Лицензия ФСТЭК

Особенности лицензирования ФСТЭК

Почти каждая область деятельности нуждается в защите информации от:

• утечки по техническим каналам;
• несанкционированного доступа;
• уничтожения, блокировки, искажения с помощью специальных воздействий.

Информация – ценнейший ресурс, который нужно оберегать. Безопасность данных обеспечивается программным обеспечением, техническими методами и средствами. Юридические требования, касающиеся необходимости защищать данные, прописаны в ФЗ-152, а технические условия устанавливает и контролирует ФСТЭК. При этом ведомство выдает разрешение только на такие средства защиты, в которых не используются криптографические методы шифрования. Для разработки программного обеспечения с криптографией предусмотрено оформление лицензии ФСБ.

Если компания осуществляет только обработку персональных данных или разрабатывает ПО, не связанное с защитой информации, лицензия от ФСТЭК не нужна.

Виды лицензий ФСТЭК

1. Если организация оказывает услуги по хранению персональных данных других юридических лиц, занимается установкой и настройкой оборудования и компьютерных программ для защиты конфиденциальной информации, необходима лицензия ФСТЭК ТЗКИ. Выданная в установленном порядке, эта лицензия разрешает, например, организовать защищенную информационную структуру или построить защищенное облачное хранилище.
2. Второй вид лицензии по защите конфиденциальной информации распространяется на деятельность по разработке и производству программно-технических средств защиты и обработки данных, а также средств контроля защищенности информации.

Существует еще одно разрешение, выдача которого находится в ведении органов технического и экспортного контроля – лицензия ФСТЭК на экспорт с территории РФ товаров и технологий двойного назначения.

Кому нужна лицензия на ТЗКИ?

Документ необходим IT-компаниям, которые занимаются:

• разработкой антивирусов, защитных программных комплексов, межсетевых экранов, других технических средств и ПО для защиты информации;
• оказывают техническую поддержку другим организациям и учреждениям, нуждающимся в безопасном хранении конфиденциальной информации на серверах и в защищенных IT-инфраструктурах.

Согласно Постановлению № 79, лицензированию подлежит деятельность по контролю защищенности данных от утечки по техническим каналам:

• в системах (средствах) информатизации;
• в системах (средствах), размещенных в помещениях, где обрабатывается конфиденциальный информационный ресурс;
• в помещениях, где размещаются защищаемые системы (средства) или проводятся конфиденциальные переговоры.

Кроме того, в числе услуг, для оказания которых нужно обратиться в ФСТЭК для лицензирования по технической защите информации:

• контроль защищенности КИ от несанкционированного доступа и модификации;
• мониторинг информационной безопасности систем и средств информатизации;
• аттестация помещений по требованиям безопасности информации, а также средств и систем информатизации;
• установка, монтаж, испытания, наладка, ремонт технических и программных средств защиты КИ и средств контроля эффективности защиты данных.

Самая часто запрашиваемая услуга лицензированных IT-компаний – хранение персональных данных сотрудников и клиентов других организаций. Если у разработчика ПО или облачного провайдера имеется лицензия ФСТЭК, заказчики будут ограждены от риска утечки данных.

Лицензионные требования

Чтобы стать обладателем лицензии на информационную безопасность, претендент должен выполнить ряд условий.

1. Первое требование – наличие у специалистов профильного образования и регулярное (каждые 5 лет) повышение квалификации. Восполнить пробелы в этом вопросе поможет учебный центр «ЕЦОП», работа которого регламентирована действующей образовательной лицензией. На базе нашего центра проводится профпереподготовка по информационной безопасности с выдачей диплома установленного образца, а также курсы повышения квалификации, подтверждаемые удостоверением. Документы о дополнительном профессиональном образовании регистрируются в ФИС ФРДО.

Помимо квалификационных требований Положением о лицензировании деятельности по ТЗКИ установлены требования к минимальной численности отдельных категорий работников и стажу их работы в профильной сфере.

2. Соискатель должен подтвердить, что у него в собственности или на другом законном основании имеется нежилое помещение, где можно разместить работников, производственное оборудование и технический инвентарь, а также проводить обсуждения информации ограниченного доступа.
3. Для выполнения заявляемых видов работ, услуг обязательно наличие оборудования, поверенных (калиброванных) измерительных приборов и сертифицированных программных средств.

Если оборудование не укомплектовано или отсутствует нужное техническое средство защиты КИ, эксперты «ЕЦОП» составят ведомость недостающего оборудования и помогут его закупить.

4. По месту осуществления деятельности должно быть подтверждено наличие автоматизированных систем для обработки КИ и аттестованных (сертифицированных) средств защиты КИ.
5. Нужно подготовить техническую и технологическую документальную базу для работы: методики, национальные стандарты и т.д.
6. Должна быть проведена аттестация помещений и аттестация АРМ (автоматизированных рабочих мест). Организовать и документально оформить результаты аттестационных мероприятий помогут юристы «ЕЦОП».

Консалтинговые услуги компании «ЕЦОП» включают полный перечень действий, направленных на получение лицензии ФСТЭК. Мы проведем экспертизу документации, выявим несоответствие лицензионным требованиям и устраним их, чтобы при рассмотрении заявления о предоставлении лицензии у инспектора не было причин для отказа.