Введение
В текущих реалиях пандемии, когда все отрасли бизнеса подвергаются серьезным испытаниям, руководители компаний задумываются об экономии средств и ресурсов - и в первую очередь под сокращение финансирования попадают такие направления деятельности внутри организации, которые на первый взгляд не приносят прямого явного дохода: в нашем случае - это подразделение информационной безопасности. И пока все силы специалистов ИБ брошены на организацию безопасного удалённого доступа, остальные проекты или замораживаются на неопределенный срок или от них отказываются вовсе.
В этой статье мы расскажем, из каких шагов состоит лицензирование деятельности по технической защите конфиденциальной информации и по разработке и производству средств защиты конфиденциальной информации.
Стоит отметить, что рынок насыщен предложениями консалтинговых услуг в части помощи получения указанных лицензий, однако зачастую качество таких услуг не соответствует их стоимости, а исполнители не дают никаких гарантий.
Изучение приведенного ниже материала поможет вам не только выбрать добросовестного поставщика услуг и оценить адекватность предлагаемой цены и сроков, но и решить, какие пункты вы в целях экономии можете реализовать самостоятельно, а что всё же необходимо отдать на аутсорс.
Кому необходимы лицензии
В соответствии с Федеральным законом «О лицензировании отдельных видов деятельности» № 99-ФЗ от 04.05.11г. деятельность, связанная с разработкой и производством средств защиты конфиденциальной информации (СЗИ), а также технической защитой конфиденциальной информации (ТЗКИ) подлежит лицензированию. Соответственно, юридические лица и индивидуальные предприниматели, оказывающие услуги и работы в рамках ТЗКИ и занимающиеся разработкой и производством СЗИ, должны быть лицензированы на соответствие законодательству РФ*.
Рекомендуем вам ознакомиться с перечнем работ и услуг, перечисленных в Постановлении Правительства РФ «О лицензировании деятельности по технической защите конфиденциальной информации» № 79 от 03.02.12г. и в Постановлении Правительства РФ «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» № 171 от 03.03.12г. Если нынешние или планируемые к внедрению направления деятельности вашей компании попадают под указанные перечни - необходимо приступить к получению (актуализации) лицензий.
Также лицензия на разработку и производство СЗИ необходима в случае, если вы планируете проводить сертификацию таких средств по требованиям ИБ..
Обратите внимание, что вам не нужно получать лицензию по ТЗКИ, если ваша компания планирует осуществлять защиту конфиденциальной информации только для собственных нужд.
Однако, хотим обратить ваше внимание, что если вы планируете оказывать услуги по защите информации для своих дочерних компаний и/или компаний группы (в т.ч. мониторинг ИБ, построение SOC, сдача в аренду центра обработки данных (ЦОД) - вам также в обязательном порядке необходима лицензия на ТЗКИ: т.к. ваши дочерние компании и/или компаний группы являются отдельными (по отношению к вам) юридическими лицами и с точки зрения регулятора вы оказываете им платные услуги.
Наказание за осуществление лицензируемого вида деятельности без оформления необходимых лицензий весьма суровое - штрафа и приостановление деятельности на срок до 90 суток. _____________________________
*В данной статье не рассматриваются вопросы связанные с разработкой и производством шифровальных (криптографических) средств (СКЗИ), а также вопросы связанные с работами и услугами в сфере защиты государственной тайны.
Регулятор в области лицензирования
Выдачу и контроль за соблюдением лицензионных требований в данной области осуществляет регулятор - Федеральная служба по техническому и экспортному контролю (ФСТЭК России) - федеральный орган исполнительной власти России, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности.
Алгоритм действий
Итак, давайте подробнее разберем шаги, позволяющие вам успешно стать лицензиатом ФСТЭК России.
Шаг 0. Назначение ответственных.
Как правило, ответственным назначают работника отдела ИБ, реже ИТ, но зачастую и юриста. Мы рекомендуем назначить ответственным работника ИБ (назовём его руководителем проекта - РП), но обязательно издать приказ по компании о старте работ и об обязанности всех подразделений содействовать ему в данных работах.
Результаты работ по каждому шагу, а также появляющиеся в процессе работ изменения и дополнения, необходимо фиксировать в протоколах и утверждать у РП и руководителя организации.
Итак, РП необходимо выполнить:
Шаг 1. Изучение требований.
Изучение документации, регулирующей получение лицензий, актуальные версии которой можно скачать с официального сайта ФСТЭК России.
Для ТЗКИ:
- Постановление Правительства РФ «О лицензировании деятельности по технической защите конфиденциальной информации» № 79 от 03.02.12г. (79-ПП);
- Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации №79 от 3.02.12 г. (Перечень 1.1);
- Перечень технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и оказания услуг, установленных положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации №79 от 3.02.12 г. (Перечень 1.2);
- Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации № 134 от 17.07.17г.;
Для разработки и производства СЗИ:
- Постановление Правительства РФ «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» № 171 от 3.03.12г. (171-ПП);
- Перечень контрольно-измерительного и испытательного оборудования, программных (программно-технических) средств, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации № 171 от 3.03.12г. (Перечень 2.1);
- Перечень технической и технологической документации, национальных стандартов и методических документов, необходимых для выполнения видов работ, установленных Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации № 171 от 3.03.12г. (Перечень 2.2);
- Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации № 133 от 17.07.17г.
Шаг 2. Определение перечня работ и услуг.
На данном этапе необходимо чётко сформулировать, чего хочет компания: зачастую добавление в уже оформленную лицензию «забытых» видов услуг требует такого же цикла работ, как и получении лицензии заново. Подумайте и обсудите совместно с руководством компании, что необходимо сейчас и в перспективе: возможно, это построение SOC и предоставление услуг по мониторингу, построение систем защиты конфиденциальной информации (КИ), систем защиты персональных данных (ПДн) и систем защиты государственных информационных система (ГИС), аттестация объектов информатизации или же компания хочет производить средства защиты информации, направленные на защиту указанной выше информации.
Выбирать работы и услуги необходимо из перечня, данного в 79-ПП, а в случае выбора разработки и производства СЗИ - определиться также с классами СЗИ на основании 171-ПП.
Шаг 3. Расчёт стоимости внутреннего проекта.
На данном этапе мы рекомендуем РП расписать этапность работ и трудозатраты на их выполнение (не забудьте включить в них ваши часы, уже потраченные на изучение требований по лицензированию). Определитесь с исполнителями, которые понадобятся в помощь к РП (пока выбирайте из своих работников, а позже сможете принять решение, кого будет «дешевле» нанять у сторонней организации, осуществляющей консалтинг в этой области) и их ролями.
Этапность работ и, соответственно, статьи расходов могут быть следующими:
- Изучение требований по лицензированию (см. Шаг 1);
- Выбор лицензируемых работ и услуг (см. Шаг 2);
- Выбор защищаемого помещения (ЗП), удовлетворяющего требованиям по лицензированию;
- Поиск персонала, удовлетворяющего требованиям по лицензированию (см. 79-ПП. 171-ПП);
- Обучение персонала при необходимости: профессиональная переподготовка или повышение квалификации (программа курсов должна быть одобрена регулятором);
- Закупка сертифицированного контрольно-измерительного оборудования (КИО), средств защиты информации, СКЗИ, средств контроля защищенности (СКЗ) (см. Перечень 1.1 и 2.1);
- Закупка нормативно-методической документации (НМД) (см. Перечень 1.2 и 2.2) и покупка доступа к базе законодательства РФ (Консультант, Гарант или аналогичные);
- Закупка автоматизированного рабочего места (АРМ) и лицензионного программного обеспечения (ПО);
- Аттестация АРМ и ЗП;
- Создание системы менеджмента качества (СМК);
- Оплата государственной пошлины;
- Финальный сбор пакета документов в т.ч. заполнение заявлений, реестров и описей;
- Ожидание 45 дней с даты подачи пакета в ФСТЭК России;
- Ответ на замечания ФСТЭК России при необходимости.
В среднем, с момента принятия решения о необходимости получения (актуализации) лицензий и до подачи пакета документов в ФСТЭК России проходит от 6 месяцев.
Стоит иметь в виду, что некоторые этапы, например, поиск персонала и помещения могут затянуться на неопределённый срок, профессиональная переподготовка с обязательным получением документа об образовании государственного образца занимает несколько месяцев, поставка НМД и КИО может занять до 2-х месяцев, а некоторые лицензируемые работы и услуги по ТЗКИ, например, мониторинг ИБ требуют дополнительного проектирования и внедрения весьма дорогостоящих комплексов защиты информации.
Именно после расчёта стоимости внутреннего проекта, оценки своих возможностей и загрузки по иным проектам, можно поднять вопрос о поиске компании-консультанта: обратите внимание, что такая компания сама должна быть лицензиатом ФСТЭК в части ТЗКИ.
Шаг 4. Планирование сроков.
На данном этапе РП необходимо составить календарный план, исходя из перечисленных выше работ, согласовать и утвердить его с руководителем компании, а также интегрировать в него план сторонней организации в случае, если ей будет передана часть работ.
Шаг 5. Проведение работ.
Итак, компания определилась с видами работ и услуг и/или с разработкой и производством необходимых СЗИ, ответственные назначены и бюджет согласован. Можно приступать к основным работам.
Одним из основных требований является наличие у заявителя помещения, где будет осуществляться лицензионная деятельность, защищаемого помещения для обсуждения КИ и автоматизированной системы для обработки КИ. Забегая вперед, скажем, что все требования являются главными, но есть требования наиболее приоритетные. Это связано с ответственностью за нарушение несоблюдения данных требований, ведь грубым нарушением при подаче документов для оформления лицензий будет являться несоблюдение тех самых приоритетных требований.
Указанные ЗП и АС должны быть аттестованы организацией - лицензиатом ФСТЭК России и иметь аттестаты соответствия требованиям безопасности, предъявляемых регулятором и законодательством в области защиты информации в РФ.
Здесь стоит обратить внимание на следующие важные моменты:
- Помещение для осуществления лицензируемой деятельности, ЗП и помещение в котором располагается АС, должны принадлежать заявителю на праве собственности или другом законном основании. Чаще всего это договор аренды. Договор аренды должен быть с «автоматической» пролонгацией. Арендуемые помещения должны находится в собственности у арендодателя и быть без обременения. Данные аспекты должны быть отражены в договоре;
- Технические средства для АС должны быть закуплены заявителем и иметь этому подтверждение в виде финансовых документов;
- СЗИ, используемые для защиты ЗП (при необходимости) и АС, должны также принадлежать заявителя на законном основании.
Следующим главным требованиям является наличие соответствующих сотрудников. Основные требования, предъявляемые к сотрудникам прописаны в 79-ПП и 171-ПП. Сотрудники должны числиться в штате компании по основному месту работы и иметь документы об образовании государственного образца. В случае прохождения дополнительных курсов повышения квалификации в учебных заведениях, учебные программы таких курсов должны быть согласованы с ФСТЭК России.
Наличие программного обеспечения и контрольно-измерительного и испытательного оборудования (КИО) является также главным требование для будущего лицензиата.
Скачать перечни оборудования для лицензий можно с официального сайта ФСТЭК России.
В данных перечнях подробно описаны, какие КИО и ПО должны быть в наличии под те или иные задачи в рамках лицензирования. Стоит отметить, что все измерительное оборудование из данных перечней должно быть поверено специальным аккредитованным центром и иметь свидетельства о поверке и калибровке. В дальнейшем, поверку нужно осуществлять раз в год в зависимости от срока действия поверочного свидетельства.
Без национальных стандартов, нормативно-методических документов, указанных в перечнях, лицензию не получить. Здесь также есть несколько нюансов:
- Для подтверждения наличия открытой литературы необходимо наличие электронной справочной правовой системы. Подтверждение наличия такой системы будет являться договор на предоставления справочной системы;
- Нормативно-методические документы ФСТЭК России с пометкой «Для служебного пользования» («ДСП») необходимо заказать в ЦФО ФСТЭК России, написав письмо-запрос и указав в письме необходимость документов, а также, что в компании заявителе соблюдены все условия для хранения данных документов. Требования к хранению и обращению с документами с пометкой «ДСП» описаны в Постановление Правительства РФ «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности» № 1233 от 03.11.94г. После этого необходимо оплатить счет на изготовление документов и дождаться их получения;
- Государственные стандарты с пометкой «ДСП» необходимо заказать в ФГУП «СТАНДАРТИНФОРМ» по аналогии с документами ФСТЭК России.
Отдельно стоит отметить необходимость наличия системы производственного контроля как для разработки, так и для производства СЗИ. Решением для соблюдения данного требования будет наличие системы менеджмента качества (СМК). Необходимо разработать комплект документов и внедрить СМК в компании. Проходить сертификацию на соответствие ISO 9001 необходимости нет.
Шаг 6. Формирование комплекта документов.
После проведения всех необходимых работ можно приступать к формированию финального комплекта документов (сканирование оригиналов и заполнение заявлений, перечней и описей), который удобно разделить на группы. Например, мы делим на:
● Заявления, перечни, описи (оригиналы);
● Учредительные документы (копии);
● Квитанции об оплате государственной пошлины (оригиналы);
● Сведения о работниках (копии);
● Сведения о ЗП (копии);
● Аттестационные документы на АС и ЗП (копии);
● Сведения о наличии НМД (копии);
● Накладные на АРМ и ПО, входящие в состав АС (копии);
● Накладные, формуляры, сертификаты на КИО, СЗИ, СКЗИ, СКЗ (копии);
● Сведения о системе менеджмента качества (копии).
Затем остаётся распечатать все копии, сшить, приложить оригиналы, заверить всё у руководителя организации и направить заказным письмом с уведомлением о вручении (или отвезти лично) в ФСТЭК России. Через несколько дней позвонить им и узнать присвоенный входящих номер вашего пакета. После чего останется подождать указанные в административных регламентах сроки - 45 дней (только не уточняется рабочих или календарных...), а затем позвонить и узнать судьбу вашего заявления: при получении замечаний - исправить их в установленные сроки и, наконец, получить заветные бланки лицензий!
Ответственность после получения лицензий
Говоря о деятельности в области ТЗКИ и разработки и производства СЗИ, нельзя не упомянуть об ответственности за нарушение лицензионных требований. В случае грубых нарушений требований и предоставление ненадлежащих работ и услуг компанией лицензиатом, ФСТЭК вправе назначить внеплановую проверку, приостановить действие лицензии и аннулировать ее. А также лицензиат может быть привлечен к административной ответственности.
Под грубым нарушением лицензионных требований понимается невыполнение лицензиатом требований, предусмотренных подпунктами «а», «в» и «г» пункта 6 79-ПП и подпунктами «а» и «в» - «е» пункта 6 и подпунктами «а», «б», «ж» - «и» пункта 7 171-ПП.
Выводы
Подводя итоги, мы бы хотели ещё раз акцентировать внимание на самом важном:
- Тщательно подойдите к выбору работ и услуг, на которые оформляются лицензии;
- Оцените состав и стоимость работ по оформлению и примите решение, чьими силами они будут выполняться;
- При выборе компании-консультанта ищите среди знакомых или крупных с успешным опытом проведения аналогичных работ. До заключения договора запросите план предоставления необходимых вам услуг, трудозатраты и ставки привлекаемых специалистов. Уточните, с какими сложностями они сталкивались и как их решали;
- Составьте календарный план работ;
- Все изменения и дополнения фиксируйте протоколами;
- Будьте готовы к тому, что работы займут не менее 6 месяцев (оптимистичный прогноз при условии, что вам не придётся строить систему мониторинга ИБ или иные аналогичные комплексы по защите информации);
- При получении бланков лицензий (во избежание мошенничества со стороны недобросовестных конкурентов) не размещайте их копии в интернете: достаточно будет только текстового эквивалента с номерами лицензий, датой выдачи и перечнем работ и услуг.
Авторы: Евгений Воробьев, Тутова Елизавета - Старшие консультанты по информационной безопасности компании АО «Кросс технолоджис».
АО «Кросс технолоджис», являясь лицензиатом ФСТЭК России, осуществляет системную интеграцию в области ИТ и ИБ, разрабатывает комплексные решения по автоматизации технологических и бизнес-процессов, включая проектирование ЦОДов, сетей передачи данных, информационно-вычислительных комплексов, а также предлагает услуги по контролю и защите конфиденциальной информации.
Мы готовы сделать проект «под ключ» или взять на себя часть работ: наши консультанты имеют обширный опыт в получении лицензий ФСТЭК и ФСБ в банках и интеграторах, в том числе в подготовке к лицензированию: помощь по выбору работ и услуг, расчёт трудозатрат и стоимости проекта, построение систем мониторинга ИБ, аттестация рабочих мест и помещений.
АО «Кросс технолоджис»
Адрес: 125284, Москва, Ленинградский пр-т., 31А, стр.1.