Работаем со всеми регионами РФ
ФСТЭК России – государственный регулятор, в ведении которого находится сфера обеспечения информационной безопасности всего информационного пространства российского сегмента сети Интернет. Если ЮЛ хочет зайти на рынок оказания услуг в сфере ИБ, то без лицензии ФСТЭК России не обойтись!
Лицензии, которые выдает ФСТЭК, имеют два основных направления:
Помимо регулирования в военной, авиационной и других сферах, основным из направлений, регулируемых ФСТЭК России, является техническая защита информации. Данный вид лицензий является фундаментом, в том числе благодаря которому происходит регулирование деятельности организаций в сфере информационной безопасности. Данная отрасль динамично развивается в последние годы во всем мире и в нашей стране, в частности.
Именно лицензии ФСТЭК России наделяют организации законными полномочиями по оказанию услуг в области обеспечения информационной безопасности.
Рассмотрим несколько распространенных сценариев, когда требуется получить лицензию ФСТЭК:
1. Ваша организация занимается продажей и поставкой различного сетевого и коммутационного оборудования конечным пользователям. Очень часто, помимо самой поставки, от контрагентов поступают запросы на разработку и внедрение систем защиты информации с использованием, в том числе, поставляемого Вами оборудования. Но для подписания таких договоров, обязательным условием от Заказчика будет наличие у Исполнителя соответствующей лицензии ФСТЭК России на Техническую защиту конфиденциальной информации (далее – Лицензия на ТЗКИ). Именно лицензия на ТЗКИ является основой в части проведения работ по защите конфиденциальной информации. У абсолютно любой организации, работающей в сфере ИБ, она должна быть. Таковая, естественно, имеется и у нашей компании.
2. Ваша организация осуществляет разработку программного обеспечения, в данном случае не принципиально, является ПО каким-либо средством защиты информации (например, антивирусной программой или межсетевым экраном) или это прикладное ПО, связанное с организацией бизнес процессов ваших заказчиков. Рано или поздно, каждый разработчик, работающий в сфере B2B сталкивается с необходимостью сертификации своих изделий по требованиям безопасности информации. До недавнего времени это встречалось только при работе с крупными Заказчиками и госкомпаниями, но рынок ИБ не стоит на месте, и на данный момент требования по безопасности все чаще предъявляются в кругах малого и среднего бизнеса.
На самом деле, этот вопрос очень обширный, и ему посвящён отдельный раздел на нашем сайте. Если в двух словах – выполнение программным обеспечением требований по безопасности информации, подтверждается наличием у него сертификата соответствия ФСТЭК России. Последует закономерный вопрос: процедура сертификации ПО и процедура лицензирования деятельности по защите информации юридических лиц, совершенно разные процессы, которые вроде бы не пересекаются?
В части ПО не совсем так, если вы разработали некое ПО и хотите провести оценку его соответствия в ФСТЭК России (провести сертификацию), то что бы вы стать Заявителем в этом процессе, у юридического лица должна быть лицензия на разработку и производство средств защиты конфиденциальной информации (лицензия на СЗКИ). Исключением являются случаи, когда производится сертификация единичных экземпляров для собственных нужд, тогда ФСТЭК не требует наличие лицензии с Заявителя, но такие сертификации крайне редкие, так как сертификация единичных экземпляров экономически не целесообразна.
Таким образом, если вы разработчик ПО и работаете в сфере B2B, то лицензия на СЗКИ у вас уже скорее всего есть, либо вы планируете получить ее в ближайшее время. Данная лицензия, есть и у нашей компании.
3. Третий распространенный сценарий, когда требуется наличие лицензий ФСТЭК – участие во всевозможных конкурсах, тендерах, торгах и т.д. Зачастую, требование по наличию тех или иных лицензий используется как «фильтр», дабы отсеять большую часть участников и выявить наиболее подходящие кандидатуры. Часто, при организации конкурсов под конкретного «своего» исполнителя, также заявляют максимальное количество лицензий, чтобы минимизировать риск того что работа уйдет не тому исполнителю, при этом, фактически, работы связанные с этими лицензиями, могут и не требоваться. Конечно тут много «НО», те кто постоянно работает на тендерных площадках знают, что в ряде случаев неправомерные/завышенные требования можно оспорить, и при должном упорстве даже прибегнуть к услугам ФАС. Но практика показывает, что ситуации, подобные той что описана чуть выше, очень часто встречаются, поэтому не стоит исключать этот сценарий.
Из предыдущего пункта становится очевидным, кто должен в-первую очередь озаботится получением лицензий ФСТЭК России:
В любом случае, наличие лицензии у организации это всегда огромное преимущество!
Получение лицензии ФСТЭК России, процесс довольно сложный, основные временные затраты приходятся на подготовительные процедуры. Так же определяющим фактором является какая лицензия открывается и какой именно перечень пунктов необходим.
Очень часто в интернете можно встретить объявления с заманчивыми формулировками, например, «лицензия ФСТЭК за 20 рабочих дней». Но, если вы хоть немного знакомы с законодательством в части лицензирования, то должны знать, что только рассмотрение пакета документов у регулятора, по закону, занимает до 45 рабочих дней, и, как правило, они пользуются этим сроком в полной мере. А учитывая время которое необходимо на качественную подготовку заявителя, к примеру, только закупка необходимой документации для служебного пользования у гос.органов занимает от 1 до 2 календарных месяцев, то объявление «лицензия ФСТЭК за 20 рабочих дней» и ему подобные уже на подсознательном уровне воспринимаются как мошенничество.
Сначала нужно понять, какие именно требования нужно выполнить, что бы получить заветную лицензию. Предлагаем рассмотреть данный вопрос на одной из самых распространенных лицензий ФСТЭК – лицензии на ТЗКИ. Постановление правительства № 79 определяет основные требования к соискателю лицензии, а именно:
7. Наличие технической и технологической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг. Большая часть данных документов есть в открытом доступе, но некоторые из них являются документами, содержащие информацию ограниченного доступа, и они должны быть получены в установленном законодательством Российской Федерации порядке.
Нюансы по выполнению каждого из пунктов мы рассмотрим чуть позже, на данном этапе нас интересуют сроки. С требованиями определились, теперь второй немаловажный фактор влияющий на срок – пункты лицензии. Согласно все тому же ПП №79, существуют следующие виды работ и услуг, которые подлежат лицензированию:
Теперь можем сложить информацию по требованиям законодательства и пунктам, которые необходимо открыть в лицензии, и получить примерные сроки в привязке к исходной готовности соискателя лицензии. Как правило пункты лицензии подбираются под определенные требования и есть несколько распространенных вариаций, которые приведены в таблице :
Таблица 1 – Влияние заявленных пунктов при открытии лицензии, а также исходной готовности соискателя, на итоговый срок получения Лицензии ФСТЭК России «на техническую защиту конфиденциальной информации»
| Готовность соискателя
Пункты |
Наличие в штате персонала | Наличие подходящего помещения | Наличие КИО | Наличие аттестованной АС | Наличие аттестованного ЗП | Наличие документации ДСП | Итоговый срок
(рабочих дней) |
| б, д, е | + | + | + | + | + | + | Не более 45 |
| До 20 | До 10 | До 5 | До 10 | До 20 | До 30 | Не более 140 | |
| а, б, г, д, е | + | + | + | + | + | + | Не более 45 |
| До 30 | До 10 | До 20 | До 10 | До 20 | До 30 | Не более 165 | |
| А – е | + | + | + | + | + | + | Не более 45 |
| До 40 | До 10 | До 30 | До 10 | До 20 | До 30 | Не более 185 |
«+» – изначально имеется у соискателя
«до 10» – примерное кол-во рабочих дней, необходимое для приведения соответствия соискателя лицензионному требованию
Таблица 1 помогает продемонстрировать примерную зависимость срока получения лицензии от заявленных пунктов и исходной готовности соискателя лицензии. Сроки приведены максимальные. Человек, который уже сталкивался с процессом лицензирования деятельности, может закономерно подметить, что процессы закрытия практически всех требований могут идти параллельно. Например, соискатель лицензии может одновременно заниматься подбором в штат персонала, запустить процесс подготовки и аттестации своей автоматизированной системы и защищаемого помещения, сразу заказать у регулятора литературу ДСП и т.д. В этом случае срок будет пропорционально сокращаться, все зависит от профессионализма и опыта непосредственного исполнителя, который ведет процесс лицензирования деятельности на стороне соискателя лицензии. Например, максимальный срок указанный для пунктов «б, д, е» 140 рабочих дней, на практике, при наличии должного опыта, не превышает 80 рабочих дней, при условии что Заявитель не соответствует ни одному лицензионному требованию.
Аналогичные зависимости «срок/пункты/готовность» актуальны и при получении других лицензий ФСТЭК России.
Исходя из предыдущего пункта становится понятно, какие трудности могут возникнуть при подготовке Заявителя к получению лицензии.
Опять же рассмотрим рядовые ситуации на примере процесса получения лицензии ФСТЭК России на техническую защиту конфиденциальной информации, с самими распространенными пунктами – б, д, е.
– Подбор персонала. Краеугольный и самый острый вопрос – подобрать сотрудников, которые будут соответствовать лицензионным требованиям. Если кратко, то у соискателя в штате должно быть не менее трех сотрудников с профильным высшим образованием по направлению «Информационная безопасность», либо другое высшее образование + переподготовка от 360 аудиторных часов по направлению «Информационная безопасность». Самое главное – у специалистов должен быть подтвержденный стаж работ по лицензионным видам деятельности сроком от 3 лет (если образование с переподготовкой, то у руководителя от 5 лет). Трудность в том, что таких специалистов на рынке труда очень мало, но даже в случае если вы нашли подходящих сотрудников, то нет ни каких гарантий, что они благополучно пройдут экспертизу. Очень часто бывают ситуации, когда специалистов (одного или сразу всех) «отбраковывают» эксперты ФСТЭК. Причины могут быть самые разные – не согласован должным образом курс переподготовки, либо стаж более 3х лет был в неподходящей должности и т.д. Например, сотрудник имеющий нужное образование, который фактически занимался именно той деятельностью, которая указана в пунктах лицензии, но при этом работавший в должности «Системный инженер», с вероятностью 95% не пройдет экспертизу в отделе лицензирования. Таких нюансов десятки. Чем это грозит для Заявителя? – Нужно будет в кратчайшие сроки предоставить данные по другому, подходящему под требования, специалисту(ам). Если в отведенное законом время Заявитель этого сделать не успеет, то пакет заявочных документов возвращается соискателю и процедуру нужно инициировать с нуля. А это новые затраты, новые сроки и опять ни каких гарантий, что вновь подобранные кадры пройдут проверку!
– Наличие на законном основании помещения для осуществления лицензируемого вида деятельности. Данный пункт менее критичный чем подбор персонала. Основные проблемы, которые могут возникнуть имеют, как правило, бюрократический характер, но, тем не менее, они так же могут вызвать множество трудностей, особенно при отсутствии опыта прохождения процесса лицензирования. Смоделируем ситуацию. Допустим у вас имеется необходимое помещение, вы его субарендуете у арендатора (распространенная ситуация для крупных городов), как правило в данном случае Заявитель, просто прикладывает договор субаренды и акт приема/передачи помещения в пользование. На экспертизе эти документы естественно «бракуют» и высылают замечания. Рассмотрим причины:
а) К договору субаренды обязательно прикладывается, Акт ПП и план БТИ с указанием арендуемого помещения. Дополнительно обязательно прикладывается договор Аренды между Арендатором и собственником, так же с приложением Акта ПП и плана БТИ. Всегда прикладывается свидетельство права собственности на помещение.
б) если договор аренды/субаренды сроком более 11 месяцев он должен быть в обязательном порядке зарегистрирован в госорганах.
в) к договору аренды/субаренды на 11 месяцев, с автопролонгацией, который заключен более 11 месяцев назад нужно обязательно прикладывать гарантийное письмо/доп.соглашение от арендатора/собственника о пролонгации срока действия договора.
г) В договоре аренды попросту нет пункта о возможности сдачи арендуемых площадей в субаренду, таким образом заключенный договор субаренды юр.отдел ФСТЭК признает недействительным. Нужно будет предоставить согласие от собственника со сдачей арендатором помещений в субаренду…
И это только типовые, очень частые случаи.
Результат ошибок по данному пункту ведет к тем же последствиям что и в случае с персоналом – новые затраты, часто необходимость подбора нового помещения, его переаттестация и т.д. и т.п. Естественно все это может увеличить срок получения в 2-3 раза.
– Наличие контрольно-измерительного оборудования, тоже вызывает много вопросов у людей кто сталкивается с лицензированием впервые или очень редко. Для каждого пункта лицензии ФСТЭК определил свой перечень КИО, перечень очень специфичен и к каждому пункту этого перечня заявлены дополнительные требования (характеристики), понимание которых довольно затруднительно для обычного обывателя. Например, для пункта «г» требуется наличие «Селективных микровольтметров» с рабочим Диапазоном частот 175…5600 Гц и погрешностью не более ± 15%, при всем при этом прибор должен быть с действующими свидетельствами о поверке и калибровке. Поиск, закупка и организация поставки одного этого прибора, может занять у Соискателя месяцы, а таких приборов в перечне десятки!
– Что касается аттестации АС и ЗП, тут все более менее просто – сделать это своими силами вы не сможете, в любом случае вам придется нанимать подрядчика с действующей лицензией ФСТЭК России на ТЗКИ. Основной трудностью будет найти адекватного подрядчика, который проведет все работы качественно, что бы у сотрудников ФСТЭК ни осталось ни каких вопросов в этой части, а они могут быть. Сейчас на рынке очень много аттестующих организаций, которые проводят аттестацию «на бумаге», без фактического проведения работ на объекте. ФСТЭК относится к таким аттестациям крайне негативно, поэтому рекомендуем проводить аттестацию должным образом с привлечением ответственных подрядчиков! К тому же, в случае каких либо проверок регулятором, фиктивность аттестационных работ сразу вскроется и это как минимум будет грозить вам приостановкой действия лицензии с условием проведением качественной аттестации, как максимум (при повторных или многочисленных нарушениях) – отзыв лицензии.
– Наличие документов ограниченного доступа, так же вызывает ряд вопросов у соискателей. «Где и у кого заказать? Как оплатить? Сколько ждать?». Документы заказываются в двух местах. ГОСТы в Стандартинформ, профильные документы во ФСТЭК. Если вы находитесь в регионах в которых есть свое представительство ФСТЭК, то заказывать документы ДСП нужно там. Заказч осуществляется в виде письменной заявки с приложением списка необходимых документов. Трудности возникают как раз на этапе составления этого списка, так как в перечне ФСТЭК приведено более сотни документов из них десятки ограниченного доступа, для каждого пункта лицензии нужны свои документы. Если при составлении списка вы пропустите хотя бы один нужны, то на этапе экспертизы вашу заявку могут завернуть на доработку. Процесс дозакупки сравним по срокам с первоначальной закупки – это не менее календарного месяца….
Подводя итог, основываясь на личном опыте, мы часто сталкивались с ситуациями, когда соискатели инициируют процесс получения лицензии своими силами, но как только получают замечания от регулятора не понимают что делать дальше. Некоторые, наиболее упорные соискатели, пытаются и дальше проталкивать процесс своими силами, но, к сожалению, в этом деле одного упорства недостаточно. При отсутствии должного опыта, знаний и профессионализма получение любой лицензии ФСТЭК будет непосильной задачей для большинства соискателей.
Тут все просто, все те трудности, которые были описаны выше, мы просто перекладываем на свои плечи. Ваше участие в процессе, а равно и головная боль которую он приносит, сводится до минимума.
В свою очередь, опираясь на многолетний опыт и сотни успешно завершенных аналогичных проектов, мы можем позволить себе максимально обезопасить наших заказчиков и предложить беспрецедентные условия работ. Как это выглядит?
Все очень просто – в наших договорах имеется пункт, в соответствии с которым мы гарантируем нашему заказчику успешное завершение процесса лицензирования. В случае если наша работа будет выполнена не качественно и по нашей вине процесс завершится неудачей – мы возмещаем полную стоимость, оплаченную заказчиком по договору! Но, к слову, таких случаев еще не было, и мы делаем все от нас зависящее что бы и в будущем они не произошли.
Закономерный вопрос – «Сколько стоят ваши услуги?». Возвращаясь к информации, описанной в пункте «Сроки …» не трудно понять, что стоимость так же варьируется в зависимости от исходной готовности соискателя, а так же пунктах, которые будут заявлены дял получаемой лицензии.
Для наглядности рассмотрим вопрос цены на примере лицензии ФСТЭК на ТЗКИ;
Таблица 2 – Влияние заявленных пунктов при открытии лицензии, а также исходной готовности соискателя, на стоимость услуг по сопровождению процесса лицензирования деятельности заказчика.
| Готовность соискателя
Пункты |
Подбор и трудоустройство квалифицированного персонала в штат соискателя | Подбор и поставка оборудования с поверкой и калибровкой | Аттестация АС и ЗП (итоговая стоимость зависит от характеристик объектов) | Помощь в заказе литературы ДСП | Оформление пакета организационно – распорядительной документации | Подготовка пакета для подачи в лицензирующий орган | Итоговая стоимость
(тысяч рублей) |
| б, д, е | + | + | + | – | + | 60 | 60 |
| 450 | 50 | От 200 | 0 | 60 | 30 | От 790 | |
| а, б, г, д, е | + | + | + | – | + | 80 | 80 |
| 450 | От 1200 | От 200 | 0 | 60 | 30 | От 1940 | |
| А – е | + | + | + | – | + | 100 | 100 |
| 450 | От 1200 | От 200 | 0 | 60 | 30 | От 1940 |
«+» – соискатель заявляет соответствие по данному пункту, либо его реализацию своими силами
«-» – не требуется по данным пунктам
«10» – ориентировочная стоимость в 20__ году
«0» – бесплатно
Как видно из таблицы, основными ценообразующими услугами являются подбор квалифицированных кадров. В случае со сложными пунктами «а, г, в») закупка КИО. Чем выше требования регулятора к персоналу соискателя, тем сложнее подбор и дороже стоимость специалиста на рынке. Если у вас в штате уже есть необходимое количество специалистов, соответствующих требованиям, то вы можете значительно сэкономить!
Закономерным будет вопрос – почему стоимость услуги «подготовка пакета для подачи…» так различается в случае полной готовности соискателя и в случае если все этапы выполняет исполнитель. Тут тоже все просто, в случае если подготовку соискателя берет на себя исполнитель, то на данную услугу даётся максимальная скидка. Если же требуется только оформление пакета для подачи, то цена приближена к рыночной за аналогичную услугу.
