Требования для получения лицензии ФСТЭК СЗКИ

Получение лицензии ФСТЭК на деятельность по разработке и (или) производству средств защиты конфиденциальной информации (СЗКИ) требует от организации точного соответствия установленным нормативам. Эти требования для получения лицензии ФСТЭК регламентированы Постановлением Правительства РФ №171 от 03.03.2012 и рядом методических рекомендаций ФСТЭК России.

К числу ключевых условий относятся:

• Наличие квалифицированного персонала;
• Использование необходимого оборудования и сертифицированного ПО;
• Подготовленное помещение с ограниченным доступом ЗП);
• Паличие автоматизированного рабочего места (АРМ);
• Действующая система менеджмента качества (СМК)
• Наличие нормативно-методической документации.

Эти требования к лицензиатам направлены на обеспечение качества и безопасности создаваемых решений, их соответствие нормативам в области защиты информации.

Квалифицированные кадры — один из ключевых факторов получения лицензии. Требования к специалистам установлены на уровне законодательства и методических указаний ФСТЭК.

Количество сотрудников
Для получения лицензии ФСТЭК СЗКИ у компании должно быть минимум 3 человека в штате: руководитель и 2 инженера по ИБ.

Образование:

• Высшее по направлению информационной безопасности;
• При отсутствии профильного образования — обязательная профпереподготовка по ИБ на базе аккредитованных программ.

Опыт:

• Не менее 5 лет практической работы в сфере информационной безопасности, разработки или производства СЗИ для руководителя;
• Не менее 3 лет для инженера.

Аттестованное абочее помещение должно соответствовать требованиям информационной безопасности и обеспечить сохранность конфиденциальной информации на всех этапах.

Основные требования:

• Наличие изолированных зон для проведения разработок, испытаний, сборки и хранения;
• Помещения с ограниченным доступом (СКУД, видеонаблюдение, охранные меры);
• Хранение документации и оборудования в металлических шкафах и сейфах.

Дополнительные меры защиты:

• Сегментация помещений по типу выполняемых задач;
• Установка помехозащитных фильтров и заземления;
• Соблюдение мер электромагнитной совместимости.

Одним из обязательных условий является наличие аттестованного автоматизированного рабочего места, предназначенного для выполнения задач, связанных с разработкой или производством СЗКИ.

АРМ должно включать:

• Сертифицированное антивирусное ПО, межсетевой экран, средства разграничения доступа;
• Лицензионные инженерные и проектные программы;
• Защищённое хранение документации и электронных архивов;
• Доступ к АРМ должен быть ограничен и регламентирован.

Назначение АРМ:

• Выполнение проектных работ;
• Подготовка и анализ технической документации;
• Взаимодействие с испытательными и производственными модулями.

Наличие АРМ позволяет обеспечить защищённый и контролируемый процесс выполнения лицензионной деятельности.

Для выполнения проектных и производственных задач в области СЗКИ необходимы специализированные технические средства.

Оборудование:

• Средства автоматизированного проектирования (САПР);
• Измерительные приборы, поверенные в аккредитованных лабораториях;
• Лабораторное и монтажное оборудование для наладки, тестирования, сборки;
• Испытательные стенды (при необходимости).

Программное обеспечение:

• САПР, инженерные пакеты и программные комплексы, включённые в реестр российского ПО;
• Средства контроля версий, тестирования и оценки качества;
• ПО для подготовки и ведения производственной документации.

Дополнительно:

• Методики испытаний и документация на используемое оборудование;
• Описания производственных процессов и этапов контроля.

Одним из требований ФСТЭК является наличие нормативной базы в актуальном состоянии. Для того, чтобы подаваться на лицензию, организация должна приобрести и документально подтвердить, что у неё в собственности имеются:

• ДСП методики и руководства, приобретённые у ГНИИИ ПТЗИ;
• ГОСТы, разработанные Российским институтом стандартизации;
• Доступ к электронным справочникам по защите информации.

Особенность приобретении литературы заключается в том, что этот этап, с одной стороны, один из самых простых, с другой стороны, занимает больше всего времени. Важно учитывать этот временной аспект при планировании графика к получению лицензии.

Дополнительным требованием является наличие в организации формализованной системы менеджмента качества, применяемой в рамках работ по разработке или производству СЗКИ.

Ключевые требования к СМК:

• Разработка внутреннего нормативного документа — Руководства по качеству, охватывающего весь цикл работ;
• Определение ответственности, процессов контроля и механизмов оценки соответствия;
• Документ должен включать положения по управлению проектами, документированию, контролю изменений, тестированию и проверке.

Оформление:

• Руководство по качеству утверждается приказом или резолюцией;
• Подлежит подписанию генеральным директором организации;
• Содержание должно соответствовать отраслевым стандартам (например, ГОСТ Р ИСО 9001 или отраслевым регламентам в сфере ИБ).

Наличие действующей СМК — обязательное условие, подтверждающее способность организации стабильно выпускать продукцию или реализовывать разработки с заданным уровнем качества и безопасности.

Для выполнения всех условий необходимо не только знание формальных требований, но и опыт в их практической реализации. Многие организации сталкиваются с проблемами при формировании команды, выборе оборудования или разработке внутренней документации.

Хотите получить лицензию ФСТЭК без ошибок и повторной подачи документов? Мы поможем укомплектовать штат, приобрести ПО и оборудование, подскажем где и как заказать нормативно-правовую документацию, поможем с аттестаций АРМ и ЗП.

Нужна помощь в организации проектной или производственной деятельности под лицензирование? Обратитесь к нашим специалистам — мы поможем выполнить все требования ФСТЭК с первого раза.