Лицензирование по ТЗКИ (ФСТЭК)

В связи с тем, что для участия в ряде государственных тендеров все чаще встречается требование о наличии лицензии по технической защите конфиденциальной информации (ТЗКИ), многие организации стали заявляться на получение этой лицензии и, соответственно, сталкиваться со множеством трудностей, связанных с ее получением.

Лицензирование деятельности по ТЗКИ осуществляется на основании Постановления Правительства РФ № 79 от 3 февраля 2012 года «О Лицензировании деятельности по технической защите конфиденциальной информации». Постановление утверждает положение о лицензировании деятельности по ТЗКИ.

C 2016 года в лицензию по ТЗКИ Постановлением Правительства Российской Федерации от 15.06.2016 № 541 внесены существенные изменения.

При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг:

1. Услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:

  • в средствах и системах информатизации;
  • в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
  • в помещениях со средствами (системами), подлежащими защите;
  • в помещениях, предназначенных для ведения конфиденциальных переговоров (далее — защищаемые помещения);

2. Услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
3. Услуги по мониторингу информационной безопасности средств и систем информатизации;
4. Работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:

  • средств и систем информатизации;
  • помещений со средствами (системами) информатизации, подлежащими защите;
  • защищаемых помещений;

5. Работы и услуги по проектированию в защищенном исполнении:

  • средств и систем информатизации;
  • помещений со средствами (системами) информатизации, подлежащими защите;
  • защищаемых помещений;

6. Услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля эффективности защиты информации).

Лицензирование по ФСБ
(деятельность по разработке, производству, распространению шифровальных (криптографических) средств)

В связи с тем, что для участия в ряде государственных тендеров все чаще встречается требование о наличии лицензии ФСБ на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), многие организации стали заявляться на получение этой лицензии и, соответственно, сталкиваться со множеством трудностей, связанных с ее получением.

Лицензирование указанной деятельности осуществляется на основании Постановления Правительства РФ № 313 от 16 апреля 2012 года «Об утверждении положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».

При осуществлении деятельности лицензированию подлежат следующие виды работ и услуг:

1. Разработка шифровальных (криптографических) средств.
2. Разработка защищенных с использованием шифровальных (криптографических) средств информационных систем.
3. Разработка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
4. Разработка средств изготовления ключевых документов.
5. Модернизация шифровальных (криптографических) средств.
6. Модернизация средств изготовления ключевых документов.
7. Производство (тиражирование) шифровальных (криптографических) средств.
8. Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.
9. Производство защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
10. Производство средств изготовления ключевых документов.
11. Изготовление с использованием шифровальных (криптографических) средств изделий, предназначенных для подтверждения прав (полномочий) доступа к информации и (или) оборудованию в информационных и телекоммуникационных системах.
12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств.
13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.
14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
16. Ремонт шифровальных (криптографических) средств.
17. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных систем.
18. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
19. Ремонт, сервисное обслуживание средств изготовления ключевых документов.
20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
21. Передача шифровальных (криптографических) средств.
22. Передача защищенных с использованием шифровальных (криптографических) средств информационных систем.
23. Передача защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
24. Передача средств изготовления ключевых документов.
25. Предоставление услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей.
26. Предоставление услуг по имитозащите информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей.
27. Предоставление юридическим и физическим лицам защищенных с использованием шифровальных (криптографических) средств каналов связи для передачи информации.
28. Изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств.

Требования для получения лицензии ФСТЭК по ТЗКИ:

Для осуществления заявленных видов деятельности у соискателя лицензии должна иметься литература (в том числе ограниченного распространения), обученные специалисты, контрольно-измерительное и испытательное оборудование.

У соискателя лицензии должны иметься в штате по основному месту работы в соответствии со штатным расписанием руководитель и (или) уполномоченное руководить работами по лицензируемому виду деятельности лицо, имеющее высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения — не менее 360 аудиторных часов), а также инженерно-технические работники (не менее 2 человек), имеющие высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, прошедшие обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения — не менее 360 аудиторных часов).
Повышение квалификации по лицензируемому виду деятельности сотрудников, должно проводиться не реже одного раза в 5 лет.
Обучение по программам профессиональной переподготовки указанных сотрудников (в случае отсутствия базового высшего образования) необходимо проходить исключительно по программам, согласованным со ФСТЭК России. Перечень учебных центров, имеющих согласованные программы публикуется ФСТЭК на официальном сайте (http://fstec.ru).

Необходимая литература для осуществления деятельности по технической защите конфиденциальной информации определяется на основании заявленных пунктов лицензии и изложена в «Перечне технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и оказания услуг, установленных положением о лицензировании деятельности по технической защите конфиденциальной информации…», утвержденном директором ФСТЭК России и публикуемом на официальном сайте ФСТЭК России (http://fstec.ru).
Для получения лицензии литературу (руководящие и методические документы, методики оценки, специальные требования) ограниченного распространения необходимо заказывать официально через территориальные органы ФСТЭК России по Федеральным округам, согласно территориальной принадлежности заявителя. ГОСТы ограниченного распространения приобретаются заявителем у организаций, имеющих полномочия на их официальное распространение.

Необходимость наличия у организации — соискателя лицензии контрольно-измерительного и испытательного оборудования определяется на основании заявленных пунктов лицензии, указанных в Заявлении о предоставлении лицензии. Необходимость наличия того или иного оборудования у организации определяется в соответствии с «Перечнем контрольно-измерительного и испытательного оборудования, программных (программно-технических) средств, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации…», утвержденным директором ФСТЭК России и публикуемом на официальном сайте ФСТЭК России (http://fstec.ru). Контрольно-измерительное оборудование, на момент подачи пакета заявительских документов, должно иметь действующие сертификаты о поверке (калибровке), а также сведения об этом оборудовании должны содержатся в государственном реестре средств измерений. Программные (программно-технические) средства, включая средства контроля эффективности защиты информации, должны быть сертифицированы по требованиям безопасности информации ФСТЭК России.

Для подачи документов на лицензию ТЗКИ у организации должны иметься аттестованные по требованиям безопасности информации автоматизированные системы и защищаемые помещения, предназначенные для ведения конфиденциальных переговоров.

Требования для получения лицензии ФСБ:

Для осуществления заявленных видов деятельности у соискателя лицензии должна иметься литература, обученные специалисты, контрольно-измерительное и испытательное оборудование.

По штату, по основному месту работы (с оформлением по трудовой книжке), организации-соискателю требуется предоставить документы о наличии не менее 2 (двух) сотрудников. Обучение по программам профессиональной переподготовки указанных сотрудников (в случае отсутствия базового высшего образования) необходимо проходить исключительно по программам, согласованным со ФСБ России. Требования к образованию сотрудников зависят от пунктов, на которые организация – соискатель лицензии подает заявление.

Необходимость наличия у организации — соискателя лицензии контрольно-измерительного и испытательного оборудования определяется на основании заявленных пунктов лицензии, указанных в Заявлении о предоставлении лицензии.

Для подачи документов на лицензию ФСБ у организации должны иметься аттестованные по требованиям безопасности информации автоматизированные системы.

АО «НТЦ «Формула Защиты» осуществляет полный комплекс услуг по аттестации объектов информатизации, поставке необходимого контрольно-измерительного оборудования и средств контроля защищенности информации, необходимых для получения лицензии ФСТЭК по технической защите конфиденциальной информации и лицензии ФСБ согласно 313 Постановления Правительства. Нами осуществляется консалтинг в подборе персонала, методическая помощь по оформлению пакета заявительских документов, направляемых согласно действующего законодательства в лицензирующий орган.