Кого затрагивают изменения
1. Соискатели лицензии по ТЗКИ
В первую очередь изменения затронут компании, которые только планируют получать лицензию. Особенно это критично для тех, кто рассчитывал оформить лицензию минимальным составом, а специалистов, оборудование и инфраструктуру «добирать позже». Новый подход требует больше ресурсов для получения лицензии на ТЗКИ во ФСТЭК.
2. Действующие лицензиаты ФСТЭК
Требования становятся обязательными и для действующих владельцев лицензий, и их невыполнение может привести к аннулированию или приостановке лицензии в случае:
- отправки заявления во ФСТЭК на расширение перечня лицензируемых работ, которая инициирует проверку регулятора – ФСТЭК;
- плановых проверок;
- внеплановых проверок.
Цель изменений
Проект нацелен на то, чтобы лицензия по ТЗКИ (техническая защита конфиденциальной информации) подтверждала реальные ресурсы организации, а не только наличие формального пакета документов.
По сути, усиливаются три направления:
- Кадры: требования к количеству специалистов в штате и их опыту работы становятся «привязанными» к конкретным видам работ (например, для получения лицензии по подпункту «в» требуется опыт работы по этому подпункту.), а не общими «руководитель и пара специалистов с любым опытом в ИБ».
- Инфраструктура: важнее становится не адрес «на бумаге», а право собственности или владения на помещения, оборудование и ПО (программное обеспечение).
- Качество и контроль: вводится обязанность обеспечить производственный контроль качества (в т.ч. через СМК — систему менеджмента качества или иной сопоставимый механизм подтверждения).
Коротко про изменения
- Уточняются ограничения, связанные с иностранным участием, включая запрет на иностранное гражданство руководителя организации или ИП.
- Ужесточаются требования к персоналу: появляется минимальная численность ИТР (инженерно-технические работники) по конкретным подпунктам лицензируемых работ и формализуются требования к руководителю организации.
- Помещения: требуются нежилые помещения, а право владения на них должны подтверждаться документами (например, договор аренды, договор покупки помещения).
- Оборудование и ПО. Регулятор будет проверять не только фактическое наличие оборудования и ПО, но и их происхождение (с приоритетом отечественных решений), размещение на территории РФ, а также документальное подтверждение прав владения, пользования или использования. В качестве подтверждающих документов могут выступать договоры, акты приёма-передачи, договор аренды и иные правовые основания.
- Контроль качества: закрепляется необходимость производственного контроля качества для части работ.
- Проверки: закрепляется возможность документарной или выездной проверки на соответствие регулятором (ФСТЭК).
Требования к персоналу по видам работ
Для оформления лицензии организация должна предусмотреть в штатной структуре руководителя либо уполномоченное лицо, ответственное за организацию и контроль выполнения работ по заявленным подпунктам лицензии ФСТЭК.
Работы в области ТЗКИ могут выполняться только российскими субъектами. Проект исключает возможность осуществления такой деятельности:
- иностранными компаниями;
- организациями, управляемыми лицами с иностранным гражданством;
- ИП, не являющимися гражданами РФ.
Минимальная численность инженерно-технических работников (ИТК)
Проект изменений устанавливает минимальные пороги численности ИТК в зависимости от подпунктов пункта 4 ПП РФ № 79.
1. Пункт 4, подпункты «а», «б», «д», «е».
Минимальная численность — не менее 5 специалистов.
Каждый сотрудник должен соответствовать одному из условий:
- высшее образование (ВО) в сфере информационной безопасности (ИБ) и опыт работы по указанным подпунктам не менее трёх лет;
- иное ВО, опыт работы по указанным подпунктам не менее 3 лет и профессиональная переподготовка по ИБ по программе согласованной со ФСТЭК.
2. Пункт 4, подпункт «г» (аттестационные испытания и аттестация)
Минимальная численность — не менее 9 специалистов.
Квалификационная структура включает:
- не менее 3 сотрудников с ВО в сфере ИБ, опытом работы по подпункту «г» не менее 3 лет;
- не менее 6 сотрудников — ВО или среднее профессиональное образование (СПО) в сфере ИБ либо иное соответствующее образование.
3. Пункт 4, подпункт «в» (мониторинг ИБ и информационных систем)
Минимальная численность — не менее пятнадцати специалистов.
Требования к квалификации предусматривают:
- не менее 5 сотрудников с ВО или СПО в сфере ИБ либо иным образованием при подтверждённом опыте работы по подпункту «в» не менее 3 лет;
- не менее 9 сотрудников — ВО или СПО и профессиональная переподготовка в сфере ИБ.
4. Повышение квалификации (для всех подпунктов)
ИТР должны повышать квалификацию в сфере ИБ минимум раз в 5 лет.
Требования к помещению
Лицензиат должен использовать помещения, не относящиеся к объектам жилого назначения. Требование направлено на подтверждение того, что организация располагает реальной инфраструктурой для выполнения лицензируемых работ, а не ограничивается формальным юридическим адресом.
Помещения должны принадлежать организации на праве собственности либо использоваться на ином законном основании, предусматривающем право собственности и пользования, например:
- договор аренды;
- договор безвозмездного пользования;
- субаренда (при наличии соответствующего разрешения);
- оперативное управление.
Практический смысл требования — подтвердить законность размещения персонала, оборудования и средств защиты информации по месту осуществления лицензируемой деятельности.
Требования к оборудованию и ПО
Проект усиливает требования не только «к наличию», но и к правовому и организационному статусу оборудования и ПО:
- на оборудование — необходимо подтвердить право собственности или пользования (например, договор аренды);
- на ПО — необходимо подтвердить право использования (лицензии, договоры, акты передачи, условия использования).
Дополнительные требования касаются:
-
Средствам измерений, если они требуются по конкретному виду работ.
Пример: программно-аппаратный комплекс поиска и измерения побочных электромагнитных излучений и наводок (ПЭМИН) и другие измерительные комплексы, применяемые при контроле защищённости и испытаниях.
- Сертифицированным программным и программно-техническим средствам, включая средства контроля эффективности защиты.
- Средствам контроля (анализа) исходных текстов (кодов) ПО, если это предусмотрено заявленными работами.
Практический вывод: «железо и софт есть» — уже недостаточно. Нужны права, подтверждающие документы и основания применения по видам работ.
Система менеджмента качества (СМК)
Одним из ключевых нововведений проекта изменений к ПП РФ № 79 становится закрепление требований к производственному контролю качества выполняемых работ.
Проект изменений закрепляет практику, которая ранее применялась в рабочем порядке. Организациям недостаточно только специалистов и оборудования. Требуется выстроенная система управления качеством.
Практически это означает необходимость внедрения и поддержания:
- системы менеджмента качества (СМК), либо
- иного документально оформленного механизма производственного контроля качества.
Речь идёт не о формальном «наличии сертификата», а о реально функционирующих процессах, которые подтверждают:
- порядок выполнения работ;
- контроль качества результатов;
- распределение ответственности;
- фиксацию и анализ несоответствий;
- корректирующие мероприятия.
Практический смысл требования — обеспечить воспроизводимость, управляемость и проверяемость деятельности лицензиата.
Для организаций это означает необходимость документального описания процессов, регламентов, контрольных процедур и механизмов внутреннего контроля. Примером такого документарного подтверждения является сертификация по ISO 27001.
Проверка на соответствие
Проект закрепляет, что проверка регулятором (ФСТЭК) может быть:
- документарной,
- выездной,
- либо сочетанием двух форм.
Это повышает важность фактической готовности: проверять могут не только комплект бумаг, но и реальные условия выполнения работ (помещения, наличие специалистов, оборудование, процессы контроля качества). Проверять могут не только организации, планирующие получить лицензию, но и действующих лицензиатов.
Что стоит подготовить заранее
На практике усиление требований обычно приводит к тому, что «слабым звеном» становятся подтверждение выполнения требований. Рекомендуется заранее (до вступления проекта в силу) собрать следующие документы:
- по персоналу: документы по образованию, переподготовке и подтверждению опыта именно по заявляемым (оказываемым) работам;
- по помещениям: правоустанавливающие документы (собственность или договор аренды/пользования и т.п.);
- по оборудованию: паспорта, формуляры, акты и документы собственности/пользования;
- по ПО: лицензионные документы, договоры, акты и подтверждение законности использования;
- по средствам измерений: документы поверки/калибровки (если применимо);
- по контролю качества: документы и записи производственного контроля качества (СМК или аналог).
Сводная таблица изменений
| Направление | Было | Стало |
| Персонал | Общие требования к наличию руководителя и специалистов без жёсткой привязки к видам работ. | Минимальная численность ИТР зависит от конкретных подпунктов пункта 4. Формализуются требования к опыту и квалификации. |
| Помещения | Ранее основным требованием было наличие адреса и формального подтверждения размещения. | Обязательны нежилые помещения с подтверждёнными правами собственности и (или) пользования, проверяется фактическая инфраструктура. |
| Оборудование и ПО | Основной акцент — наличие средств защиты и оборудования. | Важны права на использование, происхождение, размещеные в РФ. |
| Контроль качества | Требования к системе качества не детализировались для всех работ. | Закрепляется обязанность производственного контроля качества (СМК или сопоставимый механизм) для части работ. |
| Проверки | На практике преобладала документарная оценка. | Возможна документарная или выездная для оценки выполнения требований по лицензирвоанию. |
Последствия нарушений
К грубым нарушениям в процессе получения лицензии или при проверке относят:
- Нарушение установленных ограничений
- Критичные кадровые несоответствия
- Отсутствие инфраструктуры (помещения, оборудования)
- Формальный характер системы контроля качества (когда производственный контроль существуют только «на бумаге»)
Если регулятор (ФСТЭК) фиксирует грубое нарушение, возможны:
- повышенное внимание при дальнейшем контроле
- внеплановые проверки
- отказ в предоставлении лицензии
- приостановление действия лицензии
- аннулирование лицензии
Итог
Проект изменений к ПП РФ № 79 повышает порог входа в лицензирование по ТЗКИ. Ключевое значение теперь имеют кадровые ресурсы, подтверждённые права на инфраструктуру и инструменты, а также управляемая система контроля качества.
Главная рекомендация — сначала определить перечень выполняемых работ (нужных пунктов лицензии), затем сформировать доказательную базу, и только после этого выходить на лицензирование или расширение области действия лицензии.
Управление информационной безопасности сопровождает организации при получении лицензии ФСТЭК России на деятельность по ТЗКИ. Эксперты УИБ сопровождают процедуру комплексно, обеспечивая корректную подготовку организации к лицензированию.
Работы выполняются комплексно — от анализа готовности до подготовки подтверждающих материалов и взаимодействия с регулятором.