Всем привет!

В сентябре 2025 года мы в Angie Software получили долгожданные лицензии ФСТЭК, которые позволят нам заняться сертификацией продуктов. К этой точке в пространстве и времени мы шли почти год, хотя изначально казалось, что сама по себе процедура представляет довольно простой алгоритм. И не должна отнимать столько времени.

В этом тексте мы попробуем рассказать нормальным русским языком - что такое лицензии ФСТЭК, зачем они вам нужны, как все это связано с сертификацией продуктов, чем это, в теории, будет вам полезно. И укажем, какие ошибки мы допустили по дороге. Возможно, вам это сэкономит кучу времени и спасет тонны нервных клеток. Нам бы такой текст точно пригодился. Но мы его в свое время не нашли ?

Ну а нам на помощь придут всеми любимые лирические герои. Ибо так проще забыть все то, что мы пережили, пока пытались разобраться в том, как получить лицензии.

Глава первая, в которой Винни пытается понять, а чего он тут вообще делает. А Пятачок отправляется считать ресурсы

Первое, что вы должны понимать (еще до того, как решитесь получать лицензии ФСТЭК), — готовы ли вы пройти весь этот путь? Это мало того, что требует кучи ресурсов, но и готовности инвестировать в процесс сертификации. А это именно что процесс, в котором лицензии и получение изначально желаемого сертификата - только одни из этапов. Процесс затратный и обязывающий потенциального лицензиата определенным образом выстраивать работу в компании, нанимать специально обученных людей, искать адекватных подрядчиков и т.д. и т.п.

Советуем хорошо взвесить - сможете ли вы заработать на этом достаточно, чтобы окупить все эти затраты, взвесить все «за» и «против». Ну, а если уже решились, то желаем идти вперед с гордо поднятой головой.

Вот теперь стоит читать дальше.

Глава вторая, в которой Винни пытается разобраться в том, что такое сертификация. А Пятачок не понимает, при чем тут лицензия

Забежим вперед и поговорим сперва про сертификат ФСТЭК, ради которого вам и потребуется получать лицензию. Что это и зачем это?

На российском рынке есть большой сектор компаний, бесперебойная и безрисковая работа которых важна для государства. Например, электростанции. Или, к примеру, банковские системы (но так-то имя им — легион, их буквально десятки тысяч в совершенно разных отраслях экономики). Такие компании называются субъектами критической информационной инфраструктуры (КИИ).

Государство устанавливает к ним ряд требований, которые нужны, чтобы обеспечить информационную безопасность в рамках их работы. Одно из таких требований — покупать и внедрять сертифицированные ФСТЭК России средства защиты информации (как программное обеспечение, так и железо и другие продукты). А это значит, что вендоры, получившие сертификаты соответствия, могут получить доступ на рынок сильно заколдованных товарищей, где до вас не ходила нога разработчика.

Нужно отметить, что в системе ФСТЭК обязательной сертификации подвергаются только определенные средства защиты информации. Их выделяют в отдельные категории, для которых, помимо базовых требований (в соответствии с желаемым уровнем доверия) существуют еще и отдельно выделенные требования, сформированные в так называемых профилях защиты (эксперты по сертификации могут подметить, что далеко не все новые требования называются профилями защиты, но статья предназначена для широкого круга читателей, в том числе для не сильно искушенных).

К упомянутым категориям можно отнести такие средства как, например, межсетевые экраны, операционные системы, средства доверенной загрузки, антивирусные средства и целый набор других (можно ознакомиться с профилями защиты на ресурсе ФСТЭК). А вот в случае «добровольной» сертификации объектом оценки может выступить чуть ли ни любой класс программного обеспечения. Мы, к примеру, начали сертификацию системы балансировки Angie ADC, а кто-то сертифицирует прошивку для RFID-считывателей и офисное программное обеспечение. Какой-нибудь Майкрософт как миленький получал сертификаты для своего ПО и не слишком-то переживал по этому поводу.

Считается, что продукты, получившие сертификат ФСТЭК, проверены-перепроверены всеми возможными способами, не содержат уязвимостей, которые могут поставить под угрозу инфраструктуру компании, а также имеют техническую поддержку вендора. На самом деле никакой особой магии в процессах лицензирования-сертификации нет, но его: а) демонизируют и б) не понимают.

Давайте утрируем.

Сертификат ФСТЭК для ПО не равно канал связи с товарищем майором (российским или иностранным), напротив, это гарантия, что такого канала связи в вашем ПО нет. Как нет в нем и дырок, различных уязвимостей и прочей зловредной дряни (на момент выдачи сертификата соответствия). Вы можете быть не согласны с этими утверждениями, но если вы хотите продавать свои продукты в этот конкретный сектор российской экономики, то придется соответствовать, ОК?

Важно также понимать, что даже если у вас сертифицировано буквально все ПО в компании, то это не гарантия того, что какой-нибудь злодей (или горе-админ) не развалит вашу инфраструктуру. К сертифицированному ПО должны, собственно, прилагаться прямые руки и холодный разум инженеров, а также специалистов по информационной безопасности (да и сам вендор сертифицированного ПО должен учитывать, что очень вряд ли в «боевом» информационном контуре его продукт будет существовать в одиночестве, без интеграций). Вот вместе все это уже более-менее нормальная система защиты инфраструктуры.

ОК. Теперь надо понять, что такое сертифицированная версия продукта.

Скажем, вы делаете веб-сервер (вот это внезапно, да? ?). Обычно при эксплуатации веб-сервера используются куча сторонних модулей и свободно распространяемых библиотек, дополняющих базовый набор функциональных возможностей классического веб-сервера. Для сертификации создается особая версия ПО — такой же веб-сервер, но только с тем функционалом и составом, за который производитель готов отвечать головой. Чем меньше чужого кода – тем менее затратно в дальнейшем проводить исследования и многочисленные ревью этой версии и, при необходимости, вносить исправления.

И вот у нас появляется «веб-сервер версии ФСТЭК». Эту версию прогоняют через все возможные процедуры и инструменты, призванные выявить уязвимости и недостатки кода, после чего её передают в испытательную лабораторию с целью проведения испытаний и валидации корректности проведенных исследований на стороне вендора. И только потом продукт отдается в орган по сертификации (например, в ФАУ «ГНИИИ ПТЗИ ФСТЭК России»), который на финальном этапе проводит экспертизу в отношении результатов исследований и испытаний, проведенных вендором и лабораторией. Все вместе участники процесса сертификации несут перед ФСТЭК и клиентами ответственность за то, чтобы сертифицированное ПО выполняло заявленные функции, своевременно обновлялось и патчилось, а инфраструктура клиента, купившего такое ПО, хорошо себя чувствовала.

Далее процедура оценки соответствия повторяется многократно — по мере обновления продукта.  В этот момент в теории вы, как вендор, обогащаетесь, а ваши потребители радуются, что их интересы защищены. И несут вам денежку.

Сертификации мы посвятим отдельный текст, а пока поговорим о лицензировании компании. Ибо без лицензии никакого сертификата вы не получите в принципе.

Глава третья, в которой Винни обнаруживает, что лицензии бывают разные. А Пятачок учится хранить секреты

Для того, чтобы получить сертификат ФСТЭК на свой продукт, ваша компания сперва должна получить лицензию ФСТЭК на разработку и производство продукта. Это, по сути, пропуск, который является подтверждением того, что ваша компания готова к сертификации своих продуктов. Тут главное, как говорится, войти в ту дверь.

Начнем с очевидного - как контролирующие органы в лице регуляторов, так и виды лицензируемой деятельности бывают разные.

Если мы говорим про создание средств защиты информации, то в рамках упомянутой деятельности принято выделять «трех китов» — регуляторов, ответственных за лицензирование организаций:

• ФСТЭК России;

• ФСБ России;

• Министерство обороны Российской Федерации.

Каждый из перечисленных регуляторов формирует свою систему сертификации средств защиты информации, соответственно, утверждает свой пул требований как к процессам разработки и производства продукции, так и к свойствам и, временами, к функциональным возможностям самой продукции.

Так, например, система сертификации ФСБ России напрямую касается разработки средств криптографической защиты информации, т.е. продукции, реализующей шифрование с использованием отечественных криптографических алгоритмов, в то время как система ФСТЭК России затрагивает техническую защиту информации некриптографическими методами.

Angie Software не планирует получать лицензии ФСБ России и МО РФ на разработку средств защиты, поэтому мы вам про них ничего не расскажем (и не только поэтому, мы еще не настолько круты ☺️). Если не затрагивать сферу защиты государственной тайны (туда нам тоже не надо), то в системе ФСТЭК выделяются следующие лицензируемые виды деятельности:

• Деятельность по разработке и производству средств защиты конфиденциальной информации;

• Деятельность по технической защите конфиденциальной информации.

Упрощая:

• Имея первую лицензию, организация обретает право легально разрабатывать и производить средства защиты информации, а также выступать заявителем на сертификацию своей продукции (в системе ФСТЭК) и участвовать в госзакупках;

• Имея вторую лицензию, организация может оказывать такие услуги, как установка и ремонт средств защиты информации, аттестация по требованиям ИБ, создание центра мониторинга ИБ (SOC), а также проводить тестирование на проникновение.

Мы решили не ограничивать себя в возможностях на будущее, поэтому получили обе лицензии по интересующим видам услуг.

Собственно, сам процесс получения лицензий довольно прост и логичен, если руки у вас растут из правильного места, либо у вас есть сотрудник, который проходил этот процесс, либо подрядчик, которого вы смогли определить. Либо у вас есть хороший советник.

Далее мы попробуем в формате гайда провести вас через основные проблемы, с которыми вы можете столкнуться. И предупредить читателей, рассказав об ошибках, которые мы сотворили. Ибо на первом этапе ни правильно приделанных рук, ни нормального консультанта, ни разумного коллеги у нас не было. И мы какое-то время изобретали колесо.

Глава четвертая, в которой Винни читает постановление Правительства РФ № 171 от 03.03.2012, а Пятачок ищет сотрудника в штат

В целом порядок лицензирования и требования к организации, которая хочет получить лицензию, опубликованы в открытом виде, с ними можно ознакомиться, прочитав постановление Правительства РФ № 171 от 03.03.2012. На ресурсе ФСТЭК России, в свою очередь, представлен открытый перечень документов и материалов для заявки, призванный упростить сбор данных на стороне организации-соискателя лицензии. Для лицензии на разработку и производство, например, опубликован следующий перечень.

Если вы, как и мы вначале, не можете понять, что все это значит, то вам срочно надо найти себе специалиста. Само по себе это довольно сложно, но, поверьте, в будущем сэкономит вам кучу времени! И денег! Тем более, что вам в любом случае потребуются специально обученные люди, чтобы получить лицензию. Они же должны быть в состоянии прочитать и расшифровать эти документы вам. Но, вместе с тем, базовые требования даже неофитам в лицензировании полезно понимать, чтобы потом не выносить своему коллеге мозги почем зря.

Приступим.

Итак, первое и самое главное. Люди. И требования к их квалификации.

Суть сводится к тому, что организация должна подтвердить наличие сотрудников (1 руководителя работ и минимум 2 инженерно-технических специалистов), чей стаж и квалификация будут достаточными для разработки и производства средств защиты информации. Из интересного – в требованиях делается упор на наличие у всех заявляемых сотрудников высшего образования в области информационной безопасности, либо профессиональной переподготовки (тут важно согласование программы с ФСТЭК и количество часов!) по направлению ИБ в случае, если имеющийся диплом не связан с ней.

Отдельно стоит упомянуть, что у руководителя стаж должен составлять не менее 5 лет в области проводимых работ, в то время как у сотрудников-инженеров – не менее 3 лет. Опытные коллеги-безопасники могут вспомнить, что есть отдельный пункт в постановлении про 7 лет стажа для руководителей, не обладающих высшим образованием по направлению ИБ, тем не менее, наш текст основывается по большей части на нашем опыте получения лицензии. А у нас все необходимые сотрудники подобрались с опытом и необходимым образованием. 

Кроме того, мы крайне рекомендуем набирать сотрудников именно что в штат, а не пользоваться всякими непонятными практиками вроде «аренды специалиста или его трудовой книжки». Вам, если вы серьезный вендор, придется решать кучу вопросов, которые связаны с информационной безопасностью.  Да и процесс сертификации потребует участия людей. Скупой в данном случае точно платит дважды, а то и трижды.  

Возвращаясь к требованиям - все заявляемые сотрудники должны быть оформлены по ТК по основному месту в вашей организации, на полную ставку, при этом сотрудникам нет необходимости числиться в одном структурном подразделении компании. Хитрить тут не рекомендуем. Нужно понимать, что со стороны регулятора могут быть вопросы в формате «Почему в заявочном комплекте указано, что у вас работами по созданию средств защиты руководит лид из маркетинга?». В общем, лучше от здравого смысла не отходить, если нет желания растянуть процесс.

Для подтверждения квалификации и профессионального стажа сотрудников в ФСТЭК направляются (в рамках огромного пакета документов — здесь и далее везде речь идет об одном пакете) заверенные копии дипломов и выписок из электронных трудовых книжек (и копии из бумажных, при необходимости), при этом выписки дополняются копиями утвержденных должностных инструкций с текущего места, а также с предыдущих мест, если по выписке из трудовой не очевидно, чем именно занимался человек.

Помимо вышеперечисленного, существует еще отдельное требование о необходимости повышения квалификации сотрудников (по лицензируемому виду деятельности) после 5 лет накопленного стажа, так что курсы по ИБ могут быть полезны не только самим сотрудникам, но и компании в целом по нескольким причинам сразу. Важный момент – далеко не все курсы пойдут, а только те, что читаются в организациях, аккредитованных ФСТЭК в части осуществления образовательной деятельности. Найти их, впрочем, не сложно.

Тут заканчивается самое сложное, а далее вам уже придут на помощь подрядчики. Им предстоит помочь вам с аттестацией помещения и его оборудованием.

Глава пятая, в которой Винни подбирает комнату без окошка, а Пятачок набивает ее техникой. 

Нашли людей? Молодцы.

Теперь надо найти защищенное помещение и оборудовать его.

Вопрос из зала: "А какое помещение подразумевается?"

Обычно это комната в вашем офисе без окон, которую вы арендовали на срок более 11 месяцев (или она вообще вам принадлежит), которую надо оборудовать специальным образом, установить в ней компьютер с нужным ПО, принтер, а затем — аттестовать.

Согласно требованиям ФСТЭК, организация должна подтвердить, что офисные помещения, в которых будут проводиться работы в соответствии с будущей лицензией, используются на законных основаниях, т.е. по праву собственности или на основании договора долгосрочной аренды (> 11 месяцев). Также в организации должны быть созданы условия для обсуждения и обработки конфиденциальной информации. Проще говоря - в вашу комнату без окон надо ограничить доступ (да, поставить СКУД), а саму комнату изолировать от прослушки и утечек.

Мы крайне рекомендуем не возиться с этим самим, а передать упомянутые работы подрядчику. На рынке есть профи в этом деле, которых знает любой более-менее внятный специалист. Если у вас нет такого помещения, то вам не повезло ?.Но тогда его можно создать. Мы, опять же, крайне советуем привлечь на этом этапе специалистов! Сэкономите время.

Аттестация проводится с привлечением аккредитованной организации, на коммерческой основе. К счастью, на ресурсе ФСТЭК есть открытый реестр с организациями, имеющих право проводить соответствующие работы.

Параллельно с подготовкой помещения к аттестации вам еще потребуется закупить необходимое оборудование и лицензии ПО / СЗИ. Не будет ПО — ваше помещение не аттестуют, так как по логике ФСТЭК голыми руками производить собственные программные решения не получится. Впрочем, это вроде бы логично.

Организации понадобится целый набор программного обеспечения и средств защиты информации?. Перечень необходимых средств открыт и представлен на ресурсе ФСТЭК.

Если сгруппировать содержимое таблицы, можно выделить две группы:

• Средства для аттестации защищаемого помещения и рабочего места в нем;

• Средства для непосредственной разработки и производства ПО (компиляторы, отладчики, ПО для контроля защищенности и тестирования СЗИ и другие средства).

Как можно заметить, в перечне представлены классы средств, а также их технические и (или) функциональные характеристики, без указания коммерческих наименований, поэтому выбор остается на усмотрение будущего лицензиата. Есть смысл заранее готовиться к этой истории, как в части планирования бюджета, так и в части сравнительного анализа средств на предмет совместимости с ОС и с другими СЗИ / ПО. В дальнейшем приобретенные лицензии должны поддерживаться организацией в актуальном состоянии, так что не будет лишним время от времени проверять почту на предмет сообщений-напоминалок от вендоров приобретенных лицензий ?.

Заверенные копии аттестатов (по итогам, как вы догадались, аттестации) направляются в ФСТЭК приложениями к заявке на лицензирование. Туда же направляются заверенные копии документов, связанных с регистрацией организации и владением (арендой) помещений.

Глава шестая, в которой Винни ждет вестей из Воронежа, а Пятачок изучает ISO 9001

Своего офиса, сотрудников, оборудования, инструментов и лицензий ПО все еще недостаточно для того, чтобы грамотно разрабатывать и производить средства защиты информации ?. Вам необходимо руководствоваться в своей работе технической документацией, национальными стандартами, методическими документами и другими НМД, которые предоставляются по запросу в Росстандарте и ФСТЭК.

Проблема в том, что если с Росстандартом вы получите все необходимое довольно быстро, то документы во ФСТЭК надо заказывать. Дело в том, что документация поставляется с пометкой «для служебного пользования» (не следует путать с грифами документов), то есть её содержание не является публичной информацией.

Существует утвержденный порядок обеспечения организаций документами ФСТЭК, но если кратко – необходимо сначала запросить реестр нужных вам документов у регулятора, и уже на основании реестра составлять заявки на приобретение нормативной технологической документации. Документы производятся с нумерацией экземпляров «в одни руки», производство документов осуществляется ФАУ "ГНИИИ ПТЗИ ФСТЭК России", расположенным в городе Воронеж.

Если вы пропустили тот или иной нужный вам документ в изначальной заявке, то придется составить внеочередную заявку и ждать ее рассмотрения для получения счета на оплату. Процедура занимает время. А если вы еще и такие вот альтернативно одаренные, как мы, то ждать вы будете долго.

В нашем случае получение необходимых комплектов документации заняло месяцы в связи с тем, что мы переезжали с одного адреса на другой. И не учли это, когда направляли свой запрос в ФСТЭК. В итоге мы столкнулись с целым квестом с поиском «утерянных» комплектов, а с учетом времени логистики из Воронежа до Москвы – время растянулось еще сильнее.

Тем не менее, следует отметить, что коллеги из ФСТЭК и ГНИИИ ПТЗИ шли нам навстречу, когда мы обращались по телефону за помощью и консультациями, за что мы благодарны. Иначе мы бы до сих пор искали эти документы.

Рекомендация – не переезжайте во время подготовки к лицензированию, а если переезжаете - закладывайте пару месяцев на поиск комплектов документации ?.

Кроме того, параллельно вам необходимо будет внедрить систему менеджмента качества выпускаемой продукции, включающую в себя процедуры проверки и оценки системы разработки СЗИ, а также процедуры учета изменений, вносимых в документацию на продукцию. Ведь как можно производить СЗИ, если нет системы производственного контроля? Логично же?

Подтвердить, что вы все сделали правильно поможет получение организацией сертификата системы менеджмента качества по стандарту ISO 9001 (область сертификации – разработка компьютерного ПО, а также деятельность по разработке средств защиты информации).

Это, пожалуй, самое простое, из того, что перечислено выше. И да, не следует путать этот сертификат с сертификатом ФСТЭК, они затрагивают принципиально разные объекты оценки ?.

Глава седьмая, в которой Винни и Пятачок дают советы

Резюмируя. Процедура лицензирования, если разобраться, простейшая: люди, помещение, лицензии на ПО, документы. Ну и заполнить правильно все письма, вовремя их отправить и тому подобное. Если не разбираться - можно завязнуть в ней на год.

Следите за актуальностью ПО, ищите подходящих сотрудников с ИБ-шным высшим образованием и стажем, готовьтесь заранее к аттестации, закладывайте побольше времени и необходимую сумму в бюджет – и процедура лицензирования пройдет для вас в рабочем порядке, без неожиданностей.

Ну и несколько советов, чтобы закрепить эффект от прочитанного.

1. Нанимайте профессионала. Не наймете - потратите время и деньги, а результата так и не будет. К тому же профи будет у вас и будет далее работать над сертификацией. Важно - человек должен быть внутри, а не снаружи, частично и т.п. Воля ваша, но мы уверены, что внутри компании должен быть кто-то, кто глубоко разбирается в процессе;

2. Постарайтесь хотя бы в общих чертах понимать, что делают эти все люди и в чем цимес шуток про «тайную комнату»;

3. Не «дергайтесь» во время процесса - не меняйте юридические адреса и.т.п.;

4. Выбирайте подрядчика, которым доверяет ваш специалист. Они – хорошие, хотя и не всегда понятно говорят ?;

5. Своевременно найдите в своем офисе черную дыру (защищенное помещение может стать проблемой). И вообще делайте всё параллельно;

6. Приготовьтесь ждать, не паникуйте, заведите себе за правило дозваниваться в ФСТЭК. Верьте, вам ответят;

7. Еще раз оцените, хватит ли у вас сил. Если лицензирование - это долго, то сертификация - долго, дорого, трудно;

8. Не ждите момента получения лицензии, начинайте разбираться в процессе сертификации заранее. Сэкономите кучу времени.

Ну и успехов вам!