Об изменениях
ПП № 171 регулирует лицензирование деятельности по разработке и производству СЗКИ. Проект переводит требования из «декларативных» в «доказательные»: важны не только наличие персонала и ресурсов, но и подтверждающие документы, а также готовность пройти документарную и/или выездную проверку регулятора — ФСТЭК.
Эксперты компании «Управление информационной безопасности» проанализировали ключевые изменения в формате «было/стало».
Ограничения для иностранных лиц и управленцев
| Было | Станет |
|---|---|
|
Лицензируемая деятельность не допускается для иностранных юридических лиц. |
Перечень ограничений становится шире. Лицензируемая деятельность недопустима для:
|
Иными словами, Иными словами, критерий «иностранного элемента» распространяется на управленческую роль: значение имеет не только структура компании, но и гражданство руководителя.
Квалификация и опыт ИТР
Проект в текущей редакции требует, чтобы у соискателя был руководитель или уполномоченное лицо и минимальное количество инженерно-технических работников. При этом учитываются варианты по образованию и опыту.
В проекте меняется сама логика оценки: требования становятся более “предметными” и привязаны к лицензируемому виду деятельности.
| Было | Станет |
|---|---|
|
Лицензируемая деятельность не допускается для иностранных юридических лиц. Руководитель (или уполномоченное лицо) мог соответствовать одному из вариантов:
Специалисты. Соискатель лицензии обязан иметь в штате по основному месту работы ИТР. Для таких сотрудников предусмотрены квалификационные требования: профильное ВО в области ИБ и стаж не менее 3 лет либо иное ВО при наличии профессиональной переподготовки в области ИБ и стажа не менее 3 лет. Таким образом, минимальный порог по численности ИТР оставался относительно низким и не зависел от типа создаваемой продукции — при условии формального выполнения требований к руководителю и ИТР |
Проект впервые вводит «минимум по команде» отдельно для разных блоков продукции. Численность ИТР становится неодинаковой: один порог — для технических средств, другой — для программных и программно-технических решений.
|
Практический смысл: теперь важно не только, что «есть сотрудники», а какой у них подтверждённый опыт работы по конкретной лицензируемой деятельности, и достаточно ли людей под заявляемый контур разработки/производства.
Оборудование и программные средства: происхождение, размещение, права
| Было | Станет |
|---|---|
|
В ПП №171 уже присутствовали обязательность наличия оборудования и программных средств по перечням (включая измерительные средства с поверкой/калибровкой, сертифицированные ФСТЭК СЗИ, средства анализа исходных текстов программного обеспечения (ПО), а также необходимость правовых оснований владения/пользования. |
Проект развивает блок требований к оборудованию и обеспечению по трём направлениям: 1. Происхождение — акцентируется приоритет отечественного оборудования и программных средств. В тексте проекта используется формулировка «преимущественно отечественного производства», при этом конкретные количественные показатели (доли, проценты, минимальные значения) не устанавливаются. 2. Размещение — закрепляется размещение в РФ. Как и в случае с происхождением, проект не вводит количественных критериев, а фиксирует сам факт территориальной локализации как обязательное условие соответствия; 3. Право владения — формулировки становятся точнее:
|
Практический смысл: проверка смещается от вопроса «есть ли оборудование» к вопросу «что это за средства, где они находятся и на каком основании применяются».
Производственный контроль качества и безопасная разработка ПО
| Было | Станет |
|---|---|
Присутствовали требования к системе производственного контроля, но без детальной фиксации требований именно к контролю качества и без привязки к стандарту безопасной разработки. |
Проект вводит две новых нормы:
Также в проекте появляется логика подтверждения: в отдельных случаях допускается подтверждать зрелость процесса либо документами (например, руководством по безопасной разработке), либо независимой оценки (например, сертификатом соответствия процессов), если она предусмотрена проектом. |
Практический смысл: «бумаги ради лицензии» становятся слабым аргументом. Регулятору важнее показать, как реально устроена разработка: требования к коду, контроль изменений, управление уязвимостями, проверка результатов, разбор несоответствий и корректирующие действия.
Информационная система (ИС) для работы с конфиденциальной информацией
| Было | Станет |
|---|---|
В действующей редакции ПП РФ № 171 отдельное обязательное требование наличия у соискателя лицензии ИС для обработки конфиденциальной информации прямо не выделялось. |
Проект изменений вводит прямое требование: организация должна иметь по месту деятельности ИС для обработки конфиденциальной информации и использовать средства защиты информации (СЗИ), прошедшие оценку соответствия требованиям безопасности (аттестованных или сертифицированных). |
Практический смысл: под лицензирование подпадает не только производство/разработка как таковые, но и среда, в которой обрабатываются материалы разработки и иные конфиденциальные сведения. Это повышает требования к «внутреннему периметру» компании.
Проверки регулятором
| Было | Станет |
|---|---|
В действующей редакции основной формат контроля соответствия лицензионным требованиям — документарная проверка. |
Проект закрепляет возможность документарной и (или) выездной оценки соответствия, включая комбинированный формат. При этом форма и порядок оценки закрепляются за лицензирующим органом. |
Практический смысл: компания должна быть готова не только «показать папку», но и подтвердить на месте: персонал, рабочие места, используемые средства, фактическое размещение, процессы и записи контроля качества.
Грубые нарушения
| Было | Станет |
|---|---|
В действующей редакции грубыми нарушениями считались наиболее критичные несоответствия лицензионным требованиям. К таким ситуациям относились, например, отсутствие необходимого квалифицированного персонала, несоответствие сотрудников установленным требованиям, отсутствие обязательного оборудования или использование средств, не предусмотренных нормативными требованиями. Подобные нарушения рассматривались как основания для приостановки действия лицензии или её аннулирования. |
Проект расширяет перечень грубых нарушений, включая новые требования (в том числе ограничения по иностранным лицам и дополнительные блоки, которые проект вводит как обязательные условия). |
Практический смысл: возрастает цена кадровых и инфраструктурных несоответствий. Риски становятся существеннее для действующих лицензиатов, особенно при проверках и при изменениях в структуре управления.
Что меняется для бизнеса
- Порог входа выше: без команды нужной численности и с подтверждённым опытом работы по лицензируемой деятельности получить лицензию будет сложнее.
- Кадровые документы становятся критичными: дипломов мало — потребуется доказуемость опыта работы и соответствия роли в работах.
- Для разработчиков программных СЗКИ усиливается контроль разработки: безопасная разработка и контроль качества становятся предметом проверки.
- Инфраструктура — не фон, а часть соответствия: происхождение/размещение средств, правовые основания и защищённая ИС становятся обязательной частью готовности.
- Риски для действующих лицензиатов растут: обновлённые основания «грубых нарушений» и расширение форм проверок повышают вероятность жёстких последствий при несоответствии.
Итог
В целом проект переводит лицензирование разработки и производства СЗКИ в режим «проверяемой зрелости». Центральный блок — кадры: релевантный опыт по лицензируемым работам, корректные квалификационные подтверждения и минимальные составы ИТР (5 — для технических средств, 10 — для программных/программно-технических).
Параллельно усиливаются требования к инфраструктуре, правовому режиму использования средств, производственному контролю качества и практикам безопасной разработки, а также к готовности проходить выездные мероприятия контроля.
Управление информационной безопасности сопровождает организации при получении лицензии ФСТЭК России на разработку и производство СЗКИ. Эксперты УИБ помогают подготовить компанию к лицензированию комплексно: от оценки готовности и закрытия «узких мест» до подготовки подтверждающих материалов и сопровождения взаимодействия с регулятором.