Для работы со средствами криптографической защиты информации (СКЗИ) организациям требуется получить лицензию ФСБ на криптографию (шифрование). Этот процесс требует тщательной подготовки, так как любые ошибки, выявленные в ходе проверки, накладывают дополнительные финансовые и временные издержки.
Мы публикуем актуальную инструкцию для предпринимателей, планирующих проходить процедуру лицензирования. Надеемся, что она поможет вам сориентироваться в процессе.
3 причины, почему может понадобиться лицензия ФСБ:
- Организация планирует оказывать услуги в области криптографии и шифрования;
- Необходимо расширить спектр своих услуг и получить новые пункты (для действующих лицензиатов);
- Регулятор предъявляет требования на основе проверки соответствия организации.
Лицензия даёт право на услуги по перепродаже СКЗИ, инсталляции, установке и сервисного обслуживания, а также на разработку СКЗИ с целью его последующего применения.
Выдавать лицензии уполномочен Центр по лицензированию, сертификации и защите государственной тайны ФСБ России (ЦЛСЗ ФСБ России) по Москве и Московской области, в остальных регионах России
Процесс получения лицензии
- Выбор пунктов лицензии для оказываемых услуг;
- Определение и выполнение лицензионных требований;
- Подготовка и подача лицензионного дела;
- Прохождение проверки регулирующего органа.
Выбор пунктов
Первым этапом является определение пунктов, регулирующих виды деятельности, которые необходимы для оказания услуг в рамках лицензионной деятельности.
Криптография (шифрование) охватывает довольно широкий рынок услуг, однако чаще всего выделяются три основные направления, согласно которым выбираются виды деятельности компании:
- Перепродажа СКЗИ;
- Перепродажа, установка и обслуживание СКЗИ. Подразумевает не только продажу СКЗИ, но и предоставление услуг, связанных с установкой, настройкой СКЗИ у заказчика (покупателя);
- Перепродажа, установка, обслуживание и разработка собственных СКЗИ. Данная лицензия необходима, если компания является разработчиком средств защиты информации.
Виды работ регулируются
Вторым этапом является определение и непосредственное исполнение требований.
Подготовка документов
Перечень документов, необходимых для получения лицензии ФСБ на криптографию (шифрование), установлен Административным регламентом, который был утвержден
Полный список прописан в нормативных актах, однако любой проверяющий может запросить дополнительные уточняющие документы, например, справку о стаже сотрудника и др.
Минимальный перечень:
- Документы на помещение;
- Документы, подтверждающие уровень квалификации и наличие требуемого опыта у сотрудников;
- Аттестат соответствия по защите информации на автоматизированное рабочее место (АРМ — системный блок или ноутбук);
- Документы на ПО и контрольно-измерительное оборудование;
- Организационно-распорядительная документация, подтверждающая соблюдения условий конфиденциальности и выполнение требований НПА при выполнение работ с СКЗИ;
- Сведения о наличии у организации лицензии ФСБ на гос. тайну, позволяющей работать с информацией, являющейся государственной тайной (в случае, если компания заявляется на пункты 1, 4 — 6, 16 и 19).
Наличие документов, определяющие выполнение требований, являются:
- Приказ о создании органа криптографической защиты (ОКЗ), в котором назначаются ответственные лица, а также определяются цели и задачи.
- Должностные инструкции с функционалом обязанностей и условиями труда сотрудников ОКЗ.
- Инструкция по работе с СКЗИ, регулирующая порядок осуществляемых работ по хранению, учёту, передачи СКЗИ.
- Журналы в котором ведут: учёт СКЗИ, режима охраны помещений ОКЗ, учет ключей и пломбиров от помещения и мет. хранилища и т.д. В журналах определено лицо, ответственное за их ведением.
- Заявление на получение лицензии и опись документов по разделам.
- Заверенные нотариусом копии учредительных документов (раньше требование обязательное, сейчас рекомендательное): устава, свидетельства о регистрации и постановке, протокол о назначении гендиректора, выписка из ЕГРЮЛ.
Требования к помещению
Должен быть указан конкретный адрес, где организация намерена вести бизнес. При наличии нескольких помещений указывается адрес каждого. Помещение должно быть либо в собственности, либо использоваться на правах аренды или суб. аренды (прикладывать всю цепочку).
Требования к площади выдвигаются требованием к персональным электронно-вычислительным машинам и организации работы, утвержденные постановлением Главного государственного санитарного врача РФ от 30.06.2003 N 118, согласно которым площадь рабочего места для сотрудников офисного помещения установлена в размере 4,5 м². Полный список характеристик помещения указан в приказе
Основные критерии выбора помещения вне зависимости от вида деятельности
- Двери. Должны быть прочными и иметь надёжные замки. Материал, из которого должна быть сделана дверь, не уточняется, но желательно из металла.
- Окна (п. 52, 53, 56). Окна на первых и последний этажах должны быть оборудованы решетками или ставнями. Задача компании – предпринять все меры, чтобы исключить возможность беспрепятственного проникновения третьих лиц на территорию организации.
- Сигнализация и охрана (п.52, 53, 56) Компания обязана заключить договор с официальным охранным предприятием и установить сигнализацию, а также следить за исправностью оборудования и качеством предоставляемых услуг, связанных с обеспечением безопасности.
- Сейф (п.58) Наличие сейфа или металлического шкафа является обязательным условием. На нём должен быть кодовый замок или средство опечатывания замочных скважин. 2 комплекта ключей должны находиться у ответственного сотрудника и в сейфе руководителя.
Также владелец компании обязуется обустроить рабочее место для сотрудника, а именно, установить стол, стул и предоставить необходимое оборудование. Единых требований, касающихся технического оснащения, нет – выбор инструментов зависит от вида деятельности компании.
Например, для видов 21-24 из перечня направлений для работы с СКЗИ требуется только бумажные журналы учёта, без рабочего места оснащенного ПК, но это при наличии отметки во всех документах, что учёт ведется не автоматизированным способом, а для 1-11 и 16-19 организации необходимо оборудование (КИО), прошедшее проверку и калибровку. Для работы с СКЗИ компания должна использовать только лицензированное программное обеспечение, могут проверить.
Подбор персонала
Требования, выдвигаемые к образованию и профессиональному опыту сотрудников зависят от видов деятельности и пунктов, указанных в заявлении на получение лицензии.
Пункты 21-24
- 2 чел. с удостоверением о повышении квалификации по информационной безопасности (далее – ИБ) (свыше 100 часов);
- Стаж не обязателен, но желателен.
Пункты 2, 3, 7-15, 17, 18, 20, 25-28
- 2 чел. с профессиональной переподготовкой по ИБ (не менее 500 часов) на базе высшего технического образования или высшим профильным образованием по ИБ;
- Стаж более 3 лет в компании лицензиате ФСБ с пунктами 2, 3, 7-15, 17, 18, 20, 25-28.
Пункты 1, 4-6, 16, 19
- 3 чел. с дипломом о завершении курсов по ИБ (свыше 1 000 часов) на базе высшего технического образования или высшим профильным образованием по ИБ;
- Стаж более 5 лет в компании лицензиате ФСБ с пунктами 1, 4-6, 16, 19.
- А также с группой доступа к работе с гос. тайной (2 или 3 группа секретности, зависит от вида работ)
Регуляторы понимают, что найти сотрудников с указанным опытом и образованием непросто, особенно с учетом дефицита соответствующих кадров. Поэтому возможны послабления компаниям, если они отправили работников на курсы повышения квалификации или профессиональной переподготовки, но это индивидуально и является скорее исключением, чем правилом. Подробнее о том, как найти квалифицированного сотрудника со стажем работы, можно узнать в этой статье.
Лицензионное дело
Собрав весь пакет документации, его необходимо отправить только Почтой России (по другому не принимают) по адресу, указанному в шапке заявления.
Формат проверки
Получив лицензионное дело от соискателя, назначенные по приказу представители ФСБ совершают выезд на место, указанное организацией, и производят проверку помещения, документации, персонала и уровня готовности организации. Проверка проходит в рабочее время в течение 45 дней с момента подачи заявления.
Форма проверки выездная, но может быть заменена на дистанционную при вводе в стране режима «повышенной готовности» в связи с эпидемией.
Замечания, указанные сотрудниками ведомства, должны быть исправлены до окончания срока рассмотрения лицензионного дела. Если регулятор отказал в выдаче лицензии, компания имеет право повторно отправить лицензионное дело устранив все замечания выданные ранее.
Здравствуйте. Наша компания оказывает услуги ведения бухгалтерского и налогового учёта для розничных компаний. Мы формируем и отправляем отчётность через СБИС. Скажите, пожалуйста, мы попадаем под тип организации, которой нужна лицензия ФСБ?
Здравствуйте. Да, вам нужна лицензия ФСБ на криптографию. В постановлении правительства №313 от 16 апреля 2012 года, вприложении №1 , расписан перечень выполняемых работ и оказываемых услуг. Ваша деятельность по подаче отчётности в ПФР, ФСС и т.д. попадает под 25 пункт: «Предоставление услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей».
Здравствуйте. Может ли ИП получить лицензию ФСБ и по каким пунктам. У ИП в штате один сотрудник с должным образованием и опытом, второй сотрудник с образованием и опытом сам индивидуальный предприниматель, сам себя устроить в штат нельзя. Будет ли индивидуальный предприниматель учтён в данном случае и соответствовать ПП313?
Здравствуйте! ИП может получить лицензию ФСБ по пунктам, которые не связанны с гостайной. Если в ИП в штате один сотрудник с должным образованием и опытом, а второй сотрудник с образованием и опытом сам индивидуальный предприниматель, этого достаточно, надо просто сделать приказы о назначение на руководителя ИП, принимать в штат его не надо. Индивидуальный предприниматель уже имеет занятость и поставлен на учет в налоговой, да это будет соответствовать ПП №313, как работа в штате.
Здравствуйте. У нашей компании есть лицензия на криптографию, каждые три года мы должны проходить переаттестацию и получать «Аттестат соответствия объекта информатизации»?
Здравствуйте. Подскажите, пожалуйста, какие у вас пункты лицензии? Обычно раз в 3 года, да.
Здравствуйте, для Пунктов 1, 4-6, 16, 19 обязательно иметь лицензию на ГТ? Без исключений?
Здравствуй. Да, для пунктов 1, 4-6, 16, 19 иметь лицензию обязательно. Это прописано в Постановлении Правительства РФ от 16.04.2012 №313 – пункт 6 – «г)»