензированные компании. Даже в случае непрофильной специализации предпочтение будет отдано такой фирме.
Обход требований может рассматриваться как вред гражданам страны и незаконное обогащение. В этом случае соискателю грозит уголовная ответственность. Обратиться в регулирующий орган необходимо сразу после решения о видах работ. Стоит также учитывать, что решение о выдаче документов принимается после анализа документов и проверки вашей компании на возможность обеспечить безопасность данных. Это может занять 2 и больше месяцев. Частые отказы и исправления недочетов занимают ещё больше времени.
Какие типы лицензии ФСТЭК бывают
В зависимости от списка услуг могут различаться и виды разрешений. Такую политику федерального органа необходимо учитывать, особенно в процессе выбора направления деятельности, так как наличие разрешения не того образца не освобождает соискателя от ответственности. Документ бывает 2 типов:
- ТЗКИ. Для услуг связанных с технической защитой.
- СКЗИ. Для работ связанных с разработкой средств защиты.
ФСТЭК относится только к технической защите. Это значит, что специальные средства не должны иметь криптографическим методов шифрования, иначе придётся обращаться в ФСБ для получения разрешения.
Кому нужна лицензия
Выбор видов работ – важный этап. Федеральный орган требует обосновать свой выбор, а также предъявляет различные требования. Это может негативно сказаться на решении. Чтобы избежать отказа и дополнительных трат стоит выбирать только те виды деятельности, которыми компания планирует заниматься сразу после прохождения проверки.
Для начала разделим все направления на 3 основные группы:
- ТЗКИ – защита КИ с помощью технических средств.
- СКЗИ – производство средств для работы с КИ.
- Услуги по защите государственной тайны.
Теперь можно разобраться с перечнем услуг, которые доступны только компаниям-лицензиатам:
- контроль защищённости КИ от незаконного доступа и утечек.
- осуществление мониторинга ИБ для сторонних компаний.
- проведение аттестации организаций по нормам ИБ.
- проектирование СЗИ в ИС.
- сборка, настройка и ремонт СЗИ.
- разработка и производство СЗИ.
- хранение и обработка персональных данных.
- обеспечение безопасности коммерческой или государственной тайны.
Сохранение конфиденциальности требуется в следующих сферах: медицинская, транспортная, образовательная, IT-технологии и банковская.
Кому лицензия НЕ нужна
Документ не требуется в любом случае, кроме приведённых в этой статье. Но также стоит выделить разработчиков ПО и операторов данных, которые:
- Хранят и обрабатывают ПДн в ИС для собственных нужд. В большинстве случае получение разрешения не обязательно.
- Разрабатывают ПО, которое не связано с обеспечение безопасности данных.
Их задачи не связаны с конфиденциальной информацией и её обработкой в интересах сторонних организаций. Но при этом ответственность сохраняется и утечка может обернуться серьёзным наказанием.
Вывод
Если услуги вашей организации связаны с информацией, доступ к которой должен быть ограничен, необходимо заблаговременно обратиться в регулирующий орган для получения разрешения. Процедура проверки обычно занимает 30-45 дней. Стоит учитывать также требования к помещению, сотрудникам и рабочим местам, несоответствие которым могут привести к отказу и дополнительным тратам времени и средств.
Начинать работу до решения ФСТЭК запрещено, так как этом может обернуться уголовным наказанием. В нашем блоге мы уже рассказали про требования к соискателю, которые вы можете найти в этой статье.
Если у вас остались вопросы, можно обратиться в ведомство для получения консультации, однако придётся запастись терпением. Горячая линия работает всего 4 часа в неделю, а количество желающих дозвониться кратно превышает возможности специалистов.
Мы предлагаем помощь в получение такого документа быстро и с первого раза. Полное сопровождение от подготовки помещения, рабочих мест, найма сотрудников и сбора документов до выбора пунктов и одобрения федерального органа. За много лет работы в этой сфере мы не получили ни одного отказа и гарантируем вам быстрое получение разрешения.