ИТ-бизнес сталкивается с вопросом о лицензии ФСБ в двух типичных ситуациях. Первая — потенциальный заказчик или тендерная документация требуют лицензию, и непонятно, почему и какую именно. Вторая — компания сама задаётся вопросом: не нарушает ли она закон, продавая продукт с шифрованием или оказывая услуги по информационной безопасности без лицензии?
Оба вопроса законные и важные. Ответы на них неочевидны, потому что граница между «лицензия нужна» и «лицензия не нужна» проходит не по типу компании (разработчик, SaaS, интегратор), а по конкретным действиям, которые она совершает в отношении криптографических средств или информационной безопасности. Компания «Реестр Гарант» специализируется на лицензиях ФСБ. Ниже — детальный разбор по каждому профилю ИТ-бизнеса.
Какие ИТ-компании обязаны получить лицензию ФСБ
Обязанность получить лицензию ФСБ возникает не из-за того, что компания называет себя «ИТ-компанией» или «компанией по информационной безопасности». Она возникает из-за конкретных действий, которые компания совершает в отношении третьих лиц. Ключевое слово — «третьих лиц»: использование шифрования для себя лицензии не требует.
| Что делает компания | Нужна лицензия? | Какая |
|---|---|---|
| Разрабатывает ПО с встроенными криптоалгоритмами и продаёт его клиентам | Да — в большинстве случаев | Криптографическая деятельность (ПП № 313): разработка и/или реализация шифровальных средств |
| Продаёт готовые сертифицированные СКЗИ (КриптоПро, ViPNet, JaCarta и др.) | Да | Криптографическая деятельность: реализация шифровальных средств |
| Устанавливает и настраивает СКЗИ у клиентов | Да | Криптографическая деятельность: установка, монтаж, наладка СКЗИ |
| Обслуживает СКЗИ у клиентов на аутсорсе | Да | Криптографическая деятельность: техническое обслуживание СКЗИ |
| Внедряет системы защиты информации (DLP, SIEM, IAM) для клиентов | Да | ТЗКИ (ПП № 504): установка и настройка СЗИ |
| Проводит аттестацию объектов информатизации | Да | ТЗКИ: аттестация объектов информатизации |
| Оказывает услуги пентеста и технического аудита ИБ | Часто да | ТЗКИ: контроль защищённости (в части инструментального контроля) |
| Предоставляет облачный сервис с шифрованием данных клиентов | Зависит от реализации | Возможно: предоставление услуг в области шифрования (ПП № 313) |
| Использует TLS/HTTPS для защиты собственного сайта и API | Нет | Использование СКЗИ для себя лицензии не требует |
| Хранит данные клиентов в зашифрованном виде на собственных серверах | Нет | Шифрование собственных данных — не лицензируемая деятельность |
Граница, которую важно понять правильно
Лицензирование возникает в точке, где компания совершает действия с шифровальными средствами или системами защиты информации в пользу третьих лиц: разрабатывает, производит, продаёт, устанавливает, обслуживает или предоставляет как сервис. Если всё это делается исключительно для собственных нужд компании — лицензия не нужна. Большинство пограничных случаев в ИТ-бизнесе возникает именно на этой границе.
Лицензия для разработчиков ПО с шифрованием
Разработчики программного обеспечения — самая многочисленная категория ИТ-компаний, которые сталкиваются с вопросом о лицензии ФСБ. При этом ответ на вопрос «нужна ли лицензия» зависит не от факта использования шифрования в продукте, а от того, как именно реализовано это шифрование.
Продукт на базе сертифицированного СКЗИ
Компания разрабатывает продукт (мессенджер, CRM, СЭД, VPN-клиент), в котором шифрование реализовано через сертифицированный СКЗИ — например, КриптоПро CSP. Такой продукт распространяется среди клиентов. По Постановлению № 313 — это разработка и реализация шифровального средства. Лицензия ФСБ на криптографическую деятельность нужна.
Продукт с собственной реализацией криптоалгоритмов
Компания разработала собственное криптографическое ядро — реализовала алгоритмы ГОСТ или зарубежные стандарты (AES, RSA). Такой продукт является СКЗИ собственной разработки. Лицензия нужна: разработка шифровального средства. Кроме того, продукт потребует сертификации в ФСБ для использования в контролируемых сферах.
Продукт с TLS/HTTPS через стандартные библиотеки
Компания разрабатывает веб-приложение или мобильный продукт, где шифрование передачи данных обеспечивается стандартными библиотеками (OpenSSL, BoringSSL и аналоги) без модификации криптографического ядра. Это наиболее распространённый пограничный случай — его трактовка зависит от конкретной реализации.
Электронная подпись в продукте
Компания интегрирует в свой продукт функцию электронной подписи через сертифицированный СКЗИ (КриптоПро, VipNet и аналоги). Если продукт распространяется клиентам — нужна лицензия ФСБ на разработку и реализацию шифровальных средств.
Пограничный случай: TLS в собственном продукте
Использование стандартных TLS-библиотек без их модификации — самый частый вопрос от разработчиков. Позиция регулятора здесь не однозначна и зависит от ряда факторов: является ли шифрование ключевой коммерческой функцией продукта или лишь обязательной технической мерой защиты передачи данных; осуществляет ли компания управление ключами шифрования от имени клиентов; каков масштаб распространения продукта и категория клиентов. В пограничных случаях ответ на вопрос «нужна ли лицензия» требует индивидуального анализа — не общего правила.
На практике разработчики нередко работают без лицензии ФСБ годами — до тех пор, пока первый корпоративный или государственный заказчик не включает её в перечень требований. В этот момент оказывается, что до заключения контракта нужно ещё 3–5 месяцев. Компании, которые начинают работу с крупными заказчиками планово, оформляют лицензию заблаговременно — до того, как она понадобится.
Лицензия для облачных провайдеров и SaaS
Облачные провайдеры и SaaS-компании — одна из самых быстро растущих категорий, которая сталкивается с вопросами лицензирования ФСБ. Сложность здесь в том, что сама модель «предоставление сервиса» может подпадать под несколько видов лицензируемой деятельности одновременно.
Три сценария для облачного бизнеса
Облачное хранилище с шифрованием данных клиентов
Провайдер шифрует данные клиентов на стороне сервера, управляет ключами шифрования от имени клиентов и предоставляет зашифрованное хранилище как услугу. Это подпадает под «предоставление услуг в области шифрования» по Постановлению № 313. Лицензия ФСБ на криптографическую деятельность нужна. Если клиенты управляют собственными ключами сами (end-to-end), а провайдер лишь обеспечивает инфраструктуру — ситуация может быть иной.
SaaS с встроенной электронной подписью
SaaS-платформа предоставляет функцию подписания документов с использованием квалифицированной ЭП (КЭП) как часть своего сервиса. Если подписание реализуется через СКЗИ на стороне платформы — это предоставление услуг в области шифрования. Если СКЗИ установлен на рабочем месте клиента, а платформа лишь формирует документ для подписания — ситуация принципиально иная.
Облачная MSSP-платформа (управляемая безопасность)
Провайдер предоставляет клиентам SOC-as-a-service, SIEM-as-a-service, DLP-as-a-service — то есть управляет системами защиты информации клиентов дистанционно через облачную платформу. Это оказание услуг по технической защите конфиденциальной информации. Лицензия ТЗКИ нужна. При использовании СКЗИ в составе системы — дополнительно криптографическая лицензия.
| Тип облачного сервиса | Признак, при котором нужна лицензия | Признак, при котором лицензия не нужна |
|---|---|---|
| Облачное хранилище | Провайдер управляет ключами шифрования данных клиентов | Клиент управляет собственными ключами, провайдер предоставляет только инфраструктуру |
| SaaS с ЭП | СКЗИ установлен на серверах платформы, подписание выполняется на стороне провайдера | СКЗИ на рабочем месте клиента, платформа только принимает подписанные документы |
| VPN как сервис | Провайдер управляет криптографическими ключами VPN-туннелей клиентов | Клиент сам управляет VPN-клиентом с собственными ключами, провайдер даёт только сервер |
| Управляемая безопасность (MSSP) | Активное управление СЗИ клиентов: настройка политик, реагирование на инциденты | Пассивный мониторинг без вмешательства в конфигурацию СЗИ клиента |
Лицензия для интеграторов систем безопасности
Системные интеграторы в сфере ИБ — категория, которой лицензии ФСБ нужны почти всегда. Деятельность интегратора по определению направлена на третьих лиц: компания проектирует, внедряет и обслуживает системы защиты информации у клиентов. Именно это является лицензируемой деятельностью.
Проектирование СЗИ для клиентов
Разработка технических заданий на систему защиты информации, моделей угроз, архитектуры системы защиты. Входит в ТЗКИ. Лицензия ТЗКИ от ФСБ (и часто от ФСТЭК) нужна.
Внедрение средств защиты
Установка и настройка DLP, SIEM, WAF, межсетевых экранов, систем контроля доступа — у клиентов. Лицензия ТЗКИ нужна. Если в составе системы защиты есть СКЗИ — дополнительно криптографическая лицензия.
Аттестация объектов информатизации
Без лицензии ТЗКИ и ФСТЭК аттестацию проводить нельзя. Это один из самых востребованных видов работ для интеграторов, работающих с государственными информационными системами и операторами ПДн.
Поставка и техобслуживание СКЗИ
Реализация (продажа) СКЗИ клиентам, установка, настройка и обслуживание. Три отдельных вида деятельности по Постановлению № 313 — все лицензируются. Указываются в заявке только те, которые реально осуществляются.
Пентест и инструментальный контроль
Технический аудит защищённости, тестирование на проникновение в части, связанной с проверкой технических средств защиты. Подпадает под ТЗКИ (контроль защищённости). Требует лицензии ТЗКИ.
Работа с ГИС и объектами КИИ
Интеграторы, работающие с государственными информационными системами или значимыми объектами критической информационной инфраструктуры, нуждаются как в лицензии ТЗКИ от ФСБ, так и от ФСТЭК. Для части заказчиков из силовых ведомств — дополнительно лицензия на гостайну.
Типичный лицензионный портфель интегратора
Большинство серьёзных ИБ-интеграторов имеют одновременно: лицензию ТЗКИ от ФСБ, лицензию ТЗКИ от ФСТЭК и лицензию на криптографическую деятельность от ФСБ. Три документа в совокупности закрывают потребности большинства корпоративных и государственных заказчиков. Оформление двух лицензий ФСБ параллельно — это 130 000 ₽ и выше с сопровождением, но значительно дешевле и быстрее, чем оформлять их последовательно.
Особенности лицензирования стартапов
Стартапы — отдельная история. Компания молодая, команда небольшая, специалиста по ИБ с профильным дипломом и трёхлетним стажем в штате нет. При этом продукт уже использует шифрование, и первый крупный клиент просит лицензию ФСБ. Разбираем типичные сценарии.
Проблема: нет профильного специалиста
Самое частое ограничение. ФСБ требует специалиста с профильным дипломом (направление «Информационная безопасность») или дипломом о переподготовке от 360 ч. Стаж — не менее 3 лет. Для стартапа с командой из пяти разработчиков это нередко означает: либо нанять такого специалиста, либо отправить кого-то на переподготовку (2–4 месяца). Сократить этот срок нельзя — обучение идёт столько, сколько идёт.
Проблема: нет подходящего офиса
Стартап на коворкинге или в shared-офисе — реальная проблема при лицензировании. Лицензия требует реального адреса в ЕГРЮЛ, который совпадает с местом деятельности, плюс помещения с возможностью ограничения доступа и хранения носителей. Коворкинг без выделенного закрывающегося помещения — не подойдёт.
Проблема: срочность под контракт
Лицензия ФСБ не оформляется за 2 недели. При готовом персонале и помещениях — 3–4 месяца. С нуля — 5–8 месяцев. Стартап, который обнаружил требование о лицензии в тендерной документации за месяц до дедлайна, в большинстве случаев не успеет. Это нужно планировать заблаговременно.
Практическое решение для стартапов
Два рабочих пути: первый — оформить нужного специалиста (нанять или отправить на переподготовку) и запустить лицензирование как только появляется первый серьёзный потенциальный заказчик, не дожидаясь подписания контракта. Второй — на переходный период работать как субподрядчик компании с действующей лицензией, параллельно оформляя собственную.
Лицензия только для юридических лиц
ИП не может получить лицензию ФСБ ни на один вид деятельности. Если основатель стартапа работает как ИП и оказывает услуги с применением СКЗИ или систем защиты информации — это нарушение, поскольку для данной деятельности требуется лицензия, которую ИП получить не может. Перед оформлением лицензии нужна регистрация юридического лица.
Практический кейс: ИТ-компания получила лицензию за 60 дней
Разбираем реальный сценарий из нашей практики: московская ИТ-компания, разработчик корпоративного ПО, получила лицензию ФСБ на криптографическую деятельность за 60 рабочих дней с момента обращения к нам.
Ситуация на старте
Компания — разработчик корпоративной системы документооборота. В продукте используется интеграция с КриптоПро CSP для электронной подписи документов. Заказчики — корпоративный сектор. Один из крупных потенциальных клиентов выдвинул требование о наличии лицензии ФСБ на криптографическую деятельность. До переговоров о контракте — примерно 4 месяца.
Предварительный анализ
Провели анализ соответствия за 4 рабочих дня. Результат: в штате есть сотрудник с профильным дипломом по направлению «Информационная безопасность» и стажем 5 лет — полное соответствие. Офис арендован, есть отдельный закрывающийся кабинет, металлический шкаф отсутствует — нужно приобрести. Организационно-распорядительной документации по СКЗИ нет — нужно разработать.
Устранение несоответствий и подготовка документов
Приобретён металлический шкаф для хранения носителей СКЗИ. Разработана инструкция по обращению с СКЗИ — под конкретные средства (КриптоПро CSP класса КС2) и реальные виды деятельности компании. Оформлены журналы учёта СКЗИ и ключевых документов по нормативным формам. Приказы о назначении ответственного за СКЗИ. Параллельно — обновление выписки ЕГРЮЛ, подготовка заявления.
Подача заявки
Оплачена госпошлина 7 500 рублей на реквизиты 8-го Центра ФСБ России. Пакет документов подан лично в 8-й Центр уполномоченным представителем с нотариальной доверенностью. Получена расписка с входящим номером и датой — с этой даты начался отсчёт 45 рабочих дней.
Рассмотрение заявки
На 31-й рабочий день после подачи поступил запрос от 8-го Центра ФСБ: уточнение по перечню применяемых СКЗИ. Подготовили уточнённый перечень с полными реквизитами сертификатов в течение 2 рабочих дней. Запрос закрыт. Рассмотрение продолжилось без дополнительных вопросов.
Получение лицензии
На 43-й рабочий день с момента подачи вынесено положительное решение. На 60-й рабочий день с момента первого обращения к нам лицензия получена на руки. Итоговые расходы компании: 80 000 рублей — сопровождение Реестр Гарант, 7 500 рублей — госпошлина, около 8 000 рублей — металлический шкаф. Контракт с крупным заказчиком подписан в запланированные сроки.
Почему удалось уложиться в 60 дней
Три фактора сделали это возможным: квалифицированный специалист уже был в штате (не пришлось тратить 2–4 месяца на переподготовку), документы были подготовлены с нуля правильно (не по шаблонам — под конкретные СКЗИ и конкретные виды деятельности), и запрос ФСБ был закрыт оперативно — в течение 2 рабочих дней, а не двух недель. Изменение любого из этих трёх факторов сдвинуло бы срок на 4–10 недель.
| Что было готово изначально | Что потребовало работы | Сколько заняло |
|---|---|---|
| Специалист с профильным дипломом и стажем 5 лет | — | 0 дней |
| Офис с отдельным кабинетом | Покупка металлического шкафа | 3 дня |
| — | Инструкция по СКЗИ под конкретные средства | 5 рабочих дней |
| — | Журналы учёта СКЗИ и ключевых документов | 2 рабочих дня |
| — | Приказы, заявление, учредительные документы | 3 рабочих дня |
| — | Ответ на запрос ФСБ в ходе рассмотрения | 2 рабочих дня |
Определить, нужна ли вашей ИТ-компании лицензия — бесплатно
Расскажите о своём продукте или услуге: как используется шифрование, что именно делается для клиентов и что — для себя. На первичной консультации скажем однозначно, нужна ли лицензия, и если да — какая именно и за сколько времени реально её получить в вашей ситуации.
Связаться с нами
Телефон: 89005746601 — с 9:00 до 18:00 по московскому времени
WhatsApp / Telegram: 89005746601
Email: reestrgarant@mail.ru — опишите, что делает ваша компания и что именно вызвало вопрос о лицензии. Ответим по существу в течение часа в рабочее время.
