Требования к соискателям

Чтобы выполнить лицензионные требования регулятора и успешно получить лицензию ФСБ на криптографию необходимо в первую очередь знать полный список этих требований, а уже потом хорошо к ним подготовиться.

В зависимости от того какие пункты лицензии планирует получать организация, требования к соискателям могут отличаться. Однако все требования можно условно разделить на следующие группы:

  1. Требования к помещению
  2. Требования к сотрудникам
  3. Требования к обеспечению конфиденциальности
  4. Требования к документам

1. Требования к помещению

При получении лицензии указывается конкретный адрес где организация планирует вести свою деятельностью. Если таких адресов несколько, их все необходимо включить в лицензию и выполнить предъявляемые к ним требования.

Помещение (или несколько помещений) должно быть либо на праве собственности, либо в аренде, подтверждённое соответствующими документами. Требования к площади не предъявляется.

Основные требования к помещению

Регламентируются приказом ФАПСИ от 13 июня 2001 г. №152.

В помещении должны быть оборудованы рабочие места для специалистов, которые требуются по регламенту (стол, стул для каждого). 

Двери (п. 52)

Двери должны быть прочные, с качественными замками, гарантирующими надёжное закрытие в нерабочее время. Требования к материалу из которого должны быть изготовлены двери (металл или дерево) – не предъявлены. Главная особенность – прочность.

Окна (п. 52, 53, 56)

Окна, расположенные на первых и последних этажах зданий, а также около пожарных лестниц и других мест, откуда возможно беспрепятственное проникновение, должны быть оборудованы металлическими решётками или ставнями.

Сигнализация и охрана (п.52, 53, 56)

Помещение должно быть на сигнализации, особых требований к ней не предъявляются. По охране должен быть заключен договор с частной охранной организацией.

Сейф (п.58)

Для хранения ключевых документов в помещении должен находиться металлический сейф (или шкаф) с кодовым замком или средством опечатывания замочных скважин. К ним идут 2 экземпляра ключей, один из которых должен находиться у сотрудника, ответственного за хранилище. Другой – в сейфе руководителя.

2. Требования к сотрудникам

Наличие в штате организации квалифицированного персонала с нужным опытом работы в сфере криптографии и соответствующим образованием вызывает у соискателей лицензии ФСБ основные сложности, по той причине, что чаще всего таких сотрудников нет. Они либо не проходят по образованию, либо по стажу в лицензируемой деятельности.

В зависимости от видов деятельности и пунктов, на которые соискатель планирует получать лицензию, требования к образованию и стажу предъявляются разные.  

Пункты 21-24

  • 2 сотрудника с удостоверением о повышении квалификации по информационной безопасности (100 часов);
  • Стаж не обязателен.

Пункты 2, 3, 7-15, 17, 18, 20, 25-28

  • 2 сотрудника с профессиональной переподготовкой по информационной безопасности (не менее 500 часов) или высшим профильным образованием;
  • Стаж в лицензируемой деятельности – более 3 лет в штате компании.

Пункты 1, 4-6, 16, 19

  • 2 сотрудника с дипломом о прохождении курсов по информационной безопасности (свыше 1 000 часов) или высшим профильным образованием
  • Стаж в лицензируемой деятельности – более 5 лет в штате компании.

Если требуемого образования у сотрудников нет, соискатель может отправить их на обучающие курсы повышения квалификации или профессиональной переподготовки. Это и является основной причиной увеличения сроков получения лицензии. Этот вопрос можно закрыть. А вот со стажем могут возникнуть проблемы. Как найти сотрудников, мы подробно написали здесь.

3. Требования к обеспечению конфиденциальности

Под требованиями к обеспечению конфиденциальности понимается соблюдение ряда условий к безопасности информации СКЗИ.

  • Рабочие компьютеры специалистов должны быть аттестованы (АРМ) компанией с лицензией ФСТЭК.
  • Программное обеспечение, необходимое для работы со СКЗИ, должно быть лицензионное.
  • В организации должен быть установлен режим коммерческой тайны.
  • Охрана помещения (описана в пункте 1. Требования к помещению).

4. Требования к документам

Важным этапом реализации лицензионных требований является подготовка пакета внутренних рабочих документов: приказы, должностные инструкции, инструкции по работе с СКЗИ и др.

Основной список документов следующий:

1. Создание органа криптографической защиты (ОКЗ).

Приказ, в котором прописываются ответственные за ОКЗ (сотрудники организации одного или разных подразделений), цели и задачи ОКЗ.

2. Должностные инструкции ОКЗ.

Каждому сотруднику ОКЗ прописывают должностные обязанности и инструкции. Отдельно должностные инструкции для руководителя и инженерно-технических работников.

3. Инструкция по работе с СКЗИ

Инструкция регулирует порядок работы со СКЗИ. Как передается, обрабатывается или хранится конфиденциальная информация, с учётом используемых СКЗИ

4. Ограничение доступа в помещение ОКЗ.

Журнал, в котором прописывается режим охраны помещений ОКЗ – кто в какое время может иметь доступ к криптографии, кто и как часто проводит контроль состояния технических средств охраны, доступ сотрудников в рабочее и нерабочее время.

5. Заявление на получение лицензии.

Заверенные нотариусом копии учредительных документов: устав, свидетельства о регистрации и постановке, протокол о назначении гендиректора, выписка из ЕГРЮЛ.