СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Статьи
Игорь
2 часа назад
#ИБ

Лицензия ФСТЭК России: виды, требования и порядок получения

Лицензия ФСТЭК России: виды, требования и порядок получения

Лицензия ФСТЭК России это первое, на что наталкивается любая компания, решившая защищать чужую информацию за деньги. Рано или поздно встаёт вопрос, имеет ли она вообще право этим заниматься. Без лицензии нельзя ни настроить заказчику средства защиты, ни провести аттестацию его системы, ни тем более выпускать на рынок собственный продукт по защите информации. За работу без лицензии штрафуют, а произведённое и оборудование при этом могут конфисковать.

Вокруг темы накопилось много путаницы, и обходится она недёшево. Лицензию смешивают с сертификатом на средство защиты и с аттестатом на информационную систему, хотя это три разные процедуры. Виды лицензий называют как попало, а требования к соискателю пересказывают по устаревшим редакциям. Ниже разбираем по действующим документам, какие лицензии выдаёт ФСТЭК России, кому они нужны, что требуется от компании, сколько стоит госпошлина и как устроен порядок получения. Материал рассчитан на руководителей и специалистов по информационной безопасности, ИТ-директоров и юристов, которым нужно понять картину целиком, а не выхватить пару фактов из рекламного лендинга.

Содержание

  1. Что такое лицензия ФСТЭК России
  2. Лицензирование, сертификация и аттестация. В чём разница
  3. Виды лицензий ФСТЭК России
  4. Кому нужна лицензия ФСТЭК России
  5. Что охватывает лицензия на ТЗКИ
  6. Что охватывает лицензия на разработку и производство СЗИ
  7. Лицензионные требования к компании
  8. Какие документы нужны для лицензии
  9. Порядок получения лицензии ФСТЭК России
  10. Срок действия, изменения и переоформление
  11. Реестр лицензий. Как проверить лицензиата
  12. Ответственность за работу без лицензии
  13. Частые вопросы
  14. Коротко о главном

Что такое лицензия ФСТЭК России

Под лицензией ФСТЭК России понимают разрешение, которое даёт компании право вести один из лицензируемых видов деятельности в области защиты информации. Само понятие лицензии и общий порядок её получения закреплены в Федеральном законе от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности». Перечень лицензируемых видов приведён в статье 12 этого закона. В сфере защиты конфиденциальной информации Федеральной службе по техническому и экспортному контролю отведено два вида деятельности, и о них пойдёт речь.

Разрешение привязано не к человеку и не к конкретному заказу, а к организации в целом. Получает его юридическое лицо или индивидуальный предприниматель, который подтвердил, что у него есть подготовленные специалисты, помещения и оборудование. Индивидуальные предприниматели в постановлениях упомянуты наравне с юридическими лицами, так что лицензию вправе получить и ИП. А вот иностранным юридическим лицам такая деятельность запрещена напрямую, и эту оговорку внесли в оба профильных постановления Правительства РФ ещё в 2021 году.

Стоит уточнить, что считается конфиденциальной информацией. Речь о сведениях ограниченного доступа, которые не относятся к государственной тайне, но защищаются по закону. Их перечень закреплён Указом Президента РФ от 06.03.1997 № 188, и сюда входят персональные данные, коммерческая и служебная тайна, профессиональная тайна и другие сведения ограниченного доступа. Государственная тайна защищается по отдельным правилам, к этой границе мы вернёмся в разделе про виды лицензий.

Лицензия бессрочная и хранится как запись в реестре

Лицензия ФСТЭК России выдаётся бессрочно, и в статье 9 Федерального закона № 99-ФЗ об этом сказано прямо, «Лицензия действует бессрочно». Получили один раз и работаете, пока выполняете лицензионные требования и не нарушаете закон. Продлевать ничего не нужно, и это частый вопрос, на который многие до сих пор отвечают неверно по старой памяти. Когда-то лицензии выдавали на пять лет, но та схема давно осталась в прошлом.

С 2021 года лицензия существует не как бумажный бланк, а как запись в реестре лицензий. Бумажную лицензию на специальном бланке больше не выдают вообще. После положительного решения сведения вносят в электронный реестр, а компании направляют уведомление со ссылкой на эту запись. Если контрагенту нужно подтверждение, он запрашивает выписку из реестра, в том числе через портал «Госуслуги». Вывод для практики простой, проверять лицензию нужно в реестре, а не по красивой бумаге на стене переговорной.

Лицензирование, сертификация и аттестация. В чём разница

Эти три слова постоянно стоят рядом, и их легко перепутать, хотя описывают они разные вещи. Лицензируют деятельность компании, сертифицируют средство защиты, аттестуют конкретную информационную систему или защищаемое помещение. Разница не формальная, потому что от неё зависит, какой именно документ вам в действительности нужен. Разберём все три процедуры по очереди и на конкретных документах.

Лицензирование деятельности отвечает на вопрос, имеет ли организация право заниматься защитой информации. Регулируется оно Федеральным законом № 99-ФЗ и постановлениями Правительства РФ № 79 и № 171. Сертификация средств защиты информации подтверждает, что отдельное СЗИ соответствует требованиям по безопасности информации, и её порядок задан приказом ФСТЭК России от 03.04.2018 № 55, которым утверждено Положение о системе сертификации средств защиты информации. Аттестация объектов информатизации по требованиям безопасности информации подтверждает, что готовый объект, то есть конкретная информационная система или защищаемое помещение, отвечает требованиям по защите информации, а её правила установлены приказом ФСТЭК России от 29.04.2021 № 77.

На практике три процедуры тесно связаны между собой, и именно в этом кроется источник путаницы. Чтобы провести аттестацию объекта информатизации у заказчика, исполнитель обязан иметь лицензию на ТЗКИ. При защите системы он применяет сертифицированные средства защиты. Получается простая цепочка, где лицензия даёт право работать, сертификат подтверждает свойства средства защиты, а аттестат фиксирует результат проверки конкретной системы. Различия удобнее всего свести в одну таблицу.

ПроцедураЧто подтверждаетОбъектОсновной документ
Лицензирование деятельностиПраво организации вести деятельность по защите информацииКомпания№ 99-ФЗ, постановления Правительства РФ № 79 и № 171
Сертификация средств защиты информацииСоответствие СЗИ требованиям по безопасности информацииСредство защиты (продукт)Приказ ФСТЭК России от 03.04.2018 № 55
Аттестация объектов информатизацииСоответствие готовой системы требованиям по защите информацииОбъект информатизацииПриказ ФСТЭК России от 29.04.2021 № 77
Три процедуры ФСТЭК России. Лицензия относится к компании, сертификат к средству защиты, аттестат к системе.

Сертификацию средств защиты регулятор воспринимает всерьёз, и формальной отметкой дело не ограничивается. ФСТЭК России готова отзывать сертификаты у разработчиков средств защиты даже за единичные просчёты, о чём мы писали в материале «ФСТЭК готова аннулировать сертификаты ИБ-разработчиков даже за первую незаявленную уязвимость». Поэтому смешивать лицензию и сертификат на практике опасно вдвойне.

Виды лицензий ФСТЭК России

В сфере защиты конфиденциальной информации видов всего два, и разграничить их полезно с самого начала. Лицензия на ТЗКИ охватывает услуги по защите информации, а лицензия на разработку и производство средств защиты относится к созданию самих продуктов. Многие справочники добавляют сюда третьим пунктом работы с государственной тайной, но это уже другой режим, и о нём расскажем в конце раздела.

Лицензия на техническую защиту конфиденциальной информации

Из двух видов лицензия на ТЗКИ востребована заметно сильнее. Она нужна компаниям, которые защищают чужую информацию как услугу, например системным интеграторам, центрам мониторинга и организациям, проводящим аттестацию объектов информатизации и контроль защищённости. Под технической защитой конфиденциальной информации постановление Правительства РФ № 79 понимает работы и услуги по защите сведений от несанкционированного доступа, от утечки по техническим каналам и от специальных воздействий, которые могут эту информацию уничтожить, исказить или заблокировать. Полный перечень работ мы разберём в отдельном разделе ниже.

Лицензия на разработку и производство средств защиты

Вторая лицензия рассчитана на разработчиков и производителей средств защиты конфиденциальной информации. Если компания создаёт антивирус, межсетевой экран, средство контроля защищённости или другой подобный продукт, ей нужна лицензия по постановлению Правительства РФ № 171. Требования здесь жёстче, чем для услуг, и это логично. От качества самого средства защиты зависит безопасность всех, кто его потом поставит у себя. В частности, минимальный стаж руководителя работ тут выше, и об этом мы расскажем в разделе про требования.

Государственная тайна, СКЗИ и зона ФСБ России

Здесь проходит граница, которую важно не размывать. Работа со средствами криптографической защиты информации, то есть с СКЗИ, лицензируется Федеральной службой безопасности, а не ФСТЭК России. А вот деятельность, связанная с государственной тайной, идёт по отдельному постановлению Правительства РФ от 15.04.1995 № 333. Лицензии в этой сфере выдают сразу несколько органов в пределах своей компетенции, и ФСТЭК России тоже среди них, например по технической защите сведений, составляющих гостайну. Поэтому утверждать, что вся государственная тайна закреплена только за ФСБ России, было бы неточно.

Запрос «лицензия ФСБ ФСТЭК» в поиске встречается постоянно, и почти всегда за ним стоит именно эта путаница. Чтобы её снять, держите в голове ориентир. Конфиденциальная информация и её техническая защита остаются за ФСТЭК России, криптография находится в ведении ФСБ России, а работы с государственной тайной лицензируются по постановлению № 333 отдельно. Дальше в статье речь только о двух лицензиях ФСТЭК России в сфере конфиденциальной информации.

ПризнакЛицензия на ТЗКИЛицензия на разработку и производство СЗИ
Что лицензируетсяУслуги по защите конфиденциальной информацииСоздание средств защиты конфиденциальной информации
ДокументПостановление Правительства РФ № 79Постановление Правительства РФ № 171
ОрганФСТЭК РоссииФСТЭК России, для объектов высших органов власти ФСБ России
Кому нужнаИнтеграторам, центрам мониторинга, аттестующим организациямРазработчикам и производителям средств защиты
Стаж руководителя работ с профильным образованиемНе менее 3 летНе менее 5 лет
Сравнение двух лицензий ФСТЭК России в сфере конфиденциальной информации. Источник, постановления Правительства РФ № 79 и № 171.
Схема видов лицензий ФСТЭК России и разграничение с ФСБ России
Виды лицензий ФСТЭК России и граница ответственности с ФСБ России. Источник, постановления Правительства РФ № 79 и № 171.

Кому нужна лицензия ФСТЭК России

Если коротко, лицензия нужна тем, кто защищает информацию за деньги для других или производит средства защиты. Когда компания обслуживает только собственные системы и не оказывает услуг на сторону, своя лицензия ей обычно не требуется. Граница проходит по факту коммерческой деятельности, а не по наличию в штате безопасников.

Интеграторы и подрядчики по защите информации

Лицензия на ТЗКИ обязательна для тех, кто внедряет заказчику средства защиты, проектирует системы в защищённом исполнении, проводит контроль защищённости, мониторинг или аттестацию объектов информатизации. Сюда попадают системные интеграторы, проектные организации и компании, которые держат коммерческий центр мониторинга. Без лицензии такие работы по договору вести нельзя, даже если в штате сильные специалисты.

Отдельного внимания заслуживает аттестация объектов информатизации. Чтобы аттестовать систему у заказчика, по приказу ФСТЭК России от 29.04.2021 № 77 владелец привлекает организацию с лицензией на ТЗКИ, выданной ФСТЭК России. Получается, что без лицензии нельзя оказывать одну из самых востребованных услуг на рынке защиты информации. Смежная тема, моделирование угроз по методике ФСТЭК России, разобрана в материале «Модель угроз безопасности информации: методика ФСТЭК России».

Операторы данных, государственные системы и КИИ

С защитой собственной информации ситуация сложнее. Если организация защищает свои системы своими силами и не продаёт услугу наружу, отдельная лицензия ей чаще всего не требуется. Но как только защита оформляется как услуга для другого юридического лица, лицензия становится обязательной. Поэтому операторы персональных данных, владельцы государственных информационных систем и субъекты критической информационной инфраструктуры (КИИ) обычно идут одним из двух путей. Либо нанимают лицензиата, либо, если объём работ большой и постоянный, получают лицензию сами.

Выбор пути зависит от масштаба и от требований конкретного регулятора. Владельцам значимых объектов КИИ полезно заранее изучить требования к их защите, которые мы разбирали в материале «Безопасность значимых объектов КИИ: требования приказа ФСТЭК №239», а также порядок отнесения систем к значимым в статье «Категорирование объектов КИИ: порядок и сроки в 2026 году». Государственным информационным системам отдельно посвящён материал про «Приказ ФСТЭК России № 117: новые требования о защите информации в государственных информационных системах».

Что охватывает лицензия на ТЗКИ

Постановление Правительства РФ № 79 перечисляет шесть групп работ и услуг, которые входят в лицензируемую деятельность по технической защите конфиденциальной информации. Их полезно знать поимённо, потому что лицензия выдаётся не «вообще на ТЗКИ», а на конкретные работы из этого перечня. Что не заявлено и не внесено в реестр, того компания делать не вправе.

  • Контроль защищённости конфиденциальной информации от утечки по техническим каналам, в том числе в средствах и системах информатизации и в защищаемых помещениях.
  • Контроль защищённости информации от несанкционированного доступа и её модификации в средствах и системах информатизации.
  • Мониторинг информационной безопасности средств и систем информатизации.
  • Аттестационные испытания и аттестация объектов информатизации на соответствие требованиям по защите информации.
  • Проектирование объектов в защищённом исполнении.
  • Установка, монтаж, наладка, испытания и ремонт средств защиты информации.

Перечень закрытый, в нём ровно шесть пунктов и не больше. Если компания планирует расширить набор работ позже, она вносит изменения в реестр лицензий и подтверждает, что соответствует требованиям уже по новым видам деятельности. Просто так, без отдельного заявления, добавить себе работы не получится.

Что охватывает лицензия на разработку и производство СЗИ

Перечень работ здесь короче, чем у лицензии на ТЗКИ. Постановление Правительства РФ № 171 выделяет два вида деятельности, разработку и производство средств защиты конфиденциальной информации. Внутри каждого вида постановление называет шесть типов средств, на которые распространяется лицензия.

  • Технические средства защиты информации.
  • Защищённые технические средства обработки информации.
  • Технические средства контроля эффективности мер защиты информации.
  • Программные и программно-технические средства защиты информации.
  • Защищённые программные и программно-технические средства обработки информации.
  • Программные и программно-технические средства контроля защищённости информации.

Принцип тот же, что и в лицензии на ТЗКИ. Лицензиат вправе разрабатывать и выпускать только те типы средств, которые он заявил и подтвердил при получении лицензии. Сокращение «СЗКИ», которое нередко встречается на сайтах посредников, в самом постановлении не используется. Официальная формулировка длиннее, зато точнее, разработка и производство средств защиты конфиденциальной информации.

Лицензионные требования к компании

Лицензионные требования образуют основу всей темы, ведь лицензию выдают не за красивые слова, а за подтверждённую способность работать. Их удобно разложить на три блока, кадры, помещения и оборудование. Для лицензии на ТЗКИ и для лицензии на средства защиты они немного отличаются, но общая логика у них одна. Сводка по обоим видам приведена в таблице ниже, а здесь разберём каждый блок подробнее.

Специалисты, образование и стаж

Самое важное требование касается кадрового состава. В штате должен быть руководитель или уполномоченное руководить работами лицо с профильной подготовкой. Для лицензии на ТЗКИ закон допускает три варианта такой подготовки.

  • Высшее образование в области информационной безопасности и стаж по профилю не менее 3 лет.
  • Высшее образование в области математических и естественных наук, инженерного дела или технических наук и стаж не менее 5 лет.
  • Любое другое высшее образование, профессиональная переподготовка по информационной безопасности не менее 360 аудиторных часов и стаж не менее 5 лет.

Кроме руководителя, нужны минимум два инженерно-технических работника. У каждого либо высшее образование в области информационной безопасности и стаж по профилю не менее 3 лет, либо иное высшее образование с профессиональной переподготовкой по информационной безопасности и тем же стажем. Для лицензии на разработку и производство средств защиты планка по руководителю выше, его стаж должен быть не менее 5 лет с профильным образованием. Действующего лицензиата ждёт ещё одно требование, общее для обоих видов, повышение квалификации специалистов не реже одного раза в 5 лет. Получить лицензию и забыть про обучение не выйдет, при проверке это обязательно всплывёт.

Помещения

У компании должны быть помещения по месту деятельности, причём именно нежилые, жильё под лицензируемую деятельность не подходит. При этом владеть помещением на праве собственности необязательно. Постановление прямо допускает и иное законное основание, которое даёт право владения и пользования, а значит подходит и аренда. В помещениях создают условия для работы специалистов, размещения производственного и испытательного оборудования и для обсуждения информации ограниченного доступа. Для части работ, например связанных с защищаемыми помещениями для конфиденциальных переговоров, дополнительно нужны аттестованные помещения.

Оборудование и сертифицированные средства

Третий блок требований касается технической оснащённости. Нужно оборудование по перечню, который определяет ФСТЭК России, в том числе измерительные приборы, прошедшие метрологическую поверку или калибровку. Программные средства, включая средства контроля эффективности защиты, должны быть сертифицированы по требованиям безопасности информации. Оборудование, как и помещения, разрешено держать на праве собственности или ином законном основании, поэтому дорогие приборы можно брать в аренду или лизинг. Отдельно требуются автоматизированные системы для обработки конфиденциальной информации и средства её защиты, прошедшие оценку соответствия. У производителей средств защиты к этому добавляется система производственного контроля, отдельно для разработки и отдельно для производства.

Блок требованийЛицензия на ТЗКИ (№ 79)Разработка и производство СЗИ (№ 171)
Руководитель работПрофильное высшее образование и стаж от 3 лет, либо альтернативы со стажем от 5 лет и переподготовкой от 360 часовПрофильное высшее образование и стаж от 5 лет, либо альтернативы
Инженерно-технические работникиНе менее 2 человек, профильное образование или переподготовка по ИБ, стаж от 3 летНе менее 2 человек, профильное образование или переподготовка по ИБ, стаж от 3 лет
Повышение квалификацииНе реже 1 раза в 5 летНе реже 1 раза в 5 лет
ПомещенияНежилые, на праве собственности или ином законном основании, в том числе в арендеНежилые, на праве собственности или ином законном основании, в том числе в аренде
ОборудованиеИзмерительные приборы с поверкой, сертифицированные средства контроля; владение или арендаТо же, плюс производственное и испытательное оборудование
Особое требованиеАттестованные защищаемые помещения и автоматизированные системыСистема производственного контроля
Лицензионные требования по двум видам лицензий ФСТЭК России. Источник, постановления Правительства РФ № 79 и № 171.

Какие документы нужны для лицензии

Пакет документов собирают под конкретный вид лицензии и под заявленные работы. Состав закреплён в постановлениях № 79 и № 171, и он довольно объёмный. Ниже перечислено основное, что соискатель подаёт вместе с заявлением.

  • Заявление о предоставлении лицензии с описью прилагаемых документов.
  • Копии документов о квалификации руководителя и инженерно-технических работников, то есть приказы о назначении, дипломы, удостоверения о переподготовке.
  • Документы на помещения по месту осуществления деятельности.
  • Копии технических паспортов и аттестатов соответствия защищаемых помещений требованиям безопасности информации.
  • Документы на автоматизированные системы и средства защиты информации.
  • Сведения о контрольно-измерительном, производственном и испытательном оборудовании с документами о поверке.
  • Сведения о технической и технологической документации, национальных стандартах и методических документах под заявленные работы.

Формы заявлений и часть документов утверждены приказом ФСТЭК России от 12.01.2023 № 4. Готовить пакет лучше под точный перечень работ, который вы действительно планируете выполнять. Заявите лишнее, и придётся подтверждать соответствие по тому, что вам на деле не нужно, а это дополнительные требования к кадрам и оборудованию.

Порядок получения лицензии ФСТЭК России

Когда требования закрыты и пакет собран, начинается сама процедура. Она документарная и идёт через лицензирующий орган по правилам Федерального закона № 99-ФЗ. Общая последовательность действий выглядит следующим образом.

  1. Компания приводит себя в соответствие требованиям. Подбирает специалистов, оформляет помещения, закупает или арендует и поверяет оборудование, готовит документацию.
  2. Подаёт в ФСТЭК России заявление и комплект документов. По постановлениям № 79 и № 171 это делают на бумажном носителе или заказным письмом с уведомлением о вручении.
  3. Лицензирующий орган проводит оценку соответствия. Она проходит в форме документарной оценки, а результат оформляют актом.
  4. ФСТЭК России принимает решение о предоставлении лицензии или об отказе и вносит запись в реестр лицензий.
  5. Компании направляют уведомление со ссылкой на запись в реестре. По постановлениям это делают в течение 3 рабочих дней после внесения записи.

С чего начать подготовку

Основные силы уходят не на саму подачу, а на подготовку к ней. Чтобы не собирать документы хаотично, удобно идти по короткому чеклисту.

  • Определите, какие именно работы из перечня вы будете выполнять.
  • Подберите руководителя и минимум двух инженеров с нужным образованием и стажем.
  • Оформите нежилые помещения в собственность или в аренду на законном основании.
  • Приобретите или возьмите в аренду оборудование, поверьте измерительные приборы, закупите сертифицированные средства защиты.
  • Если планируете работы с защищаемыми помещениями, аттестуйте такие помещения и автоматизированные системы.
  • Подготовьте техническую документацию и национальные стандарты под заявленные работы.
  • Оплатите государственную пошлину и подайте заявление в ФСТЭК России.

Госпошлина

За предоставление лицензии платят государственную пошлину. По статье 333.33 Налогового кодекса РФ предоставление лицензии стоит 7500 рублей. Если позже понадобится внести в реестр новые работы или услуги, это обойдётся в 10 000 рублей, а изменения в других случаях в 1500 рублей. Когда лицензиат вносит изменения в реестр самостоятельно в предусмотренных законом случаях, пошлина не взимается. Размеры пошлины приведены на дату публикации, государственные пошлины периодически пересматривают, поэтому перед подачей сумму стоит сверить. Сама пошлина не покрывает подготовку, которую компания либо делает своими силами, либо заказывает у консультантов отдельно.

Сколько ждать решения

На само рассмотрение закон отводит ограниченный срок. По статье 14 Федерального закона № 99-ФЗ лицензирующий орган проверяет документы, оценивает соответствие требованиям и принимает решение в срок не более 45 рабочих дней со дня приёма заявления. Для отдельных видов деятельности этот срок может быть сокращён положением о лицензировании, но для ТЗКИ и средств защиты он остаётся общим. На практике львиная доля времени всё равно уходит не на само рассмотрение, а на подготовку к нему. Собрать кадры с нужным стажем, оформить помещения и поверить оборудование сложнее и дольше, чем дождаться решения.

Когда в лицензии могут отказать

Отказ тоже возможен, и закон называет его основания закрытым списком. По статье 14 Федерального закона № 99-ФЗ оснований три. Первое, наличие в заявлении или прилагаемых документах недостоверной либо искажённой информации. Второе, выявленное в ходе оценки несоответствие соискателя лицензионным требованиям. Третье, наличие у компании действующей лицензии ФСТЭК России на тот же вид деятельности. Решение об отказе оформляют приказом с мотивированным обоснованием и ссылкой на конкретные нормы, поэтому причину всегда видно и можно устранить.

Схема порядка получения лицензии ФСТЭК России по шагам
Порядок получения лицензии ФСТЭК России. Источник, Федеральный закон № 99-ФЗ, постановления Правительства РФ № 79 и № 171.

Срок действия, изменения и переоформление

Как отмечено выше, лицензия действует бессрочно. Но это вовсе не значит, что про неё можно забыть после получения. Реестровая модель требует поддерживать сведения в актуальном состоянии. Если компания меняет место деятельности, добавляет новые работы или услуги, переезжает, она вносит изменения в реестр лицензий и подтверждает соответствие требованиям уже по обновлённым данным.

В этом правиле скрыт практический нюанс, о котором часто забывают. Выполнять работы не по тому адресу, что указан в реестре, по действующим правилам разрешено, и отдельного внесения изменений это не требует. А вот добавление новых видов работ всегда идёт через заявление и подтверждение соответствия. Именно за внесение новых работ в реестр берут самую крупную пошлину из трёх, 10 000 рублей на дату публикации. Планируя развитие, эти расходы стоит закладывать заранее.

Реестр лицензий. Как проверить лицензиата

Раз бумажную лицензию больше не выдают, единственный надёжный способ проверить контрагента даёт реестр. Сведения о лицензиях ведутся в электронном реестре на сайте ФСТЭК России, отдельно по технической защите информации и по разработке и производству средств защиты, проверить лицензиата можно на странице reestr.fstec.ru. Выписку из реестра лицензий можно также запросить через портал «Госуслуги». Такая проверка особенно полезна перед заключением договора с подрядчиком по защите информации.

В выписке имеет смысл смотреть на несколько вещей. Действует ли лицензия, какие именно работы и услуги в неё внесены, совпадает ли место деятельности с реальным. Бывает, что у компании лицензия формально есть, но нужной вам услуги в её перечне нет. Работать по ней в такой ситуации исполнитель не вправе, и последствия в случае проблем затронут в том числе заказчика, который выбрал такого подрядчика.

Ответственность за работу без лицензии

Работа без обязательной лицензии подпадает под административную ответственность. Отвечает за неё статья 14.1 Кодекса РФ об административных правонарушениях. Для юридического лица, которое ведёт лицензируемую деятельность без лицензии, штраф составляет от 40 до 50 тысяч рублей, и к нему добавляется конфискация изготовленной продукции, орудий производства и сырья. Для должностных лиц штраф составляет от 4 до 5 тысяч рублей с такой же конфискацией. Суммы приведены на дату публикации по действующей редакции кодекса.

Наказывают и за нарушение лицензионных требований уже после получения лицензии. Если нарушение обычное, для юридического лица это штраф от 30 до 40 тысяч рублей. Если нарушение грубое, штраф для юридического лица доходит до 200 тысяч рублей, а деятельность могут приостановить на срок до 90 суток. В последние годы ФСТЭК России последовательно ужесточает подход к лицензиатам и к качеству их работы, о чём мы писали в материале «ФСТЭК ужесточает правила лицензирования и требует полноценные команды разработчиков систем защиты данных».

Что считается грубым нарушением

Само понятие грубого нарушения определяет не Кодекс об административных правонарушениях, а постановления Правительства РФ по конкретному виду деятельности. Для лицензии на ТЗКИ к ним отнесена часть требований к лицензиату из постановления № 79, а для средств защиты часть требований из постановления № 171. К грубым нарушениям относят, например, выполнение работ без нужных специалистов или без надлежащего оборудования. Размеры штрафов по статье 14.1 удобнее всего свести в таблицу.

НарушениеШтраф для юридического лицаДополнительно
Деятельность без лицензии (ч. 2 ст. 14.1 КоАП РФ)40 000–50 000 рублейКонфискация продукции, орудий, сырья
Нарушение лицензионных требований (ч. 3 ст. 14.1 КоАП РФ)30 000–40 000 рублейПредупреждение в лёгких случаях
Грубое нарушение требований (ч. 4 ст. 14.1 КоАП РФ)100 000–200 000 рублейПриостановление деятельности до 90 суток
Административная ответственность по статье 14.1 КоАП РФ на дату публикации. Источник, действующая редакция Кодекса РФ об административных правонарушениях.

Существует и более тяжёлый сценарий, чем административный штраф. Если безлицензионная деятельность причинила крупный ущерб гражданам, организациям или государству либо принесла доход в крупном размере, наступает уже уголовная ответственность по статье 171 Уголовного кодекса РФ. Крупным считается ущерб или доход от 2 миллионов 250 тысяч рублей. По основному составу грозит штраф или арест, а для организованной группы или особо крупного дохода наказание доходит до лишения свободы. Для работ, связанных с критической информационной инфраструктурой и государственными системами, цена ошибки выше, потому что к санкциям добавляются претензии профильных регуляторов и риск признать выполненные работы недействительными.

Частые вопросы

Нужна ли лицензия ФСТЭК России индивидуальному предпринимателю

Да, постановления Правительства РФ № 79 и № 171 прямо распространяются и на индивидуальных предпринимателей. Требования к образованию и стажу для индивидуального предпринимателя по сути такие же, как для руководителя организации. При этом иностранным юридическим лицам подобная деятельность запрещена.

Сколько стоит лицензия ФСТЭК России

Государственная пошлина за предоставление лицензии составляет 7500 рублей по статье 333.33 Налогового кодекса РФ на дату публикации, перед подачей сумму стоит сверить. Реальные затраты обычно заметно выше за счёт подготовки. Нужны специалисты с подтверждённым стажем, нежилые помещения, поверенное оборудование и сертифицированные средства защиты.

На какой срок выдают лицензию

Лицензия действует бессрочно, это закреплено статьёй 9 Федерального закона № 99-ФЗ, и продлевать её не нужно. С 2021 года лицензия существует как запись в реестре, а не как бумажный бланк.

Можно ли арендовать помещение и оборудование

Да, постановления допускают использование помещений и оборудования не только в собственности, но и на ином законном основании с правом владения и пользования, то есть в аренде или лизинге. Жильё под лицензируемую деятельность при этом не подходит, помещения должны быть нежилыми.

Чем лицензия на ТЗКИ отличается от лицензии на средства защиты

По постановлению № 79 лицензия на ТЗКИ нужна для услуг по защите информации, например для контроля защищённости, мониторинга, аттестации объектов информатизации и монтажа средств защиты. По постановлению № 171 лицензию получают те, кто разрабатывает и производит сами средства защиты. Требования к стажу руководителя во втором случае выше.

Лицензия на гостайну тоже от ФСТЭК России

Работы с государственной тайной лицензируются по отдельному постановлению Правительства РФ № 333, и лицензии в этой сфере выдают сразу несколько органов в пределах компетенции, включая ФСТЭК России и ФСБ России. Это отдельный режим, в данной статье он не рассматривается, здесь речь только о защите конфиденциальной информации.

Коротко о главном

Лицензия ФСТЭК России это пропуск на рынок защиты информации. В сфере конфиденциальной информации видов всего два, и спутать их не стоит. Лицензия на ТЗКИ по постановлению Правительства РФ № 79 нужна тем, кто защищает чужую информацию как услугу. Лицензия по постановлению № 171 нужна тем, кто разрабатывает и производит средства защиты. Криптография остаётся за ФСБ России, а работы с государственной тайной лицензируются отдельно по постановлению № 333.

Лицензию не стоит путать с сертификатом на средство защиты и с аттестатом на систему, потому что это три разные процедуры. Лицензия действует бессрочно и живёт как запись в реестре, поэтому проверять контрагента нужно именно там. Государственная пошлина за предоставление лицензии составляет 7500 рублей на дату публикации, но основные силы уходят на подготовку, на кадры с нужным стажем, помещения и оборудование, которые можно держать в собственности или в аренде. Работа без лицензии грозит юридическому лицу штрафом до 50 тысяч рублей и конфискацией, а при крупном ущербе или доходе наступает и уголовная ответственность. Поэтому к лицензированию имеет смысл относиться как к проекту, а не как к разовой подаче бумаг.

Игорь
Автор: Игорь
Представитель редакции CISOCLUB. Пишу статьи по ИБ, ИТ.
Комментарии: