Сопровождаем получение лицензии ФСТЭК на работы со средствами защиты конфиденциальной информации: аудит продукта, команды и документов.
Лицензия ФСТЭК на разработку и производство средств защиты конфиденциальной информации СЗКИ нужна компаниям, которые не просто внедряют готовые решения, а создают, производят, дорабатывают или сопровождают средства защиты в контуре технической защиты конфиденциальной информации. Это сложная лицензия: проверяется не красивое описание продукта, а способность организации вести разработку, производство, контроль, документацию и защиту собственных процессов.
Реестр Гарант сопровождает такие проекты на основе постановления Правительства РФ № 79 о лицензировании деятельности по технической защите конфиденциальной информации. Мы сразу отделяем ФСТЭК от ФСБ: если речь идет о криптографии и шифровании, правовой режим другой. Если продукт относится к технической защите конфиденциальной информации, нужны требования ФСТЭК, специалисты, помещения, оборудование, методики и управляемая документация.
Лицензия ФСТЭК на разработку и производство СЗКИ: кому нужна
Лицензия актуальна разработчикам программных и программно-аппаратных решений, производителям средств защиты, интеграторам, которые модифицируют защитные механизмы, и компаниям, работающим с системами защиты конфиденциальной информации заказчика. Важно понимать: не любая IT-разработка требует лицензии ФСТЭК. Если компания делает обычную CRM или сайт, лицензирование не возникает автоматически. Вопрос появляется, когда предмет договора связан с защитой конфиденциальной информации и работами из лицензируемого перечня.
Мы начинаем с анализа продукта и договоров. Что именно разрабатывается, какие функции защиты заявлены, есть ли эксплуатационная документация, кто заказчик, где проходит разработка, кто имеет доступ к исходным материалам, как ведется контроль версий и испытания. Без этого невозможно честно сказать, нужна лицензия или достаточно иной модели подтверждения компетенции.
Что проверяется при подготовке
| Блок | Что должно быть | Где обычно проблема |
|---|---|---|
| Специалисты | Профильное образование, опыт, должностные функции, обучение | Разработчики есть, но их компетенции не связаны с технической защитой информации |
| Помещения | Рабочие зоны, режим доступа, хранение документации и носителей | Разработка распределена, а порядок доступа не описан |
| Оборудование | Стенды, средства контроля, программные инструменты, учет | Инструменты используются фактически, но не закреплены документально |
| Документы | Методики, регламенты разработки, испытаний, контроля качества, защиты информации | Документы написаны общими словами и не отражают реальный процесс |
Сроки и стоимость
Стоимость сопровождения начинается от 339 000 рублей. Срок зависит от зрелости компании: у одних уже есть команда, помещения, документы и продуктовая база, другим нужно заново описывать процесс разработки и контроля. Для карточки ставим ориентир от 45 рабочих дней после готовности исходных данных. Если нужно выстраивать процессы, срок рассчитывается отдельно.
| Этап | Ориентир | Результат |
|---|---|---|
| Аудит продукта и договоров | 2–3 рабочих дня | Понимание, нужна ли именно лицензия ФСТЭК |
| Проверка ресурсов | 3–7 рабочих дней | Список недостающих специалистов, документов, помещений и инструментов |
| Подготовка пакета | от 10 рабочих дней | Заявление, приложения, регламенты и пояснения |
| Сопровождение процедуры | от 45 рабочих дней | Контроль статуса и помощь с запросами |
Какие документы нужны
Понадобятся регистрационные данные организации, сведения о руководителе, документы по специалистам, описание помещений и рабочих зон, перечень оборудования и программных средств, документы на продукт или вид работ, регламенты разработки, производства, испытаний, контроля качества и защиты информации. Если часть разработки ведется удаленно или с подрядчиками, этот блок нужно разобрать отдельно: не всякая распределенная модель удобно ложится в лицензионный пакет.
Мы обращаем внимание на язык документов. Фразы вроде «компания обеспечивает защиту информации» ничего не доказывают. Нужно показать, кто отвечает за доступы, как ведется учет носителей, где хранятся материалы, как фиксируются изменения, как проверяется результат, как отделяются тестовые и рабочие данные.
Когда лицензия ФСТЭК не нужна
Лицензия может не требоваться, если компания только использует готовые средства защиты для собственных нужд, продает коробочное ПО без работ по технической защите конфиденциальной информации или оказывает общие IT-услуги без лицензируемого предмета. Но договоры часто написаны широко, поэтому лучше проверить формулировки до участия в тендере. Заказчик может требовать лицензию ФСТЭК там, где техническое задание фактически включает защиту конфиденциальной информации.
Частые ошибки
Первая ошибка — путать ФСТЭК и ФСБ. Криптография относится к другому лицензированию, и смешение режимов плохо выглядит в заявке. Вторая — заявлять разработку СЗКИ, когда компания не может показать процесс разработки и контроля. Третья — недооценивать документы по помещениям и доступам. Четвертая — писать регламенты после продукта, не понимая, как разработчики реально работают. Мы стараемся привести документы к живому процессу, а не создавать бумажную декорацию.
Кейс из практики
IT-компания пришла с требованием заказчика о лицензии ФСТЭК для доработки средства защиты в корпоративной системе. Разработчики были сильные, но процесс контроля версий, доступа к материалам и испытаний существовал только в таск-трекере. Мы помогли описать рабочие зоны, роли, учет, порядок изменений, подготовили документы по специалистам и отделили криптографические функции, которые нельзя было заявлять в рамках ФСТЭК. После аудита клиент понял, какие работы брать в текущей модели, а где потребуется отдельный партнер.
Сопровождение Реестр Гарант
Мы проверяем продукт, договоры, команду и документы, готовим пакет и сопровождаем вопросы по процедуре. Для первичного анализа можно отправить описание продукта и проект договора на reestrgarant@mail.ru или связаться по телефону +7 920-898-17-18, WhatsApp и Telegram.
FAQ
Лицензия ФСТЭК на СЗКИ нужна всем IT-компаниям?
Нет. Она нужна при лицензируемых работах по технической защите конфиденциальной информации. Обычная разработка ПО сама по себе не означает обязанность получать лицензию.
Можно ли одной лицензией закрыть криптографию?
Нет. Криптография относится к лицензированию ФСБ. ФСТЭК и ФСБ нужно разделять по предмету работ.
Что чаще всего мешает подаче?
Слабые документы по специалистам, помещениям, процессу разработки, контролю качества и доступу к материалам.
Требования и условия
Подтвердить, что работы относятся к технической защите конфиденциальной информации.
Проверить специалистов, помещения, оборудование, программные инструменты и регламенты разработки или производства СЗКИ.
Разделить требования ФСТЭК и ФСБ, если в продукте есть криптографические функции.
Описать процесс разработки, контроля качества, учета материалов, доступа и хранения документации.
Необходимые документы
Регистрационные документы организации и сведения о руководителе.
Описание продукта, работ, договоров и функций защиты конфиденциальной информации.
Документы по специалистам: образование, опыт, должностные функции, обучение.
Документы на помещения, рабочие зоны, оборудование, стенды и программные средства.
Регламенты разработки, производства, испытаний, контроля качества, доступа и учета материалов.
