Как получить лицензию ФСТЭК

Организации, которые занимаются технической защитой конфиденциальной информации, должны получить лицензию ФСТЭК России (Федеральный закон от 04.05.2011 № 99-ФЗ). Для этого им нужно подготовить обширный пакет документов и выполнить ряд требований. 

Какие документы нужны, чтобы получить лицензию ФСТЭК

Процесс лицензирования подробно описан в Постановлении Правительства РФ от 03.02.2012 № 79. Порядок получения лицензии выглядит следующим образом:

1. Юридическое лицо или ИП подает заявление о предоставлении лицензии. Форма документа есть в Приложениях 1 и 2 Приказа ФСТЭК России от 17.07.2017 № 134. ​К заявлению нужно приложить:
   • документы на автоматизированные системы, защищаемое помещение, право законного владения помещением, программным обеспечением либо о том, что они взяты в аренду с подтверждением факта передачи;
   • документы на правообладание оборудованием, поверочные документы, которые подтверждают работоспособность, документы на ПО и т.д.;
   • копии трудовых книжек, трудовых договоров, приказов о назначении, документов об образовании сотрудников соискателя лицензии;
   • сведения о нормативных документах для осуществления деятельности по защите информации;
   • описание технологического процесса обработки конфиденциальной информации по установленной форме, перечень защищаемых ресурсов;
   • опись документов.
2. После принятия пакета документов во ФСТЭК России в течение одного дня заявление поступает в отдел лицензирования. За три дня лицензирующий орган проверяет его и сообщает об ошибках или недостающих документах. Недоработки заявитель должен устранить в течение 30 дней.
3. Когда ошибки исправлены и собран необходимый пакет документов, лицензирующий орган в течение 40 рабочих дней принимает решение о выдаче документа. Либо аргументированно сообщает о выявленных недостатках соискателю лицензии.

Комплекс услуг по подготовке организаций к лицензированию ФСТЭК

С какими сложностями можно столкнуться

Во время лицензирования организации должны учитывать три важные составляющие: 

• покупка оборудования;
• аренда помещений;
• стаж и опыт сотрудников. 

Расскажем подробнее о каждом.

Оборудование: взять в аренду или купить

Оборудование должно быть у компании, которая работает или оказывает услуги по аттестации защищаемых помещений и автоматизированных систем, а также контроля защищенности от утечек по техническим каналам (Постановление Правительства РФ от 03.02.2012 № 79). 

Оборудование нужно купить или взять в аренду.

На покупку качественного оборудования придется потратить не меньше полутора миллионов рублей. И если начать работы по лицензированию с покупки оборудования, то к моменту подачи заявления может оказаться так, что его придется заново поверять (свидетельства о поверке действительны один год). 

Аренда будет стоит дешевле, но бывает сложно доказать, что именно арендатор монопольно владеет оборудованием в течение всего срока аренды. Это придется прописать в договоре аренды.

Аренда помещений

Если соискатель лицензии снимает помещение у субарендатора, то он должен предоставить ФСТЭКу всю цепочку документов вплоть до сведений о владельце помещения и выписку из ЕГРН. Фактические номера должны совпадать с кадастровыми, однозначно идентифицироваться по документам. Помещение должно быть нежилым, одинаковой конфигурации как у собственника, так и у соискателя лицензии.

Сведения о кадрах

Компания, которая занимается технической защитой конфиденциальной информации, должна иметь в штате не меньше трех сотрудников: одного руководителя и двух инженерно-технических работников. Всех соискателей нужно трудоустроить по основному месту работы. Каждый сотрудник должен иметь определенный стаж и образование (Постановление Правительства РФ от 03.02.2012 № 79). Не менее чем раз в пять лет сотрудники получают повышение квалификации по лицензируемым видам деятельности. Рассказываем об этом подробнее в таблице.

Что нужно учесть при подготовке к лицензированию

Для того чтобы получить лицензию и успешно пройти проверку ФСТЭК, нужно учесть ряд моментов:

1. Постоянно следить за изменениями в законодательной базе и поддерживать перечень нормативных документов в актуальном состоянии. В том числе периодически обновлять и докупать ГОСТы. Полный перечень документов опубликован на официальном сайте ФСТЭК.
2. Своевременно обновлять ПО и лицензии на контрольно-измерительное программное обеспечение и оборудование. Следить за сроками истечения и отзывом сертификатов соответствия на средства защиты информации и средства контроля защищенности.
3. Вовремя проводить переаттестацию помещений и автоматизированных систем и их ежегодный периодический контроль.

Работы по лицензированию: цена вопроса

Госпошлина за первичное получение лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации составляет 7 500 руб., за продление — 3 500 руб. Это неизбежные расходы и наименее затратная часть работ.

До 31 декабря 2022 года оплачивать госпошлину за предоставление лицензии не нужно (п. 9 Постановления Правительства РФ от 12.03.2022 № 353, Информация Ространснадзора от 22.03.2022).

Какие еще затраты должен предусмотреть соискатель лицензии

Помимо оплаты госпошлины соискателю лицензии придется потратить средства на следующие мероприятия:

1. Обучение или переподготовка кадрового состава.
2. Создание автоматизированной системы для работы с конфиденциальной информацией, которая оснащена необходимым ПО и средствами защиты.
3. Разработка документов по аттестации защищаемого помещения и автоматизированной системы обработки конфиденциальной информации.
4. Покупка средств контроля защищенности.
5. Приобретение национальных стандартов и прочей нормативной документации.
6. Поддержание помещения.
7. Покупка оборудования для контроля от утечки по техническим каналам.

Никита Ярков, эксперт Контура