Организации, которые занимаются технической защитой конфиденциальной информации, должны получить лицензию ФСТЭК России (Федеральный закон от 04.05.2011 № 99-ФЗ). Для этого им нужно подготовить обширный пакет документов и выполнить ряд требований.
Какие документы нужны, чтобы получить лицензию ФСТЭК
Процесс лицензирования подробно описан в Постановлении Правительства РФ от 03.02.2012 № 79. Порядок получения лицензии выглядит следующим образом:
- Юридическое лицо или ИП подает заявление о предоставлении лицензии. Форма документа есть в Приложениях 1 и 2 Приказа ФСТЭК России от 17.07.2017 № 134. К заявлению нужно приложить:
- документы на автоматизированные системы, защищаемое помещение, право законного владения помещением, программным обеспечением либо о том, что они взяты в аренду с подтверждением факта передачи;
- документы на правообладание оборудованием, поверочные документы, которые подтверждают работоспособность, документы на ПО и т.д.;
- копии трудовых книжек, трудовых договоров, приказов о назначении, документов об образовании сотрудников соискателя лицензии;
- сведения о нормативных документах для осуществления деятельности по защите информации;
- описание технологического процесса обработки конфиденциальной информации по установленной форме, перечень защищаемых ресурсов;
- опись документов.
- После принятия пакета документов во ФСТЭК России в течение одного дня заявление поступает в отдел лицензирования. За три дня лицензирующий орган проверяет его и сообщает об ошибках или недостающих документах. Недоработки заявитель должен устранить в течение 30 дней.
- Когда ошибки исправлены и собран необходимый пакет документов, лицензирующий орган в течение 40 рабочих дней принимает решение о выдаче документа. Либо аргументированно сообщает о выявленных недостатках соискателю лицензии.
С какими сложностями можно столкнуться
Во время лицензирования организации должны учитывать три важные составляющие:
- покупка оборудования;
- аренда помещений;
- стаж и опыт сотрудников.
Расскажем подробнее о каждом.
Оборудование: взять в аренду или купить
Оборудование должно быть у компании, которая работает или оказывает услуги по аттестации защищаемых помещений и автоматизированных систем, а также контроля защищенности от утечек по техническим каналам (Постановление Правительства РФ от 03.02.2012 № 79).
Оборудование нужно купить или взять в аренду.
На покупку качественного оборудования придется потратить не меньше полутора миллионов рублей. И если начать работы по лицензированию с покупки оборудования, то к моменту подачи заявления может оказаться так, что его придется заново поверять (свидетельства о поверке действительны один год).
Аренда будет стоит дешевле, но бывает сложно доказать, что именно арендатор монопольно владеет оборудованием в течение всего срока аренды. Это придется прописать в договоре аренды.
Аренда помещений
Если соискатель лицензии снимает помещение у субарендатора, то он должен предоставить ФСТЭКу всю цепочку документов вплоть до сведений о владельце помещения и выписку из ЕГРН. Фактические номера должны совпадать с кадастровыми, однозначно идентифицироваться по документам. Помещение должно быть нежилым, одинаковой конфигурации как у собственника, так и у соискателя лицензии.
Сведения о кадрах
Компания, которая занимается технической защитой конфиденциальной информации, должна иметь в штате не меньше трех сотрудников: одного руководителя и двух инженерно-технических работников. Всех соискателей нужно трудоустроить по основному месту работы. Каждый сотрудник должен иметь определенный стаж и образование (Постановление Правительства РФ от 03.02.2012 № 79). Не менее чем раз в пять лет сотрудники получают повышение квалификации по лицензируемым видам деятельности. Рассказываем об этом подробнее в таблице.
Руководитель | ||
Стаж работы в области проводимых работ по лицензируемому виду деятельности | Образование | Дополнительные требования |
Не меньше 3-х лет | Высшее по направлению подготовки в области информационной безопасности | - |
Не меньше 5-ти лет | Высшее по направлению подготовки в области математических и естественных наук, инженерного дела, технологий и технических наук | - |
Не меньше 5-ти лет | Иное | Обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности. Не меньше 360 аудиторных часов. |
Инженерно-технический работник | ||
Стаж работы в области проводимых работ по лицензируемому виду деятельности | Образование | Дополнительные требования |
Не меньше 3-х лет | Высшее по направлению подготовки в области информационной безопасности | - |
Не меньше 3-х лет | Иное | Обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности. Обучение должно быть не менее 360 аудиторных часов. |
Что нужно учесть при подготовке к лицензированию
Для того чтобы получить лицензию и успешно пройти проверку ФСТЭК, нужно учесть ряд моментов:
- Постоянно следить за изменениями в законодательной базе и поддерживать перечень нормативных документов в актуальном состоянии. В том числе периодически обновлять и докупать ГОСТы. Полный перечень документов опубликован на официальном сайте ФСТЭК.
- Своевременно обновлять ПО и лицензии на контрольно-измерительное программное обеспечение и оборудование. Следить за сроками истечения и отзывом сертификатов соответствия на средства защиты информации и средства контроля защищенности.
- Вовремя проводить переаттестацию помещений и автоматизированных систем и их ежегодный периодический контроль.
Работы по лицензированию: цена вопроса
Госпошлина за первичное получение лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации составляет 7 500 руб., за продление — 3 500 руб. Это неизбежные расходы и наименее затратная часть работ.
До 31 декабря 2022 года оплачивать госпошлину за предоставление лицензии не нужно (п. 9 Постановления Правительства РФ от 12.03.2022 № 353, Информация Ространснадзора от 22.03.2022).
Какие еще затраты должен предусмотреть соискатель лицензии
Помимо оплаты госпошлины соискателю лицензии придется потратить средства на следующие мероприятия:
- Обучение или переподготовка кадрового состава.
- Создание автоматизированной системы для работы с конфиденциальной информацией, которая оснащена необходимым ПО и средствами защиты.
- Разработка документов по аттестации защищаемого помещения и автоматизированной системы обработки конфиденциальной информации.
- Покупка средств контроля защищенности.
- Приобретение национальных стандартов и прочей нормативной документации.
- Поддержание помещения.
- Покупка оборудования для контроля от утечки по техническим каналам.
Никита Ярков, эксперт Контура
Спасибо за статью, Никита, очень позновательно.
Не раскрыт вопрос про требованию к стажу. Стаж сотрудников требуется в ораганизациях, имеющих лицензии на виды деятельности, в сторогом соответствии с заявкой? Или же возможен набор сотрудников со схожими должностными обязанностями без опыта работы в организациях-лицензиятах?