AZEXO

Надежда Скакун

Лицензия ФСТЭК на противодействие иностранным техническим разведкам (ПТИ): регуляторные требования и руководство к действию

Надежда Скакун
в
Эксперт по информационной безопасности с фокусом на регуляторику РФ. Более 10 лет помогаю компаниям выстраивать защиту в соответствии с требованиями ФСТЭК и ФСБ.

Осуществление деятельности в сфере защиты информации, особенно когда речь идет о государственной тайне и противодействии иностранным техническим разведкам (ПТИ), требует строгого соблюдения законодательства Российской Федерации. Одним из ключевых инструментов государственного регулирования в этой области является лицензирование.

Данная статья предназначена для руководителей предприятий и специалистов по безопасности, чтобы помочь разобраться в требованиях к получению лицензии ФСТЭК России на работы, связанные с противодействием иностранным техническим разведкам, и избежать типичных ошибок.

Важно: Статья носит исключительно информационный характер. При подготовке документов рекомендуется руководствоваться актуальными редакциями нормативных правовых актов на официальных ресурсах ФСТЭК России и других уполномоченных органов.

1. Правовая основа: какой закон регулирует деятельность?

Важно сразу разграничить два основных направления лицензирования в сфере защиты информации, так как они регулируются разными нормативными актами:

1.1. Работы, связанные с государственной тайной и ПТИ

Регулируются Постановлением Правительства РФ от 15.04.1995 № 333 [официальный текст на сайте ФСТЭК]. Именно этот документ устанавливает порядок лицензирования деятельности по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также осуществлением мероприятий и оказанием услуг по защите государственной тайны (в части технической защиты и противодействия иностранным техническим разведкам).

Смежные нормативные акты:

  • Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне» [текст]
  • Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» [текст]обратите внимание: согласно ч. 2 ст. 1, положения этого закона не применяются к деятельности, связанной с защитой государственной тайны.

1.2. Техническая защита конфиденциальной информации (не содержащей гостайну)

Регулируется Постановлением Правительства РФ от 03.02.2012 № 79 [официальный текст на сайте ФСТЭК].

Смежные нормативные акты:

  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [текст]
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» [текст]
  • Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне» [текст]

2. Кто обязан получать лицензию?

Лицензия ФСТЭК России на проведение работ, связанных с созданием средств защиты информации и осуществлением мероприятий по защите государственной тайны (включая ПТИ), необходима юридическим лицам и индивидуальным предпринимателям, планирующим выполнять следующие виды работ:

  • Создание средств защиты информации.
  • Осуществление мероприятий и оказание услуг в области защиты государственной тайны (в части технической защиты информации и противодействия иностранным техническим разведкам).
  • Контроль защищенности информации от утечки по техническим каналам.
  • Аттестационные испытания и аттестация объектов информатизации и помещений.
  • Проектирование в защищенном исполнении.

Примечание: Деятельность по технической защите конфиденциальной информации (без гостайны) лицензируется отдельно по Постановлению № 79. При этом согласно п. 1 данного Положения, не допускается осуществление этой деятельности иностранными юридическими лицами.

3. Лицензионные требования

Для получения лицензии соискатель должен соответствовать ряду жестких требований, проверяемых в ходе специальной экспертизы. Согласно Постановлению № 333 и Информационному сообщению ФСТЭК России от 26.03.2015 № 240/13/1140 [текст], ключевыми требованиями являются:

3.1. Квалификация персонала

  • Руководитель работ: Должен иметь высшее профессиональное образование в области технической защиты информации либо высшее техническое образование и пройти переподготовку по вопросам технической защиты информации/ПТИ.
  • Специалисты: Наличие в штате специалистов с соответствующим образованием и подтвержденной квалификацией (дипломы, удостоверения о повышении квалификации).
  • Проверка знаний: Уровень подготовки специалистов определяется путем проверки знания нормативных актов ФСТЭК России и практических навыков эксплуатации оборудования.

Рекомендуемые документы для изучения:

  • Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» [текст]
  • МЕТОДИЧЕСКИЙ ДОКУМЕНТ «Меры защиты информации в государственных информационных системах» [текст]

3.2. Материально-техническая база

  • Оборудование: Наличие производственного, испытательного и контрольно-измерительного оборудования, прошедшего метрологическую поверку (калибровку) и сертификацию. Оборудование должно обеспечивать проведение измерений параметров технических средств и контроля технических каналов утечки информации в соответствии с методическими документами ФСТЭК.
  • Средства защиты: Наличие сертифицированных средств защиты информации и средств контроля защищенности, необходимых для заявленных работ.
  • Помещения: Наличие помещений, необходимых для выполнения работ, на праве собственности или ином законном основании. Если работы связаны с гостайной, помещения должны быть аттестованы по требованиям безопасности информации.

Полезные ресурсы:

  • Реестр сертифицированных средств защиты информации: сайт ФСТЭК
  • Банк данных угроз безопасности информации ФСТЭК: bdu.fstec.ru
  • СПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ (СТР-К) [текст]

3.3. Нормативная база

  • Наличие комплекта нормативных правовых актов, национальных стандартов и методических документов ФСТЭК России, необходимых для выполнения заявленных работ.
  • Документы, содержащие информацию ограниченного доступа, должны быть получены в установленном порядке.

Порядок обеспечения документами ФСТЭК: официальная страница

Ключевые методические документы:

  • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» [текст]
  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» [текст]
  • «Методика оценки угроз безопасности информации» (утв. ФСТЭК России 05.02.2021) [текст]

3.4. Режимно-секретное обеспечение

  • Наличие лицензии на проведение работ, связанных с использованием сведений, составляющих государственную тайну (часто является сопутствующим требованием).
  • Наличие собственного режимно-секретного подразделения (РСП) или договора с организацией, имеющей РСП, на обслуживание секретного делопроизводства.

4. Пошаговая процедура получения лицензии

Процесс лицензирования регламентирован Постановлением № 333 и включает следующие этапы:

Шаг 1. Подготовка документов

Соискатель формирует пакет документов, включающий:

  • Заявление о выдаче лицензии (с указанием видов работ, адресов, сведений о допуске руководителя к гостайне).
  • Копии учредительных документов.
  • Копии правоустанавливающих документов на недвижимость (или сведения из ЕГРН).
  • Копии документов, подтверждающих квалификацию специалистов (дипломы, удостоверения).
  • Документы на оборудование (паспорта, свидетельства о поверке).
  • Договор об оказании услуг подразделением по защите гостайны другой организации (если своего РСП нет).

Важно: Согласно Информационному сообщению ФСТЭК от 26.03.2015 № 240/13/1140, заявление и документы подаются в ФСТЭК России по адресу: ул. Старая Басманная, д. 17, Москва, 105066.

Шаг 2. Подача заявления

Заявление подается в Федеральную службу по техническому и экспортному контролю (ФСТЭК России) или ее территориальные органы.

  • Форма подачи: Для лицензий, связанных с гостайной и ПТИ, документы подаются на бумажном носителе или направляются заказным почтовым отправлением с уведомлением о вручении. Подача через портал госуслуг для данных видов деятельности не предусмотрена.
  • Госпошлина: Уплачивается до подачи документов. Согласно подп. 92 п. 1 ст. 333.33 НК РФ, размер пошлины за выдачу лицензии составляет 7 500 рублей. Актуальные реквизиты размещены на официальном сайте ФСТЭК.

Шаг 3. Специальная экспертиза

Это ключевой этап. Лицензирующий орган организует проведение специальной экспертизы предприятия.

  • Кто проводит: Аттестационные центры, имеющие соответствующую лицензию, или органы ФСТЭК.
  • Основание: Решение ФСТЭК России о проведении экспертизы.
  • Договор: Экспертиза проводится на основе договора между заявителем и аттестационным центром.
  • Расходы: Относятся на счет предприятия-заявителя.
  • Что проверяется: Соответствие помещений, оборудования, персонала и документации лицензионным требованиям.

Нормативная база для экспертизы:

  • Приказ ФСТЭК России от 14.10.2016 № 147 «Об утверждении перечня правовых актов… содержащих обязательные требования…» [текст]
  • Положение по аттестации объектов информатизации по требованиям безопасности информации [текст]

Шаг 4. Принятие решения

  • Срок: Решение о выдаче или отказе принимается в течение 30 дней со дня получения заявления. При необходимости дополнительной экспертизы — в 15-дневный срок после получения заключения, но не позднее 60 дней со дня подачи заявления.
  • Результат: Выдача лицензии (срок действия до 5 лет) или письменное уведомление об отказе с указанием причин.

5. Срок действия и продление

  • Срок действия: Лицензия выдается на срок не более 5 лет. По просьбе заявителя может быть выдана на меньший срок.
  • Продление: Производится в порядке, установленном для получения новой лицензии (требуется повторная проверка соответствия требованиям).
  • Переоформление: При изменении наименования, адреса, реорганизации или изменении видов работ лицензиат обязан в 15-дневный срок подать заявление о переоформлении. До переоформления деятельность можно осуществлять не более 60 дней на основании старой лицензии.

6. Лицензионный контроль и ответственность

После получения лицензии предприятие попадает в сферу лицензионного контроля ФСТЭК России.

  • Проверки: ФСТЭК проводит мероприятия по контролю за соблюдением лицензионных требований. Перечень правовых актов, содержащих обязательные требования, утвержден Приказом ФСТЭК России от 14.10.2016 № 147 [текст].
  • Приостановление и аннулирование: Лицензия может быть приостановлена или аннулирована в случае:
    • Выявления недостоверных данных в документах.
    • Нарушения лицензионных условий.
    • Невыполнения предписаний государственных органов.
    • Ликвидации предприятия.
  • Ответственность: Руководители и должностные лица несут ответственность за нарушение положения о лицензировании в соответствии с законодательством РФ.

Дополнительные нормативные акты, влияющие на контроль:

  • Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [текст]
  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [текст]

7. Типичные ошибки соискателей

Анализ информационной практики ФСТЭК выявляет следующие частые причины отказа или задержек:

  1. Неполный комплект документов: Отсутствие копий документов на оборудование, подтверждений поверки или квалификационных документов сотрудников.
  2. Недостоверные сведения: Расхождение данных в заявлении с учредительными документами или данными ЕГРН.
  3. Отсутствие специальной экспертизы: Попытка получить лицензию без прохождения обязательной процедуры специальной экспертизы предприятия.
  4. Неправильный выбор вида деятельности: Путаница между лицензией по Постановлению № 333 (гостайна) и № 79 (конфиденциальная информация).
  5. Некорректное оформление заявления: Нарушение требований к структуре и содержанию заявления, указанных в Информационном сообщении ФСТЭК от 26.03.2015 № 240/13/1140.

8. Рекомендации к действию

  1. Проведите аудит: Перед подачей заявления проверьте соответствие материально-технической базы и квалификации сотрудников требованиям Постановления № 333.
  2. Выберите аттестационный центр: Заранее ознакомьтесь с перечнем организаций, уполномоченных проводить специальную экспертизу.
  3. Актуализируйте нормативную базу: Проверьте актуальность нормативных документов и методических указаний ФСТЭК на официальном сайте ведомства, так как требования могут меняться.
  4. Используйте Банк данных угроз: При разработке мер защиты рекомендуется обращаться к Банку данных угроз безопасности информации ФСТЭК для актуализации модели угроз.
  5. Соблюдайте сроки: Подавайте заявление на переоформление или продление заблаговременно, учитывая сроки проведения экспертиз (до 60 дней).
  6. Консультируйтесь официально: Используйте официальные каналы связи ФСТЭК России для уточнения текущих требований. Телефоны управлений по федеральным округам публикуются в Информационных сообщениях ведомства.

9. Полезные ресурсы и ссылки

Документ / РесурсСсылка
Официальный сайт ФСТЭК Россииfstec.ru
Постановление Правительства РФ от 15.04.1995 № 333текст на сайте ФСТЭК
Постановление Правительства РФ от 03.02.2012 № 79текст на сайте ФСТЭК
Информационное сообщение ФСТЭК от 26.03.2015 № 240/13/1140текст на сайте ФСТЭК
Приказ ФСТЭК России от 14.10.2016 № 147текст на сайте ФСТЭК
Банк данных угроз ФСТЭКbdu.fstec.ru/threat
Порядок обеспечения документами ФСТЭКстраница на сайте ФСТЭК
Закон РФ «О государственной тайне»текст на Гарант.ру
ФЗ «О лицензировании отдельных видов деятельности»текст на Консультант.ру

Заключение

Лицензирование деятельности по противодействию иностранным техническим разведкам — это сложный регуляторный процесс, требующий высокой степени готовности предприятия. Соблюдение требований Постановления Правительства РФ № 333, качественная подготовка к специальной экспертизе и поддержание актуальности лицензионных требований являются залогом успешного получения и сохранения лицензии.