Требования для получения лицензии ФСТЭК ТЗКИ
Персонал, ПО и оборудование, аттестация АРМ и ЗП, необходимая литература.
- Требования для получения лицензии ФСТЭК ТЗКИ
- Ключевые требования
- Требования к персоналу
- Защищаемое помещение (ЗП)
- Автоматизированное рабочее место (АРМ)
- ПО и оборудование
- Перечень нормативных правовых актов, методических документов и национальных стандартов
- Как подготовиться к проверке ФСТЭК?
- Оставить заявку
Для получения лицензии ФСТЭК ТЗКИ (на деятельность по технической защите конфиденциальной информации) необходимо соответствовать ряду строгих критериев, охватывающих как кадровые, так и технические аспекты. Эти требования для получения лицензии ФСТЭК направлены на обеспечение реальной способности компании выполнять работы по защите информации на должном уровне.
Ключевые требования ФСТЭК
Организация, претендующая на лицензию, обязана подтвердить свою готовность к выполнению работ в соответствии с регламентами ФСТЭК России. В процессе лицензирования особое внимание уделяется следующим аспектам:
Почему требования такие строгие? ФСТЭК лицензирует деятельность, связанную с обеспечением информационной безопасности в организациях. Ошибки здесь могут привести к утечке конфиденциальной информации, поэтому подход максимально строгий и формализованный.
- Квалификация, опыт и образование персонала;
- Наличие необходимого оборудования и программного обеспечения;
- Аттестованное автоматизированное рабочее место (АРМ);
- Аттестованное защищаемое помещение (ЗП);
- Наличие в собственности утвержденной нормативно-методической документации.
Почему требования такие строгие? ФСТЭК лицензирует деятельность, связанную с обеспечением информационной безопасности в организациях. Ошибки здесь могут привести к утечке конфиденциальной информации, поэтому подход максимально строгий и формализованный.
Требования к персоналу
Для получения лицензии ФСТЭК ТЗКИ (на деятельность по технической защите конфиденциальной информации) организация должна соответствовать ряду требований, в том числе — к кадровому составу. Это один из ключевых критериев оценки соискателя лицензии. Без наличия квалифицированного персонала получение лицензии ФСТЭК ТЗКИ невозможно — этот пункт проверяется одним из первых при рассмотрении заявления. Поэтому важно заранее подготовить штатное расписание, обучить сотрудников и собрать все подтверждающие документы. В рамках подготовки к лицензированию можно также привлечь внешнего консультанта, который поможет организовать кадровую составляющую в соответствии с требованиями регулятора. Основные требования к персоналу:
Количество сотрудников
Для получения лицензии ФСТЭК ТЗКИ у соискателя лицензии в штате на основном месте работы должно быть не менее 3 сотрудников: руководитель отдела ИБ и минимум 2 инженера по ИБ.
Наличие профильного образования
У каждого из сотрудников должно быть либо непосредственно высшее образование по информационной безопасности, либо любое высшее + диплом о профессиональной переподготовке по одной из специальностей в области ИБ, при этом срок обучения должен быть не менее 360 аудиторных часов.
Стаж работы
В зависимости от того, имеет ли сотрудник высшее образование по ИБ, или профессиональную переподготовку, требуемый стаж будет различаться:
Количество сотрудников
Для получения лицензии ФСТЭК ТЗКИ у соискателя лицензии в штате на основном месте работы должно быть не менее 3 сотрудников: руководитель отдела ИБ и минимум 2 инженера по ИБ.
Наличие профильного образования
У каждого из сотрудников должно быть либо непосредственно высшее образование по информационной безопасности, либо любое высшее + диплом о профессиональной переподготовке по одной из специальностей в области ИБ, при этом срок обучения должен быть не менее 360 аудиторных часов.
Стаж работы
В зависимости от того, имеет ли сотрудник высшее образование по ИБ, или профессиональную переподготовку, требуемый стаж будет различаться:
Руководитель (стаж)
Инженер (стаж)
Высшее образование по ИБ
3 года
3 года
Переподготовка по ИБ
5 лет
3 года
Защищаемое помещение (ЗП)
Процесс аттестации защищаемого помещения (ЗП) для получения лицензии ФСТЭК ТЗКИ представляет собой комплекс мероприятий, направленных на подтверждение соответствия помещения требованиям по защите конфиденциальной информации от несанкционированного доступа и воздействия. Аттестация — обязательный этап при подготовке к лицензированию в сфере технической защиты конфиденциальной информации. Этапы аттестации ЗП:
Обследование помещения
Проводится анализ конструктивных особенностей объекта, инженерных систем (электропитание, вентиляция, заземление), наличия каналов возможного утечки информации. Оцениваются потенциальные уязвимости и составляется акт обследования.
Разработка организационно-распорядительной и проектной документации
Разрабатываются:
- Модель угроз безопасности информации;
- Техническое задание на создание системы защиты;
- Проект СЗИ (системы защиты информации);
- Перечень мероприятий по защите информации.
Создание или модернизация системы защиты информации (СЗИ)
На основе проекта внедряются необходимые инженерно-технические и программно-аппаратные средства: контроль доступа, экранирование, усиление ограждающих конструкций, защита от ПЭМИН, установка СКУД и пр.
Проведение аттестационных испытаний
Аттестующая организация, имеющая соответствующую лицензию ФСТЭК, выполняет проверку ЗП на соответствие требованиям нормативных документов. Испытания включают инструментальные измерения, оценку эффективности применённых мер защиты.
Оформление аттестационных документов
По результатам испытаний оформляется аттестат соответствия, содержащий:
- Сведения о помещении;
- Перечень реализованных мер защиты;
- Вывод о соответствии ЗП установленным требованиям.
Учет и контроль
Аттестованное ЗП подлежит включению в систему внутреннего контроля, проводится периодическая проверка его состояния и актуальности реализованных мер защиты.
Аттестация ЗП — один из наиболее трудозатратных этапов подготовки к получению лицензии ФСТЭК ТЗКИ, требующий привлечения профильных специалистов. Ошибки на этом этапе могут привести к отказу в выдаче лицензии. Поэтому для минимизации рисков целесообразно поручить аттестацию экспертной компании, специализирующейся на лицензировании в сфере ТЗКИ.
Автоматизированное рабочее место (АРМ)
Аттестация автоматизированного рабочего места (АРМ) для получения лицензии ФСТЭК ТЗКИ — это обязательная процедура, подтверждающая соответствие АРМ требованиям по защите информации, не содержащей сведений, составляющих государственную тайну. Она необходима для организаций, планирующих вести деятельность в области технической защиты конфиденциальной информации и оформлять лицензию ФСТЭК ТЗКИ.
Процесс включает следующие основные этапы:
Определение объектов защиты
На начальном этапе проводится обследование АРМ, в том числе анализ его состава, функций, обрабатываемой информации и окружающей инфраструктуры. Цель — определить границы аттестуемой зоны и актуальные угрозы.
Разработка модели угроз и технического задания на аттестацию
Создается модель угроз, отражающая возможные риски нарушения конфиденциальности. На её основе составляется техническое задание (ТЗ), которое определяет требования к защите и структуру проверки.
Проведение комплекса организационно-технических мероприятий
Устанавливаются необходимые средства защиты информации: антивирусы, СКЗИ (при необходимости), системы разграничения доступа, а также разрабатываются регламентирующие документы — положения, инструкции, приказы. Формируется защищённая конфигурация АРМ.
Проведение испытаний и проверок
Аттестующая организация выполняет контрольные мероприятия: анализ документации, инструментальное тестирование, проверку настроек. Цель — подтвердить реализацию всех мер защиты в полном объёме.
Оформление отчётных документов
По результатам проверок составляется комплект аттестационной документации: протоколы испытаний, заключение об аттестации, журнал учёта проверок и др.
Выдача аттестата соответствия
Если АРМ успешно прошёл аттестацию, выдается аттестат соответствия, действующий в течение установленного срока. Этот документ требуется для подачи в ФСТЭК при оформлении лицензии.
Важно понимать, что ошибки на любом этапе могут привести к отказу в лицензии. Поэтому рекомендуем обращаться к профессионалам, имеющим опыт в подготовке и проведении аттестации под требования ФСТЭК ТЗКИ.
Процесс включает следующие основные этапы:
Определение объектов защиты
На начальном этапе проводится обследование АРМ, в том числе анализ его состава, функций, обрабатываемой информации и окружающей инфраструктуры. Цель — определить границы аттестуемой зоны и актуальные угрозы.
Разработка модели угроз и технического задания на аттестацию
Создается модель угроз, отражающая возможные риски нарушения конфиденциальности. На её основе составляется техническое задание (ТЗ), которое определяет требования к защите и структуру проверки.
Проведение комплекса организационно-технических мероприятий
Устанавливаются необходимые средства защиты информации: антивирусы, СКЗИ (при необходимости), системы разграничения доступа, а также разрабатываются регламентирующие документы — положения, инструкции, приказы. Формируется защищённая конфигурация АРМ.
Проведение испытаний и проверок
Аттестующая организация выполняет контрольные мероприятия: анализ документации, инструментальное тестирование, проверку настроек. Цель — подтвердить реализацию всех мер защиты в полном объёме.
Оформление отчётных документов
По результатам проверок составляется комплект аттестационной документации: протоколы испытаний, заключение об аттестации, журнал учёта проверок и др.
Выдача аттестата соответствия
Если АРМ успешно прошёл аттестацию, выдается аттестат соответствия, действующий в течение установленного срока. Этот документ требуется для подачи в ФСТЭК при оформлении лицензии.
Важно понимать, что ошибки на любом этапе могут привести к отказу в лицензии. Поэтому рекомендуем обращаться к профессионалам, имеющим опыт в подготовке и проведении аттестации под требования ФСТЭК ТЗКИ.
ПО и оборудование
Требования к оборудованию и программному обеспечению для получения лицензии ФСТЭК ТЗКИ закреплены в Постановлении Правительства РФ №79 от 03.02.2012. Согласно документу, организация-соискатель должна обладать материально-технической базой, позволяющей выполнять лицензируемые работы в соответствии с установленными требованиями. Ниже представлены ключевые положения.
Технические средства контроля и измерений
Организация должна иметь в наличии оборудование, необходимое для проведения технических мероприятий по защите информации:
- Измерительные приборы для контроля электромагнитных и других физических полей (при необходимости);
- Устройства для тестирования эффективности средств защиты;
- Приборы для диагностики технических каналов утечки информации (в случаях, когда это требуется по профилю работ).
Программное обеспечение
Организация должна располагать лицензионным ПО, обеспечивающим:
- Анализ уязвимостей информационных систем;
- Аудит и контроль безопасности;
- Моделирование угроз;
- Формирование и ведение технической документации;
- Ведение внутреннего учета работ по ТЗКИ.
Средства технической защиты информации (СЗИ)
Если в деятельности предполагается использование СЗИ (например, для проектирования или внедрения систем защиты на объектах заказчиков), то:
- Применяемые СЗИ должны быть сертифицированы ФСТЭК России;
- Организация обязана обеспечить хранение, учет и эксплуатацию таких средств в соответствии с нормативными актами.
Документированное соответствие
Вся материально-техническая база должна быть подтверждена внутренними документами:
- Перечнем оборудования и ПО;
- Документами о праве собственности или аренде;
- Актами ввода в эксплуатацию;
- Регистрацией лицензий на ПО;
- Технической и эксплуатационной документацией на СЗИ.
Таким образом, постановление №79 требует, чтобы соискатель лицензии имел в наличии и на законных основаниях технические и программные ресурсы, позволяющие выполнять полный цикл работ по технической защите информации. ФСТЭК оценивает не только наличие оборудования, но и его соответствие профилю заявленных работ. Именно поэтому тщательная подготовка и подтверждение всех составляющих материально-технической базы — один из ключевых этапов подготовки к получению лицензии.
Перечень нормативных правовых актов, методических документов и национальных стандартов
Одним из требований ФСТЭК является наличие нормативной базы в актуальном состоянии. Для того, чтобы подаваться на лицензию, организация должна приобрести и документально подтвердить, что у неё в собственности имеются:
- ДСП методики и руководства, приобретённые у ГНИИИ ПТЗИ;
- ГОСТы, разработанные Российским институтом стандартизации;
- Доступ к электронным справочникам по защите информации.
Как подготовиться к проверке ФСТЭК?
Подготовка к лицензированию — это многоэтапный и трудоемкий процесс. Требуется не только собрать обширный пакет документов, но и пройти фактическую проверку соответствия заявленным требованиям.
Хотите получить лицензию ФСТЭК без задержек? Мы поможем приобрести сертифицированное ПО и оборудование, обучим или подберем персонал, подскажем, где и как закупить необходимую литературу, организуем аттестацию АРМ и защищаемого помещения, а также подготовим финальный пакет документов для подачи в ФСТЭК.
Если вы не готовы самостоятельно проходить через сложный и затратный процесс, воспользуйтесь сопровождением получения лицензии ФСТЭК ТЗКИ — это экономит ресурсы и минимизирует риски отказа.
Хотите получить лицензию ФСТЭК без задержек? Мы поможем приобрести сертифицированное ПО и оборудование, обучим или подберем персонал, подскажем, где и как закупить необходимую литературу, организуем аттестацию АРМ и защищаемого помещения, а также подготовим финальный пакет документов для подачи в ФСТЭК.
Если вы не готовы самостоятельно проходить через сложный и затратный процесс, воспользуйтесь сопровождением получения лицензии ФСТЭК ТЗКИ — это экономит ресурсы и минимизирует риски отказа.