Требования для получения лицензии ФСБ
Прежде чем собирать документы и платить госпошлину, стоит понять одну вещь: соответствует ли организация требованиям ФСБ прямо сейчас. Это не формальность — именно несоответствие требованиям, а не ошибки в бумагах, становится причиной большинства отказов. Персонал с непрофильным дипломом, помещения без нужного оснащения, отсутствие внутренней документации — всё это обнаруживается при проверке и либо задерживает процесс на месяцы, либо приводит к отказу.
Компания «Реестр Гарант» специализируется на лицензиях ФСБ. Ниже — полный разбор требований по каждому блоку: для криптографической деятельности, ТЗКИ и гостайны. В конце страницы — интерактивный тест для быстрой самооценки.
Требования к организационно-правовой форме
Первое и безусловное требование: лицензию ФСБ может получить только юридическое лицо. Это прямо следует из Постановлений Правительства № 313, № 504 и № 333 — все они адресованы организациям, а не индивидуальным предпринимателям. Форма собственности и организационно-правовая форма принципиального значения не имеют: лицензию могут получить ООО, АО, ПАО, ГУП, МУП, учреждения.
| Требование к юридическому лицу | Что проверяется | Подводные камни |
|---|---|---|
| Статус действующего юридического лица | Отсутствие процедур ликвидации, банкротства, исключения из ЕГРЮЛ | Компании в процессе реорганизации подают заявку на новое юрлицо — до завершения реорганизации лицензия не выдаётся |
| Реальный юридический адрес | Адрес в ЕГРЮЛ должен соответствовать фактическому месту осуществления деятельности | «Массовые» адреса, адреса без реального офиса и виртуальные адреса — основание для дополнительных вопросов и отказа |
| Соответствие ОКВЭД заявляемым видам деятельности | В ЕГРЮЛ должны быть коды, соответствующие лицензируемой деятельности | Если нужных кодов нет — добавить до подачи заявки (процедура внесения изменений в ЕГРЮЛ занимает около 5 рабочих дней) |
| Отсутствие иностранного участия (для гостайны) | Состав участников и структура капитала | Организация с иностранным участием в капитале имеет существенные ограничения при получении лицензии на гостайну. Требует отдельного юридического анализа до подачи |
Филиалы и обособленные подразделения
Лицензия выдаётся на юридическое лицо в целом, но в заявке указываются все адреса мест осуществления лицензируемой деятельности. Если компания планирует оказывать услуги по защите информации через филиал в другом городе — этот адрес включается в заявку. Требования к помещениям и персоналу проверяются по каждому адресу, указанному в заявлении.
Требования к помещениям и оборудованию
Требования к помещениям существенно отличаются в зависимости от вида лицензии. Для ТЗКИ и криптографии они значительно мягче, чем для гостайны. При этом именно несоответствие помещений становится одной из причин отказа при выездной проверке — особенно когда разрыв между тем, что написано в документах, и реальным состоянием офиса очевиден.
Требования к помещениям по видам лицензий
ТЗКИ и Криптография
- Замок на двери — исключение несанкционированного доступа посторонних в рабочее время
- Возможность опечатывания помещения при отсутствии сотрудников
- Металлический шкаф или сейф для хранения носителей СКЗИ и ключевых документов
- Исключение визуального ознакомления посторонних с защищаемой информацией
- Для разработки и производства СКЗИ — дополнительные требования к оборудованию рабочих мест
Государственная тайна
- Металлическая дверь с надёжным замком или решётки на окнах
- Охранная сигнализация с выводом на пульт охраны или круглосуточный мониторинг
- Пожарная сигнализация
- Сейф соответствующего класса защиты для хранения секретных документов и носителей
- Журнал учёта посетителей режимного помещения
- Для 1-й и 2-й формы — дополнительные меры по защите от технических средств разведки
Требования к оборудованию при оказании услуг по ТЗКИ
Если компания заявляет такие виды деятельности, как проведение инструментального контроля защищённости или специальные проверки объектов информатизации, — потребуется наличие сертифицированного измерительного и контрольного оборудования. Конкретный перечень зависит от заявляемых видов работ и определяется требованиями методических документов ФСТЭК и ФСБ по соответствующим направлениям.
Требования к персоналу: образование и стаж
Требования к персоналу — самый частый камень преткновения. По нашим наблюдениям, именно несоответствие специалиста по образованию или стажу становится причиной задержки или отказа примерно в 40% случаев при первичной подаче. Требования установлены Приказом ФСБ России от 09.02.2005 № 66.
| Критерий | Для ТЗКИ и Криптографии | Что принимается как подтверждение |
|---|---|---|
| Уровень образования | Высшее профессиональное по специальности в области защиты информации или криптографии | Диплом о высшем образовании с записью о специальности из направлений «Информационная безопасность», «Компьютерная безопасность», «Безопасность информационных технологий» и аналогичных |
| Альтернатива при непрофильном дипломе | Профессиональная переподготовка объёмом не менее 360 академических часов по направлению защиты информации | Диплом о профессиональной переподготовке государственного образца с указанием программы и объёма (не свидетельство о повышении квалификации — только диплом о переподготовке) |
| Стаж по специальности | Не менее 3 лет работы в области защиты информации | Трудовая книжка с записями о должностях, связанных с ЗИ; при работе по ГПХ — договоры с указанием предмета и копии актов выполненных работ |
| Трудовые отношения | Основное место работы в организации-соискателе | Приказ о приёме на работу; запись в трудовой книжке; трудовой договор |
| Количество специалистов | Как правило, достаточно одного квалифицированного специалиста для базового набора видов деятельности | При широком перечне видов или территориально распределённой деятельности — регулятор оценивает достаточность штата |
Какие специальности считаются профильными
Однозначно профильные
«Информационная безопасность», «Компьютерная безопасность», «Безопасность информационных технологий», «Информационная безопасность телекоммуникационных систем», «Криптография» — и аналогичные направления подготовки ФГОС 10.хх.хх
Пограничные — требуют уточнения
«Прикладная математика и информатика», «Математическое обеспечение и администрирование информационных систем», «Автоматизация и управление» — могут быть приняты, но требуют дополнительного обоснования или имеют ограничения
Непрофильные — нужна переподготовка
«Программная инженерия», «Информационные системы», «Вычислительные машины», «Информатика», «Техническое обслуживание средств ВТ» — требуют профессиональной переподготовки по ЗИ от 360 ч.
Повышение квалификации ≠ переподготовка
Это различие критически важно. Курс повышения квалификации на 72 или 144 часа — даже с сертификатом от известного учебного центра — не удовлетворяет требованиям лицензирования ФСБ. Необходим именно диплом о профессиональной переподготовке объёмом от 360 академических часов с правом ведения профессиональной деятельности в области защиты информации. Программа должна быть реализована аккредитованным образовательным учреждением с соответствующей лицензией Рособрнадзора.
Требования к системе защиты информации
Для оказания услуг в области защиты информации компания должна применять средства защиты, которые прошли соответствующую сертификацию. Несертифицированные СЗИ при оказании услуг по ТЗКИ использовать нельзя — это нарушение лицензионных требований, которое может стать основанием для аннулирования лицензии.
| Вид деятельности | Требования к применяемым средствам | Орган сертификации |
|---|---|---|
| Техническая защита конфиденциальной информации (ТЗКИ) | СЗИ должны иметь действующий сертификат соответствия требованиям безопасности информации | ФСТЭК России (для некриптографических СЗИ) или ФСБ России (для СКЗИ) |
| Криптографическая деятельность | СКЗИ должны иметь действующий сертификат ФСБ России. Применение несертифицированных СКЗИ для оказания услуг запрещено | ФСБ России (8-й Центр) |
| Работа с государственной тайной | Средства защиты гостайны должны соответствовать требованиям ФСБ; применяемые СКЗИ — сертифицированы | ФСБ России |
На практике это означает, что в заявке на лицензию нужно указать перечень СЗИ, которые компания планирует применять, с реквизитами действующих сертификатов. Сертификат соответствия имеет срок действия — его нужно регулярно проверять. Использование СЗИ с истёкшим сертификатом при оказании услуг — нарушение лицензионных условий.
Где проверить актуальность сертификата СЗИ
Реестры сертифицированных СЗИ ведут ФСТЭК и ФСБ. Реестр ФСТЭК России размещён в открытом доступе на официальном сайте ведомства. Для СКЗИ с сертификатом ФСБ информацию предоставляет 8-й Центр ФСБ или сам вендор средства. Перед включением СЗИ в заявку рекомендуется убедиться, что сертификат действует и не находится в процессе переоформления.
Требования к руководителю и должностным лицам
Требования к руководителю существенно различаются в зависимости от вида лицензии. Для ТЗКИ и криптографии — минимальные. Для гостайны — одни из самых жёстких.
ТЗКИ и Криптография: руководитель
Специальных требований к образованию или допуску руководителя нет. Он должен подписать заявление на лицензию и нести ответственность за соблюдение лицензионных условий. Если руководитель одновременно является квалифицированным специалистом по ЗИ — это допустимо и документально подтверждается.
Гостайна: руководитель с допуском
Руководитель организации обязан иметь действующий личный допуск к государственной тайне соответствующей формы — до подачи заявки на лицензию. Без этого заявка не принимается к рассмотрению. Срок оформления допуска — от нескольких недель до 4–6 месяцев.
Гостайна: начальник РСП
Начальник режимно-секретного подразделения (или ответственный за режимную работу) также должен иметь личный допуск к гостайне. Требования к его квалификации закреплены в Инструкции, утверждённой ПП РФ от 05.01.2004 № 3-1.
Ответственный за работу с СКЗИ
Для криптографической лицензии назначается ответственное лицо за организацию работы со СКЗИ в компании. Этим лицом может быть квалифицированный специалист или руководитель — главное, чтобы назначение было закреплено приказом.
Кейс: руководитель без допуска в момент подачи
Оборонное предприятие в Калужской области подало заявку на лицензию по гостайне. Пакет документов был собран корректно, помещения оборудованы по всем требованиям. При рассмотрении выяснилось, что личный допуск генерального директора к государственной тайне истёк за 2 месяца до подачи и не был переоформлен своевременно. Заявка получила отказ. Пока оформлялся новый допуск руководителя, прошло ещё 3 месяца. Итого — 5 месяцев потерянного времени из-за одного просроченного документа.
Кейс: смена директора в разгар процесса
Московская компания получила лицензию ТЗКИ и через полгода провела смену генерального директора. Новый директор не имел ни профильного образования, ни допуска к гостайне — но поскольку лицензия была не на гостайну, это не создало проблем с лицензией. Однако при следующем участии в тендере заказчик дополнительно запросил документы об образовании нового руководителя — тот перестраховался, хотя формально требование к образованию директора для ТЗКИ не установлено.
Экспресс-оценка соответствия: тест
Ответьте на восемь вопросов — и получите предварительную оценку готовности вашей организации к получению лицензии ФСБ. Тест занимает около двух минут и даёт ориентир: можно ли подавать документы сейчас или сначала нужно устранить несоответствия.
1. Ваша организация является юридическим лицом (не ИП)?
2. В штате есть сотрудник с профильным дипломом по защите информации (или дипломом о переподготовке от 360 ч.)?
3. Этот специалист работает в штате по основному месту работы (не совместительство, не ГПХ)?
4. Стаж специалиста по специальности в области защиты информации — не менее 3 лет?
5. В офисе есть закрывающееся на замок помещение и металлический шкаф или сейф для хранения носителей?
6. Адрес в ЕГРЮЛ совпадает с реальным адресом офиса, где ведётся деятельность?
7. В компании есть хотя бы базовая организационно-распорядительная документация по защите информации (приказы, инструкции, журналы)?
8. В ЕГРЮЛ присутствуют коды ОКВЭД, соответствующие деятельности по защите информации?
Получить оценку соответствия вашей организации
Тест даёт общий ориентир. Для точного ответа — с конкретными несоответствиями, планом устранения и реалистичным сроком — нужен детальный анализ. Проводим его бесплатно: достаточно рассказать о компании и прислать имеющиеся документы.
Связаться с нами
Телефон: +7 920-898-17-18 — с 9:00 до 18:00 по московскому времени
WhatsApp / Telegram: +7 920-898-17-18
Email: reestrgarant@mail.ru — пришлите информацию о виде деятельности и имеющихся специалистах. Проведём анализ в течение рабочего дня.
