Лицензия ФСТЭК: трудно получить, легко потерять, невозможно забыть
Лицензии ФСТЭК на отдельные виды деятельности получают многие компании. В их числе все, кто занимается безопасностью конфиденциальной информации и разработкой соответствующих средств защиты. Обычно сам процесс лицензирования бывает мучительно долгим. Поэтому, как только он успешно заканчивается, компании предпочитают забыть все случившееся как страшный сон.
А что наяву? Почему-то многие говорят только о процессе получения лицензии ФСТЭК в части защиты конфиденциальной информации, хотя это лишь вершина айсберга. Под водой остается еще много работы. Лицензия получена, а значит требованиям придется соответствовать до тех пор, пока она действует.
Что необходимо делать потом и почему, рассказывают редко. Попробуем это исправить вместе с коллегами из COSMACOM, которые помогают компаниям получать лицензии ФСТЭК, ФСБ и других ведомств.
О чем речь
Организации, которые работают с конфиденциальной информацией, должны иметь действующие лицензии ФСТЭК России. Этого требует 99-ФЗ и Гражданский кодекс.
В частности, речь идет о двух лицензиях:
● на деятельность по разработке и производству средств защиты конфиденциальной информации (СЗКИ),
● на деятельность по технической защите конфиденциальной информации (ТЗКИ).
Чтобы получить лицензии, компания готовит все необходимые документы: от письменного подтверждения права на владение помещением до копий трудовых книжек сотрудников. Все это вместе с заявлением направляется в отдел лицензирования ФСТЭК. Спустя некоторое время приходит ответ. Как правило, в нем указывают на ошибки и недостающие документы, если в лицензионном деле есть какие-то негрубые нарушения.
Компания исправляет все недоработки в течение срока, указанного в письме. Обновленный пакет документов уходит во ФСТЭК. Если все ок, компания ждет до 40 дней — за это время регулятор изучит все предоставленные данные и примет решение.
Получить лицензию ФСТЭК с первого раза получается не всегда. Иногда процедура затягивается на полгода и больше. Вот пример с Хабра — в этом случае потребовалось пять месяцев.
Есть ли у компании лицензии по работе с конфиденциальной информацией, можно проверить в реестрах ФСТЭК России. Там же есть данные о статусе документов.
Например, в реестрах ФСТЭК можно увидеть, что у нашей компании (НУБЕС) есть две действующие лицензии: № Л050–00107–77/00662128 и № Л024–00107–77/00662125. Оба документа мы получили 7 июля 2023 года на неопределенный срок.
Чем рискует лицензиат
Обычно проверки регулятора проходят планово — к ним можно подготовиться. Но бывают ситуации, когда ФСТЭК приходит в компанию неожиданно. Такие проверки инициируются на основании жалоб других лиц (клиентов, партнеров, конкурентов, сотрудников и т.д.). Насколько часто это происходит, сказать трудно.
Недочеты при проверках выявить несложно, и такое карается законом. За халатность можно получить штраф, а можно лишиться лицензии.
Начнем с менее внушительных санкций. Читаем часть 3 статьи 14.1 КоАП: «Осуществление предпринимательской деятельности с нарушением требований и условий, предусмотренных специальным разрешением (лицензией)» грозит предупреждением или штрафом:
● для должностных лиц — 3–4 тыс. руб.,
● для юрлиц — 30–40 тыс. руб.
Далее в той же статье КоАП (ч. 4) указываются санкции за грубое нарушение требований и условий лицензии:
● для должностных лиц — 5–10 тыс. руб.,
● для юрлиц — 100–200 тыс. руб. или (внимание!) приостановление деятельности на срок до 90 суток.
И наконец, Уголовный кодекс РФ (ст. 171) для особо тяжких случаев предусматривает штрафы до 500 тыс. руб. и лишение свободы для ответственных лиц на срок до 5 лет.
Что делать
Вместе с лицензией ФСТЭК России вы получаете не только разрешение предоставлять услуги и выполнять работы по защите конфиденциальной информации. По умолчанию вам также достается множество требований, которые придется соблюдать до окончания срока действия документа (если речь о неопределенном сроке, то читайте «всегда»).
Итак, скорее всего, при лицензировании вам пришлось аттестовать объекты информации по требованиям ИБ. А значит, вы также аттестовали автоматизированные рабочие места для работы с конфиденциальной информацией и защищаемое помещение.
К чему мы ведем? К тому, что лицензиату придется регулярно проходить технический (инспекционный) контроль. Такие проверки проводят организации, которые имеют лицензию на ТЗКИ с соответствующим видом работ (работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации). И делать это нужно ежегодно, даже если вы получили аттестаты соответствия информационных объектов на неопределенный срок.
Все отметки о прохождении технического контроля проставляются в техническом паспорте объекта информации. Если их нет, регулятор может сделать вывод, что компания нарушает правила работы с конфиденциальной информацией.
Кроме того, претензии появятся, если компания использует устаревшие программы и средства защиты на автоматизированных рабочих местах, а также в защищаемых помещениях. Все лицензии и сертификаты соответствия должны быть действующими. Лицензия ПО подтверждает, что вы не нарушаете права использования интеллектуальной собственности, а сертификат — что используемая версия соответствует текущим требованиям к средствам защиты информации.
Часто на аттестованных рабочих местах выявляют, что истек срок действия лицензии антивируса или у него нет действующего сертификата. Если помните историю с Dr.Web, то сама компания может быть даже не виноватой в этом. Но отслеживать статусы лицензий и сертификатов нужно в любом случае. Для регулятора такое бездействие — очевидный сигнал о том, что автоматизированное рабочее место уязвимо и влечет «нарушение ведения работы с конфиденциальной информацией».
Еще опаснее ситуация, если у компании есть соглашения о конфиденциальности, которые она заключила с контрагентами. В этих документах обычно указывается, что работа с конфиденциальной информацией ведется именно на аттестованных объектах информации. А значит, если у вашего контрагента нет средств защиты с действующей лицензией и сертификатом соответствия, то любая утечка ваших данных может грозить для него огромными штрафами. В отдельных случаях они достигают десятков миллионов рублей.
Кстати, для регулятора важны не только аттестованные автоматизированные рабочие места. Во многих случаях ФСТЭК смотрит, что происходит на ПК разработчика. Здесь то же самое: отслеживаем сроки действия лицензий на операционную систему, средства разработки, антивирусное ПО, средства анализа программного кода и т.д.
Особое внимание стоит уделить средствам контроля защищенности информации, гарантированного уничтожения информации и подсчета контрольных сумм. Как правило, здесь речь идет о таких продуктах, как Сканер ВС Инспектор либо о наборе программ: Фикс, Террер, Ревизор 1 ХР, Ревизор 2 ХР, Ревизор Сети. Их лицензии также должны быть действующими.
Кроме того, если у вас установлена система виброакустической защиты в защищаемых помещениях, необходимо регулярно проводить ее поверку.
Также при аттестации объектов информатизации и некоторых других видов работ лицензиат обязан иметь комплект контрольно-измерительного оборудования. Оно должно соответствовать требованиям регулятора, а также иметь действующие свидетельства о поверке и (или) калибровке — работы нужно осуществлять согласно установленному плану.
Помимо этого лицензиат обязан самостоятельно отслеживать изменения нормативно-технических документов ФСТЭК, чтобы вовремя реагировать на изменения и соответствовать новым установленным требованиям.
Еще один важный момент — кадры. В компании-лицензиате должны работать сотрудники, которые соответствуют требованиям ФСТЭК по стажу и квалификации. В нашем случае важно, что говорят Постановления Правительства № 79 и № 171. Одно из требований, которое явно следует учитывать: сотрудники должны проходить повышение квалификации минимум раз в пять лет.
Если при проверке вдруг выяснится, что в компании работают недостаточно компетентные сотрудники или их меньше, чем нужно, то придется заплатить штраф. Его предъявят генеральному директору и организации даже в том случае, если установленного количества работников не было всего пару месяцев на протяжении срока действия лицензии.
На этом все. Консультанты отмечают, что перечисленных мер вполне достаточно, чтобы не потерять лицензию ФСТЭК, деньги и репутацию. Возможно, уже скоро мы вернемся с кейсами по делам лицензиатов из судебной практики. А пока, если у вас остались вопросы по теории, давайте их обсудим в комментариях.
