Техническая защита информации лицензия

Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» обязывает организации получать лицензию ФСТЭК России на оказание услуг в области технической защиты конфиденциальной информации. Для этого необходимо подготовить обширный пакет документов и выполнить ряд требований. Что следует принять во внимание, чтобы лицензирование прошло максимально безболезненно и эффективно?

Какие документы требуются для получения лицензии ФСТЭК?

Процесс лицензирования подробно описан в Постановлении Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации». В документе детально указано, какие документы в каком виде и порядке требуется представлять лицензирующему органу (ЛО).

На бумаге все выглядит достаточно просто.

  1. Юридическое лицо подает полностью сформированное заявление в соответствии с требованиями Постановления № 79.
  2. В течение трех дней лицензирующий орган должен его рассмотреть и сообщить, какие ошибки есть в заявлении или каких документов не хватает. Если у ЛО есть замечания, то заявитель должен в течение 30 дней устранить недоработки.
  3. Если заявление оформлено верно, то в течение пяти дней начиная со дня принятия заявления ЛО проводит проверку полноты дополняющих заявление документов, а это обычно примерно 200–300 страниц.
  4. При недостатке в дополняющих документах ЛО отказывает организации в приеме заявления до устранения нарушений. На это у юридического лица есть те же 30 дней.
  5. Признав пакет документов полным, ЛО должен в течение 45 рабочих дней принять решение о выдаче лицензии либо об аргументированном отказе в ее выдаче.

Однако в реальности все сложнее. Лицензирующий орган один на всю страну, и находится он в Москве, рассмотрением заявлений занимаются несколько человек, а число организаций, желающих получить лицензию, растет с каждым годом. По телефону задавать вопросы можно, для этого дается два часа два раза в неделю, не более пяти минут на один сеанс связи, много выяснить не получится. Все это означает, что в считанные дни и даже недели провести лицензирование практически невозможно, особенно если есть недопонимания в правилах лицензирования или затруднения с выполнением хотя бы одного из требований. Кроме того, по некоторым видам услуг один только перечень правовых актов, которые должны быть приложены к заявлению, может состоять из 15 страниц.

К заявлению на получение лицензии необходимо приложить:

  • документы на автоматизированные системы, на защищаемое помещение, на право законного владения помещением, оборудованием, программным обеспечением либо о том, что они взяты в аренду (с подтверждением факта передачи);
  • документы на допуски к тайне (к конфиденциальной информации, доступ к которой ограничен);
  • копии трудовых книжек, договоров подряда, документов об образовании сотрудников соискателя лицензии;
  • документы на правообладание оборудованием, на поверочные работы, подтверждающие факт правильной работоспособности этого оборудования, на ПО, и т.д.;
  • сведения о нормативных документах, необходимых для осуществления деятельности по защите информации;
  • описание технологического процесса обработки конфиденциальной информации по установленной форме.

Те, кто впервые получает лицензию, должны представить нотариально заверенные учредительные документы организации.

Камни преткновения

Во время работ по лицензированию организации сталкиваются с тремя основными сложностями:

  1. Оборудование. Для выполнения работ и оказания услуг по аттестации защищаемых помещений и автоматизированных систем необходимо закупить (иметь в собственности или на любом ином законном основании) оборудование. Стоимость комплекта варьируется, но составляет около миллиона рублей. И если начать работы по лицензированию с покупки оборудования, то к моменту подачи заявления может оказаться так, что его придется заново поверять (сертификаты о поверке действительны один год). Можно попытаться сэкономить и взять оборудование в аренду, но она должна быть специальным образом оформлена. Требуется периодически подтверждать владение оборудованием, заключать дополнительные соглашения к договорам аренды о том, что оборудование находится именно у арендатора. Минус варианта с арендой в том, что он снижает шансы на получение лицензии — велика вероятность оформить отношения неверно и получить отказ.
  2. Аренда помещений. Если соискатель лицензии арендует помещение у субарендатора, то необходимо представлять всю цепочку документов вплоть до владельца помещения. Также необходимо следить за тем, чтобы фактические номера помещений совпадали с кадастровыми, чтобы помещения однозначно идентифицировались исходя из одних лишь документов.
  3. Кадровая документация. У сотрудников должны быть дипломы о высшем профессиональном образовании в области технической защиты информации и стаж более трех лет либо диплом о высшем образовании с курсов переподготовки / о высшем техническом образовании и стаж более пяти лет. Сотрудников должно быть не менее трех, и они должны быть трудоустроены у соискателя по основному месту работы.

Комплекс услуг по подготовке организаций к лицензированию ФСТЭК

Лайфхак по успешному лицензированию

Для того чтобы получить лицензию, а затем успешно проходить в случае необходимости плановые проверки ФСТЭК на соблюдение требований, предлагаем учесть ряд моментов:

  1. Оборудование (если оно необходимо для выбранного вами вида деятельности) лучше покупать, а не брать в аренду.
  2. Постоянно следить за изменениями в законодательной базе и поддерживать документацию в актуальном состоянии, в том числе периодически обновлять и докупать ГОСТы (информация об этом не является тайной, официальный сайт ФСТЭК России открыт для всех).
  3. Своевременно обновлять антивирусное ПО и лицензии на контрольно-измерительное программное обеспечение и оборудование.
  4. Вовремя проводить переаттестацию помещений и автоматизированных систем, поскольку аттестаты действительны максимум три года.

Первичное получение лицензии и плановая проверка: отличия

Когда соискатель впервые получает лицензию, то связь с лицензирующим органом дистанционная: стороны обмениваются документами и общаются по телефону. Никаких личных визитов контролирующие органы соискателю не наносят.

Плановая проверка может проводиться через три года после получения лицензии. В этом случае представители ФСТЭК изучают, существуют ли в реальности кадры, помещения, оборудование и ПО, которые были заявлены при получении лицензии. В том числе проводится оценка знаний и компетенций кадров, заявленных в документах на получение лицензии. Проверяющие могут запросить перечень аттестатов, которые выдала аттестующая организация (в случае если такой виде деятельности есть в лицензии), а также перечень клиентов, которым выданы эти аттестаты. Таким образом контролирующие органы удостоверяются, действительно ли аттестующая организация оказала эти услуги и насколько они качественные.

Возможна также внеплановая проверка, которая проводится в любое время по заявлению граждан, юридических лиц, прокуратуры или по решению суда.

Работы по лицензированию: цена вопроса

С 1 января 2015 года госпошлина за первичное получение лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации составляет 7 500 рублей, за продление — 3 500 рублей. Это неизбежные расходы и наименее затратная часть работ.

В соответствии с требованиями регламента по лицензированию необходимо провести аттестации и разработку документов по аттестации защищаемого помещения и автоматизированной системы обработки конфиденциальной информации. Эти услуги оказывают лицензиаты ФСТЭК, например представители проекта Контур.Безопасность.

В комплекс услуг входят:

  1. Первичная консультация. Это знакомство с организацией-заказчиком с целью понять, для чего требуется лицензия, и разъяснить клиенту, что она ему даст, какими затратами обернется ее получение и сколько вложений (временных и финансовых) потребуется в дальнейшем. В том числе специалисты сразу сообщают, каковы шансы организации на успешное лицензирование, исходя из готовности клиента подать заявление сейчас.
  2. Помощь в аттестации. Сотрудники проекта Контур.Безопасность проводят аттестацию помещений для переговоров, автоматизированных систем обработки конфиденциальной информации по требованиям безопасности.
  3. Консультация по приобретению оборудования и программного обеспечения.
  4. Консультация по приобретению нормативно-правовых документов (ГОСТов). Большая часть ГОСТов находится в электронном виде в справочно-правовых системах. Но их недостаточно скачать и распечатать, поскольку требуется подтверждать именно правообладание.
  5. Помощь в согласовании вопросов, связанных с арендой помещения и оборудования.
  6. Консультация по правильному оформлению в штат сотрудников, работающих с конфиденциальной информацией.
  7. Помощь в заполнении заявления. Заявление выложено на ресурсах ФСТЭК России, заполнить его несложно, но нужно выполнить достаточно много условий относительно дополняющих заявление документов — своевременно, точно и в полном соответствии с требованиями.
Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Лицензирование деятельности по разработке и (или) производству средств технической защиты информации СКЗИ

В соответствии с Постановлением Правительства РФ № 532 от 31.08.06 г «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации» (ТЗКИ), обязательному лицензированию подлежит деятельность юридических лиц и предпринимателей по разработке и производству средств защиты конфиденциальной информации.

Если одна организация разрабатывает информационную систему защиты персональных данных, а также средства защиты информации по заказу другой организации, отнесенных по классификации к классу К1 и К2, то такой вид деятельности подлежит обязательному лицензированию. В Соответствии с требованиями ФСТЭК, лицензия на деятельность по разработке и (или) производству средств технической защиты конфиденциальной информации выдается выпускающим ИСПДн (информационные системы персональных данных) 1 и 2 класса.

К классу 1 (К1) относятся системы, которые должны обеспечивать на высоком уровне безопасность сведений. Нарушение безопасности может привести к особо серьезным негативным последствиям для физического лица или хранителя персональных данных. Класс 2 (К2) — последствия нарушения безопасности хранения информации — серьезные, К3 — последствия незначительные, К4 — без последствий.

Важнейшими системами, обеспечивающими защиту персональных сведений, не содержащих государственную тайну, являются криптографические (шифровальные) средства, средства технической защиты конфиденциальной информации, биллинговые и CRM-информационные системы. В настоящее время выпускаются аппаратные, программные и комбинированные средства, служащие для защиты информации при использовании канальной связи, а также средства, обеспечивающие защиту информации от несанкционированного доступа. Лицензии на техническую защиту конфиденциальной информации и разработку (производство) средств технической защиты конфиденциальной информации выдаются ФСТЭК, а лицензии на оказание услуг в области шифрования, разработку, распространение и техническое обслуживание шифровальных средств выдаются ФСБ.

Обязанности предприятий, действующих на основании лицензии ФСТЭК

Лицензиаты обязаны действовать в соответствии с нормативными документами ФСТЭК по защите информации. Сотрудники организаций должны соблюдать тайну переписки, телефонных переговоров, документальных сообщений. В государственный орган по лицензированию ежегодно отправляются отчеты о количестве проведенных мероприятий, оказанных услуг по каждому виду лицензионной деятельности. ФСТЭК — Федеральная служба по техническому и экспортному контролю, основной функцией которой является обеспечение безопасности информации в приоритетных отраслях государственной инфраструктуры. Федеральный исполнительный орган должен также обеспечивать противодействие техническим разведкам и обеспечивать техническую защиту информации, представляющую важность для государства. ФСТЭК имеет полномочия выдавать лицензии организациям, осуществляющим услуги по технической защите информации, а также занимающимся разработкой, производством, распространением информационных систем защиты информации. Многим организациям кроме лицензии ФСТЭК на деятельность по технической защите информации требуются также лицензии ФСБ на работу со сведениями, составляющими государственную тайну.

Лицензия ФСТЭК

ООО «ЦПБО «Эксперт» окажет компетентную помощь организациям и индивидуальным предпринимателям в получении/переоформлении лицензии ФСТЭК России. Предоставим бесплатные консультации по вопросам о порядке и особенностях лицензирования, окажем помощь в выполнении требований к соискателю и формировании лицензионного пакета. Представим ваши интересы в Федеральной службе по техническому и экспортному контролю. Регион регистрации ООО или ИП значения не имеет.

Зачем и кому нужна лицензия ФСТЭК

Согласно требованиям федерального законодательства деятельность по защите некриптографическими методами информации ограниченного доступа, персональных данных, сведений, составляющих гостайну от несанкционированного доступа и утечки по техническим каналам подлежит обязательному лицензированию (N 99-ФЗ от 04.05.2011, закон Российской Федерации N 5485-1 от 21.06.1993 в редакции от 08.03.2015, N 149-ФЗ от 27.06.2006, Постановление Правительства РФ N 171 от 03.05.2012, Постановление Правительства РФ от N 79 от 03.02.2012).

В рамках своих полномочий ФСТЭК осуществляет надзор за соблюдением лицензиатом, выдвигаемых к нему условий и требований, рассматривает административные правонарушения в части осуществления подконтрольных ведомству видов деятельности, вносит представления о привлечении к ответственности за допущенные нарушения законодательства, выдает предписания, в соответствии с которыми приостанавливаются работы на объектах.

Субъекты лицензирования – юридические лица и ИП.

Виды лицензий ФСТЭК России

Федеральная службе по техническому и экспортному контролю выдает три вида лицензий:

1) На деятельность по технической защите конфиденциальной информации (далее по тексту ТЗКИ).

Работы и услуги, подлежащие лицензированию:

а) контроль защищенности конфиденциальной информации от утечки по техническим каналам в:

— средствах и системах информатизации;

— технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;

— помещениях со средствами (системами), подлежащими защите;

— помещениях, предназначенных для ведения конфиденциальных переговоров (далее – защищаемые помещения);

б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;

в) мониторинг информационнои? безопасности средств и систем информатизации; (вступил в силу с 16.06.2017 г.)

г) аттестационные испытания и аттестация на соответствие требованиям по защите информации:

— средств и систем информатизации;

— помещений со средствами (системами), подлежащими защите;

д) проектирование в защищенном исполнении:

— средств и систем информатизации;

— помещений со средствами (системами), подлежащими защите;

е) установка, монтаж, испытания, ремонт средств защиты информации:

— технических средств защиты информации;

— защищенных технических средств обработки информации;

— технических средств контроля эффективности мер защиты информации;

— программных (программно-технических) средств защиты информации;

— защищенных программных (программно-технических) средств обработки информации;

— программных (программно-технических) средств контроля защищенности информации).

2) На разработку и производство средств защиты конфиденциальной информации (далее по тексту СЗКИ).

Работы и услуги, подлежащие лицензированию:

а) разработка средств защиты конфиденциальной информации, в том числе:

— технических средств защиты информации;

— защищенных технических средств обработки информации;

— технических средств контроля эффективности мер защиты информации;

— программных (программно-технических) средств защиты информации;

— защищенных программных (программно-технических) средств обработки информации;

— программных (программно-технических) средств контроля защищенности информации;

б) производство средств защиты конфиденциальной информации, в том числе:

— технических средств защиты информации;

— защищенных технических средств обработки информации;

— технических средств контроля эффективности мер защиты информации;

— программных (программно-технических) средств защиты информации;

— защищенных программных (программно-технических) средств обработки информации;

— программных (программно-технических) средств контроля защищенности информации.

3) На экспорт-импорт отдельных видов товаров и технологий.

Сколько стоят консультационные услуги по получению лицензии ФСТЭК

Цена услуги определяется с учетом:

  • заявленного направления деятельности;
  • необходимости дополнительного содействия в выполнении требований к будущему лицензиату.

Варианты оплаты

  • Пролонгация (рассрочка платежа).
  • Оплата частями – первый платеж от 50%.

Лицензия ФСТЭК – орган лицензирования, стоимость, срок действия, госпошлина

  • Лицензия на разработку и производство СЗКИ – БЕССРОЧНО.
  • Лицензия на ТЗКИ – БЕССРОЧНО (в случаях, когда необходим допуск к гостайне – ограничен 5 годами).
  • Лицензия ФСТЭК на экспорт/импорт действительна в течение одного года.

Защита и аттестация одного защищаемого помещения соискателя лицензии по требованиям безопасности конфиденциальной информации. Характеристики помещения:
— площадь до 20 кв. метров;
— капитальные стены и перекрытия;
— одна входная дверь, отсутствие смежных помещений с общими дверями;
— не более 2 окон, с общим количеством стеклопакетов не более 8;
— не более 2х вентиляционных каналов (приток и отток);
— не более двух радиаторов отопления;

В случае несоответствия помещения указанным характеристикам, стоимость оговаривается дополнительно.

Цeны, представленные на сайте, нoсят исключитeльно ознакомительный харaктер и не являютcя публичнoй офeртой, опрeделенной пунктoм 2 стaтьи 437 Граждaнского кoдекса Российской Федерации. Стоимость может измениться после согласования всех деталей договора.

а) копии правоустанавливающих документов на помещения, предназначенные для осуществления лицензируемого вида деятельности, права на которые не зарегистрированы в Едином государственном реестре прав на недвижимое имущество и сделок с ним (в случае, если такие права зарегистрированы в указанном реестре — сведения об этих помещениях; договор аренды/субаренды и доверенность в случае подписания договорных документов не единоличным исполнительным органом, акт приема-передачи нежилого помещения, свидетельство права собственности помещения от арендодателя, письмо о разрешении субаренды от собственника нежилого помещения в случае субаренды);

б) копии документов, подтверждающих право соискателя лицензии на программы для электронно-вычислительных машин, в том числе на средства разработки программного обеспечения, планируемые к использованию при осуществлении лицензируемого вида деятельности (лицензии на программное обеспечение, как минимум на операционную систему, средство разработки программного обеспечения и анализатор истекстов);

в) копии документов, подтверждающих право соискателя лицензии на производственное оборудование (электронно-вычислительных машин, оргтехники), средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемого вида деятельности; (лицензии, товарные накладные или договора и акты, а также доверенность в случае подписания документов не единоличным исполнительным органом);

г) копии документов, подтверждающих право соискателя лицензии на техническую документацию, национальные стандарты и методические документы, необходимые для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 Лицензионных требований (товарные накладные или договора и акты и доверенность в случае подписания документов не единоличным исполнительным органом);

д) копии документов, подтверждающих наличие в штате у соискателя лицензии по основному месту работы в соответствии со штатным расписанием следующего квалифицированного персонала:

— руководитель и (или) уполномоченное руководить работами по лицензируемому виду деятельности лицо, имеющие высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, прошедшие обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения — не менее 360 аудиторных часов);

— инженерно-технические работники (не менее 2 человек), имеющие высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, прошедшие обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения — не менее 360 аудиторных часов) (копии дипломов/удостоверений/свидетельств, копии трудовых книжек, копий лицензий предыдущих работодателей специалистов, у которых специалисты работали не менее указанного в настоящем пункте срока);

е) копия свидетельства о постановке на учет Заказчика в налоговом органе по месту ее нахождения;

ж) копия свидетельства о государственной регистрации юридического лица Заказчика;

з) копия устава юридического лица Заказчика.

и) иные документы по требованию ФСТЭК России.

Все подаваемые во ФСТЭК России копии документов заверяются Заказчиком.

Как видите, перечень документов, которые необходимо собрать, чтобы получить лицензию ФСТЭК, довольно внушительный и самостоятельная подготовка лицензионного пакета займет очень много времени. Специалисты отдела лицензирования ООО « ЦПБО «Эксперт» готовы помочь его сэкономить и выполнить эту часть работы за вас. Достаточно предоставить только копии:

  • Свидетельства о государственной регистрации и постановке на налоговый учет юридического лица/ИП.
  • Устава ООО.
  • Договора аренды.
  • Платежного поручения (об оплате госпошлины).
  • Приказов, дипломов, свидетельств, трудовых книжек, трудовых договоров – если есть в наличии.

Органы лицензирования проводят тщательную проверку будущего лицензиата. ООО « ЦПБО «Эксперт» настоятельно рекомендует предоставлять только достоверную информацию, в противном случае вам будет отказано в выдаче лицензии!

ООО « ЦПБО «Эксперт» взаимодействует напрямую с органами лицензирования, не прибегая к помощи посредников, и не предлагает вам купить готовую лицензию ФСТЭК сомнительной подлинности. После прохождения лицензирования вы получаете абсолютно легальный разрешительный документ, подлинность которого легко проверить в реестре Федеральной службы по техническому и экспортному контролю.

Оставьте комментарий