Закрыть

Каждый год компания СКБ Контур проводит конкурс для предпринимателей «Я Бизнесмен», в нем участвуют сотни бизнесменов из разных городов России — от Калининграда до Владивостока.

Благодаря конкурсу мы создали вдохновляющую коллекцию бизнес-историй, рассказанных людьми, которые превращают небольшие стартапы в успешные компании.

Их опыт и cоветы будут полезны каждому, кто задумывается об открытии своего дела.

Для старта необходимы некоторые предварительные условия: идея, немного денег и, что самое важное, желание начать

Фред ДеЛюка
Основатель Subway

Журнал

Журнал

Как получить лицензию ФСТЭК?

Никита Ярков 15 сентября 2015

Деятельность в области защиты информации ограниченного доступа подлежит обязательному лицензированию. Как видно из закона от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности», отдельным организациям требуется иметь лицензию ФСТЭК России на оказание услуг в области защиты конфиденциальной информации. 

Чтобы получить лицензию ФСТЭК, необходимо подготовить обширный пакет документов, а также выполнить ряд требований. Это связано с временными и финансовыми затратами. Что следует принять во внимание, чтобы лицензирование прошло максимально безболезненно и эффективно?

Какие документы требуются для получения лицензии ФСТЭК?

Процесс лицензирования деятельности по технической защите конфиденциальной информации подробно описан в Постановлении Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации». В документе детально указано, какие документы в каком виде и порядке требуется представлять лицензирующему органу (ЛО).

На бумаге все выглядит достаточно просто.

  1. Юридическое лицо подает полностью сформированное заявление в соответствии с требованиями Постановления № 79.
  2. В течение трех дней лицензирующий орган должен его рассмотреть и сообщить, какие ошибки есть в заявлении или каких документов не хватает. Если у ЛО есть замечания, то заявитель должен в течение 30 дней их устранить.
  3. Если заявление оформлено верно, то в течение пяти дней, начиная со дня принятия заявления, ЛО проводит проверку полноты самих дополняющих документов, а это примерно 200–300 страниц.
  4. При недостатке дополняющих документов в приеме заявления отказывают до устранения нарушений. На это у юридического лица есть 30 дней.
  5. Признав пакет документов полным, ЛО должен в течение 45 рабочих дней принять решение о выдаче лицензии либо об отказе в ее выдаче.

Однако в реальности все сложнее. Лицензирующий орган всего один, и находится он в Москве, рассмотрением заявлений занимаются несколько человек, а число организаций, желающих получить лицензию, растет с каждым годом. Все это означает, что в считанные дни и даже недели провести лицензирование практически невозможно. Кроме того, по некоторым видам услуг один только перечень правовых актов, которые должны быть приложены к заявлению, может состоять из 15 страниц.

К заявлению необходимо приложить:

  • документы на автоматизированные системы, на защищаемое помещение, на право законного обладания помещением, техникой, программным обеспечением либо о том, что они взяты в аренду (с подтверждением факта передачи);
  • документы на допуски к тайне (к конфиденциальной информации, доступ к которой ограничен);
  • копии трудовых книжек и договоров подряда;
  • документы на правообладание оборудованием, на поверочные работы, подтверждающие факт сертификации этого оборудования и ПО, и т. д.

Те, кто впервые получает лицензию, должны представить устав организации и приказ о назначении руководителя. Все соискатели обязаны приложить документы на приобретение ГОСТов по перечню, составленному ЛО.

Камни преткновения

Во время работ по лицензированию организации сталкиваются с тремя основными сложностями:

  1. Оборудование. Для аттестации помещений и автоматизированных систем необходимо закупить оборудование. На конец 2014 года его стоимость составляла около миллиона рублей. И если начать работы по лицензированию с покупки оборудования, то к моменту подачи заявления может оказаться так, что его придется заново поверять (сертификаты о поверке действительны 1 год). Можно попытаться сэкономить, и взять оборудование в аренду, но она должна быть специальным образом оформлена. Требуется периодически подтверждать владение оборудованием, заключать дополнительные соглашения к договорам аренды о том, что оборудование находится именно у арендатора. Минус варианта с арендой в том, что он снижает шансы на получение лицензии — велика вероятность оформить отношения неверно.
  2. Аренда помещений. Если соискатель лицензии арендует помещение у субарендатора, то необходимо представлять всю цепочку документов, вплоть до владельца помещения. Также необходимо следить за тем, чтобы фактические номера помещений совпадали с кадастровыми.
  3. Кадровая документация. У сотрудников должны быть дипломы о высшем профессиональном образовании в области технической защиты информации. Сотрудники должны обладать соответствующим опытом и быть устроены у соискателя по основному месту работы.

Лайфхак по успешному лицензированию

Для того чтобы получить лицензию, а затем успешно проходить плановые проверки ФСТЭК на соблюдение требований, предлагаем учесть ряд моментов:

  • оборудование лучше покупать, а не брать в аренду;
  • постоянно следить за изменениями в законодательной базе и поддерживать документацию в актуальном состоянии, в том числе периодически обновлять и докупать ГОСТы;
  • своевременно обновлять антивирусы и лицензии на контрольно-измерительное программное обеспечение и оборудование;
  • вовремя проводить переаттестацию помещений, поскольку аттестат действителен максимум три года.

Первичное получение лицензии и плановая проверка: отличия

Когда соискатель впервые получает лицензию, то связь с лицензирующим органом дистанционная: стороны обмениваются документами и общаются по телефону. Никаких личных визитов контролирующие органы соискателю не наносят.

Плановая проверка может проводиться через три года после получения организацией лицензии. В этом случае представители ФСТЭК проверяют, существуют ли в реальности кадры, помещения, оборудование и ПО, которые были заявлены при получении лицензии. В том числе проводится проверка знаний и компетенций кадров, заявленных в документах на получение лицензии. Проверяющие могут запросить перечень аттестатов, которые выдала аттестующая организация, а также перечень клиентов, которым выданы эти аттестаты. Таким образом контролирующие органы удостоверяются, действительно ли аттестующая организация оказала эти услуги и насколько они качественные.

Возможна также внеплановая проверка, которая проводится в любое время по заявлению граждан, юридических лиц, прокуратуры или по решению суда.

Работы по лицензированию: цена вопроса

С 1 января 2015 года госпошлина за первичное получение лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации составляет 7,5 тысячи рублей, за продление — 3,5 тысячи рублей.

Это неизбежные расходы и наименее затратная часть работ по лицензированию.

В соответствии с требованиями регламента по лицензированию необходимо провести аттестацию и разработку документов по аттестации защищаемого помещения и автоматизированной системы обработки конфиденциальной информации. Эти услуги оказывают специализированные организации, имеющие соответствующие лицензии ФСТЭК, например, компания СКБ Контур.

В спектр наших услуг входят:

  1. Первичная консультация. Это своего рода знакомство с организацией-заказчиком с целью понять, для чего требуется получение лицензии, и разъяснить клиенту, что ему даст эта лицензия, какими затратами сопровождается ее получение и сколько вложений потребуется в дальнейшем. В том числе мы сразу сообщаем, каковы шансы организации на успешное лицензирование. Например, у небольшой компании все есть для получения лицензии, кроме сотрудников с определенным стажем работы и соответствующими дипломами.
  2. Помощь в аттестации. Мы помогаем аттестовать помещение для переговоров, автоматизированные системы по требованиям безопасности.
  3. Консультация по приобретению оборудования и программного обеспечения.
  4. Консультация по приобретению нормативно-правовых документов (ГОСТов). Их недостаточно скачать и распечатать, поскольку требуется подтверждать именно правообладание. Большая часть ГОСТов находится в электронном виде в справочно-правовой системе Норматив: там содержится около 70 документов специального назначения, которые обновляются онлайн. В Нормативе можно даже найти ГОСТ от 1966 года, который до сих пор действует.
  5. Помощь в согласовании вопросов, связанных с арендой помещения и оборудования с арендодателями.
  6. Консультация по правильному оформлению в штат сотрудников, работающих с конфиденциальной информацией.
  7. Помощь в заполнении заявления. Заявление выложено на ресурсах ФСТЭК, заполнить его несложно, но нужно выполнить достаточно много условий — своевременно, точно и в полном соответствии с требованиями.

Никита Ярков, руководитель группы лицензирования компании СКБ Контур, проект Контур-Безопасность

Комплекс услуг по подготовке организаций к лицензированию ФСТЭК

Узнать больше
Поделиться
Не пропусти новые публикации

Подписывайтесь, и мы будем один раз в неделю присылать полезные бизнес-советы, аналитические статьи, истории успеха и провала, интервью, а также мнения экспертов на острые темы

Подписаться
Информационная безопасность, Персональные данные, Риски, Экспертное мнение
2809 просмотров
0 комментариев
В избранное
Комментарии Написать свой
Написать комментарий
Спасибо за ваше мнение!

Читайте также

Загрузить еще
loader
Напишите нам

Заполните, пожалуйста, все поля.

Напишите нам

Предложение, замечание, просьба или вопрос.