Помогаем компаниям подготовиться к лицензии ФСТЭК на разработку и производство средств защиты конфиденциальной информации: аудит продукта, процессов, персонала и документов.
Лицензия ФСТЭК на СЗКИ: когда разработчику средства защиты нужна лицензия
Лицензия ФСТЭК на СЗКИ нужна компаниям, которые разрабатывают или производят средства защиты конфиденциальной информации. Речь не о любой IT-разработке и не о стандартной настройке антивируса. Лицензирование возникает, когда продукт или его компоненты выполняют функции защиты информации и выводятся на рынок как средство защиты.
В «Реестр Гарант» мы начинаем с идентификации продукта. Смотрим назначение, архитектуру, функции безопасности, документацию, модель распространения и то, что компания обещает клиентам. Если в коммерческом предложении написано «средство защиты», «контроль доступа», «межсетевое экранирование», «защита от НСД», «контроль целостности» или похожие функции, нужен аккуратный анализ.
Что проверяет ФСТЭК
Лицензия на СЗКИ связана с готовностью организации разрабатывать и производить средства защиты конфиденциальной информации. Проверяются специалисты, процессы разработки, контроль изменений, техническая документация, испытательная база, помещения, оборудование, порядок защиты исходных материалов и документации. ФСТЭК важна не только сама программа, но и то, как она создается, проверяется и сопровождается.
Если компания пишет код хаотично, не ведет версии, не фиксирует требования, не отделяет разработку от тестирования и не может показать документацию, получить лицензию сложно. Лицензионный проект часто превращается в наведение порядка внутри разработки.
| Блок | Что готовится | Риск |
|---|---|---|
| Продукт | Назначение, функции защиты, архитектура | Нет четкой границы СЗКИ |
| Разработка | Регламенты, версии, контроль изменений | Процесс существует только в головах разработчиков |
| Персонал | Квалификация, роли, доступ | Нет подтверждения компетенции |
| Испытания | Методики, стенды, результаты проверки | Тестирование не связано с функциями защиты |
Сроки и стоимость
По базе страницы сопровождение начинается от 500 000 рублей. Срок обычно начинается от 3 месяцев, если продукт и процессы уже существуют. Если нужно формализовать разработку, написать регламенты, собрать техническую документацию и подготовить испытательную базу, срок увеличивается.
Мы честно отделяем лицензию ФСТЭК на СЗКИ от других направлений. Если компания оказывает услуги по технической защите конфиденциальной информации, может понадобиться другая лицензия ФСТЭК. Если работает с криптографией, может возникнуть ФСБ. Ошибка в выборе лицензии приводит к дорогому, но бесполезному результату.
Как мы сопровождаем проект
Сначала проводим аудит продукта и документации. Затем сопоставляем функции с лицензионным направлением, проверяем команду, помещение, оборудование, процессы разработки и тестирования. После этого составляем карту пробелов: какие документы написать, какие роли закрепить, где нужен контроль версий, какие методики испытаний подготовить.
Дальше помогаем собрать комплект, подготовить компанию к проверке и выстроить процесс так, чтобы он жил после получения лицензии. Лицензия ФСТЭК бесполезна, если через месяц разработка снова уходит в неуправляемый режим.
Когда лицензия может быть не нужна
Если компания разрабатывает обычное бизнес-ПО, сайт, CRM, мобильное приложение или сервис без функций средства защиты информации, лицензия на СЗКИ может не требоваться. Также внедрение готового сертифицированного продукта и разработка собственного СЗКИ — разные задачи. Но маркетинговые заявления и технические функции нужно смотреть внимательно.
Иногда достаточно изменить позиционирование продукта и убрать неверные формулировки. Иногда наоборот — компания давно продает средство защиты, но не оформила лицензионную базу. Решение принимается после анализа продукта.
Частые ошибки
Первая ошибка — считать, что лицензия нужна только после сертификации продукта. На практике процесс разработки и производства должен быть готов раньше. Вторая — не вести техническую документацию. Третья — не разделять роли разработчиков, тестировщиков и ответственных за защиту информации.
Еще одна проблема — путаница ФСТЭК и ФСБ. Если в продукте есть криптография, параллельно может возникнуть вопрос ФСБ. Если продукт защищает конфиденциальную информацию без криптографии, анализ будет другим.
Кейс из практики
Разработчик корпоративного ПО хотел выйти в госсектор и заявил продукт как средство контроля доступа. Документация была на уровне пользовательского руководства, а процесс разработки велся в обычном таск-трекере без формального контроля изменений. Мы помогли описать функции защиты, разграничить роли, подготовить регламенты разработки и тестирования, собрать документы по специалистам и помещениям.
После аудита компания поняла, какие модули действительно являются СЗКИ, а какие относятся к общей функциональности продукта. Это сократило объем подготовки и убрало лишние обещания из коммерческих материалов.
Частые вопросы
Лицензия ФСТЭК на СЗКИ нужна для любого ПО безопасности?
Нет. Нужно смотреть функции, назначение и позиционирование продукта. Не всякая функция авторизации делает продукт СЗКИ.
Чем СЗКИ отличается от ТЗКИ?
СЗКИ связано с разработкой и производством средств защиты конфиденциальной информации, ТЗКИ — с деятельностью по технической защите конфиденциальной информации как услугой.
Нужна ли испытательная база?
Да, в той мере, в какой она подтверждает способность проверять функции защиты и качество продукта.
Можно ли готовиться без готового продукта?
Можно начинать аудит и построение процессов, но для лицензии нужно показать понятный объект разработки и способность выполнять работы.
Как начать
Пришлите описание продукта, техническую документацию, состав команды, процессы разработки и коммерческие материалы. Мы определим, нужна ли лицензия ФСТЭК на СЗКИ, и подготовим дорожную карту. Связь: +7 920-898-17-18, WhatsApp, Telegram, reestrgarant@mail.ru.
Требования и условия
определить, относится ли продукт к средствам защиты конфиденциальной информации
описать процессы разработки, производства, контроля качества и сопровождения СЗКИ
подтвердить квалификацию специалистов и распределение ролей
подготовить помещения, оборудование, программные средства и испытательную базу
собрать техническую, эксплуатационную и организационную документацию
подготовиться к проверке ФСТЭК и устранению замечаний
Необходимые документы
карточка организации, ОГРН, ИНН, уставные документы
описание продукта, назначения, функций защиты и архитектуры
документы специалистов: образование, стаж, трудовые договоры, обучение
документы на помещения, оборудование, программные средства и средства контроля
техническая документация, регламенты разработки, тестирования и учета версий
локальные акты по защите информации, доступу, хранению документации и управлению изменениями
