AZEXO

Надежда Скакун

Лицензия ФСБ на разработку и производство средств защиты конфиденциальной информации: регуляторные требования и руководство к действию

Надежда Скакун
в
Эксперт по информационной безопасности с фокусом на регуляторику РФ. Более 10 лет помогаю компаниям выстраивать защиту в соответствии с требованиями ФСТЭК и ФСБ.

Деятельность по разработке и производству средств защиты конфиденциальной информации (СЗКИ) в Российской Федерации подлежит обязательному лицензированию. Однако ключевым вопросом для соискателя является определение правильного лицензирующего органа. Несмотря на распространенное мнение, Федеральная служба безопасности (ФСБ) России осуществляет лицензирование лишь в строго определенных случаях.

Данная статья составлена на основе Постановления Правительства РФ от 03.03.2012 № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» (в редакции до конца 2024 года) и призвана помочь организациям разобраться в требованиях регулятора.

1. Нормативно-правовая база

Лицензирование осуществляется в соответствии с Федеральным законом от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности». Деятельность регулируется также следующими документами:

2. Кто выдает лицензию: ФСБ или ФСТЭК?

Согласно пункту 2 Положения о лицензировании, полномочия разделены следующим образом:

  • ФСТЭК России: Осуществляет лицензирование в большинстве случаев.
  • ФСБ России: Лицензирует деятельность только в части разработки и производства СЗКИ, устанавливаемых на объектах следующих органов:
    • Администрация Президента РФ;
    • Совет Безопасности РФ;
    • Федеральное Собрание РФ;
    • Правительство РФ;
    • Конституционный Суд РФ;
    • Верховный Суд РФ.

Важно: Если ваша продукция не предназначена для установки на перечисленных выше объектах высшей государственной власти, лицензирующим органом для вас является ФСТЭК России, а не ФСБ. Требования этих ведомств различаются.

Для уточнения компетенции и получения консультаций рекомендуется обращаться в Центр по лицензированию, сертификации и защите государственной тайны ФСБ России.

3. Лицензируемые виды работ и услуг

Лицензированию подлежат следующие направления деятельности (пункт 3 Положения):

  1. Разработка средств защиты конфиденциальной информации:
    • Технические средства защиты информации;
    • Защищенные технические средства обработки информации;
    • Технические средства контроля эффективности мер защиты информации;
    • Программные (программно-технические) средства защиты информации;
    • Защищенные программные (программно-технические) средства обработки информации;
    • Программные (программно-технические) средства контроля защищенности информации.
  2. Производство средств защиты конфиденциальной информации (аналогичный перечень).

Примечание: Речь идет об информации, не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством РФ (конфиденциальная информация).

4. Лицензионные требования ФСБ России

Если ваша деятельность подпадает под компетенцию ФСБ (см. раздел 2), вы должны соответствовать требованиям, изложенным в пунктах 5 и 7 Положения.

4.1. Требования к персоналу

В штате должны числиться специалисты по основному месту работы:

  • Руководитель работ: Высшее профессиональное образование по направлению «Информационная безопасность» (или переподготовка > 500 аудиторных часов) + стаж работы по лицензируемой деятельности не менее 5 лет.
  • Инженерно-технические работники: Не менее 2 человек. Высшее образование по направлению «Информационная безопасность» (или переподготовка > 100 аудиторных часов).

Образовательные требования должны соответствовать Федеральному закону от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации».

4.2. Требования к помещениям

  • Наличие помещений на праве собственности или ином законном основании (владение и пользование).
  • Помещения должны соответствовать требованиям технической и технологической документации, национальных стандартов в области защиты информации.

4.3. Требования к оборудованию и ПО

  • Оборудование: Контрольно-измерительное (прошедшее поверку/калибровку и маркирование), производственное, испытательное.
  • Программное обеспечение: Наличие прав на программы для ЭВМ и базы данных, используемые при разработке и производстве.
  • Аттестованные системы: Использование аттестованных по требованиям безопасности информации средств обработки информации (защищаемые помещения и автоматизированные системы) для самой процедуры разработки и производства.

Порядок аттестации объектов информатизации регулируется Положением по аттестации объектов информатизации по требованиям безопасности информации.

4.4. Система производственного контроля

Лицензиат обязан иметь внедренную систему производственного контроля, включающую:

  • Процедуры проверки и оценки системы разработки СЗКИ.
  • Учет изменений в проектную и конструкторскую документацию.
  • Процедуры оценки качества выпускаемой продукции и учета готовой продукции.

При разработке программного обеспечения рекомендуется руководствоваться ГОСТ Р 56939-2024 «Защита информации. Программное обеспечение. Общие требования к разработке».

5. Порядок получения лицензии и внесения изменений

5.1. Пакет документов

Для получения лицензии соискатель направляет в лицензирующий орган (пункт 9 Положения):

  1. Заявление о предоставлении лицензии с описью.
  2. Документы, подтверждающие квалификацию специалистов (дипломы, удостоверения, выписки из трудовых книжек или сведения о трудовой деятельности).
  3. Правоустанавливающие документы на помещения.
  4. Копии аттестатов соответствия защищаемых помещений и средств обработки информации.
  5. Документы, подтверждающие права на ПО.
  6. Сведения об оборудовании (с копями документов о поверке/калибровке).
  7. Сведения о технической документации и системе производственного контроля.

Все копии документов должны быть заверены соискателем лицензии (пункт 10).

5.2. Способ подачи

Заявление и документы представляются на бумажном носителе лично или направляются заказным почтовым отправлением с уведомлением о вручении (пункт 15(1)).

5.3. Оценка соответствия

Лицензирующий орган проводит документарную оценку соответствия требованиям в соответствии с оценочным листом. Результаты оформляются актом оценки (пункт 15(2)).

5.4. Внесение изменений в реестр лицензий

Внесение изменений требуется при:

  • Намерении выполнять новые работы/услуги, не указанные в реестре (пункты 11, 12).
  • Изменении места осуществления деятельности (пункты 13, 14).

Важно: Выполнение работ не по месту осуществления деятельности, указанному в реестре, не требует внесения изменений (пункт 13(1)).

6. Сертификация и оценка соответствия продукции

Разработанные и производимые средства защиты информации подлежат процедуре оценки соответствия.

Сертификация средств защиты информации осуществляется в Системе сертификации ФСБ России № РОСС RU.0003.01БИ00 в соответствии с Порядком проведения сертификации, утвержденным приказом ФСТЭК России от 01.12.2023 № 240.

При проектировании мер защиты рекомендуется использовать:

7. Критические ограничения и сроки

7.1. Иностранные участники

Осуществление деятельности иностранными юридическими лицами не допускается (пункт 1). Лицензию могут получить только российские юридические лица и индивидуальные предприниматели.

7.2. Срок лицензионного контроля

Согласно пункту 17 Положения (в редакции от 27.12.2024 № 1931), лицензионный контроль за разработкой и производством средств защиты конфиденциальной информации осуществлялся до 31 декабря 2025 года включительно.

7.3. Государственная пошлина

За предоставление лицензии и внесение изменений в реестр (по заявлению лицензиата) уплачивается государственная пошлина. Самостоятельное внесение изменений в случаях, предусмотренных законом, пошлиной не облагается (пункт 18).

8. Руководство к действию: алгоритм для соискателя

  1. Определите заказчиков: Если вы планируете поставлять средства защиты только на объекты органов власти, не входящих в перечень пункта 2 (Администрация Президента, СБ РФ и т.д.), обращайтесь за лицензией во ФСТЭК России. Лицензия ФСБ требуется только для работы с высшими органами государственной власти.
  2. Подготовьте инфраструктуру: Обеспечьте наличие помещений, аттестованных рабочих мест и поверенного оборудования до подачи заявления.
  3. Укомплектовайте штат: Наймите специалистов с подтвержденным образованием в области информационной безопасности и необходимым стажем. Пройдите профессиональную переподготовку, если диплом не профильный.
  4. Внедрите систему контроля: Разработайте и утвердите документы системы производственного контроля (разработка и производство).
  5. Соберите пакет документов: Подготовьте заверенные копии согласно пункту 9 Положения.
  6. Подайте заявление: Направьте документы в лицензирующий орган на бумажном носителе.
  7. Пройдите оценку: Будьте готовы к документарной проверке соответствия лицензионным требованиям.
  8. Организуйте сертификацию продукции: После получения лицензии инициируйте процедуру оценки соответствия разрабатываемых средств защиты в уполномоченной системе сертификации.

Заключение

Лицензирование деятельности по защите конфиденциальной информации является строгим регуляторным инструментом. Требования ФСБ России являются наиболее жесткими из-за специфики объектов защиты. Ключевыми барьерами для входа на рынок являются необходимость наличия аттестованных помещений, квалифицированного штата и собственной системы производственного контроля.

Учитывая истечение срока лицензионного контроля, указанного в действующей редакции Положения (конец 2025 года), компаниям рекомендуется: