Федеральная службапо техническому и экспортному контролюфстэк россии

Нормативная база ФСТЭК России

Напомним, что органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ, является ФСТЭК России. Это закреплено указом Президента Российской Федерации от 25.11.2017 г. № 569 «О внесении изменений в Положение о ФСТЭК России, утвержденное Указом Президента Российской Федерации от 16.08.2004 г. № 1085». Специалисты ведомства серьезно подошли к поставленной задаче и уже к концу зимы разработали и ввели нормативную базу, необходимую для категорирования потенциальных объектов КИИ и создания систем их защиты. Состав указанной нормативной базы приведен в таблице 1.

Таблица 1. Состав нормативной базы ФСТЭК России в области обеспечения информационной безопасности КИИ

Ключевыми для потенциальных субъектов КИИ и представителей IT/ИБ-отрасли, которые готовы помогать субъектам КИИ в реализации положений Закона, являются Правила категорирования, Приказ № 235 и Требования по безопасности КИИ. Эти документы и определяют последовательность действий, которые должны быть выполнены потенциальным субъектом КИИ:

1. В соответствии с Правилами категорирования провести инвентаризацию, обследование и определение категорий значимости принадлежащих ему объектов КИИ;
2. В зависимости от присвоенной категории значимости на основании Требований по безопасности КИИ спроектировать систему защиты и определить состав средств для ее реализации;
3. Внедрить систему защиты и впоследствии осуществлять ее эксплуатацию в соответствии с Приказом № 235.

Далее приводится краткий обзор требований каждого из этих документов.

Какая именно лицензия ФСТЭК вам необходима

Зачем нужна «лицензия ФСТЭК» и кому она определенно и точно необходима зависит в первую очередь от специфики деятельности конкретной организации, занятой в сфере информационной безопасности. Например, это может быть — организация и обеспечение конфиденциальности переговоров или переписки, обработка и передача персональных данных, создание, установка и обслуживание аппаратуры и компьютерных программ на режимных (закрытых, секретных) государственных и иных объектах.

ЛИЦЕНЗИРОВАНИЕ ФСТЭК И СФЕРЫ ДЕЯТЕЛЬНОСТИ

Если рассматривать «лицензирование ФСТЭК» с точки зрения отраслевых — прикладных сфер деятельности, то в этом контексте определенная необходимость в обеспечении сохранности (конфиденциальности) информации присутствует в области медицины, сере транспорта — грузоперевозок, банковском секторе, области науки и образования, непременно — специализированной сфере IT-технологий.

Лицензирование ФСТЭК – Москва

Мы поможем соискателям успешно и в сжатые сроки пройти процедуру лицензирования ФСТЭК и оформить Лицензию, при оказании услуг в получении — в комплексе и «под ключ».

Сбор документов: Мы помогаем заинтересованным компаниям грамотно подготовить полный комплект необходимой документации,
обосновывающей заявленную деятельность.Заявка на лицензирование в ФСТЭК:
Подаем заявление на выдачу лицензии и подготовленные документы в соответствующий департамент ФСТЭК.Обучение персонала:
При необходимости, проводим обучение – повышение квалификации специалистов в области защиты информации.Получение лицензии:
Получаем для Заказчика — соискателя лицензии на тех-защиту информации» , 1- номер; 2-бланк оригинала лицензии ФСТЭК.
Забираем лицензию из лицензионного органа и отправляем курьерской доставкой, почтой либо передаем на руки Заказчику.

Основные и наиболее часто востребованные лицензии ФСТЭК:

на деятельность по технической защите конфиденциальной информацииа) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:

• в средствах и системах информатизации;
• в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
• в помещениях со средствами (системами), подлежащими защите;
• в помещениях, предназначенных для ведения конфиденциальных переговоров (далее — защищаемые помещения);

б) услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;в) услуги по мониторингу информационной безопасности средств и систем информатизации;г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:

• средств и систем информатизации;
• помещений со средствами (системами) информатизации, подлежащими защите;
• защищаемых помещений;

д) работы и услуги по проектированию в защищенном исполнении:

• средств и систем информатизации;
• помещений со средствами (системами) информатизации, подлежащими защите;
• защищаемых помещений;

е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации:

• технических средств защиты информации;
• защищенных технических средств обработки информации;
• технических средств контроля эффективности мер защиты информации;
• программных (программно-технических) средств защиты информации;
• защищенных программных (программно-технических) средств обработки информации;
• программных (программно-технических) средств контроля эффективности защиты информации).

на деятельность по разработке и производству средств защиты конфиденциальной информации:

• разработка средств защиты конфедициальной информации, в том числе:
  техниских средств защиты информации;
  защищенность технических средств обработки информации;
  технических средств контроля эффективности мер защиты информации;
  програмных (програмно-технических) средств защиты информации;
  защищенных програмных (програмно-технических) средств обработки информации;
  програмных (програмно-технических) средств контроля защищенности информации.

• производство средств защиты конфидициальной информации, в том числе:
  технических средств защиты информации;
  защищенных технических средств обработки информации;
  технических средств контроля эффективности мер защиты информации;
  програмных (програмно-технических) средств защиты информации;
  защищенных програмных (програмно-технических) средств обработки информации;
  програмных (програмно-технических) средств контроля защищенности информации.

на осуществление мероприятий или оказание услуг в области защиты государственной тайны*:на проведение работ, связанных с созданием средств защиты информации*.

Для получения лицензии соискатель лицензии направляет или представляет в лицензирующий орган следующие документы:

• заявление о предоставлении лицензии и документы (копии документов), указанные в пункте 1 статьи 13 Федерального закона «О лицензировании отдельных видов деятельности»;
• копии документов, подтверждающих квалификацию специалистов соискателя лицензии, выполняющих работы по лицензируемой деятельности (дипломов, удостоверений, свидетельств);
• копии документов, подтверждающих право собственности, право хозяйственного ведения или оперативного управления на помещения, предназначенные для осуществления лицензируемой деятельности, либо копии договоров аренды указанных помещений или безвозмездного пользования ими;
• копии документов, подтверждающих право на используемые для осуществления лицензируемой деятельности программы для электронно-вычислительных машин и базы данных;
• сведения о наличии производственного, испытательного и контрольно-измерительного оборудования, необходимого для осуществления лицензируемой деятельности, с приложением копий документов о поверке контрольно-измерительного оборудования;
• копии документов о наличии технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг по вопросам технической защиты информации.
• копии документов, подтверждающих наличие системно-производственного контроля, включающего правилаи процедуры проверки и оценки системы разработки средств защиты конфедициальной информации, учета изменений, вносимых в проектную и конструкторскую документацию на разрабатываемую продукцию
• копии документов, подтверждающих наличие системно-производственного контроля, включающего правилаи процедуры проверки и оценки системы производства средств защиты конфедициальной информации, оценки качетва выпускаемой продукции и неизменности установленных параметров, учета изменений, вносимых в техническую конструкторскую документацию на производимую продукцию
• копия платежного поручения (госпошлины)

Требования к документами

В зависимости от выбранного типа лицензии и видов работ, требования к документам, которые должны быть в наличии у соискателей, существенно отличаются. Публиковать здесь весь перечень документации нет никакого смысла, потому что в каждом конкретном случае этот список будет индивидуален.

В 79 Постановлении Правительства фигурирует список из 117 документов, а 171 Постановлении Правительства – 144. Не смотря на то, что список требуемых документов достаточно объёмный, мы постарались объединить их в условные группы.

По 79 ПП:

1. Руководящие документы в отношении средств защиты и несанкционированного доступа к ним;
2. Положение о сертификации средств защиты информации по требованиям безопасности информации;
3. Требования и рекомендации по технической защите конфиденциальной информации
4. Временные методики оценки защищенности конфиденциальной информации и помещений
5. Требования к обеспечению защиты информации в автоматизированных системах
6. ГОСТ-ы с общими положениями и правилами эксплуатации СЗИ
7. СНиП-ы

И другие.

По 171 ПП:

1. Руководящие документы в отношении средств защиты и несанкционированного доступа к ним;
2. Временные методики оценки защищенности конфиденциальной информации и помещений;
3. Специальные требования и рекомендации по ТЗКИ;
4. Сборник методических документов по ТЗКИ;
5. Профили защиты систем обнаружения различных уровней вторжений;
6. Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами;
7. ГОСТ-ы с общими положениями и правилами эксплуатации СЗИ.

И другие.

Подготовка документов является очень важной частью в процессе лицензирования, что естественным образом вызывает основные трудности у соискателей, начиная от вопроса какой актуальный список документов готовить, заканчивая, как их правильно оформить под свою организацию. Именно поэтому мы рекомендуем обратиться к нам за юридической помощью в вопросе подготовке пакета документации

Мы можем сделать всё как под ключ, так и предоставив необходимые бланки для самостоятельного оформления

Именно поэтому мы рекомендуем обратиться к нам за юридической помощью в вопросе подготовке пакета документации. Мы можем сделать всё как под ключ, так и предоставив необходимые бланки для самостоятельного оформления.

Варианты процесса лицензирования

Есть три пути получить разрешение от государства:

1. Обратиться самостоятельно. Такой путь заставит столкнуться с определенными трудностями, ведь неподготовленный соискатель часто упускает ряд нюансов при оформлении документов и пренебрегает получением необходимых навыков своими сотрудниками. А это напрямую влияет на сроки лицензирования, заставляет тратить лишнее время, тем самым уменьшая прибыль предприятия.
2. Получение частично помощи в предлицензионной подготовке. Такое решение станет более эффективным и позволит избежать многих проблем. Но поскольку юридическая поддержка будет не полной, то стопроцентных гарантий никто дать не может.
3. Полное сопровождение на всех этапах. Квалификация и опыт специалистов – гарантия успеха, экономии времени и максимальной выгоды для предприятия.

В итоге

С вступлением в силу Закона и подзаконной нормативной базы окончательно поставлена точка в вопросе необходимости обеспечения информационной безопасности КИИ. Защищать КИИ нужно! И делать это придется планомерно и на регулярной основе всем организациям, которые осуществляют деятельность в банковской и кредитно-финансовой сфере, в областях здравоохранения, науки, транспорта, связи, энергетики и ТЭК, а также оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленностях.

Начать необходимо с инвентаризации собственной информационной инфраструктуры, что позволит выявить потенциальные значимые объекты КИИ. После чего провести их категорирование и сформировать набор требований по обеспечению безопасности, и затем создать и обеспечить эксплуатацию соответствующей системы защиты.

Для создания системы защиты потребуются качественные СрЗИ, подтвержденные сертификатами соответствия регуляторов (ФСТЭК России и ФСБ России), а также наличие квалифицированного персонала.

Скачать PDF версию