ПН-ПТ: 10:00 - 20:00
СБ-ВС: 10:00 - 18:00

Как получить лицензию ФСТЭК на ТЗКИ самостоятельно

Чаще всего, с необходимостью получения лицензии ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации сталкиваются организации, участвующие в закупках на электронных торговых площадках. Как правило, таким организациям достаточно получить лицензию на подпункты «Б», «Д» и «Е», т.е. подпункты, не подразумевающие работу с техническими каналами, а соответственно не требующие наличия дорогостоящего контрольно-измерительного оборудования. Подпункты «А», «Г» требуются организациям, планирующим работать в сфере информационной безопасности, проводящим контроль защищенности информации и аттестационные испытания объектов информатизации.

Вне зависимости от необходимых в лицензии подпунктов, процесс получения идентичен и его можно разбить на несколько этапов:

1. Закупка необходимых средств защиты информации.

В соответствии с подпунктом «г» пункта 5 ПП РФ от 03.02.2012 № 79, у соискателя лицензии на законном основании должны быть средства защиты конфиденциальной информации, прошедшие процедуру оценки соответствия в соответствии с законодательством РФ. Это означает, что организация должна обладать средствами защиты от несанкционированного доступа, антивирусной защиты и виброакустической защиты, с действующими сертификатами соответствия ФСТЭК России. Подтверждением законности обладания данными средствами являются заверенные копии отгрузочных документов на СЗИ, копии сертификатов соответствия и лицензий. Данные средства должны быть не только в наличии, но и установлены и настроены в соответствии с принятым классом защищенности.

2. Закупка средств контроля защищенности.

В соответствии с подпунктом «в» пункта 5 ПП РФ от 03.02.2012 № 79, у соискателя лицензии на законном основании должны быть программные (программно-технические) средства, включая средства контроля эффективности защиты информации, сертифицированные по требованиям безопасности информации, а также средства контроля (анализа) исходных текстов программного обеспечения. Данные средства должны быть в наличии, а к лицензионному делу прикладываются заверенные копии отгрузочных документов, лицензий и сертификатов соответствия.

3. Закупка нормативно-методической документации ФСТЭК и национальных стандартов.

В соответствии с подпунктом «д» пункта 5 ПП РФ от 03.02.2012 № 79, у соискателя лицензии на законном основании должна быть техническая и технологическая документация, национальные стандарты и методические документы, необходимые для выполнения работ и (или) оказания услуг.

Для подтверждения наличия базы актуальных НМД и ГОСТов, необходимо оформить подписку на справочную правовую систему типа «Консультант» или «Гарант», главное, чтобы выбранный пакет содержал в себе необходимые документы.

Закрытая документация приобретается на основании заявок, направленных на имена руководителей ФСТЭК России и ФГУП «Стандартинформ». В заявках указывается причина приобретения закрытой документации и ее перечень.

Во ФСТЭК подаются документы, подтверждающие наличие открытых и закрытых нормативно-правовых документов.

4. Обучение персонала.

В соответствии с подпунктом «а» пункта 5 ПП РФ от 03.02.2012 № 79, у соискателя лицензии в штате по основному месту работы должны быть руководитель и два инженерно-технических работника, имеющие высшее образование по специальности в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет (5 лет у руководителя), прошедшие обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения - не менее 360 аудиторных часов).

Иными словами, если в штате вашей компании, есть трудоустроенные по основному месту работы сотрудники с высшим образованием по направлению информационной безопасности, и в их трудовой книжке есть записи, подтверждающие наличие необходимого опыта работы в сфере ИБ, во ФСТЭК достаточно предоставить копии трудовых договоров, трудовых книжек и дипломов о высшем образовании.

Если руководитель имеет высшее образование в области математических и естественных наук, инженерного дела, технологий и технических наук, необходим опыт работы по лицензируемому виду деятельности не менее 5 лет.

Если у руководителя иное (гуманитарное) высшее образование, а у инженеров высшее образование не связанное с информационной безопасностью, всем сотрудникам необходимо пройти обучение по согласованным со ФСТЭК программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения - не менее 360 аудиторных часов).

5. Проведение аттестационных испытаний объектов информатизации.

В соответствии с подпунктами «б», «г» пункта 5 ПП РФ от 03.02.2012 № 79, у соискателя лицензии должны быть в наличие аттестованные по требованиям безопасности информации автоматизированная система и защищаемое помещение.

Самостоятельно провести аттестационные испытания можно только при наличии лицензии ФСТЭК на ТЗКИ с техническими каналами. В противном случае, Вам необходимо обращаться к лицензиату ФСТЭК.

Аттестуемое помещение должно быть в собственности или в аренде (субаренде, при ее возможности на основании договора между собственником и арендатором) и не состоять в жилом фонде. На автоматизированную систему (ноутбук (системный блок, монитор, клавиатура, мышь), МФУ) и установленное в системе программное обеспечение (операционная система, офисный пакет), должны быть отгрузочные документы и лицензии.

Для проведения аттестационных испытаний, необходимо разработать комплект организационно-распорядительной документации, установить и настроить в автоматизированной системе средства защиты от несанкционированного доступа и средства антивирусной защиты. В защищаемом помещении смонтировать средства виброакустической защиты информации. После проведения аттестационных испытаний, Вам будет выдан комплект аттестационных документов, включая Аттестат соответствия, сроком на три года. Объекты информатизации должны иметь актуальные аттестаты соответствия на протяжении всего действия лицензии, соответственно каждые три года необходимо проводить их переаттестацию.

6. Закупка контрольно-измерительного оборудования.

В соответствии с подпунктом «в» пункта 5 ПП РФ от 03.02.2012 № 79, у соискателя лицензии должны быть в наличие принадлежащие на праве собственности или ином законном основании измерительные приборы, прошедшие в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку).

Данное требование актуально только при получении лицензии включающей работы с техническими каналами, т.е. на подпункты «А», «Г».

Оборудование должно соответствовать требованиям, предъявляемым в перечне КИО, необходимого для получения лицензии, и иметь сертификаты поверок (калибровок).

Не рекомендуется использовать для получения лицензии оборудование, взятое в аренду. Это связано с ведением ФСТЭК реестра оборудования. Если владелец оборудования повторно подаст его на получение лицензии, деятельность Вашей лицензии приостановят.

7. Подготовка и подача во ФСТЭК лицензионного дела.

Все собранные документы Вам необходимо прошить, пронумеровать и заверить. К документам прикладываются заявление о предоставлении лицензии и копия платежного поручения об оплаты государственной пошлины. Важно, чтобы документы были правильно оформлены и соответствовали представленным ФСТЭК формам. Отсутствие в деле какого-либо документа или его неправильное оформление является причиной отказа в выдаче лицензии. Документы запечатываются в пакет и подаются в экспедицию ФСТЭК вместе с реестром, на одном экземпляре которого ставят отметку о получении и возвращают Вам. Рассмотрение лицензионного дела ФСТЭК занимает 45 рабочих дней. Если в процессе рассмотрения, ФСТЭК обнаруживает замечания, их отправляют Вам по указанному в заявлении адресу. На исправление замечаний дается одна попытка. В случае повторного замечания ФСТЭК возвращает лицензионное дело, Вам придется заново оплачивать государственную пошлину и подавать лицензионное дело с повторным рассмотрением до 45 рабочих дней.