AZEXO

Надежда Скакун

Лицензия ФСТЭК на разработку средств защиты конфиденциальной информации: Руководство по соответствию регуляторным требованиям

Надежда Скакун
в
Эксперт по информационной безопасности с фокусом на регуляторику РФ. Более 10 лет помогаю компаниям выстраивать защиту в соответствии с требованиями ФСТЭК и ФСБ.

Осуществление деятельности по созданию средств защиты информации (СЗИ) в Российской Федерации подлежит обязательному лицензированию. Это требование направлено на обеспечение безопасности конфиденциальной информации, не содержащей сведений, составляющих государственную тайну. Данная статья систематизирует нормативные требования и описывает порядок действий для получения лицензии Федеральной службы по техническому и экспортному контролю (ФСТЭК России).

1. Нормативно-правовая основа

Деятельность по разработке средств защиты конфиденциальной информации регулируется следующим пакетом документов:

  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Определяет понятия информации, конфиденциальности и общие требования к защите информации (ст. 16). [КонсультантПлюс]
  • Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности». Устанавливает общий порядок лицензирования, права и обязанности лицензиатов, основания для приостановления и аннулирования лицензии (ст. 12, ч. 1, п. 4). [КонсультантПлюс]
  • Постановление Правительства РФ от 03.03.2012 № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации». Ключевой документ, определяющий лицензионные требования и процедуру для данного вида деятельности. [ФСТЭК России]
  • Приказ ФСТЭК России от 12.01.2023 № 4. Утверждает формы заявлений и документов, используемых в процессе лицензирования. [ФСТЭК России]
  • Постановление Правительства РФ от 21.11.2011 № 957. Утверждает перечень федеральных органов исполнительной власти, осуществляющих лицензирование конкретных видов деятельности. [Гарант]

2. Кто нуждается в лицензии и какие работы лицензируются

Лицензия требуется юридическим лицам и индивидуальным предпринимателям, планирующим осуществлять разработку средств защиты конфиденциальной информации (СЗКИ).

Важно: Осуществление данной деятельности иностранными юридическими лицами не допускается (Постановление № 171, п. 1).

Согласно Постановлению № 171 (п. 3), лицензированию подлежат следующие виды работ в части разработки:

  1. Технические средства защиты информации.
  2. Защищенные технические средства обработки информации.
  3. Технические средства контроля эффективности мер защиты информации.
  4. Программные (программно-технические) средства защиты информации.
  5. Защищенные программные (программно-технические) средства обработки информации.
  6. Программные (программно-технические) средства контроля защищенности информации.

Примечание: Лицензирование осуществляет ФСТЭК России. Однако разработка средств защиты для объектов Администрации Президента, Совета Безопасности, ФСБ и ряда других высших органов власти лицензируется Федеральной службой безопасности (ФСБ России).

3. Лицензионные требования к соискателю

Для получения лицензии соискатель должен соответствовать ряду жестких требований (Постановление № 171, п. 4).

3.1. Квалифицированный персонал

В штате должны числиться сотрудники по основному месту работы:

  • Руководитель работ:
    • Высшее образование в области информационной безопасности + стаж не менее 5 лет;
    • ИЛИ Высшее образование в области математики, естественных наук, инженерии + стаж не менее 7 лет;
    • ИЛИ Иное высшее образование + стаж не менее 5 лет + профессиональная переподготовка в области информационной безопасности (не менее 360 аудиторных часов).
  • Инженерно-технические работники (не менее 2 человек):
    • Высшее образование в области информационной безопасности + стаж не менее 3 лет;
    • ИЛИ Иное высшее образование + стаж не менее 3 лет + профессиональная переподготовка в области информационной безопасности (не менее 360 аудиторных часов).

3.2. Помещения

Необходимо наличие помещений, не являющихся объектами жилого назначения, принадлежащих соискателю на праве собственности или ином законном основании (аренда). В помещениях должны быть созданы условия для:

  • Размещения работников и оборудования.
  • Обсуждения информации ограниченного доступа (не содержащей гостайну).

3.3. Оборудование и средства защиты

Соискатель должен обладать необходимым оборудованием (на праве собственности или пользования), включая:

  • Производственное и испытательное оборудование.
  • Измерительные приборы, прошедшие метрологическую поверку (калибровку).
  • Программные средства, сертифицированные по требованиям безопасности информации (включая средства контроля эффективности защиты и анализа исходных текстов ПО). [ГОСТ Р 51583-2014]

3.4. Документация

Наличие технической и технологической документации, национальных стандартов и методических документов, необходимых для разработки. Документы ограниченного доступа должны быть получены в установленном порядке. [Порядок обеспечения документами ФСТЭК России]

3.5. Система производственного контроля

Необходимо наличие системы производственного контроля, включающей правила и процедуры:

  • Проверки и оценки системы разработки СЗИ.
  • Учета изменений в проектную и конструкторскую документацию.

4. Процедура получения лицензии

4.1. Подготовка документов

Пакет документов формируется согласно формам, утвержденным Приказом ФСТЭК России № 4. Включает:

  • Заявление о предоставлении лицензии (с описью).
  • Копии документов, подтверждающих квалификацию персонала (дипломы, трудовые книжки, удостоверения о переподготовке).
  • Документы на помещения (правоустанавливающие документы или сведения из ЕГРН).
  • Документы на оборудование и средства защиты (паспорта, сертификаты, документы о поверке).
  • Документы на систему производственного контроля.

4.2. Подача заявления

В отличие от многих других лицензий, заявление на лицензию ФСТЭК на разработку СЗИ подается на бумажном носителе или направляется заказным почтовым отправлением с уведомлением о вручении (Постановление № 171, п. 15(1)). Подача через портал Госуслуг для данного вида деятельности лицензирующим органом не предусмотрена в силу специфики защиты информации.

4.3. Рассмотрение и решение

  • Срок рассмотрения: Не превышает 45 рабочих дней со дня приема заявления (ФЗ № 99, ст. 14).
  • Оценка соответствия: Проводится лицензирующим органом в форме документарной оценки. Результаты оформляются актом оценки. [Приказ ФСТЭК России от 12.01.2023 № 3]
  • Результат: При положительном решении запись вносится в реестр лицензий. Лицензия действует бессрочно (ФЗ № 99, ст. 9).

5. Изменения в реестре лицензий

Лицензиат обязан уведомлять регулятора об изменениях в следующих случаях (Постановление № 171, п. 11–14):

  1. Новые виды работ: Если планируется разрабатывать новые типы СЗИ, не указанные в реестре, необходимо подать заявление о внесении изменений и подтвердить соответствие требованиям (наличие оборудования, документации и т.д.).
  2. Новые места осуществления деятельности: При открытии новых площадок для разработки необходимо подтвердить соответствие лицензионным требованиям по новому адресу.
  3. Изменение реквизитов: Сведения об изменении наименования, адреса места нахождения и т.д. вносятся в реестр (в ряде случаев автоматически через межведомственное взаимодействие, но лучше контролировать процесс).

Важно: Выполнение работ не по месту осуществления деятельности, указанному в реестре, не требует внесения изменений (Постановление № 171, п. 13(1)), однако новые виды работ требуют обновления реестра.

6. Лицензионный контроль и ответственность

6.1. Контроль

Лицензионный контроль осуществляется ФСТЭК России. Проверки проводятся в соответствии с федеральным законодательством о государственном контроле (надзоре). Лицензиат обязан обеспечивать возможность проведения проверок, предоставлять документы и доступ к объектам (ФЗ № 99, ст. 19.2). [Постановление Правительства РФ от 12.04.2018 № 447]

6.2. Грубые нарушения

К грубым нарушениям относятся нарушения требований к персоналу, оборудованию и средствам защиты, повлекшие угрозу причинения вреда правам граждан, безопасности государства или возникновение ЧС (Постановление № 171, п. 8; ФЗ № 99, ст. 19.2).

6.3. Ответственность

  • Приостановление лицензии: Возможно при выявлении грубых нарушений, неустранении предписаний или невозможности проведения проверки (ФЗ № 99, ст. 20).
  • Аннулирование: Производится по решению суда при неустранении нарушений в срок приостановления (ФЗ № 99, ст. 20).
  • Административная и уголовная ответственность: Осуществление деятельности без лицензии или с нарушением лицензионных требований влечет ответственность согласно КоАП РФ и УК РФ (ФЗ № 149, ст. 17; ФЗ № 99, ст. 17).
  • Гражданско-правовая ответственность: Лицензиат несет ответственность за ущерб, причиненный вследствие нарушений требований к защите информации.

7. Практические рекомендации

  1. Аудит перед подачей: Перед подготовкой заявки проведите внутренний аудит на соответствие требованиям к персоналу (проверьте дипломы и стаж) и оборудованию (наличие действующих сертификатов и поверок). [Банк данных угроз ФСТЭК]
  2. Система контроля: Разработайте и внедрите документы системы производственного контроля до подачи заявления. Их наличие проверяется в первую очередь.
  3. Актуальность данных: Следите за изменениями в законодательстве. Требования к составу работ и оборудованию могут уточняться ФСТЭК России. [Информационные сообщения ФСТЭК России]
  4. Взаимодействие: Все уведомления от лицензирующего органа (о предоставлении лицензии, предписания) могут направляться в электронной форме или заказным письмом. Обеспечьте надежный канал связи с регулятором.
  5. Сертификация продукции: Разрабатываемые средства защиты информации могут подлежать обязательной сертификации. Изучите Порядок проведения сертификации, утвержденный приказом ФСТЭК России от 01.12.2023 № 240. [ФСТЭК России]

8. Смежные нормативные документы

При разработке СЗИ также необходимо учитывать требования следующих документов:

  • Приказ ФСТЭК России от 11.02.2013 № 17 — Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. [ФСТЭК России]
  • Приказ ФСТЭК России от 18.02.2013 № 21 — Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных. [ФСТЭК России]
  • Приказ ФСТЭК России от 14.03.2014 № 31 — Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. [ФСТЭК России]
  • Постановление Правительства РФ от 01.11.2012 № 1119 — Требования к защите персональных данных при их обработке в информационных системах. [КонсультантПлюс]
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — регулирует обработку персональных данных. [КонсультантПлюс]

Заключение

Получение лицензии ФСТЭК на разработку средств защиты конфиденциальной информации — это сложный процесс, требующий тщательной подготовки материально-технической базы и кадров. Соблюдение требований Постановления № 171 и ФЗ № 99 является не только условием легальной работы, но и фактором обеспечения доверия со стороны заказчиков в сфере защиты информации. Регулярный внутренний контроль соответствия лицензионным требованиям позволит избежать приостановления деятельности и финансовых потерь.

Данная статья носит информационный характер и не является юридической консультацией. Для принятия решений рекомендуется обращаться к официальным источникам правовой информации и консультироваться с профильными специалистами.