Лицензия ФСТЭК на СЗКИ нужна тем, кто разрабатывает или производит средства защиты конфиденциальной информации без криптографических функций. Лицензирует эту деятельность ФСТЭК России по правилам, утверждённым Правительством РФ на основании Федерального закона № 99-ФЗ. На практике это аудируемые процессы, квалифицированный персонал, режимные помещения и контрольно-измерительное оборудование, а завершает всё выездная проверка.
- Проведём аудит готовности и устраним несоответствия до подачи.
- Подберём и обоснуем контрольно-измерительное и испытательное оборудование под заявленные испытания.
- Разработаем комплект локальных актов по информационной безопасности и производственным процессам.
- Сопроводим на всех этапах вплоть до включения в реестр лицензий ФСТЭК.
- Сроки и формат зафиксируем в дорожной карте по итогам диагностики. Работаем по всей России.
Оставьте заявку на консультацию: оценим готовность и спланируем шаги. Телефон: +7 920-898-17-18.
Сразу снимем главную путаницу. Лицензия ФСТЭК на СЗКИ и лицензия ФСБ на шифровальные средства — разные документы разных органов. Неверная квалификация продукта на старте приводит к отказу или переделке. Ниже разложили, кому нужна лицензия, чем СЗКИ отличается от криптографии и как пройти проверку без замечаний.
Кому нужна лицензия ФСТЭК на СЗКИ?
Лицензия требуется, когда деятельность по разработке или производству средств защиты конфиденциальной информации подпадает под правительственное положение о лицензировании. К таким средствам относят программные и аппаратные решения без криптографических преобразований: системы предотвращения утечек, средства контроля действий пользователей, контроля целостности, аудита и мониторинга безопасности, аппаратные модули контроля доступа без шифрования. Разработку и производство таких изделий отличают от работ по технической защите информации (ТЗКИ), это отдельный лицензируемый вид деятельности.
Чем лицензия ФСТЭК на СЗКИ отличается от лицензии ФСБ по постановлению № 313?
Граница проходит по криптографии. Средства защиты конфиденциальной информации без шифровальных функций лицензирует ФСТЭК России. Шифровальные (криптографические) средства, то есть СКЗИ, относятся к ФСБ России по постановлению Правительства РФ № 313. Продукт содержит и нешифровальные функции защиты, и криптографию? Тогда применяются требования обоих органов, и лицензии оформляют параллельно. Разграничение с работами по технической защите разбирали на примере лицензии в области технической защиты информации отдельно.
| Вид лицензии | Что охватывает | Кто лицензирует | Ключевой норматив |
|---|---|---|---|
| Лицензия ФСТЭК на СЗКИ | Средства защиты конфиденциальной информации без криптографических преобразований | ФСТЭК России | Положение о лицензировании разработки и производства СЗКИ, утверждённое Правительством РФ |
| Лицензия ФСБ на СКЗИ | Деятельность с использованием шифровальных (криптографических) средств | ФСБ России | Постановление Правительства РФ № 313 |
Какие требования предъявляет ФСТЭК к соискателю?
Проверяют ресурсную и документальную базу целиком. Понадобятся профильные специалисты с подтверждённой квалификацией, производственные и режимные помещения, документированные процессы (политика информационной безопасности, порядок разработки и производства, контроль качества), а также контрольно-измерительное и испытательное оборудование с методиками испытаний и протоколированием результатов. Заявленные виды СЗКИ должны быть обеспечены реальными процессами и оборудованием, а не только описаны на бумаге.
Как выглядит пакет документов для подачи?
Комплект собирают под заявляемую область. В него входят заявление и учредительные документы, сведения о персонале и его квалификации, данные о помещениях и режимных зонах, перечень и характеристики контрольно-измерительного и испытательного оборудования, локальные акты по информационной безопасности и производственным процессам, программы контроля качества, а также перечень видов СЗКИ и их характеристики. Полнота и связность пакета определяют, пройдёте ли вы проверку с первого раза.
Как проходит проверка ФСТЭК и что смотрят на месте?
Основной этап — выездная проверка. Комиссия сверяет фактическую готовность с заявленными данными: демонстрацию работоспособности оборудования и процедур, режим помещений, ведение документации и протоколов. Типичные замечания касаются расхождения между «на бумаге» и «в цехе»: заявленное испытание не воспроизводится на имеющемся оборудовании, методики отсутствуют, локальные акты не внедрены. Подготовка на предыдущих этапах снимает эти риски.
Какие типичные причины отказа и как их избежать?
Отказы повторяются из раза в раз. Несоответствие оборудования заявленным испытаниям, отсутствие методик и протоколов, формальные локальные акты без внедрения, неподготовленные помещения и режим, недостаточная квалификация ответственных, путаница со СКЗИ. Каждую причину закрывают заранее: подбором оборудования под методики, внедрением регламентов с журналами, аудитом режима и корректной квалификацией продукта на старте.
Сколько это занимает и как планируются сроки?
Точные сроки зависят от состава работ и стартовой готовности, поэтому «цифру с потолка» не называем. По итогам диагностики формируем дорожную карту с этапами и контрольными точками. Готовность наращивают поэтапно: сначала оборудование и методики, затем документы и внутренняя проверка, потом подача. Управляем сроком через качество подготовки, а не обещаниями «за столько-то дней».
Правовые основания и риски
Лицензирование разработки и производства СЗКИ проводится по положению, утверждённому Правительством РФ на основании Федерального закона № 99-ФЗ «О лицензировании отдельных видов деятельности». За ведение такой деятельности без лицензии предусмотрена ответственность по статье 14.1 КоАП РФ. Заказчики по законам о закупках, Федеральным законам № 44-ФЗ и № 223-ФЗ, часто устанавливают наличие действующей лицензии ФСТЭК как требование, и без неё заявку отклоняют.
Не смешивайте контуры. Лицензия ФСТЭК на СЗКИ — это не лицензия ФСБ по постановлению № 313 на шифровальные средства. ФСТЭК России выступает и органом в сфере экспортного контроля по Федеральному закону № 183-ФЗ, но экспортная лицензия — отдельная процедура, которая лицензию на СЗКИ не заменяет. Неверная квалификация продукта или процедуры оборачивается отказом, срывом тендера и повторными заходами.
Решения под ваш сценарий
Разработчики ПО по информационной безопасности без криптографии
Фиксируем состав функций и границы СЗКИ, описываем методики испытаний и роль тестовой среды. Важно чётко очертить, что относится к средству защиты, а что к сопутствующему функционалу, чтобы заявленная область совпала с реальным продуктом.
Производители аппаратных средств защиты без криптографии
Готовим производственные помещения и подбираем контрольно-измерительное оборудование, верифицируем стабильность производства и контроль качества. Серийный выпуск требует воспроизводимых процедур, а не разовых испытаний опытного образца.
Системные интеграторы и инжиниринг
Разбираем, когда нужна именно лицензия на СЗКИ, а когда работы относятся к технической защите информации. Виды работ заявляем корректно, чтобы не завышать требования к себе и не получить отказ из-за несоответствия заявленному.
Импортозамещение и стартапы
Проводим путь от исследований и разработки до производства через пилот, документацию и подготовку к проверке. Для молодой команды критично заранее выстроить процессы и оборудование, а не «дорисовывать» их перед выездной проверкой.
Как мы работаем
- Диагностика готовности. Экспресс-аудит процессов, кадров, помещений и оборудования, определение вида лицензии и разграничение с криптографией.
- Проект подготовки. Дорожная карта, перечень мероприятий, макеты локальных актов, метрики готовности.
- Подбор и доукомплектование оборудования. Увязка контрольно-измерительного и испытательного оснащения с заявленными испытаниями и методиками.
- Разработка и внедрение регламентов. Политика информационной безопасности, порядок разработки и производства, контроль качества, журналы и протоколы.
- Внутренняя предлицензионная проверка. Репетиция выездной проверки ФСТЭК, устранение замечаний до подачи.
- Подача и сопровождение. Коммуникация с ФСТЭК России, поддержка при выездной проверке до включения в реестр лицензий.
Нужна дорожная карта и чек-лист готовности? Оставьте заявку — вышлем и обсудим. Телефон: +7 920-898-17-18.
От чего зависит стоимость
Стоимость подготовки определяется исходной готовностью компании: полнотой процессов, квалификацией персонала, наличием режимных помещений, а также укомплектованностью контрольно-измерительным и испытательным оборудованием. Влияют сложность и тип заявляемого продукта или линейки СЗКИ и степень формализации методик испытаний. Стартовая стоимость подготовки — от 500 000 ₽.
В расчёт входят объём разработки локальных актов и глубина внедрения, потребность в дооснащении оборудования, участие во внутренних проверках и сопровождение выездной проверки. Срочность проекта и отраслевые особенности, например наличие серийного производства, корректируют оценку. Рассчитать стоимость и получить дорожную карту просто: оставьте заявку, вернём план работ.
Как это выглядит на практике
К нам обратился разработчик программного обеспечения, планировавший выпуск средства контроля действий пользователей без криптографии. Цель — лицензия ФСТЭК на СЗКИ для выхода на рынок и участия в закупках. Продукт идентифицировали как СЗКИ без криптографии и подтвердили, что лицензия ФСБ по постановлению № 313 не требуется. Аудит выявил нехватку части оборудования для воспроизводимых испытаний, отсутствие методик и журналов протоколов.
Что подготовили по проекту:
- перечень заявляемых СЗКИ и их характеристики;
- сведения о составе и квалификации персонала;
- данные о помещениях и режимных зонах;
- перечень контрольно-измерительного оборудования и методики испытаний с формами протоколов;
- комплект локальных нормативных актов по информационной безопасности и производственным процессам;
- заявление и сопроводительные материалы.
Оборудование ввели в эксплуатацию, персонал обучили по регламентам, провели внутреннюю предлицензионную проверку и сопроводили подачу и выезд. Итог: включение в реестр лицензий ФСТЭК России, после чего заказчик прошёл квалификацию у крупных заказчиков по 44-ФЗ и 223-ФЗ.
Отдельный частый вопрос из практики касался экспорта. Клиент по поставке двигателя запрашивал идентификационное заключение для таможни и выяснял, нужна ли лицензия ФСТЭК. Это лицензия по экспортному контролю по Федеральному закону № 183-ФЗ, а не лицензия на СЗКИ. Иногда из заключения следует, что понадобится отдельная экспортная лицензия ФСТЭК, но это другой процесс и другой комплект документов. Порядок переоформления при изменениях в разрешительных документах тоже разбираем заранее.
Частые сложности и как их решить
- Путают СЗКИ и СКЗИ. На старте проводим квалификацию функций продукта. Есть криптография? Учитываем требования ФСБ по постановлению № 313.
- Недостаточно оборудования и нет методик. Подбираем оснащение под заявленные испытания и готовим методики с формами протоколов.
- Формальные регламенты без внедрения. Внедряем локальные акты совместно, отрабатываем журналы и трассировку выполнения.
- Неподготовленные помещения и режим. Проводим аудит и корректируем пропускной и охранный режим, зоны хранения документов и оборудования.
- Кадровые требования. Назначаем ответственных, подтверждаем квалификацию, при необходимости организуем обучение.
Кому подходит услуга, а кому нет
Лицензия ФСТЭК на СЗКИ закрывает разработку и производство средств защиты без криптографии. Сверьтесь с таблицей: часть похожих задач решается другими лицензиями или вовсе без них.
| Ситуация | Подходит? | Комментарий |
|---|---|---|
| Разрабатываете систему предотвращения утечек или контроля действий пользователей без шифрования | Да | Классический случай СЗКИ: лицензия нужна до вывода продукта на рынок |
| Производите аппаратные модули контроля доступа без криптографии | Да | Понадобятся производственные помещения, контроль качества и испытательное оборудование |
| Готовите продукт к закупкам по 44-ФЗ и 223-ФЗ, где заказчик требует лицензию ФСТЭК | Да | Без действующей лицензии заявку отклонят, оформляйте до тендера |
| Только внедряете и настраиваете чужие средства защиты у заказчиков | Нет | Это работы по технической защите информации, отдельный вид лицензирования, не СЗКИ |
| Ваш продукт построен на шифровании: VPN-шлюз, криптопровайдер, защищённый мессенджер | Нет | Это СКЗИ, лицензирует ФСБ по постановлению № 313, а не ФСТЭК |
| Покупаете и эксплуатируете средства защиты только для своей инфраструктуры | Нет | Эксплуатация для собственных нужд не лицензируется, оформлять ничего не надо |
Когда услуга не нужна
Компания закупила DLP-систему и средства мониторинга для защиты собственной сети: банк, ритейлер, промышленное предприятие. Разработки и производства здесь нет, есть эксплуатация покупных решений, и она не лицензируется. Достаточно соблюдать условия эксплуатационной документации и требования регуляторов к самой инфраструктуре.
Другая ситуация: продукт компании целиком криптографический, например шлюз с шифрованием трафика или библиотека электронной подписи. Лицензия ФСТЭК на СЗКИ такую разработку не покрывает, здесь контур ФСБ. Правильный маршрут в этом случае: лицензия ФСБ на криптографию и шифрование, а к ФСТЭК возвращаться только если в линейке появятся нешифровальные средства защиты.
Встречается и цейтнот: тендер с требованием лицензии объявлен, а подготовка базы и персонала с нуля в срок не укладывается. Тогда практичнее посмотреть готовые фирмы с лицензией ФСТЭК и параллельно, без гонки, готовить лицензию на основное юрлицо.
Реестр Гарант работает с 2015 года и ведёт клиента под ключ: от квалификации продукта до включения в реестр лицензий ФСТЭК. Получите дорожную карту и оценку готовности к лицензии ФСТЭК на СЗКИ. Оставьте заявку или позвоните +7 920-898-17-18, разграничим СЗКИ и СКЗИ и согласуем план работ.
Частые вопросы
Отвечают специалисты «Реестр Гарант». Не нашли свой вопрос? Позвоните +7 920-898-17-18.
В.01 Может ли после получения заключения потребоваться лицензия ФСТЭК?
В.02 Достаточно ли идентификационного заключения по двигателю или потребуется лицензия ФСТЭК?
В.03 Нужна ли одновременно лицензия ФСБ на шифровальные средства?
В.04 Можно ли согласовать внутренние документы заранее?
В.05 У вас есть лицензия?
В.06 У нас в продукте и контроль утечек, и шифрование файлов. Какой лицензии хватит?
В.07 Можно ли получить лицензию, если производство мы отдали подрядчику?
В.08 А если мы пока только разрабатываем, а производить начнём позже?
В.09 Работаете ли вы с компаниями в Перми?
Как мы работаем с клиентами в Перми
Клиенты в Перми работают с нами дистанционно: документы принимаем в электронном виде, договор и счёт отправляем в день обращения. Отбор и доставку образцов на испытания подстраиваем под вашу логистику: транспортная компания или курьер, как удобнее. Оригиналы документов доставляет курьерская служба, проверяемые записи в реестрах появляются онлайн сразу после оформления.
Требования и условия
определить, относится ли продукт к средствам защиты конфиденциальной информации
описать процессы разработки, производства, контроля качества и сопровождения СЗКИ
подтвердить квалификацию специалистов и распределение ролей
подготовить помещения, оборудование, программные средства и испытательную базу
собрать техническую, эксплуатационную и организационную документацию
подготовиться к проверке ФСТЭК и устранению замечаний
Необходимые документы
Заявление и учредительные документы организации-соискателя
Сведения о персонале и подтверждение квалификации ключевых специалистов
Данные о производственных и режимных помещениях, режимных зонах
Перечень и характеристики контрольно-измерительного и испытательного оборудования
Методики испытаний и формы протоколов
Локальные нормативные акты по информационной безопасности и производственным процессам (политика ИБ, регламенты разработки и производства)
Программы контроля качества
Перечень заявляемых видов СЗКИ и их характеристики
Нормативная база
Стандарты и акты, упомянутые на этой странице: официальный текст и PDF для скачивания.
- 99-ФЗ О лицензировании отдельных видов деятельности официальный текст ↗
Какие документы собирают вместе с этим
Реальные комплекты из практики наших клиентов: что оформляют одним заходом и зачем.
Серийный выпуск аппаратных средств защиты: документация, ЭМС, допуски
Лицензия ФСТЭК даёт право разрабатывать и производить СЗКИ, но серия живёт на документации: без комплекта КД производство не пройдёт ни проверку лицензиата, ни аудит заказчика. Аппаратные изделия при этом остаются электроникой — им нужна оценка соответствия по техрегламентам ЕАЭС. А когда в устройстве появляется шифрование, к контуру добавляется лицензия ФСБ.
- 01 Разработка конструкторской документации Чертежи, спецификации и схемы по ЕСКД — опора производства и предмет проверок. база серийного производства от 40 900 ₽
- 02 Декларация ТР ТС 020/2011 Электромагнитную совместимость аппаратных блоков подтверждают до вывода на рынок ЕАЭС. ЭМС изделия от 13 900 ₽
- 03 Лицензия ФСБ под ключ Шифровальные функции в изделии выводят разработчика ещё и под лицензирование ФСБ. если есть криптография от 120 000 ₽
- 04 Готовая фирма с лицензией ФСТЭК Действующее юрлицо с лицензией — когда производственный план не совпадает со сроками проверок. альтернатива от 3 500 000 ₽