22 августа 2019

Возможно ли получить лицензию ФСБ на криптографию самостоятельно или лучше доверить процесс профессионалам?

Роман Литвинов, юрист

Перед любой организаций, которая планирует заниматься деятельностью, связанной со средствами криптографической защиты информации (СКЗИ), рано или поздно встаёт вопрос получения лицензии ФСБ на криптографию. В решении данного вопроса многие руководители сталкиваются с непростым выбором: получить лицензию ФСБ самостоятельно, сэкономив деньги, или обратиться к профессионалам, заплатить за услугу, но выиграть время и с большей вероятностью получить заветный документ?

Если у соискателя есть желание и время разбираться в нормативно-правовых актах, получить её самостоятельно более чем реально. Однако дьявол кроется в деталях, которые зачастую известны только практикам. Если ими пренебречь, процесс лицензирования в лучшем случае просто затянется на длительный срок, в худшем – закончится отказом в выдачи лицензии. А потраченные время и средства уже никто не вернёт.

Мы нейтрально рассмотрим здесь процесс лицензирования, расскажем о трудностях, с которыми приходили к нам наши клиенты, и дадим вам возможность самим решить, стоит ли тратить время на получение лицензии самостоятельно или лучше обратиться в юридическую компанию. 

С чего начать: нормативно-правовая база

Если вы всё-таки решили оформить лицензию ФСБ самостоятельно, в первую очередь необходимо изучить полный перечень требований, предъявляемых к будущим лицензиатам. Федеральная служба безопасности предъявляет требования к помещению, персоналу, документам и обеспечению конфиденциальности. Их все можно найти в законодательных актах, представленных ниже.

Постановления правительства

Постановление Правительства РФ от 16 апреля 2012 г. №313

Основные положения, которые раскрывают порядок действий, необходимых для получения разрешения на работу со СКЗИ и шифрованием: требования к персоналу, документации и др. На региональном уровне конкретные процедуры могут отличаться незначительными нюансами.

Постановление Правительства РФ от 21 ноября 2011 г. №957

Об организации лицензирования отдельных видов деятельности»

Федеральные законы

Федеральный закон от 04 мая 2011 г. №99-ФЗ

Федеральный закон, устанавливающие общие правила лицензирования, включая криптографическую деятельность. Здесь можно изучить лицензионные требования, сроки реагирования госорганов, ответственность и проч.

Федеральный закон от 27 июля 2006 г. №149-ФЗ

Об информации, информационных технологиях и о защите информации.

Приказы

Приказ ФСБ РФ от 9 февраля 2005 г. №66

Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)

Приказ ФАПСИ от 13 июня 2001 г. №152

Регламентирует основные требования к помещению.

Изучив данные нормативы, можно приступать к их выполнению. Оплатить госпошлину, собрать лицензионное дело и пройти выездную проверку. На первый взгляд процесс кажется несложным. 

Основные этапы получения лицензии ФСБ на криптографию

Условно весь процесс лицензирования можно разделить на следующие этапы:

  1. Подготовка документов
  2. Подготовка помещения
  3. Поиск персонала 
  4. Прохождение проверки

Рассмотрим подробно каждый из них.

1. Подготовка документов.

Важным этапом реализации является подготовка пакета внутренних рабочих документов. В него входят приказы, должностные инструкции, инструкции по работе со СКЗИ и др.

Основной список:

  1. Создание органа криптографической защиты (ОКЗ).
  2. Должностные инструкции ОКЗ.
  3. Инструкция по работе с СКЗИ
  4. Ограничение доступа в помещение ОКЗ.
  5. Заявление на получение лицензии.

Данный этап занимает 20% от всей подготовительной работы

2. Подготовка помещения

Основные требования к помещению регламентируются приказом ФАПСИ от 13 июня 2001 г. №152 (см. ссылку выше). Вы должны являться либо его собственником, либо предоставить договор аренды. 

В помещении должны быть оборудованы рабочие места для специалистов, которые требуются по регламенту. Установлены прочные металлические двери. Если окна располагаются на последних или первых этажах зданий (или у пожарных лестниц), необходимы металлические решетки. Обязательно должен быть сейф для хранения ключевых документов, а также установленная сигнализация. Ко всему прочему должен быть заключен договор с ЧОП-ом.

3. Поиск персонала

В штате организации должны работать сотрудники с опытом работы в лицензируемой деятельности и высшим образованием в области информационной безопасности. Чаще всего штат у соискателей не подходит либо по одному критерию, либо по другому.

В зависимости от пунктов, требования к персоналу различаются. 

  • Например, для пунктов 21-24 требуется 2 сотрудника с удостоверением о повышении квалификации по информационной безопасности (100 часов). 
  • Для пунктов 2, 3, 7-15, 17, 18, 20, 25-28 требуется 2 сотрудника с высшим образованием по информационной безопасности или профессиональной переподготовкой по той же специальности (не менее 500 часов). Стаж в лицензируемой деятельности – более 3 лет.
  • Для пунктов 1, 4-6, 16, 19 требуется 2 сотрудника с высшим образованием по информационной безопасности или профессиональной переподготовкой по той же специальности (не менее 1 000 часов). Стаж в лицензируемой сфере – более 5 лет. 

Стаж в лицензируемой деятельности означает, что специалист должен иметь опыт работы в организации с имеющейся лицензия ФСБ на криптографию с теми же пунктами, по которым новая организация планирует получать свою лицензию. Либо если он занимался криптографией. Только в этом случае необходимо будет смотреть должностные обязанности, которые выполнял специалист.

Более подробные требования к специалистам мы описывали в данном разделе.

Где взять сотрудников

Если ваши сотрудники проходят по образованию и стажу в лицензируемой деятельности, вам крупно повезло. Если нет, можно поискать их на headhunter, поспрашивать у коллег “по цеху” или попытаться переманить у конкурентов. Но таких специалистов на рынке очень мало даже в Москве. В регионах наблюдается настоящий дефицит кадров.

Многие организации занимаются подбором квалифицированных кадров, соответствующих ПП 313. Сотрудники могут приехать из другого региона специально под лицензию. Стоимость таких услуг составляет от 50 000 руб. за человека.

4. Прохождение проверки

После выполнения всех требований оплачивается госпошлина и передаются копии документов в ФСБ России. Регламент ФСБ – 45 рабочих дней. В течении этого времени к вам направится выездная проверка. Проверяющие будут ходить, смотреть, выборочно проверять внутреннюю документацию, задавать вопросы персоналу.

Если вы всё выполнили правильно, документ могут выдать сразу после проверки.

Сложности самостоятельного оформления лицензии

Не смотря на понятный и доступный в интернете алгоритм получения лицензии, как мы уже писали выше, вся суть в деталях. По опыту работы с нашими клиентами у них остаётся много вопросов. Самые популярные из них:

  • Какие виды работ выбрать?
  • Подходит ли персонал ПП 313 по образованию и стажу?
  • Где взять персонал, если его нет?
  • Какое оборудование и программы необходимы?
  • Где должна находиться аттестованная система?
  • Какую информационную систему аттестовывать?
  • Нужна ли аттестация помещения?
  • По какой форме сделать справку о деятельности?
  • Что приложить к заявке?
  • Сколько направлений, недочетов допустимо при проверке?
  • Что говорить проверяющим?

Весьма часто мы видим, что даже если сильно погрузиться в вопросы и сделать всё правильно, то на весь процесс уходит минимум 2-6 переподач. 

Мало потерять время. К повторным подачам прибегают уже с помощью юридических компаний, который просят за свои услуги от 75 000 руб. Неопределенность в финансовых затратах накладывает дополнительную нагрузку на владельцев бизнеса, ставя под удар дальнейшее существование бизнеса. 

Самостоятельный процесс занимает как правило кратно большее время, чем работа с профессионалами. Помимо времени можно “попасть” на зарплаты сотрудникам, которые не соответствовали ПП №313 как по стажу, так и образованию.

Возможно ли получить лицензию ФСБ на криптографию самостоятельно или лучше доверить процесс профессионалам?

Комментарии