Требования к соискателям
Чтобы выполнить лицензионные требования регулятора и успешно получить лицензию ФСБ на криптографию необходимо в первую очередь знать полный список этих требований, а уже потом хорошо к ним подготовиться.
В зависимости от того какие пункты лицензии планирует получать организация, требования к соискателям могут отличаться. Однако все требования можно условно разделить на следующие группы:
- Требования к помещению
- Требования к сотрудникам
- Требования к обеспечению конфиденциальности
- Требования к документам
1. Требования к помещению
При получении лицензии указывается конкретный адрес где организация планирует вести свою деятельностью. Если таких адресов несколько, их все необходимо включить в лицензию и выполнить предъявляемые к ним требования.
Помещение (или несколько помещений) должно быть либо на праве собственности, либо в аренде, подтверждённое соответствующими документами. Требования к площади не предъявляется.
Основные требования к помещению
Регламентируются приказом
В помещении должны быть оборудованы рабочие места для специалистов, которые требуются по регламенту (стол, стул для каждого).
Двери (п. 52)
Двери должны быть прочные, с качественными замками, гарантирующими надёжное закрытие в нерабочее время. Требования к материалу из которого должны быть изготовлены двери (металл или дерево) – не предъявлены. Главная особенность – прочность.
Окна (п. 52, 53, 56)
Окна, расположенные на первых и последних этажах зданий, а также около пожарных лестниц и других мест, откуда возможно беспрепятственное проникновение, должны быть оборудованы металлическими решётками или ставнями.
Сигнализация и охрана (п.52, 53, 56)
Помещение должно быть на сигнализации, особых требований к ней не предъявляются. По охране должен быть заключен договор с частной охранной организацией.
Сейф (п.58)
Для хранения ключевых документов в помещении должен находиться металлический сейф (или шкаф) с кодовым замком или средством опечатывания замочных скважин. К ним идут 2 экземпляра ключей, один из которых должен находиться у сотрудника, ответственного за хранилище. Другой – в сейфе руководителя.
2. Требования к сотрудникам
Наличие в штате организации квалифицированного персонала с нужным опытом работы в сфере криптографии и соответствующим образованием вызывает у соискателей лицензии ФСБ основные сложности, по той причине, что чаще всего таких сотрудников нет. Они либо не проходят по образованию, либо по стажу в лицензируемой деятельности.
В зависимости от видов деятельности и пунктов, на которые соискатель планирует получать лицензию, требования к образованию и стажу предъявляются разные.
Пункты 21-24
- 2 сотрудника с удостоверением о повышении квалификации по информационной безопасности (100 часов);
- Стаж не обязателен.
Пункты 2, 3, 7-15, 17, 18, 20, 25-28
- 2 сотрудника с профессиональной переподготовкой по информационной безопасности (не менее 500 часов) или высшим профильным образованием;
- Стаж в лицензируемой деятельности – более 3 лет в штате компании.
Пункты 1, 4-6, 16, 19
- 2 сотрудника с дипломом о прохождении курсов по информационной безопасности (свыше 1 000 часов) или высшим профильным образованием
- Стаж в лицензируемой деятельности – более 5 лет в штате компании.
Если требуемого образования у сотрудников нет, соискатель может отправить их на обучающие курсы повышения квалификации или профессиональной переподготовки. Это и является основной причиной увеличения сроков получения лицензии. Этот вопрос можно закрыть. А вот со стажем могут возникнуть проблемы. Как найти сотрудников, мы подробно написали здесь.
3. Требования к обеспечению конфиденциальности
Под требованиями к обеспечению конфиденциальности понимается соблюдение ряда условий к безопасности информации СКЗИ.
- Рабочие компьютеры специалистов должны быть аттестованы (АРМ) компанией с лицензией ФСТЭК.
- Программное обеспечение, необходимое для работы со СКЗИ, должно быть лицензионное.
- В организации должен быть установлен режим коммерческой тайны.
- Охрана помещения (описана в пункте 1. Требования к помещению).
4. Требования к документам
Важным этапом реализации лицензионных требований является подготовка пакета внутренних рабочих документов: приказы, должностные инструкции, инструкции по работе с СКЗИ и др.
Основной список документов следующий:
1. Создание органа криптографической защиты (ОКЗ).
Приказ, в котором прописываются ответственные за ОКЗ (сотрудники организации одного или разных подразделений), цели и задачи ОКЗ.
2. Должностные инструкции ОКЗ.
Каждому сотруднику ОКЗ прописывают должностные обязанности и инструкции. Отдельно должностные инструкции для руководителя и инженерно-технических работников.
3. Инструкция по работе с СКЗИ
Инструкция регулирует порядок работы со СКЗИ. Как передается, обрабатывается или хранится конфиденциальная информация, с учётом используемых СКЗИ
4. Ограничение доступа в помещение ОКЗ.
Журнал, в котором прописывается режим охраны помещений ОКЗ – кто в какое время может иметь доступ к криптографии, кто и как часто проводит контроль состояния технических средств охраны, доступ сотрудников в рабочее и нерабочее время.
5. Заявление на получение лицензии.
Заверенные нотариусом копии учредительных документов: устав, свидетельства о регистрации и постановке, протокол о назначении гендиректора, выписка из ЕГРЮЛ.