Windows 8

Лицензия фстэк россии. Лицензирование и сертификация в области защиты информации

22.06.2019
Лицензия фстэк россии. Лицензирование и сертификация в области защиты информации

Лицензирование деятельности по технической защите конфиденциальной информации

За последние годы подзаконная база в области информационной безопасности сформировала затратные, запутанные, противоречивые механизмы, не учитывающие ни особенности обработки конфиденциальной информации в различных сферах деятельности, ни возможности операторов по выполнению установленных требований. Кроме того, требования к операторам информационных систем, обрабатывающих конфиденциальную информации, включая и персональные данные, со стороны ФСТЭК России включают такой механизм государственного регулирования, как лицензирование деятельности по технической защите конфиденциальной информации, для реализации которого у большинства операторов нет достаточных материальных и трудовых ресурсов. Особенно это касается бюджетных организаций в сфере образования, медицинского обслуживания, жилищно-коммунального комплекса. Проблемы правового характера возникли в связи с отсутствием в федеральном законодательстве законов по защите конфиденциальной информации, например, служебной тайны, профессиональных тайн, неоднозначностью положений, а также неоднократными изменениями и дополнениями, внесенными в ФЗ №152 «О персональных данных», другие нормативные правовые акты. При этом федеральные законы требуют дальнейшей конкретизации и разъяснений постановлениями Правительства РФ и методическими документами ФСТЭК и ФСБ России.

Принятие Правительством РФ постановления от 3 февраля 2012 г. №79 «О лицензировании деятельности по технической защите конфиденциальной информации» с утверждением «Положения о лицензировании деятельности по технической защите конфиденциальной информации» (далее - Положение) и отменой ранее действовавшего постановления от 15 августа 2006 г. №504, в очередной раз поднимает вопрос, а что нового в указанном Положении и нужна ли лицензия ФСТЭК России, если организация защищает конфиденциальную информацию «для собственных нужд», а не оказывает услуги за деньги?

В соответствии с п. 1 Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации), осуществляемой юридическими лицами и индивидуальными предпринимателями.

И сразу встает вопрос с термином "конфиденциальная информация", который дан в Положении и используется в документах ФСТЭК России, но отсутствует в федеральном законодательстве. ФЗ №149 от 27.07. 2006 г.» Об информации, информационных технологиях и о защите информации» в п.7 ст. 2 дает только определение конфиденциальности информации, как обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. Конфиденциальность в переводе с латинского означает "доверие" (т.е. передавая такую информацию мы надеемся на ее сохранность и нераспространение, так как ее разглашение может нанести сторонам определенный ущерб). Отметим, что отсутствие четкости отдельных терминов, а также подчас необоснованные изменения определений и понятий информационного законодательства не способствуют улучшению правового регулирования в информационной сфере. При этом ФСТЭК России продолжает использовать термин "конфиденциальная информация", от которого законодатели уже отказались.

Согласно законодательству РФ обязательными признаками информации с ограниченным доступом должны быть:

  • информация имеет действительную или потенциальную ценность для обладателя в силу неизвестности ее третьим лицам. Такими лицами могут быть государство, юридические или физические лица;
  • к информации нет свободного доступа на законном основании. Возможность сохранения ее неизвестной для третьих лиц установлена федеральным законом;
  • обладатель информации принимает меры по ее защите.

6 марта 1997 г. Президентом РФ был издан Указ N 188, которым утвержден «Перечень сведений конфиденциального характера», в соответствии с которым к конфиденциальной информации были отнесены следующие сведения:

  • о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
  • составляющие тайну следствия и судопроизводства;
  • доступ к которым ограничен органами государственной власти в соответствии с ГК РФ и федеральными законами (служебная тайна);
  • связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.);
  • связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с ГК РФ и федеральными законами (коммерческая тайна);
  • о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

В новом Постановлении уточнен и термин «техническая защита конфиденциальной информации» (далее - ТЗКИ), под которой в соответствии с п.2 Положения понимается:

Выполнение работ и (или) оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

Таким образом речь идет либо о выполнении работ по ТЗКИ, либо об оказании услуг по ТЗКИ, либо о совместных видах деятельности.

При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг :

  • контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
- средствах и системах информатизации;

Технических средствах (системах), не обрабатывающих конфиденциальную

информацию, но размещенных в помещениях, где она обрабатывается;

Помещениях со средствами (системами), подлежащими защите;

Помещениях, предназначенных для ведения конфиденциальных переговоров (далее - защищаемые помещения);

  • контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации (далее - СЗИ), защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);
  • аттестационные испытания и аттестация на соответствие требованиям по защите информации:

Защищаемых помещений;

  • проектирование в защищенном исполнении:
- средств и систем информатизации;

Помещений со средствами (системами) информатизации, подлежащими защите;

Защищаемых помещений;

  • установка, монтаж, испытания, ремонт средств защиты информации (технических СЗИ, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).

При этом эксплуатация СЗИ, в отличии от эксплуатации средств криптографической защиты, где лицензирующим органом является ФСБ России, к лицензируемому виду деятельности не относится. Эта позиция ФСТЭК России вызывает вопросы. Почему лицензируется только первые этапы в создании системы защиты - проектирование системы защиты и установка средств защиты? Почему ежедневная работа специалистов и служб информационной безопасности по эксплуатации и контролю эффективности СЗИ не подпадает под лицензирование? Ведь она не менее важна, чем создание системы защиты, так как задачами лицензирования отдельных видов деятельности являются предупреждение, выявление и пресечение нарушений юридическим лицом, его руководителем и иными должностными лицами требований, которые установлены ФЗ от 4.5.2011г. №99-ФЗ «О лицензировании отдельных видов деятельности», другими федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами Российской Федерации.

В силу п. 1 ст. 49 ГК РФ отдельными видами деятельности, перечень которых определяется законом, юридическое лицо может заниматься только на основании специального разрешения (лицензии). Виды деятельности, на осуществление которых необходимо получить лицензию, указаны в ФЗ от 4.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности", п. 5 ст. 12 которого включает в число этих видов и деятельность по ТЗКИ.

Понятие "услуги" подразумевает под собой определенный вид договора (глава 39, ст.ст. 779-783 ГК РФ), то есть многосторонней сделки, в которой обязательно должна быть и другая сторона (п. 1 ст. 154 ГК РФ). А вот понятие " работа" в законе не определено и может определяться только исходя из многих значений в русском языке: "занятие, труд, деятельность».

Таким образом, из приведенной формулировки можно сделать вывод, что лицензированию подлежит деятельность по ТЗКИ как третьих лиц ("услуги"), так и для собственных нужд ("работ").

Соответственно, если организация в рамках защиты внутренней конфиденциальной информации осуществляет работы по ее технической защите, она обязана получить соответствующую лицензию. Например, применительно к защите персональных данных у оператора не существует «собственных нужд» по их защите, и существовать не может в силу закона. Единственной целью ФЗ №152 «О персональных данных» является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных. Иных целей (в том числе и удовлетворения нужд операторов) закон не указывает. Кроме этого ФЗ 99-ФЗ «О лицензировании отдельных видов деятельности» к лицензируемым видам деятельности отнесены виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан. Закон не делает различий между интересами субъекта персональных данных (работника) и субъекта персональных данных (стороннего лица) о конституционном праве гражданина на личную тайну. Законодатель же (через институт лицензирования) защищает любого субъекта персональных данных от последствий некачественного выполнения работ по ТЗКИ.

Административным регламентом ФСТЭК России по исполнению государственной функции по лицензированию деятельности по ТЗКИ (далее - Административный регламент), утвержденным приказом от 28.08.07г. №181 с последними изменениями от 30.09.2011 г. в соответствии с приказом №515, определены сроки и последовательность действий (административных процедур) ФСТЭК России при осуществлении полномочий по лицензированию деятельности по ТЗКИ. Лицензированию подлежит деятельность по ТЗКИ, осуществляемая юридическими лицами и индивидуальными предпринимателями.

Анализ положений Административного регламента показывает, что процедура получения лицензии по ТЗКИ отнимает много времени, сил и средств. Для получения лицензии на деятельность по ТЗКИ необходимо подтвердить возможность выполнения лицензионных требований и условий, определенных Положением.

Лицензионными требованиями, предъявляемыми к соискателю лицензии на осуществление деятельности по ТЗКИ, являются (п.5 Регламента):

а) наличие у соискателя лицензии юридического лица - специалистов, находящихся в штате соискателя лицензии, имеющих высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации.

б) наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;

в) наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;

г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

д) использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;

е) наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным ФСТЭК России.

Как видно, для выполнения вышеназванных требования в организации необходимо иметь не менее 2 специалистов, что, в ряде случаев (при отсутствии профильного высшего образования) потребует их обучения на курсах повышения квалификации по учебным программам согласованным со ФСТЭК России в объеме не менее чем 72 часа. Кроме этого потребуются нормативные документы, в том числе ограниченного доступа, а также наличие на любом законном основании (в собственности или в аренде на срок не менее срока действия лицензии) производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию. Кроме вышесказанного придется провести проектирование, создание и аттестацию объектов информатизации (автоматизированной системы и защищенного помещения), предназначенных для обработки конфиденциальной информации. При этом возникает проблема приобретения на любом законном основании контрольно-измерительного оборудования, которое не потребуется лицензиату для оказания услуг по ТЗКИ. Причем большинство указанных требований являются достаточно затратными в экономическом плане, в первую очередь, для бюджетных организаций в сфере образования, медицинского обслуживания, жилищно-коммунального комплекса.

Исполнение государственной функции по лицензированию деятельности по ТЗКИ в соответствии с п.п.12-14 Регламента включает в себя следующие административные процедуры (рис.1):

  • информирование и консультирование о порядке исполнения государственной функции;
  • рассмотрение заявления о предоставлении лицензии;
  • проверка возможности выполнения соискателем лицензии лицензионных требований и условий;
  • принятие решения о предоставлении лицензии;
  • выдача документа, подтверждающего наличие лицензии;
  • выдача дубликата и копий документа, подтверждающего наличие лицензии;
  • продление срока действия лицензии;
  • переоформление документа, подтверждающего наличие лицензии;
  • контроль за соблюдением лицензиатом лицензионных требований и условий;
  • приостановление, возобновление действия лицензии и аннулирование лицензии;
  • ведение реестра лицензий;
  • предоставление информации из реестра лицензий.

Должностное лицо ФСТЭК России принимает решение о предоставлении или об отказе в предоставлении лицензии в срок, не превышающий 45 дней со дня поступления заявления о предоставлении лицензии и прилагаемых к нему документов (п.14.1 Регламента).

Основаниями для отказа в предоставлении лицензии являются (п.14.3 Регламента):

наличие в документах, представленных соискателем лицензии, недостоверной или искаженной информации;

несоответствие соискателя лицензии, принадлежащих ему или используемых им объектов лицензионным требованиям и условиям.

Лицензия на осуществление деятельности по технической защите конфиденциальной информации предоставляется сроком на 5 лет (п.14.4 Регламента). При этом с 30 января 2011 г. изменены размеры государственных пошлин: за предоставление лицензии - 2600 рублей и за продление срока действия лицензии - 200 рублей.

Как видно из схемы и процедур (рис.1) лицензированием ТЗКИ занимается центральный аппарат ФСТЭК России с привлечением управлений ФСТЭК России по федеральным округам в отличие от процедур лицензирования ФСБ России, где лицензированием в своей сфере ответственности занимаются территориальные управления ФСБ России. Продолжительность процесса лицензирования ТЗКИ по времени может занять от двух до шести месяцев и повлечь за собой значительные финансовые затраты, особенно в случае приобретения контрольно-измерительного оборудования в собственность.

Можно ли уйти от необходимости лицензирования деятельности организаций и предприятий по ТЗКИ? Рекомендации ФСТЭК России сводятся к необходимости заключения договора с организацией имеющей лицензию по ТЗКИ, при этом наличие указанной лицензии у оператора обязательным требованием не является.

Рекомендации ФСТЭК России заключать договора с лицензиатами, которых в реестре менее 2000, не позволяют решить проблему защиты конфиденциальной информации. Только операторов персональных данных по экспертным оценкам в России 5-7 миллионов, не считая операторов, которые обрабатывают другие виды информации ограниченного доступа, подлежащей защите в соответствии с федеральным законодательством. Кроме этого, договор с лицензиатом обычно заключается только на определенный объем работ и услуг, как правило, только на создание системы защиты конфиденциальной информации.

Какие же риски возникают у большинства организаций, которые не имеют и не планируют получать лицензии по ТЗКИ или получать услуги организаций имеющих такую лицензию при неизменности государственной политики и позиции ФСТЭК России? Каждая организация должна для себя принять решение о необходимости получения такой лицензии. Административных наказаний за выполнение работ без лицензии на деятельность по ТЗКИ со стороны ФСТЭК России нет и в сложившейся ситуации маловероятно, что эти наказания появятся, так как в условиях несовершенства нашего законодательства по защите конфиденциальной информации суды по разному трактуют нормы федеральных законов и ответственность за их невыполнение. В результате строгость Постановления компенсируется необязательностью его исполнения. Например, статьей 14.1 Административного Кодекса РФ предусмотрена ответственность за "Осуществление предпринимательской деятельности без государственной регистрации или без специального разрешения (лицензии)". Согласно ст.2 ГК РФ "предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке". Уже одно это говорит о том, что ст.14.1 может применяться только к тем, кто оказывает услуги и зарабатывает на обеспечении безопасности информации, т.е. лицензиаты ФСТЭК и ФСБ России. К подавляющему большинству организаций обрабатывающих конфиденциальную информацию (информации ограниченного доступа, не составляющей государственную тайну) эта статья отношения не имеет. По мнению многих специалистов по защите информации для большинства негосударственных организаций, не связанных с защитой государственной тайны, реально возможны только формы управления защитой конфиденциальной информации путем рекомендательного использования нормативных правовых актов, руководящих и методических документов регуляторов, организационно-распорядительных документов организаций, применение разработанных и испытанных в интересах органов государственной власти и подведомственных им предприятий систем и СЗИ. Основой функционирования систем защиты конфиденциальной информации в этом случае является личный выбор обладателем информации степени ее защищенности и механизмов защиты. При этом, по опыту стран с развитым законодательством в сфере информационной безопасности, определяющими факторами являются риск участников информационных отношений и их личная ответственность за принятые меры по защите конфиденциальной информации. В России этот подход, например, реализован при введении Стандартов Банка России в организации БС РФ, когда требования по получению лицензий на деятельность по технической защите конфиденциальной информации и требования аттестации информационных систем персональных данных не являются обязательными (в соответствии с пунктом 9.6 СТО БР ИББС-1.0-2010).

Александр Катаржнов

к.т.н., доцент, НОУ ДО Учебный центр «ЭВРИКА»

Процесс лицензирования подробно описан в Постановлении Правительства РФ «О лицензировании деятельности по технической защите конфиденциальной информации». В документе детально указано, какие документы в каком виде и порядке требуется представлять лицензирующему органу (ЛО).

На бумаге все выглядит достаточно просто.

  1. Юридическое лицо подает полностью сформированное заявление в соответствии с требованиями .
  2. В течение трех дней лицензирующий орган должен его рассмотреть и сообщить, какие ошибки есть в заявлении или каких документов не хватает. Если у ЛО есть замечания, то заявитель должен в течение 30 дней устранить недоработки.
  3. Если заявление оформлено верно, то в течение пяти дней начиная со дня принятия заявления ЛО проводит проверку полноты дополняющих заявление документов, а это обычно примерно 200-300 страниц.
  4. При недостатке в дополняющих документах ЛО отказывает организации в приеме заявления до устранения нарушений. На это у юридического лица есть те же 30 дней.
  5. Признав пакет документов полным, ЛО должен в течение 45 рабочих дней принять решение о выдаче лицензии либо об аргументированном отказе в ее выдаче.

Однако в реальности все сложнее. Лицензирующий орган один на всю страну, и находится он в Москве, рассмотрением заявлений занимаются несколько человек, а число организаций, желающих получить лицензию, растет с каждым годом. По телефону задавать вопросы можно, для этого дается два часа два раза в неделю, не более пяти минут на один сеанс связи, много выяснить не получится. Все это означает, что в считанные дни и даже недели провести лицензирование практически невозможно, особенно если есть недопонимания в правилах лицензирования или затруднения с выполнением хотя бы одного из требований. Кроме того, по некоторым видам услуг один только перечень правовых актов, которые должны быть приложены к заявлению, может состоять из 15 страниц.

К заявлению на получение лицензии необходимо приложить:

  • документы на автоматизированные системы, на защищаемое помещение, на право законного владения помещением, оборудованием, программным обеспечением либо о том, что они взяты в аренду (с подтверждением факта передачи);
  • документы на допуски к тайне (к конфиденциальной информации, доступ к которой ограничен);
  • копии трудовых книжек, договоров подряда, документов об образовании сотрудников соискателя лицензии;
  • документы на правообладание оборудованием, на поверочные работы, подтверждающие факт правильной работоспособности этого оборудования, на ПО, и т.д.;
  • сведения о нормативных документах, необходимых для осуществления деятельности по защите информации;
  • описание технологического процесса обработки конфиденциальной информации по установленной форме.

Те, кто впервые получает лицензию, должны представить нотариально заверенные учредительные документы организации.

Камни преткновения

Во время работ по лицензированию организации сталкиваются с тремя основными сложностями:

  1. Оборудование. Для выполнения работ и оказания услуг по аттестации защищаемых помещений и автоматизированных систем необходимо закупить (иметь в собственности или на любом ином законном основании) оборудование. Стоимость комплекта варьируется, но составляет около миллиона рублей. И если начать работы по лицензированию с покупки оборудования, то к моменту подачи заявления может оказаться так, что его придется заново поверять (сертификаты о поверке действительны один год). Можно попытаться сэкономить и взять оборудование в аренду, но она должна быть специальным образом оформлена. Требуется периодически подтверждать владение оборудованием, заключать дополнительные соглашения к договорам аренды о том, что оборудование находится именно у арендатора. Минус варианта с арендой в том, что он снижает шансы на получение лицензии — велика вероятность оформить отношения неверно и получить отказ.
  2. Аренда помещений. Если соискатель лицензии арендует помещение у субарендатора, то необходимо представлять всю цепочку документов вплоть до владельца помещения. Также необходимо следить за тем, чтобы фактические номера помещений совпадали с кадастровыми, чтобы помещения однозначно идентифицировались исходя из одних лишь документов.
  3. Кадровая документация. У сотрудников должны быть дипломы о высшем профессиональном образовании в области технической защиты информации и стаж более трех лет либо диплом о высшем образовании с курсов переподготовки / о высшем техническом образовании и стаж более пяти лет. Сотрудников должно быть не менее трех, и они должны быть трудоустроены у соискателя по основному месту работы.

Лайфхак по успешному лицензированию

Для того чтобы получить лицензию, а затем успешно проходить в случае необходимости плановые проверки ФСТЭК на соблюдение требований, предлагаем учесть ряд моментов:

  1. Оборудование (если оно необходимо для выбранного вами вида деятельности) лучше покупать, а не брать в аренду.
  2. Постоянно следить за изменениями в законодательной базе и поддерживать документацию в актуальном состоянии, в том числе периодически обновлять и докупать ГОСТы (информация об этом не является тайной, официальный сайт ФСТЭК России открыт для всех).
  3. Своевременно обновлять антивирусное ПО и лицензии на контрольно-измерительное программное обеспечение и оборудование.
  4. Вовремя проводить переаттестацию помещений и автоматизированных систем, поскольку аттестаты действительны максимум три года.

Первичное получение лицензии и плановая проверка: отличия

Когда соискатель впервые получает лицензию, то связь с лицензирующим органом дистанционная: стороны обмениваются документами и общаются по телефону. Никаких личных визитов контролирующие органы соискателю не наносят.

Плановая проверка может проводиться через три года после получения лицензии. В этом случае представители ФСТЭК изучают, существуют ли в реальности кадры, помещения, оборудование и ПО, которые были заявлены при получении лицензии. В том числе проводится оценка знаний и компетенций кадров, заявленных в документах на получение лицензии. Проверяющие могут запросить перечень аттестатов, которые выдала аттестующая организация (в случае если такой виде деятельности есть в лицензии), а также перечень клиентов, которым выданы эти аттестаты. Таким образом контролирующие органы удостоверяются, действительно ли аттестующая организация оказала эти услуги и насколько они качественные.

Возможна также внеплановая проверка, которая проводится в любое время по заявлению граждан, юридических лиц, прокуратуры или по решению суда.

Работы по лицензированию: цена вопроса

С 1 января 2015 года госпошлина за первичное получение лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации составляет 7 500 рублей, за продление — 3 500 рублей. Это неизбежные расходы и наименее затратная часть работ.

В соответствии с требованиями регламента по лицензированию необходимо провести аттестации и разработку документов по аттестации защищаемого помещения и автоматизированной системы обработки конфиденциальной информации. Эти услуги оказывают лицензиаты ФСТЭК, например представители проекта .

В комплекс услуг входят:

  1. Первичная консультация. Это знакомство с организацией-заказчиком с целью понять, для чего требуется лицензия, и разъяснить клиенту, что она ему даст, какими затратами обернется ее получение и сколько вложений (временных и финансовых) потребуется в дальнейшем. В том числе специалисты сразу сообщают, каковы шансы организации на успешное лицензирование, исходя из готовности клиента подать заявление сейчас.
  2. Помощь в аттестации. Сотрудники проекта Контур.Безопасность проводят аттестацию помещений для переговоров, автоматизированных систем обработки конфиденциальной информации по требованиям безопасности.
  3. Консультация по приобретению оборудования и программного обеспечения.
  4. Консультация по приобретению нормативно-правовых документов (ГОСТов). Большая часть ГОСТов находится в электронном виде в справочно-правовых системах. Но их недостаточно скачать и распечатать, поскольку требуется подтверждать именно правообладание.
  5. Помощь в согласовании вопросов, связанных с арендой помещения и оборудования.
  6. Консультация по правильному оформлению в штат сотрудников, работающих с конфиденциальной информацией.
  7. Помощь в заполнении заявления. Заявление выложено на ресурсах ФСТЭК России, заполнить его несложно, но нужно выполнить достаточно много условий относительно дополняющих заявление документов — своевременно, точно и в полном соответствии с требованиями.

Техническая защита конфиденциальной информации - актуальная проблема в сегодняшних реалиях. Любая организация так или иначе собирает информацию, которую не хотела бы или просто не имеет права разглашать. Утечка таких данных может иметь самые серьезные последствия.

Государство контролирует эту важную область, а главным регулирующим органом является Федеральная служба по техническому и экспортному контролю (ФСТЭК).

Компании, которые занимаются или планируют заниматься деятельностью по защите конфиденциальной информации, должны получать лицензию ФСТЭК (Федеральный закон № 99 «О лицензировании отдельных видов деятельности», Постановление правительства от 21.11.2011 г. № 957 «Об организации лицензирования отдельных видов деятельности»). Также существует лицензия ФСБ, которая необходимо компаниям, имеющим дело с государственной тайной.

Виды лицензий ФСТЭК

Если брать в расчет только деятельность, находящуюся под юрисдикцией ФСТЭК, то существует два основных вида лицензий:

Первая: Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации (ТЗКИ) . Такая лицензия необходима компаниям, работающим непосредственно с информацией. Они используют уже готовое программное обеспечение, занимаются его установкой, тестируют технику, коммуникации и специальные помещения для хранения информации и так далее. Подробный список работ, которые требуют получения лицензии на ТЗКИ, будет приведен ниже.

Вторая: Лицензия ФСТЭК на деятельность по разработке и производству средств защиты конфиденциальной информации (СЗКИ) . Организации, получающие эту лицензию, сами разрабатывают и производят средства защиты информации. Сюда включается специальное программное обеспечение и техника, предназначенная для обработки, хранения и передачи защищенной информации, а также контроля защищенности. На все ПО и технические средства, которые производятся и используются для этих целей, выдаются сертификаты ФСТЭК. Через определенные промежутки времени средства защиты проходят повторную аттестацию.

Что подразумевается под конфиденциальной информацией?

Четкого определения этого понятия в законодательстве нет: это может быть как коммерческая тайна, так и персональные данные или любая другая информация ограниченного пользования.

Существует также понятие «оператор персональных данных». Это любая организация или физическое лицо, организующее и (или) осуществляющее обработку персональных данных. По закону (ФЗ № 152 «О персональных данных») оператор ПДн обязан обеспечить их неприкосновенность, то есть провести мероприятия по технической защите информации, которые подлежат лицензированию.

На практике это не всегда означает, что ему нужно получать лицензию ФСТЭК. Оператор может привлечь для этой цели стороннюю организацию с лицензией либо назначить в своем составе структурное подразделение или должностное лицо, которое будет заниматься вопросом ТЗКИ. В таком случае это подразделение или должностное лицо также обязано иметь лицензию ФСТЭК на ТЗКИ.

Лицензия ФСТЭК на ТЗКИ. Для каких работ нужна?

Каким организациям нужно оформлять лицензию ФСТЭК на ТЗКИ? Для того чтобы это определить, необходимо сопоставить работы или услуги, которые планирует оказывать эта организация, тем, что представлены в постановлении правительства. К таким работам относятся:

  • контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
    средствах и системах информатизации;
    технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
    помещениях со средствами (системами), подлежащими защите;
    помещениях, предназначенных для ведения конфиденциальных переговоров (защищаемых помещениях);
  • контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);
  • аттестационные испытания и аттестация на соответствие требованиям по защите информации:

    защищаемых помещений;
  • проектирование в защищенном исполнении:
    средств и систем информатизации;
    помещений со средствами (системами) информатизации, подлежащими защите;
    защищаемых помещений;
  • установка, монтаж, испытания, ремонт средств защиты информации

Получение лицензии ФСТЭК России на техническую защиту информации

ФСТЭК России рекомендует получать лицензию на техническую защиту информации своими силами, чтобы избежать неоправданных расходов и необоснованных гарантий. Как выглядит эта процедура? Чтобы получить лицензию на защиту информации, нужно выполнить два условия:

Собрать все необходимые документы . Перечень документов довольно внушительный и находится на сайте ФСТЭК России fstec.ru . Кроме того, надо заполнить заявление и оплатить госпошлину в размере 7500 рублей. После того как документы предоставлены, в течение пяти рабочих дней производится проверка полноты сведений. Затем проводится проверка, которая выявляет, соответствует ли соискатель требованиям для предоставления лицензии.

Соответствовать требованиям . Перечень требований также находится на официальном сайте ФСТЭК России. Конечно, об этом нужно позаботиться заранее перед тем как подавать документы.

Требования для получения Лицензии ФСТЭК

Если коротко изложить эти требования, то они сводятся к следующему:

  • Квалифицированные сотрудники. В штате должны быть работники с высшим образованием в профильной области либо прошедшие специальную переподготовку.
  • Специальные помещения для осуществления деятельности. Помещения должны соответствовать нормам и принадлежать соискателю на законном основании.
  • Сертифицированное оборудование.
  • Автоматизированные системы для обработки информации с сертификатами.
  • Легальное программное обеспечение.
  • Наличие нормативно-правовых актов и методических документов в соответствии с перечнем ФСТЭК.

После того как все требования выполнены, а документы в порядке, выдается лицензия. Срок действия лицензии на ТЗКИ не ограничен, но периодически ФСТЭК будет проводить плановые проверки. Поэтому компании нужно постоянно следить за тем, чтобы все требования ФСТЭК выполнялись.

Лицензированием в области защиты информации называется деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации. Государственная политика в области лицензирования отдельных видов деятельности и обеспечения защиты жизненно важных интересов личности, общества и государства определяется Постановлением Правительства Российской Федерации от 24 декабря 1994 г. № 1418 «О лицензировании отдельных видов деятельности» (в ред. Постановлений Правительства РФ от 05.05.95 № 450, от 03.06.95 № 549, от 07.08.95 № 796, от 12.10.95 № 1001, от 22.04.97 № 462, от 01.12.97 № 1513, также см. постановление от 11.02.02 № 135).

Лицензией называется разрешение на право проведения работ в области защиты информации. Лицензия выдается на конкретные виды деятельности на три года, по истечении которых осуществляется ее перерегистрация в порядке, установленном для выдачи лицензии.

Лицензия выдается в том случае, если предприятие, подавшее заявку на получение лицензии, имеет условия для проведения лицензирования: производственную и испытательную базу, нормативную и методическую документацию, располагает научным и инженерно-техническим персоналом.

Организационную структуру системы государственного лицензирования деятельности предприятий в области защиты информации образуют:

· государственные органы по лицензированию;

· лицензионные центры;

· предприятия-заявители.

Государственные органы по лицензированию:

· организуют обязательное государственное лицензирование деятельности предприятий;

· выдают государственные лицензии предприятиям-заявителям;

· согласовывают составы экспертных комиссий, представляемые лицензионными центрами;

· осуществляют контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации.

Лицензионные центры:

· формируют экспертные комиссии и представляют их состав на согласование руководителям соответствующих государственных органов по лицензированию, которыми являются ФСТЭК и ФСБ;

· планируют и проводят работы по экспертизе предприятий-заявителей;

· контролируют полноту и качество выполненных лицензиатами работ.

Лицензионные центры при государственных органах по лицензированию создаются приказами руководителей этих органов. Экспертные комиссии формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, органов государственного управления, других организаций и учреждений. Экспертные комиссии создаются по одному или нескольким направлениям защиты информации.

Лицензированию ФСТЭК России подлежат:

· сертификация, сертификационные испытания защищенных технических средств обработки информации (ТСОИ), технических и программных средств защиты, средств контроля эффективности мер защиты информации, программных средств обработки, защиты и контроля защищенности;

· аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, объектов ВТ и выделенных помещений на соответствие требованиям руководящих и нормативных документов по безопасности информации;

· разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных объектов информатики, технических средств защиты и контроля эффективности мер защиты информации, защищенных прог­раммных средств обработки, защиты и контроля защищенности информации;

· проведение специальных исследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ;

· проектирование объектов в защищенном исполнении.

На орган по лицензированию возлагается:

· разработка правил, процедур и нормативно-методических документов по вопросам проведения лицензирования;

· осуществление научно-методического руководства лицензионной деятельностью;

· публикация необходимых сведений о системе лицензирования;

· рассмотрение заявлений организаций и воинских частей о выдаче лицензий;

· согласование заявлений с воинскими частями, ответственными за соответствующие направления защиты информации;

· согласование состава экспертных комиссий;

· организация и проведение специальных экспертиз;

· принятие решения о выдаче лицензии;

· выдача лицензий;

· принятие решения о приостановлении, возобновлении действия лицензии или ее аннулировании;

· ведение реестра выданных, приостановленных, возобновленных и аннулированных лицензий;

· приобретение, учет и хранение бланков лицензий;

· организация работы аттестационных центров;

· осуществление контроля за полнотой и качеством проводимых лицензиатами работ.

В соответствии со статьей 17 Федерального закона от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности» (с изменениями, введенными Федеральным законом от 02.07.2005 № 80-ФЗ) лицензированию подлежат следующие виды деятельности (в области защиты информации):

· деятельность по распространению шифровальных (криптографических) средств;

· деятельность по техническому обслуживанию шифровальных (криптографических) средств;

· предоставление услуг в области шифрования информации;

· разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

· деятельность по разработке и (или) производству средств защиты конфиденциальной информации; деятельность по технической защите конфиденциальной информации;

· деятельность по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

В рамках рассматриваемых видов деятельности были выпущены отдельные постановления Правительства Российской Федерации, разъясняющие порядок лицензирования. Среди них:

· Постановление Правительства Российской Федерации от 26.01.2006 № 45 «Об организации лицензирования отдельных видов деятельности»; Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»;

· Постановление Правительства Российской Федерации от 31.08.2006 № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»;

· Постановление Правительства Российской Федерации от 23.09.2002 № 691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».

В соответствии с этими документами лицензиаты обязаны ежегодно представлять в орган по лицензированию или аттестационный центр сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности. Лицензиаты несут ответственность за полноту и качество выполняемых работ, обеспечение сохранности государственной тайны, доверенной им в ходе практической деятельности.

Лицензирование деятельности по технической защите конфиденциальной информации осуществляет ФСТЭК России. Для получения лицензии соискателю необходимо выполнить следующие требования и условия:
  1. наличие в штате специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;
  2. наличие у соискателя лицензии помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;
  3. наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;
  4. использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;
  5. использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;
  6. наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю

Для получения лицензии соискатель отправляет в ФСТЭК документы, рассмотренные в предыдущем разделе данной лекции. Помимо этих документов, соискатель обязан предоставить следующее:

  1. копии документов, подтверждающих квалификацию специалистов по защите информации (дипломов, удостоверений, свидетельств);
  2. копии документов, подтверждающих право собственности, право хозяйственного ведения или оперативного управления на помещения, предназначенные для осуществления лицензируемой деятельности, либо копии договоров аренды указанных помещений или безвозмездного пользования ими;
  3. копии аттестатов соответствия защищаемых помещений требованиям безопасности информации;
  4. копии технического паспорта автоматизированной системы с приложениями, акта классификации автоматизированной системы по требованиям безопасности информации, плана размещения основных и вспомогательных технических средств и систем, аттестата соответствия автоматизированной системы требованиям безопасности информации или сертификата соответствия автоматизированной системы требованиям безопасности информации, а также перечень защищаемых в автоматизированных системах ресурсов с документальным подтверждением степени конфиденциальности каждого ресурса, описание технологического процесса обработки информации в автоматизированной системе;
  5. копии документов, подтверждающих право на используемые для осуществления лицензируемой деятельности программы для электронно-вычислительных машин и базы данных;
  6. сведения о наличии производственного и контрольно-измерительного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемой деятельности, с приложением копий документов о поверке контрольно-измерительного оборудования;
  7. сведения об имеющихся у соискателя лицензии нормативных правовых актах, нормативно-методических и методических документах по вопросам технической защиты информации

ФСТЭК проверяет комплектность предоставленных документов, полноту и достоверность указанных в них сведений. Если каких-то сведений (документов) не хватает, ФСТЭК в течение 15 дней уведомляет об этом соискателя. В срок, не превышающий 45 дней после получения документов от соискателя, ФСТЭК принимает решение о выдаче лицензии. Решение оформляется соответствующим актом ФСТЭК.

Лицензия выдается на 5 лет , и после окончания этого срока может быть продлена по заявлению лицензиата .

4.3. Контроль за соблюдением лицензионных требований и условий

Функция контроля за соблюдением лицензиатом лицензионных требований и условий осуществляет лицензирующий орган, то есть в случае технической защиты конфиденциальной информации – ФСТЭК. Способом контроля являются плановые и внеплановые проверки , которые проводятся в порядке, установленным ФЗ-№294 "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".

Целью плановой проверки является проверка соблюдения лицензиатом лицензионных требований и условий в процессе осуществления деятельности по технической защите конфиденциальной информации. В отношении одного юридического лица или индивидуального предпринимателя она может проводиться не чаще одного раза в течение трех лет. Плановые проверки осуществляются в соответствии с ежегодным планом проверок, который публикуется на официальном сайте ФСТЭК России.

Лицензиат включается в плановую проверку в случае истечения трех лет со дня:

  • государственной регистрации лицензиата ;
  • окончания проведения последней плановой проверки лицензиата .

Лицензиат уведомляется не позднее трех рабочих дней до проведения проверки.

Предметом внеплановой проверки является соблюдение лицензиатом лицензионных требований и условий, выполнение предписаний об устранении выявленных нарушений, проведение мероприятий по обеспечению безопасности государства.

Основанием для проведения внеплановой проверки является:

  1. истечение срока исполнения ранее выданного лицензиату предписания об устранении выявленного нарушения лицензионных требований и условий;
  2. поступление в ФСТЭК России обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах:
    • возникновения угрозы причинения вреда безопасности государства;
    • причинение вреда безопасности государства.

Плановая и внеплановые проверки проводятся в документарной или выездной формах. Документарная проверка проверяет документы лицензиата и осуществляется по месту нахождения ФСТЭК. В ходе выездной проверки проверяются не только документы лицензиата , но и соответствие его лицензионным требованиям и условиям.

Срок проведения каждой из проверок не может превышать 20 рабочих дней. По результатам проверки составляется акт в двух экземплярах, к которому прилагаются протоколы (заключения) проведенных исследований (испытаний) и экспертиз.

Подводя итог, можно сказать, что процесс получения лицензии на техническую защиту конфиденциальной информации является весьма трудоемким, длительным и, что не маловажно, затратным, ведь для получения лицензии необходимо выполнить все лицензионные требования и условия. Самым продолжительным по времени является обучение специалистов на курсах повышения квалификации. Несмотря на то, что количество организаций, имеющих дело с конфиденциальной информацией, достаточно велико, специалистов с высшим профессиональным образованием в области ТЗИ может позволить себе далеко не каждая из них. Частные курсы по повышению квалификации, утвержденные ФСТЭК, как правило, рассчитаны на 72 часа. Самым затратным в экономическом плане требованием является проведение аттестации объектов информатизации (автоматизированной системы и защищенного помещения), предназначенных для обработки конфиденциальной информации. Более того, возникает проблема приобретения контрольно-измерительного оборудования, которое после аттестации вообще не нужно, если только организация не собирается оказывать услуги по аттестации объектов информатизации. Альтернативный вариант – взять такое оборудование в аренду, но это тоже стоит денег. Таким образом, продолжительность процесса лицензирования может занять от 2 до 6 месяцев и повлечь за собой значительные материальные затраты. Вариантом решения данной проблемы является аутсорсинг. Аутсорсинг (от англ. outsourcing) дословно "использование внешних источников". Аутсорсинг предполагает передачу от компании-заказчика сторонней организации(подрядчику) определенных функций уставной деятельности, например, техническую защиту конфиденциальной информации. При этом подрядчик использует свои программные, технические и другие средства защиты, лицензии, аттестаты и т.п., а также несет ответственность за результат выполнения своей работы.



Возможно вас заинтересует