Процесс получения лицензии ФСБ на криптографию регулируется Постановлением Правительства № 313, которое вышло ещё в апреле 2012 года. Для тех, кто впервые собирается получать лицензию необходимо вникнуть во все тонкости данного постановления. Из названия видно, что лицензирование имеет три уровня сложности получения лицензии:
- Пункты касающиеся разработки СКЗИ;
- Производство СКЗИ (сюда же входят настройка, монтаж, обслуживание);
- Распространение (передача, продажа) СКЗИ.
ПП № 313 описывает лицензионные требования, которые должна выполнить организация, претендующая на получение лицензии.
- Основными требованиями являются наличие в собственности или аренде помещения, отвечающего требованиям специального помещения для работы с СКЗИ;
- Наличие в штате (по основному месту работы) квалифицированного персонала, соответствующего требованиям в зависимости от выбранных пунктов лицензионных видов деятельности;
- Наличие контрольно-измерительного оборудования, необходимого для выполнения определенного вида работ;
- Наличие оформленной внутренней нормативно-распорядительной документации (приказов, инструкций, распоряжений).
В данной статье мы постарались осветить основные моменты в получении лицензии.
Прежде чем начать подготовку к получению лицензии надо определиться, будут ли оказываться услуги сторонним организациям. Надо отметить, что использование средств криптографической защиты информации (СКЗИ) для собственных нужд юридического лица или индивидуального предпринимателя не требуют лицензирования. Получение лицензии необходимо лишь в случае оказания услуг связанных с СКЗИ для других юр лиц и ИП, даже если они находятся в группе компаний или имеют одних и тех же учредителей.
Далее необходимо определиться в каком объеме требуется оказывать услуги, — это продажа СКЗИ, установка монтаж обслуживание СКЗИ, разработка и изготовление СКЗИ. В зависимости от выбранных задач будет понятна сложность процедуры получения лицензии. Рассмотрим это более подробно.
Требования к документам
Для получения лицензии ФСБ на криптографию необходимо выполнить ряд требований к документам, подготовить их копии и отправить в лицензирующий орган
Копии, которые потребуются
Уставные документы организации, а также свежая (не менее 3 месяцев) выписка из ЕГРЮЛ.
- Договор аренды или свидетельство о праве собственности на помещение в котором будут проводиться лицензируемые виды деятельности.
- Договор на охрану помещения.
- Трудовые договоры сотрудников, принятых по основному месту работы.
- Трудовые книжки (или выписка из ЭТК).
- Дипломы об образовании по информационной безопасности.
- Внутренние нормативные документы организации: приказы, инструкции, должностные обязанности.
- Документы на приобретение АРМ (автоматизированное рабочее место) и Программное обеспечение.
- Документы на приобретение контрольно-измерительного оборудования (при необходимости, в зависимости от выбранных видов деятельности)
- Документы по Аттестации помещения и АРМ (при необходимости, в зависимости от выбранных видов деятельности).
Принцип оформления и подачи документов
Далее рассмотрим требования к оформлению документов перед их отправкой в лицензирующий орган.
Документы должны быть оформлены определённым образом. Копии, содержащие более одной страницы, должны быть сшиты либо ниткой, либо скрепкой степлера. Место сшива должно быть опечатано с обоих сторон наклейкой с надписью «Копия верна, Дата, подпись», пропечатано синей печатью организации и заверено подписью руководителя. Копии документов содержащие одну страницу должны быть пропечатаны на лицевой стороне штампом «Копия верна» и заверены синей печатью и подписью руководителя.
Оригиналы документов должны быть сшиты нитью или скреплены степлером, и иметь живую синюю печать организации и подпись руководителя.
Требования к помещению
При выборе помещения для проведения лицензируемых видов деятельности необходимо учитывать следующие условия:
Помещение должно быть пригодно для работы как минимум двух человек. При условии что по требованиям Трудовой инспекции на одно автоматизированное рабочее место (АРМ) должно приходиться минимум четыре квадратных метра, то соответственно минимальная площадь помещения может быть не менее восьми квадратных метров. Максимальное значение площади помещения не оговаривается но оно должно иметь контролируемую зону для выполнения лицензионных требований, а именно:
Иметь прочные ограждающие конструкции (потолок, пол, стены) препятствующие несанкционированному проникновению в помещение. Иметь прочную входную дверь (металлическую или деревянную), в которой есть два надёжных механических замка, или один механический замок и один электронный замок (вход по электронной карте). Входная дверь с внешней стороны должна иметь устройство для опечатывания, но если стоит электронный замок с выходом на СКУД (система контроля управления доступом), в которой фиксируется время и фамилия открывающего помещение, то устройство опечатывания можно не ставить.
Окна помещения (желательно металлопластиковые стеклопакеты) должны надежно закрываться. По требованиям руководящих документов, если это первый или последний этаж, на окнах должны быть установлены металлические решетки. Но в реальности сейчас проверяющих устраивают датчики движения перекрывающие плоскость окна, но при этом они должны быть реально подсоединены к СКУД и выведены на пост охраны, либо на телефоны руководителей. Эти же условия распространяются и на окне не первых и последних этажей, за исключением металлических решёток.
На всех окнах без исключения должны быть жалюзи или плотные шторы, исключающие возможность просмотра работ, которые ведутся в помещении.
Требования к персоналу
Если предыдущие описанные требования относились практически ко всему перечню пунктов, то требования к персоналу очень сильно отличаются в зависимости от выбранных пунктов лицензируемых видов деятельности, в соответствии с 313 ПП.
Так для пунктов 21-24 передача (продажа ) СКЗИ требуются два сотрудника без опыта и образования по информационной безопасности. Им достаточно пройти переподготовку свыше 100 часов и иметь образование не ниже среднего технического.
Для остальных пунктов (указанных в пунктах 2, 3, 7 — 15, 17, 18, 20, 25 — 28 перечня), за исключением пунктов требующих лицензию на Гос. тайну, требуется два сотрудника имеющих либо высшее образование по информационной безопасности, либо иное высшее образование и курсы по переподготовке свыше 500 часов. Также у них должен быть подтвержденный стаж работы по указанным пунктам в других организациях не менее трех лет.
Оставшиеся пункты (1, 4 — 6, 16 и 19 перечня), требующие наличие лицензии на гостайну , имеют самые высокие требования к персоналу. Это три сотрудника, имеющих либо высшее образование по информационной безопасности, либо иное высшее образование и профильную переподготовку свыше 1000 часов, и подтвержденный стаж работы по заявленным пунктам не менее пяти лет.
Общие вопросы
Необходимо понимать, что копии, отправленные в лицензирующий орган уже не вернутся в организацию и на выездной проверке проверяющим надо будет показывать ориниальный пакет документов. Поэтому рекомендуется сразу готовить две одинаковые папки (или коробки) – Оригиналы и Копии – по одной и той же описи. Так будет проще ориентироваться и сотрудникам и проверяющим.