Деятельность по технической защите конфиденциальной информации призвана обеспечить охрану государственной и коммерческой тайны от утечек и незаконного распространения. В современной ситуации, когда программное обеспечение имеет незадекларированные возможности, а оборудование иностранного производства – технические закладки, деятельность по защите требует высокого уровня компетенции, что побуждает к ее лицензированию. Получить разрешение могут и компания, и индивидуальный предприниматель при условии соответствия предъявляемым требованиям. 

Полномочия ФСТЭК в сфере лицензирования

Федеральная служба выполняет задачи по лицензированию деятельности по технической защите конфиденциальной информации, по разработке технических средств защиты данных, их установке и монтажу. В работе ведомство опирается на ряд методик, содержащих современные стандарты защиты данных международного класса. 

Деятельность службы, связанная с обеспечением защиты данных путем оптимизации работы с разрешениями, включает следующие функции:

• выдача разрешений (в региональных подразделениях и МФЦ);
• переоформление документов, например, в связи со сменой наименования компании;
• приостановление лицензии, если ее владелец существенно нарушил требования (применяется как форма административного наказания);
• прекращение или аннулирование лицензии;
• контроль за качеством соблюдения требований к владельцам разрешений;
• ведение реестра лицензий и предоставление заинтересованным лицам выписок из него.

Многие участники рынка считают, что получить лицензию ФСТЭК без помощи консультантов невозможно. Служба в рамках своей компетенции выпустила разъяснения о желательности самостоятельной подготовки документов и о готовности оказать методологическую поддержку в этом. В разъяснении ФСТЭК было уточнено: никто не может предоставлять гарантии того, что разрешение на разработку технических средств защиты информации будет получено.

Условия получения лицензии

Для выхода на рынок разработки средств защиты информации организация должна понести серьезные расходы. Положение о выдаче лицензий содержит требования, которым должна соответствовать компания, чтобы стать полноправным участником рынка технической защиты информации. Соблюдение таких требований доказывается предоставлением пакета документов, в подготовке которого ФСТЭК может оказать содействие. 

Разработка средств защиты конфиденциальной информации требует наличия высококвалифицированных специалистов. Они должны иметь высшее или среднее профессиональное образование в области разработки средств защиты информации, желательно по аккредитованным ФСТЭК программам. В случае необходимости ведомство может обеспечить профессиональную переподготовку.

Вторым требованием является наличие помещений, защищенных согласно регламентам ведомства, в которых может производиться деятельность по разработке технических средств. Помещения должны быть аттестованы, аттестаты прилагаются к заявлению на выдачу лицензии. 

Кроме этого, необходимо присутствие на праве собственности или аренды производственного, испытательного и контрольно-измерительного оборудования, обязательно прошедшего метрологическую поверку. 

В автоматизированных системах, обеспечивающих защиту информации, связанной с деятельностью компании, должно быть установлено программное обеспечение, прошедшее сертификацию и аттестацию как признанное ведомством средство защиты данных. Программное обеспечение, используемое в ИС, должно быть лицензионным, компания должна быть готова предъявить договор с правообладателем. 

Важным требованием является наличие регламентов и внутренних документов, обеспечивающих деятельность персонала при разработке средств защиты. Эти документы должны регламентировать разграничение доступа к данным, сохранность носителей информации, определять ответственное лицо за обеспечение информационной безопасности, политику защиты конфиденциальности. 

DLP-система «СёрчИнформ КИБ» и система «СёрчИнформ SIEM» имеют сертификаты соответствия требованиям ФСТЭК РФ. Убедиться.

Процедура выдачи лицензии

Процесс выдачи разрешения является государственной услугой, он жестко регламентируется со стороны сроков и возможностей для отказа или приостановления рассмотрения заявления. 

Перечень документов, которые прилагаются к заявлению:

• сертификаты, аттестаты, свидетельства о собственности, подтверждающие соответствие деятельности компании требованиям ведомства;
• учредительные документы компании;
• подтверждение уплаты госпошлины.

Перед направлением заявления можно проконсультироваться со специалистом ведомства, он разрешит вопросы, связанные с комплектацией или оформлением документов. Направленный пакет регистрируется, ему присваивается входящий номер, по которому можно отследить судьбу заявления. В течение трех дней после его поступления для решения судьбы лицензиата назначается ответственный исполнитель. Ему дается пять дней на проверку полноты пакета документов и на постановку уточняющих вопросов.  

Полнота данных проверяется с точки зрения наличия всех требуемых документов и правильности их оформления. Для проверки достоверности специалист запрашивает информацию из всех ведомств и учреждений, которые оформляли представленные документы. Если выявлены недочеты, в течение 15 дней с окончания проверки компании высылается предписание с просьбой об их устранении. Всего на рассмотрение направленного пакта отведено 45 дней, по окончании которых ведомство принимает решение о выдаче лицензии или об отказе в ее предоставлении. После принятия положительного решения проект приказа о выдаче лицензии проходит правовую экспертизу, по ее завершении издается приказ и данные о новой лицензии вносятся в реестр.

Не всегда компании справляются с возлагаемыми на них задачами, и в критических случаях происходит прекращение действия лицензии, временное или постоянное. ФСТЭК жестко контролирует соблюдение лицензионных требований, регулярно проводя проверки. Как аннулирование, так и приостановление лицензии может быть обжаловано в суде при наличии достаточных оснований. 

27.03.2020