В России на разные виды деятельности нужны лицензии. Например, чтобы производить и продавать алкоголь и табачные изделия, требуется разрешение. Это касается и защиты конфиденциальной информации, разрешение на работу с которой выдает Федеральная служба по техническому и экспортному контролю (ФСТЭК России).
Лицензии ФСТЭК России — это обязательное требование для компаний, которые оказывают услуги по защите информации или создают средства защиты информации ограниченного доступа, например ПО, которое обрабатывает конфиденциальную информацию. Такие лицензии необходимы и «Фланту», потому что мы разрабатываем Deckhouse Kubernetes Platform и другие продукты в рамках экосистемы Deckhouse, которые планируем внедрять в окружение клиентов, работающих с конфиденциальной информацией.
Ещё лицензии ФСТЭК России нужны, чтобы сертифицировать средство защиты информации, в нашем случае — Kubernetes-платформу. Это даст нам право устанавливать её в окружение клиентов, которые работают с конфиденциальной информацией, она должна быть сертифицирована во ФСТЭК России. Если у нашего ПО не будет такого сертификата, мы не сможем оказывать услуги владельцам информационных систем, в которых использование сертифицированных продуктов является обязательным, например государственных информационных систем или информационных систем персональных данных. Для нас это важно, так как благодаря импортозамещению у нас появилась возможность оказывать услуги в новых областях. Как раз-таки первым и важным шагом на пути к этому будет получение лицензий.
Если мы хотим сертифицировать во ФСТЭК свои программные продукты, у нас как у вендора должна быть лицензия ФСТЭК. Проще говоря, лицензия выдаётся компании, а сертификацию проходит продукт.
В этой статье не будет захватывающих кейсов из практики наших SRE-инженеров. Мы погрузимся в бюрократический мир, с которым столкнулись при получении лицензий ФСТЭК России. Мы расскажем, лицензии каких видов бывают и как определить, какие из них необходимы. Также пройдёмся по основным требованиям к получению лицензий и рассмотрим, как мы приводили компанию в соответствие с ними и с какими проблемами столкнулись.
Каким лицензиям соответствует наша деятельность
В рамках технической защиты информации лицензии ФСТЭК России позволяют выполнять работы и оказывать услуги для защиты:
конфиденциальной информации, например персональных данных клиентов банка;
секретной информации, составляющей государственную тайну, например сведений в области внешней политики и экономики, распространение которых может нанести ущерб безопасности государства.
«Флант» оказывает услуги клиентам, работающим с конфиденциальной информацией, поэтому мы сконцентрировались на получении лицензий для защиты такой информации. К этому типу информации относятся две лицензии, которые мы и решили получить:
на деятельность по разработке и производству средств защиты конфиденциальной информации, так как мы разрабатываем ПО Deckhouse Kubernetes Platform, с использованием которого обрабатывается конфиденциальная информация;
на деятельность по технической защите конфиденциальной информации, так как мы планируем устанавливать, настраивать, сопровождать сертифицированное ПО и выполнять другие работы в области защиты информации.
Чтобы получить эти лицензии, нужно изучить Постановление №79 и Постановление №171 Правительства Российской Федерации, в положениях к которым описаны следующие важные моменты:
Лицензируемые виды деятельности, которые нужно проанализировать и выбрать те, которые потребуются при оказании услуг / выполнении работ. В лицензиях будет указано, на какие работы и услуги она распространяется.
Требования, которым должна соответствовать компания. Они касаются штата, помещений, оборудования, документации. Подробнее об этом поговорим дальше.
Нарушения, которых стоит избегать, чтобы получить лицензии. Например, нарушения, повлекшие за собой нанесение ущерба правам граждан, допустим, при утечке конфиденциальной информации.
Список документов, которые нужно направить в лицензирующий орган для получения лицензий. Например, документы, подтверждающие, что штат компании соответствует требованиям постановления: приказы о назначении, копии трудовых книжек, дипломов, удостоверений, свидетельств.
Как мы получали лицензии
Чтобы компании получить лицензии, нужно пройти следующие этапы:
Изучить Постановления и документы в части лицензирования, опубликованные на сайте ФСТЭК России.
Привести компанию в соответствие требованиям Постановлений и подготовить необходимые свидетельства о их выполнении.
Подать заявления о предоставлении лицензии.
Получить лицензию.
Нам удалось получить лицензии за пять месяцев: мы начали процесс в феврале 2023 года, документы подали в конце мая, а получили лицензии в июне. В этой статье мы подробно рассмотрим нормативные требования, с которыми возникают основные сложности. Мы расскажем, как их решали, и дадим советы для избегания проблем.
Штат
Чтобы получить лицензию, в штате должны быть специалисты, имеющие профильное образование, например «информационная безопасность» или «инженерное дело», и прошедшие переподготовку по направлению «информационная безопасность». Также у них должен быть стаж работы (обычно это или не менее трех, или не менее пяти лет) в области защиты информации. Например, чтобы в трудовой книжке были записи, которые соответствуют следующим профстандартам:
специалист по защите информации в автоматизированных системах;
специалист по информационной безопасности в кредитно-финансовой сфере.
Указанные должности не обязательно должны называться именно так. Эти профстандарты установлены в 2023 году, поэтому записи в трудовых книжках могут отличаться, но должны соответствовать сведениям этих видов деятельности.
Чтобы подтвердить, что у нас есть такие специалисты, мы заполнили соответствующую форму и приложили необходимые копии документов, подтверждающие квалификацию и стаж работы.
Чтобы продолжать соответствовать лицензионным требованиям, нужно проводить повышение квалификации персонала каждые пять лет. Это возможно только в организациях, которые аккредитованы во ФСТЭК России в рамках осуществления образовательного вида деятельности и могут проводить соответствующие курсы по защите информации.
Помещение
Ещё для получения лицензии у компании должно быть аттестованное по требованиям защиты информации помещение, которое будет использоваться для обработки конфиденциальной информации.
Для выполнения требований мы нашли и арендовали подходящее помещение, установили средства защиты (о них мы поговорим позже) и провели его аттестацию. Здесь стоит отметить, что не получится самостоятельно установить средства защиты и провести аттестацию. Чтобы выполнить эти работы, нужно обращаться в сторонние компании, которые лицензированы во ФСТЭК России.
При заключении договора аренды нужно обратить внимание на следующие тонкости. Обычно арендодатели заключают договор аренды на 11 месяцев. Но так как у нас бессрочные лицензии, срок аренды должен быть больше. Если отправить в составе документов на получение лицензии копию договора аренды, в котором указан срок 11 месяцев, ФСТЭК России может отклонить заявление, так как не понятно, где компания будет находиться через 11 месяцев. При этом по Гражданскому кодексу, если договор аренды заключается более чем на 11 месяцев, он должен регистрироваться в Росреестре. А это длительная процедура, что нам не подходило, и не все собственники помещений готовы на заключение договоров с регистрацией в Росреестре.
Поэтому нам нужно было заключить договор с преимущественным правом продления, так как он подходит под требования ФСТЭК России и его не нужно регистрировать. В итоге мы договорились с юристами собственника помещения о таком виде договора.
Поэтому, если у вас помещение не в собственности и нет регистрации договора аренды в Росреестре, обратите внимание на условия договора аренды и его продления.
Документация
Следующее, что нужно для получения лицензий, — наличие специальной документации:
Её нужно заказывать в Росстандарте и во ФСТЭК России с пометкой ДСП (для служебного пользования). Часть документации открытая, она есть в интернете. Но есть и документация, которая имеет ограничительные пометки, так как по мнению ФСТЭК в ней содержится информация, которая не подлежит публичному распространению. Она платная и её нужно заказывать, поэтому это занимает определённое время.
Мы писали письма во ФСТЭК России о том, что просим обеспечить нас документацией, и они уже передавали наше письмо в свой подведомственный институт ГНИИИ ПТЗИ. Институт выставлял нам счёт на оплату, и после оплаты мы уже получали документы. А в Росстандарте мы заказывали ДСП ГОСТы, которые мы тоже получили после оплаты. На первый взгляд всё кажется просто, но это не так.
Например, в перечне литературы есть ГОСТ, который отменён Росстандартом. При этом ФСТЭК России свой перечень литературы не обновил, и данный ГОСТ там числится. Но купить его невозможно, потому что он уже отменён. В этом случае нужно написать официальное письмо в Росстандарт и включить в перечень заказов этот ГОСТ. На это ответят, что выставят счёт на два ГОСТа, а на третий — отменённый — не смогут. В итоге нужно оплатить два ГОСТа и предоставить свидетельства приобретения документов во ФСТЭК России. К ним прикладывается копия товарной накладной о том, что приобретены два ГОСТа, а также письмо-запрос и ответ Росстандарта о ситуации с третьим ГОСТом. Если нет доказательства, что отменённый ГОСТ запрашивался, то ФСТЭК может «развернуть», так как он указан в перечне и его тоже нужно заказывать.
В общем, на каждый подобный случай должно быть обоснование, почему ты это сделал, и подтверждение, что ты это купил либо хотел купить, но тебе не продали.
Средства защиты
Сложности могут возникнуть и со средствами защиты. Они нужны, чтобы осуществлять лицензируемые виды деятельности. На сайте ФСТЭК России есть перечень этих средств:
Например, у компании должна быть аттестована автоматизированная система, с помощью которой будет обрабатываться конфиденциальная информация. На технических средствах автоматизированной системы должны быть установлены средства защиты информации, такие как средство защиты от несанкционированного доступа, средство антивирусной защиты, средства анализа защищённости и другие. Для создания самих средств защиты информации должны быть приобретены средства для проведения анализа исходных текстов ПО, среды разработки (IDE), средства проектирования и так далее.
При этом на сайте ФСТЭК России не указываются вендоры и средства защиты, которые нужно приобрести, а только классы средств и для некоторых изделий их характеристики: для лицензии на разработку и для лицензии по защите конфиденциальной информации. На основании этих данных компания выбирает, какие программные и программно-технические средства нужно купить.
Также эти средства нужно покупать только у официальных дистрибьюторов либо вендоров, то есть у тех, кто может официально продать эти решения. Например, нам нужно было приобрести статический анализатор исходного кода, который проверяет исходный код и указывает, где могут быть опасные конструкции. И этот анализатор должен быть сертифицирован. В отделе лицензирования к требованиям относятся формально: если средство есть, то оно должно быть официально приобретено и на это средство нужно предоставить товарную накладную или другой документ, подтверждающий, что оно было приобретено официально.
Ещё в помещении должны быть средства, которые предотвращают утечку акустической информации. Они генерируют различные волны, в том числе белый шум, и предотвращают возможность прослушивания. Например, у нас установлен «Муссон» — система виброакустической защиты:
Также к таким средствам относятся акустический излучатель, низкочастотный генератор шума, виброизлучатель и другие:
Чтобы подтвердить, что наше помещение и автоматизированная система соответствуют требованиям к обработке конфиденциальной информации, нужно получить об этом заключение в форме аттестации. Для этого мы привлекали компанию, которая имеет лицензию на проведение аттестационных испытаний, и они давали нам заключение. Полный список таких компаний можно посмотреть в реестре лицензий на деятельность по технической защите конфиденциальной информации. Аттестацию могут проводить только те организации, у которых в столбце про виды услуг и работ указан пункт «г» — работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации.
Сами себя мы проверить не могли, потому что у нас не было лицензий и мы не планировали заявлять данные виды деятельности, так как это не является профильным бизнесом компании.
В рамках одних из измерений выяснилось, что дверь, которая стоит в нашем помещении, пропускает все шумы, потому что она была сделана из бумажного наполнителя в виде сот. И несмотря на то, что мы вешали колонки для белого шума, всё равно слышимость по частотам позволяла прослушивать. В итоге нам пришлось менять дверь, и мы поставили сейфовую металлическую дверь, которая уже соответствовала всем показателям.
Организации-лицензиаты должны поддерживать в актуальном состоянии технические и программные средства. Если лицензия на них закончилась, нужно продлевать её. Что касается аттестованных помещений и автоматизированных систем, нужно проводить инспекционный контроль о том, что требования продолжают соблюдаться.
Вместо заключения
После выполнения всех требований мы сформировали лицензионные дела: заполнили специальные формы (по разработке и производству и по технической защите) и приложили соответствующие документы, например, о пройденных аттестациях, технические паспорта, копии платёжных документов по закупкам средств защиты. Эти документы передали во ФСТЭК России. Далее мы ожидали информацию об оформлении лицензий, которые нам в итоге одобрили и выдали.
Получение лицензий ФСТЭК России может быть длительным и трудоёмким процессом. Компания должна быть хорошо подготовлена и соответствовать определённым требованиям, при соблюдении которых могут возникнуть сложности. В этой статье мы рассказали, в каких ситуациях могут возникнуть проблемы и как стоит действовать, чтобы избежать их.
В июне 2023 года мы получили лицензии ФСТЭК. Для нас это не только обязательное требование законодательства, но и гарантия безопасности данных клиентов и партнёров. «Флант» успешно прошёл все этапы получения лицензии, что позволяет нам предоставлять высококачественные услуги в области информационной безопасности. Это важный шаг для дальнейшего развития и укрепления доверия наших клиентов, а также большой шаг к сертификации наших продуктов.
В будущей статье мы расскажем о том, как получали сертификат на ПО Deckhouse Kubernetes Platform и как совмещали лицензирование и сертификацию, чтобы не затягивать эти процессы.
P. S.
Читайте также в нашем блоге:
Комментарии (11)
Zrgk
05.04.2024 07:42Про двери и всякие акустические излучатели — какой-то феерический маразм
000-Vladimir-000
05.04.2024 07:42+2Вы не правы. Очень сложно подыскать помещение в здании, которое обеспечивает нужный уровень шумоизоляции. Без использования акустических излучателей аттестовать защищаемое помещение (ЗП) фактически невозможно, только если это помещение изначально не конструировалось с хорошим уровнем шумоизоляции.
Другое дело, зачем пришлось менять дверь, неужели акустический излучатель настолько был плох? Мы также используем "Муссон" нареканий нет, хотя, справедливости ради, и дверь у нашего ЗП глухая, "архивная". Возможно, колонку не откалибровали, например, тем же "Камертоном".
vabka
05.04.2024 07:42+3Самый главный вопрос: а что такого супер конфиденциального за этими железными дверями происходит?
Какие-то переговоры с клиентами?
Сервера, на которых происходит сборка "сертифицированного" билда?
Разработчики сидят?
Или это всё один большой очередной театр безопасности?
Shaman_RSHU
05.04.2024 07:42Это просто один из пунктов Приказа о получении лицензии, что должно быть. Как и измерительное оборудование, которым, как я полагаю, после покупки никто использовать не будет.
000-Vladimir-000
Статья интересная, но поверхностная, на мой взгляд. В лицензировании ФСТЭК немало подводных камней и всяких сложностей.
Александр @aleksluov , если не секрет, что конкретно из контрольно-измерительного и испытательного оборудования, а также программных (программно-технических) средств закупил "Флант" для осуществления лицензионных работ по разработке и производству программных средств защиты информации? Например, какие 3 сертифицированных антивируса приобретали? Во сколько, по стоимости, всё обошлось?
aol-nnov
а у нас есть три сертифицированных антивируса?! два только в руках держал... )
000-Vladimir-000
Да, есть. Это:
Dr.Web Enterprise Security Suite
Kaspersky (их несколько разных сертифицированных)
Secret Net Studio (содержит модуль антивируса).
aol-nnov
вот-вот. третий - ноунейм какой-то. а.. код безопасности, точно
ZnopSml
Есть еще Антивирус VR Protect для Linux, программное изделие «Система многопоточной проверки файловых ресурсов Positive Technologies MultiScanner». Так что не два и не три)
aleksluov Автор
К сожалению, такую информацию не могу распространять в публичном пространстве, так как перечень средств защиты у нас относится к конфиденциальной информации. Но могу сказать, что из перечисленных выше антивирусов есть те, которые мы используем. Правда на сегодня где-то сертификат уже может быть недействительным. А еще нужно учитывать, что требования как и перечни средств защиты могли поменяться.