Как получить лицензию ФСТЭК?

Чтобы получить лицензию ФСТЭК, необходимо подготовить обширный пакет документов, а также выполнить ряд требований. Это связано с временными и финансовыми затратами. Что следует принять во внимание, чтобы лицензирование прошло максимально безболезненно и эффективно?

Какие документы требуются для получения лицензии ФСТЭК?

Процесс лицензирования деятельности по технической защите конфиденциальной информации подробно описан в Постановлении Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации». В документе детально указано, какие документы в каком виде и порядке требуется представлять лицензирующему органу (ЛО).

На бумаге все выглядит достаточно просто.

1. Юридическое лицо подает полностью сформированное заявление в соответствии с требованиями Постановления № 79.
2. В течение трех дней лицензирующий орган должен его рассмотреть и сообщить, какие ошибки есть в заявлении или каких документов не хватает. Если у ЛО есть замечания, то заявитель должен в течение 30 дней их устранить.
3. Если заявление оформлено верно, то в течение пяти дней, начиная со дня принятия заявления, ЛО проводит проверку полноты самих дополняющих документов, а это примерно 200–300 страниц.
4. При недостатке дополняющих документов в приеме заявления отказывают до устранения нарушений. На это у юридического лица есть 30 дней.
5. Признав пакет документов полным, ЛО должен в течение 45 рабочих дней принять решение о выдаче лицензии либо об отказе в ее выдаче.

Однако в реальности все сложнее. Лицензирующий орган всего один, и находится он в Москве, рассмотрением заявлений занимаются несколько человек, а число организаций, желающих получить лицензию, растет с каждым годом. Все это означает, что в считанные дни и даже недели провести лицензирование практически невозможно. Кроме того, по некоторым видам услуг один только перечень правовых актов, которые должны быть приложены к заявлению, может состоять из 15 страниц.

К заявлению необходимо приложить:

• документы на автоматизированные системы, на защищаемое помещение, на право законного обладания помещением, техникой, программным обеспечением либо о том, что они взяты в аренду (с подтверждением факта передачи);
• документы на допуски к тайне (к конфиденциальной информации, доступ к которой ограничен);
• копии трудовых книжек и договоров подряда;
• документы на правообладание оборудованием, на поверочные работы, подтверждающие факт сертификации этого оборудования и ПО, и т.д.

Те, кто впервые получает лицензию, должны представить устав организации и приказ о назначении руководителя. Все соискатели обязаны приложить документы на приобретение ГОСТов по перечню, составленному ЛО.

Камни преткновения

Во время работ по лицензированию организации сталкиваются с тремя основными сложностями:

1. Оборудование. Для аттестации помещений и автоматизированных систем необходимо закупить оборудование. На конец 2014 года его стоимость составляла около миллиона рублей. И если начать работы по лицензированию с покупки оборудования, то к моменту подачи заявления может оказаться так, что его придется заново поверять (сертификаты о поверке действительны 1 год). Можно попытаться сэкономить, и взять оборудование в аренду, но она должна быть специальным образом оформлена. Требуется периодически подтверждать владение оборудованием, заключать дополнительные соглашения к договорам аренды о том, что оборудование находится именно у арендатора. Минус варианта с арендой в том, что он снижает шансы на получение лицензии — велика вероятность оформить отношения неверно.
2. Аренда помещений. Если соискатель лицензии арендует помещение у субарендатора, то необходимо представлять всю цепочку документов, вплоть до владельца помещения. Также необходимо следить за тем, чтобы фактические номера помещений совпадали с кадастровыми.
3. Кадровая документация. У сотрудников должны быть дипломы о высшем профессиональном образовании в области технической защиты информации. Сотрудники должны обладать соответствующим опытом и быть устроены у соискателя по основному месту работы.

Лайфхак по успешному лицензированию

Для того чтобы получить лицензию, а затем успешно проходить плановые проверки ФСТЭК на соблюдение требований, предлагаем учесть ряд моментов:

• оборудование лучше покупать, а не брать в аренду;
• постоянно следить за изменениями в законодательной базе и поддерживать документацию в актуальном состоянии, в том числе периодически обновлять и докупать ГОСТы;
• своевременно обновлять антивирусы и лицензии на контрольно-измерительное программное обеспечение и оборудование;
• вовремя проводить переаттестацию помещений, поскольку аттестат действителен максимум три года.

Первичное получение лицензии и плановая проверка: отличия

Когда соискатель впервые получает лицензию, то связь с лицензирующим органом дистанционная: стороны обмениваются документами и общаются по телефону. Никаких личных визитов контролирующие органы соискателю не наносят.

Плановая проверка может проводиться через три года после получения организацией лицензии. В этом случае представители ФСТЭК проверяют, существуют ли в реальности кадры, помещения, оборудование и ПО, которые были заявлены при получении лицензии. В том числе проводится проверка знаний и компетенций кадров, заявленных в документах на получение лицензии. Проверяющие могут запросить перечень аттестатов, которые выдала аттестующая организация, а также перечень клиентов, которым выданы эти аттестаты. Таким образом контролирующие органы удостоверяются, действительно ли аттестующая организация оказала эти услуги и насколько они качественные.

Возможна также внеплановая проверка, которая проводится в любое время по заявлению граждан, юридических лиц, прокуратуры или по решению суда.

Работы по лицензированию: цена вопроса

С 1 января 2015 года госпошлина за первичное получение лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации составляет 7,5 тысячи рублей, за продление — 3,5 тысячи рублей.

Это неизбежные расходы и наименее затратная часть работ по лицензированию.

В соответствии с требованиями регламента по лицензированию необходимо провести аттестацию и разработку документов по аттестации защищаемого помещения и автоматизированной системы обработки конфиденциальной информации. Эти услуги оказывают специализированные организации, имеющие соответствующие лицензии ФСТЭК, например, компания СКБ Контур.

В спектр наших услуг входят:

1. Первичная консультация. Это своего рода знакомство с организацией-заказчиком с целью понять, для чего требуется получение лицензии, и разъяснить клиенту, что ему даст эта лицензия, какими затратами сопровождается ее получение и сколько вложений потребуется в дальнейшем. В том числе мы сразу сообщаем, каковы шансы организации на успешное лицензирование. Например, у небольшой компании все есть для получения лицензии, кроме сотрудников с определенным стажем работы и соответствующими дипломами.
2. Помощь в аттестации. Мы помогаем аттестовать помещение для переговоров, автоматизированные системы по требованиям безопасности.
3. Консультация по приобретению оборудования и программного обеспечения.
4. Консультация по приобретению нормативно-правовых документов (ГОСТов). Их недостаточно скачать и распечатать, поскольку требуется подтверждать именно правообладание. Большая часть ГОСТов находится в электронном виде в справочно-правовой системе Норматив: там содержится около 70 документов специального назначения, которые обновляются онлайн. В Нормативе можно даже найти ГОСТ от 1966 года, который до сих пор действует.
5. Помощь в согласовании вопросов, связанных с арендой помещения и оборудования с арендодателями.
6. Консультация по правильному оформлению в штат сотрудников, работающих с конфиденциальной информацией.
7. Помощь в заполнении заявления. Заявление выложено на ресурсах ФСТЭК, заполнить его несложно, но нужно выполнить достаточно много условий — своевременно, точно и в полном соответствии с требованиями.

Автор: Никита Ярков