Лицензия ФСТЭК на техническую защиту конфиденциальной информации: руководство по получению и соблюдению требований

Осуществление деятельности по технической защите конфиденциальной информации в Российской Федерации подлежит обязательному лицензированию. Регулирование этой сферы направлено на предотвращение утечек информации, несанкционированного доступа и обеспечения безопасности данных, не содержащих государственную тайну, но защищаемых в соответствии с законодательством.

Данная статья представляет собой обзор нормативных требований и практическое руководство для юридических лиц и индивидуальных предпринимателей, планирующих работу в этой сфере.

1. Нормативно-правовая база

Лицензирование осуществляется на основании следующих ключевых документов:

• Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» — полный текст (устанавливает общие процедуры).
• Постановление Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» — полный текст (определяет конкретные требования и виды работ).
• Приказ ФСТЭК России от 12.01.2023 № 3 — полный текст (утверждает формы заявлений и документов).

Лицензирующий орган: Федеральная служба по техническому и экспортному контролю (ФСТЭК России) — официальный сайт.

Важно: Осуществление данной деятельности иностранными юридическими лицами не допускается (п. 1 Положения, утв. Постановлением № 79).

2. Какие виды деятельности подлежат лицензированию

Согласно п. 4 Положения (Постановление № 79), лицензия требуется для выполнения следующих работ и оказания услуг:

1. Контроль защищенности от утечки по техническим каналам:
   • В средствах и системах информатизации.
   • В технических средствах, не обрабатывающих конфиденциальную информацию, но размещенных в защищаемых помещениях.
   • В помещениях со средствами информатизации, подлежащими защите.
   • В помещениях для ведения конфиденциальных переговоров (защищаемые помещения).
2. Контроль защищенности от несанкционированного доступа (НСД) и модификации в средствах и системах информатизации.
3. Мониторинг информационной безопасности средств и систем информатизации.
4. Аттестационные испытания и аттестация на соответствие требованиям по защите информации (средств, систем, помещений) — см. Положение по аттестации объектов информатизации.
5. Проектирование в защищенном исполнении (средств, систем, помещений).
6. Установка, монтаж, наладка, испытания, ремонт средств защиты информации (технических, программных и программно-технических).

3. Лицензионные требования

Для получения и сохранения лицензии соискатель (а затем и лицензиат) должен соответствовать ряду строгих требований (п. 5 и п. 6 Положения № 79).

3.1. Требования к персоналу

В штате должны числиться специалисты по основному месту работы:

• Руководитель работ (или уполномоченное лицо):
  • Высшее образование в области информационной безопасности + стаж не менее 3 лет;
  • ИЛИ Высшее образование в области математики, естественных наук, инженерии + стаж не менее 5 лет;
  • ИЛИ Иное высшее образование + стаж не менее 5 лет + профессиональная переподготовка по информационной безопасности (не менее 360 часов).
• Инженерно-технические работники (не менее 2 человек):
  • Высшее образование в области информационной безопасности + стаж не менее 3 лет;
  • ИЛИ Иное высшее образование + стаж не менее 3 лет + профессиональная переподготовка (не менее 360 часов).
• Для индивидуальных предпринимателей: Сам ИП должен соответствовать требованиям, предъявляемым к руководителю работ.

Дополнительно: Лицензиат обязан повышать квалификацию указанных лиц не реже одного раза в 5 лет.

3.2. Требования к помещениям

• Помещения не должны быть объектами жилого назначения.
• Должны принадлежать соискателю на праве собственности или ином законном основании (аренда).
• Должны быть созданы условия для размещения персонала, оборудования и обсуждения информации ограниченного доступа (не гостайна).

3.3. Требования к оборудованию и средствам защиты

Соискатель должен обладать необходимым оборудованием (на праве собственности или законном владении), включая:

• Измерительные приборы, прошедшие метрологическую поверку (калибровку).
• Программные и программно-технические средства (включая средства контроля эффективности защиты и анализа исходных текстов), сертифицированные по требованиям безопасности информации — см. Порядок проведения сертификации.
• Автоматизированные системы для обработки конфиденциальной информации и средства их защиты, прошедшие оценку соответствия (аттестованные и/или сертифицированные).

3.4. Требования к документации

Необходимо наличие технической и технологической документации, национальных стандартов и методических документов согласно перечню, определяемому ФСТЭК России — см. Порядок обеспечения документами ФСТЭК России. Документы ограниченного доступа должны быть получены в установленном законом порядке.

4. Порядок получения лицензии

Шаг 1. Подготовка документов

Перечень документов установлен п. 8 Положения № 79 и формами Приказа ФСТЭК № 3. Основные из них:

1. Заявление о предоставлении лицензии (форма согласно Приложению № 1 или № 2 к Приказу ФСТЭК № 3).
2. Документы о персонале: Копии дипломов, удостоверений о переподготовке, трудовых книжек или выписок из них, приказов о назначении.
3. Документы на помещения: Копии документов о праве владения (собственность, аренда), технические паспорта и аттестаты соответствия защищаемых помещений.
4. Документы на автоматизированные системы (АС): Технические паспорта АС, акты классификации, аттестаты/сертификаты соответствия, перечень защищаемых ресурсов, описание технологического процесса.
5. Документы на оборудование: Сведения о контрольно-измерительных приборах (с поверкой), средствах защиты информации (с сертификатами), права на использование ПО.
6. Документы о системе производственного контроля (при выполнении работ по аттестационным испытаниям).

Все копии документов должны быть заверены соискателем лицензии.

Шаг 2. Подача заявления

Заявление и документы можно подать:

• В электронной форме через единый портал государственных и муниципальных услуг (Госуслуги) с использованием усиленной квалифицированной электронной подписи (ст. 13 ФЗ-99).
• На бумажном носителе лично или заказным почтовым отправлением с уведомлением о вручении (п. 12(1) Положения № 79).

Шаг 3. Рассмотрение и решение

• Срок принятия решения: не более 45 рабочих дней со дня приема заявления (ст. 14 ФЗ-99).
• В ходе рассмотрения проводится оценка соответствия лицензионным требованиям (документарная и/или выездная).
• Лицензия предоставляется бессрочно (ст. 9 ФЗ-99).
• Запись о лицензии вносится в реестр лицензий.

Шаг 4. Государственная пошлина

Согласно актуальным изменениям в ст. 10 ФЗ-99, оплата государственных пошлин за предоставление лицензии по большинству видов деятельности (включая техническую защиту информации) в период с 1 января 2024 г. по 31 декабря 2029 г. не требуется.

5. Внесение изменений в реестр лицензий

Лицензиат обязан уведомить ФСТЭК о изменениях в следующих случаях (ст. 18 ФЗ-99, п. 10-11 Положения № 79):

1. Изменение места осуществления деятельности: Требуется подтверждение соответствия нового места лицензионным требованиям (помещения, АС, оборудование).
2. Выполнение новых работ/услуг: Если лицензиат планирует выполнять работы, не указанные в реестре, необходимо подать заявление о внесении изменений и подтвердить наличие ресурсов (персонал, оборудование) для этих новых видов.

Исключение: Выполнение работ не по месту, указанному в реестре, не требует внесения изменений (п. 11(1) Положения № 79).

Заявление о внесении изменений подается в электронной форме или на бумаге (формы № 3 и № 4 Приказа ФСТЭК № 3). Срок рассмотрения — до 30 рабочих дней (при оценке соответствия) или до 10 рабочих дней (в упрощенных случаях).

6. Контроль и надзор

Соблюдение лицензионных требований контролируется ФСТЭК России.

• Формы контроля: Профилактические мероприятия, плановые и внеплановые контрольные (надзорные) мероприятия.
• Периодическое подтверждение соответствия: Для деятельности по технической защите информации (п. 5 ч. 1 ст. 12 ФЗ-99) проведение периодического подтверждения соответствия (каждые 3 года) не предусмотрено (ст. 19.3 ФЗ-99 не включает данный вид в перечень). Контроль осуществляется посредством проверок.
• Срок действия особого режима контроля: Лицензионный контроль осуществляется до 31 декабря 2025 г. в соответствии с ФЗ-294 «О защите прав юридических лиц…» (п. 14 Положения № 79).

7. Приостановление и аннулирование лицензии

Действие лицензии может быть приостановлено или прекращено в следующих случаях (ст. 20 ФЗ-99):

1. Приостановление:
   • Неисполнение предписания об устранении грубого нарушения.
   • Назначение административного наказания в виде приостановления деятельности.
   • Невозможность проведения контрольных мероприятий по вине лицензиата.
   • Срок приостановления зависит от основания (например, до 60 дней для устранения нарушений).
2. Аннулирование (по решению суда):
   • Если грубые нарушения не устранены в срок приостановления.
   • При представлении заведомо ложных сведений при получении лицензии.
3. Прекращение действия:
   • По заявлению лицензиата.
   • При ликвидации юридического лица или прекращении деятельности ИП.
   • При исключении вида работ из перечня лицензируемых.

Грубыми нарушениями считаются нарушения требований к персоналу, оборудованию и средствам защиты информации, повлекшие угрозу причинения вреда жизни, здоровью, окружающей среде или возникновение чрезвычайных ситуаций (п. 7 Положения № 79, ч. 10 ст. 19.2 ФЗ-99).

8. Смежные нормативные документы и ресурсы

При организации деятельности по технической защите информации рекомендуется также учитывать следующие документы ФСТЭК России и смежного регулирования:

Требования по безопасности информации

• Приказ ФСТЭК России от 11.02.2013 № 17 — Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.
• Приказ ФСТЭК России от 18.02.2013 № 21 — Состав и содержание организационных и технических мер по защите персональных данных.
• Приказ ФСТЭК России от 14.03.2014 № 31 — Требования о защите информации в автоматизированных системах управления производственными и технологическими процессами критически важных объектов.

Методические документы и руководства

• Базовая модель угроз безопасности персональных данных — утверждена ФСТЭК России 15.02.2008.
• Методика определения актуальных угроз безопасности персональных данных — утверждена ФСТЭК России 14.02.2008.
• Методика оценки угроз безопасности информации — утверждена ФСТЭК России 05.02.2021.
• Банк данных угроз ФСТЭК (БДУ) — актуальная база угроз безопасности информации.
• Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К).

Профили защиты и стандарты

• Профили защиты межсетевых экранов.
• Профили защиты операционных систем типов Б и В.
• Профили защиты средств антивирусной защиты.
• ГОСТ Р 56939-2016 / ГОСТ Р 56939-2024 — Защита информации. Основные термины и определения.

Смежное законодательство

• Федеральный закон № 152-ФЗ «О персональных данных».
• Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
• Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры».
• Федеральный закон № 98-ФЗ «О коммерческой тайне».
• Постановление Правительства РФ № 1119 — Уровни защищенности персональных данных.
• Постановление Правительства РФ № 687 — Положение об особенностях обработки персональных данных.

Дополнительные ресурсы

• Реестр операторов, осуществляющих обработку персональных данных (Роскомнадзор).
• Официальный сайт Роскомнадзора.

9. Практические рекомендации

1. Тщательная подготовка кадров: Убедитесь, что дипломы и удостоверения ваших сотрудников соответствуют требованиям по направлениям подготовки и часам переподготовки. Трудовые договоры должны быть действующими.
2. Документооборот: Ведите строгий учет технической документации и средств защиты. Наличие действующих сертификатов на ПО и приборы поверки — критический момент при проверках.
3. Актуальность данных: Своевременно вносите изменения в реестр лицензий при смене адреса или расширении перечня услуг. Работа без внесенных изменений может быть расценена как нарушение.
4. Взаимодействие с ФСТЭК: Используйте официальный сайт ФСТЭК России для отслеживания актуальных требований, методических рекомендаций и информационных сообщений — раздел документов.
5. Мониторинг угроз: Регулярно обращайтесь к Банку данных угроз ФСТЭК для актуализации моделей угроз в вашей организации.

Заключение

Лицензия ФСТЭК на техническую защиту конфиденциальной информации является обязательным разрешением для легальной работы в сфере информационной безопасности. Процесс получения требует значительной подготовки материально-технической базы и квалификации персонала. Соблюдение лицензионных требований после получения разрешения является непрерывным процессом, обеспечивающим не только законность деятельности, но и реальную защищенность обрабатываемой информации.