“Лицензия ФСТЭК – Как получить?” – вопрос, который волнует многих руководителей компаний.
Услуги и работы, связанные с технической защитой конфиденциальной информации (ТЗКИ) – лицензируемый вид деятельности в Российской Федерации. Это значит, что ЮЛ, решившему оказывать услуги, связанные с ТЗКИ, необходимо получить соответствующую лицензию ФСТЭК. Требования к соискателям лицензии предъявляет Федеральный Закон №99 и Постановление Правительства РФ 79
Сам процесс получения подробно описан в вышеупомянутом ПП № 79. Формы предоставления сведений представлены в Приказе №3 от 12.01.2023. Список информации, которую необходимо предоставить регулятору:
Заявление на получение лицензии.
Данные по сотрудникам – копии трудовых книжек, трудовых договоров, приказов о приёме на работу, должностных инструкций, документов об образовании. Возможно предоставление дополнительных сведений, подтверждающих стаж и/или образование специалистов.
Документы на помещение, которое заявляется как место осуществления лицензируемого вида деятельности. (Договор аренды/субаренды, свидетельство права собственности, договор безвозмездного пользования и т.д.)
Документы на аттестованные автоматизированную систему и защищаемое помещение. (Аттестаты соответствия, акт классификации, технические паспорта).
Документы на закупку оборудования, программного обеспечения, средств защиты информации и средств контроля защищенности. (Товарные накладные, договора поставки + акты приема передачи, УПД, формуляры, сертификаты соотвествия и т.д.)
Документы на закупку контрольно-измерительного оборудования, проведение его поверки и калибровки. (Товарные накладные, договора поставки + акты приема передачи, УПД, свидетельства о поверке, сведения о калибровке и т.д.)
Описание технологического процесса обработки конфиденциальной информации и перечня защищаемых ресурсов;
Опись всех предоставляемых документов и реестр для подачи документов непосредственно во ФСТЭК.
Срок рассмотрения пакета на стороне ФСТЭК – 45 рабочих дней. За это время пакет:
Из канцелярии идет до непосредственного исполнителя отдела лицензирования ФСТЭК;
Рассматривается непосредственным исполнителем отдела Лицензирования;
Рассматривается Юридическим отделом ФСТЭК, на предмет правомерности и законности предоставленных сведений;
Выдаются замечания, в случае их наличия;
Устранения замечаний соискателем и предоставление уточненных/исправленных сведений во ФСТЭК.
Решение ФСТЭК о выдаче лицензии или предоставление письменного мотивированного отказа.
В процессе подготовки соискателю необходимо особое внимание уделить нескольким ключевым моментам:
Кадровое обеспечение – Руководитель и два инженерно-технических работника.
Закупка оборудования – КИО, СЗИ и средства контроля защищенности.
Выбор подходящего помещения и правильная подготовка пакета документов на него.
Рассмотрим подробнее каждый из пунктов.
Согласно требованиям ПП № 79, соискатель лицензии ФСТЭК на ТЗКИ должен иметь в своем штате:
Руководителя работ и двух инженерно-технических работников (ИТР). Это необходимый минимум.
Требования к Руководителю:
Требования к ИТР:
Особо внимательные должны заметить, что требования к Руководителю представленные в схеме, не на 100% совпадают с тем, что написано в ПП № 79. Разница в требованиях по профессиональной переподготовке для Руководителя с непрофильным высшим образованием. В ПП № 79, не указано о необходимости прохождения профессиональной переподготовки Руководителей с ВО «математика и т.д.», на практике же она в 100% случаев требуется. Запомните, если у специалиста ВО не в сфере информационной безопасности (защиты информации), то переподготовка нужна – это сложившаяся многолетняя практика. Можно конечно вступить в полемику с отделом лицензирования ФСТЭК, но это путь тех кому «важен процесс, а не результат».
Краеугольный момент, который для многих соискателей становится серьезным препятствием.
Во-первых, стоимость оборудования. В зависимости от открываемых пунктов в лицензии, стоимость КИО, СЗИ и средств контроля защищенности может варьироваться от нескольких десятков тысяч рублей, до нескольких миллионов. При открытии всех пунктов, минимальная стоимость на конец 2023 года составляет ориентировочно 2,5-3 млн рублей, дальше многое зависит от конкретных условий работы у соискателя лицензии. Например, пункт «В» (мониторинг), требует наличия у соискателя аттестованной по требованиям ГИС К1 информационной системы, а также SIEM-системы, развернутой в рамках этой ГИС. Кто знаком с вопросом, знает, что защита и аттестация ГИС К1 довольно дорогостоящая процедура).
Во-вторых, что покупать? Часто компании сталкиваются с другой трудностью. Деньги есть, а что покупать не понятно. Перечень КИО, который представлен на сайте ФСТЭК, описывает только характеристики к оборудованию, но не дает понимания что именно нужно покупать. Здесь главное не ошибиться. Если что-то не докупите – не получите лицензию, если купите лишнего – очень сильно потратитесь в пустую (одна лишняя «железка» – сотни тысяч рублей, потраченных зря)
Во-третьих, аренда или покупка в собственность? Очень часто, после того как соискатель видит смету к закупке, у него встает закономерный вопрос – «А покупать обязательно?». Раньше практика аренды оборудования использовалась соискателями в 90% случаев, так как это значительно дешевле и регулятор к этому особо не придирался. Но, на практике стали не редкими случаи, что с одним и тем же комплектом за год могли получить лицензию несколько компаний. Сложилась ситуация, что оборудование фактически не принадлежало арендаторам, а лишь передавалось им «на бумаге». Закономерно, что ФСТЭК начал бороться с такой уловкой, теперь получить лицензию с арендованным оборудованием очень проблематично.
В-четвертых, все оборудование должно быть поверено, либо откалибровано (в зависимости от типа устройства). Данные мероприятия проводятся раз в год, в обязательном порядке.
Выбор помещения, которое будет заявлено как место осуществления лицензируемого вида деятельности, очень ответственное мероприятие.
С юридической точки зрения все должно быть прозрачно. Если у соискателя помещение в субаренде, то цепочка правообладания должна быть описана вплоть до собственника. Данные в документах не должны противоречить друг другу (совпадать поэтажные планы, номера помещений, адреса зданий и сооружений и т.д.). Если договора долгосрочные, должны быть отметки о регистрации таких договоров в росреестре.
С практической точки зрения, нужно прагматично подходить к выбору самого помещения. Так как помещение будет аттестовываться, то его характеристики будут напрямую влиять на стоимость аттестации. Если вы решите заявить местом осуществления переговорную комнату площадью 50 м.кв. со стеклянными стенами по периметру, то готовьтесь «круглую сумму» на его реконструкцию и закупку средств защиты речевой информации от утечек по тех. каналам.
Давайте кратко расставим основные акценты, которые нужно учесть при процедуре лицензирования:
Наличие персонала у соискателя. Если подходящего персонала нет, его нужно искать. Это одна из основных трудностей.
Наличие подходящего помещения, с прозрачным подтверждением законного правообладания/пользования данным помещением.
Не забывайте отслеживать законодательную базу, регулирующую процесс лицензирования. Всё что написано в данной статье, актуально для 2023 года. Если на дворе не 2023 – велика вероятность, что требования могли существенно ужесточиться.
Имейте ввиду, что лицензиат на всем сроке действия лицензии несет на себе бремя ежегодных финансовых трат. Периодические контроли аттестованных объектов (АС и ЗП), либо их переаттестация (в случае серьезных изменений объекта). Обновление лицензий на ПО и СЗИ. Проведение поверок и калибровок для КИО. Повышение квалификации персонала. И другие траты.
Понимание финансовой ликвидности. Часто лицензию пытаются получить под какой-то проект (тендер/конкурс/контракт), убедитесь «на берегу», что вы не окажетесь в минусе по результату всех мероприятий.
Самые незначительные расходы – оплата госпошлины. 7500 р за получение лицензии, 3500 р за переоформление.
Оплата госпошлины отменена до 31 декабря 2023.
Аттестация Автоматизированной системы, для работы с конфиденциальной информацией. От 90 000 р.
Аттестация Защищаемого помещения, для возможности проведения конфиденциальных переговоров – от 130 000 р.
Переподготовка для кадрового состава по согласованным ФСТЭК программам переподготовки, от 50 000 р. за одного слушателя.
Разработка пакета организационно-технической документации в рамках эксплуатации АС и ЗП.
Закупка комплекта КИО. От 100 000 р.
Закупка комплекта национальных стандартов и нормативной документации – так называемая «Литература ДСП». От 20 000 р.
Закупка средств контроля защищенности. От 30 000 р.
Закупка средств защиты информации для АС и ЗП. От 60 000 р.
Остались вопросы? – Звоните!