Как получить лицензию ФСБ на криптографию в 2024 году

Для работы со средствами криптографической защиты информации (СКЗИ) организациям требуется получить лицензию ФСБ на криптографию (шифрование). Этот процесс требует тщательной подготовки, так как любые ошибки, выявленные в ходе проверки, накладывают дополнительные финансовые и временные издержки.

Мы публикуем актуальную инструкцию для предпринимателей, планирующих проходить процедуру лицензирования. Надеемся, что она поможет вам сориентироваться в процессе.

3 причины, почему может понадобиться лицензия ФСБ:

1. Организация планирует оказывать услуги в области криптографии и шифрования;
2. Необходимо расширить спектр своих услуг и получить новые пункты (для действующих лицензиатов);
3. Регулятор предъявляет требования на основе проверки соответствия организации.

Лицензия даёт право на услуги по перепродаже СКЗИ, инсталляции, установке и сервисного обслуживания, а также на разработку СКЗИ с целью его последующего применения.

Выдавать лицензии уполномочен Центр по лицензированию, сертификации и защите государственной тайны ФСБ России (ЦЛСЗ ФСБ России) по Москве и Московской области, в остальных регионах России Территориальные органы ФСБ России.

Процесс получения лицензии

1. Выбор пунктов лицензии для оказываемых услуг;
2. Определение и выполнение лицензионных требований;
3. Подготовка и подача лицензионного дела;
4. Прохождение проверки регулирующего органа.

Выбор пунктов

Первым этапом является определение пунктов, регулирующих виды деятельности, которые необходимы для оказания услуг в рамках лицензионной деятельности.

Криптография (шифрование) охватывает довольно широкий рынок услуг, однако чаще всего выделяются три основные направления, согласно которым выбираются виды деятельности компании:

1. Перепродажа СКЗИ;
2. Перепродажа, установка и обслуживание СКЗИ. Подразумевает не только продажу СКЗИ, но и предоставление услуг, связанных с установкой, настройкой СКЗИ у заказчика (покупателя);
3. Перепродажа, установка, обслуживание и разработка собственных СКЗИ. Данная лицензия необходима, если компания является разработчиком средств защиты информации.

Виды работ регулируются постановлением Правительства РФ №313 от 16.04.2012. На данный момент лицензия ФСБ позволяет осуществлять работу по 28 пунктам (направлениям).

Вторым этапом является определение и непосредственное исполнение требований.

Подготовка документов

Перечень документов, необходимых для получения лицензии ФСБ на криптографию (шифрование), установлен Административным регламентом, который был утвержден Приказом ФСБ России от 29.12.2020 № 641.

Полный список прописан в нормативных актах, однако любой проверяющий может запросить дополнительные уточняющие документы, например, справку о стаже сотрудника и др.

Минимальный перечень: 

• Документы на помещение; 
• Документы, подтверждающие уровень квалификации и наличие требуемого опыта у сотрудников;
• Аттестат соответствия по защите информации на автоматизированное рабочее место (АРМ — системный блок или ноутбук);
• Документы на ПО и контрольно-измерительное оборудование;
• Организационно-распорядительная документация, подтверждающая соблюдения условий конфиденциальности и выполнение требований НПА при выполнение работ с СКЗИ;
• Сведения о наличии у организации лицензии ФСБ на гос. тайну, позволяющей работать с информацией, являющейся государственной тайной (в случае, если компания заявляется на пункты 1, 4 — 6, 16 и 19).

Наличие документов, определяющие выполнение требований, являются:

1. Приказ о создании органа криптографической защиты (ОКЗ), в котором назначаются ответственные лица, а также определяются цели и задачи.
2. Должностные инструкции с функционалом обязанностей и условиями труда сотрудников ОКЗ.
3. Инструкция по работе с СКЗИ, регулирующая порядок осуществляемых работ по хранению, учёту, передачи СКЗИ.
4. Журналы в котором ведут: учёт СКЗИ, режима охраны помещений ОКЗ, учет ключей и пломбиров от помещения и мет. хранилища и т.д. В журналах определено лицо, ответственное за их ведением.
5. Заявление на получение лицензии и опись документов по разделам.
6. Заверенные нотариусом копии учредительных документов (раньше требование обязательное, сейчас рекомендательное): устава, свидетельства о регистрации и постановке, протокол о назначении гендиректора, выписка из ЕГРЮЛ.

Требования к помещению

Должен быть указан конкретный адрес, где организация намерена вести бизнес. При наличии нескольких помещений указывается адрес каждого. Помещение должно быть либо в собственности, либо использоваться на правах аренды или суб. аренды (прикладывать всю цепочку).

Требования к площади выдвигаются требованием к персональным электронно-вычислительным машинам и организации работы, утвержденные постановлением Главного государственного санитарного врача РФ от 30.06.2003 N 118, согласно которым площадь рабочего места для сотрудников офисного помещения установлена в размере 4,5 м². Полный список характеристик помещения указан в приказе ФАПСИ No152 от 13 июня 2001 г.

Основные критерии выбора помещения вне зависимости от вида деятельности

1. Двери. Должны быть прочными и иметь надёжные замки. Материал, из которого должна быть сделана дверь, не уточняется, но желательно из металла.
2. Окна (п. 52, 53, 56). Окна на первых и последний этажах должны быть оборудованы решетками или ставнями. Задача компании – предпринять все меры, чтобы исключить возможность беспрепятственного проникновения третьих лиц на территорию организации.
3. Сигнализация и охрана (п.52, 53, 56) Компания обязана заключить договор с официальным охранным предприятием и установить сигнализацию, а также следить за исправностью оборудования и качеством предоставляемых услуг, связанных с обеспечением безопасности.
4. Сейф (п.58) Наличие сейфа или металлического шкафа является обязательным условием. На нём должен быть кодовый замок или средство опечатывания замочных скважин. 2 комплекта ключей должны находиться у ответственного сотрудника и в сейфе руководителя.

Также владелец компании обязуется обустроить рабочее место для сотрудника, а именно, установить стол, стул и предоставить необходимое оборудование. Единых требований, касающихся технического оснащения, нет – выбор инструментов зависит от вида деятельности компании.

Например, для видов 21-24 из перечня направлений для работы с СКЗИ требуется только бумажные журналы учёта, без рабочего места оснащенного ПК, но это при наличии отметки во всех документах, что учёт ведется не автоматизированным способом, а для 1-11 и 16-19 организации необходимо оборудование (КИО), прошедшее проверку и калибровку. Для работы с СКЗИ компания должна использовать только лицензированное программное обеспечение, могут проверить.

Подбор персонала

Требования, выдвигаемые к образованию и профессиональному опыту сотрудников зависят от видов деятельности и пунктов, указанных в заявлении на получение лицензии.

Пункты 21-24

• 2 чел. с удостоверением о повышении квалификации по информационной безопасности (далее – ИБ) (свыше 100 часов);
• Стаж не обязателен, но желателен.

Пункты 2, 3, 7-15, 17, 18, 20, 25-28

• 2 чел. с профессиональной переподготовкой по ИБ (не менее 500 часов) на базе высшего технического образования или высшим профильным образованием по ИБ;
• Стаж более 3 лет в компании лицензиате ФСБ с пунктами 2, 3, 7-15, 17, 18, 20, 25-28.

Пункты 1, 4-6, 16, 19

• 3 чел. с дипломом о завершении курсов по ИБ (свыше 1 000 часов) на базе высшего технического образования или высшим профильным образованием по ИБ;
• Стаж более 5 лет в компании лицензиате ФСБ с пунктами 1, 4-6, 16, 19.
• А также с группой доступа к работе с гос. тайной (2 или 3 группа секретности, зависит от вида работ)

Регуляторы понимают, что найти сотрудников с указанным опытом и образованием непросто, особенно с учетом дефицита соответствующих кадров. Поэтому возможны послабления компаниям, если они отправили работников на курсы повышения квалификации или профессиональной переподготовки, но это индивидуально и является скорее исключением, чем правилом. Подробнее о том, как найти квалифицированного сотрудника со стажем работы, можно узнать в этой статье.

Лицензионное дело

Собрав весь пакет документации, его необходимо отправить только Почтой России (по другому не принимают) по адресу, указанному в шапке заявления.

Формат проверки

Получив лицензионное дело от соискателя, назначенные по приказу представители ФСБ совершают выезд на место, указанное организацией, и производят проверку помещения, документации, персонала и уровня готовности организации. Проверка проходит в рабочее время в течение 45 дней с момента подачи заявления.

Форма проверки выездная, но может быть заменена на дистанционную при вводе в стране режима «повышенной готовности» в связи с эпидемией.

Замечания, указанные сотрудниками ведомства, должны быть исправлены до окончания срока рассмотрения лицензионного дела. Если регулятор отказал в выдаче лицензии, компания имеет право повторно отправить лицензионное дело устранив все замечания выданные ранее.