Лицензия ФСБ на криптографию.
Как получить?

Как выполнить лицензионные требования. Как подготовить пакет документов. Как пройти проверку ФСБ и какие есть подводные камни.
Консультация
Расчёт стоимости
Александр Цахариас
Получаю лицензии ФСБ на криптографию для банков, IT-компаний и ЦТО с 2012 г.
1. Мне нужна лицензия ФСБ на криптографию. Что мне делать?
У вас есть несколько вариантов:
  1. Получить лицензию самостоятельно. Вариант подходит компаниям с ограниченным бюджетом и вагоном времени. Можно сэкономить на услугах консультантов до 200 тыс. руб., но готовьтесь, что лицензию получите через 6-12 мес. И, скорее всего, не с первого раза.
  2. Получить лицензию через консультанта. Вариант для тех, кому лицензия нужна еще вчера. Дороже первого варианта на 100-200 тыс. руб. за счет услуг консультанта. Консультант, как правило, помогает получить лицензию за 3-4 мес. Скорее всего, получите лицензию с первого раза. В некоторых случаях, это единственный вариант. Например, когда у вас нет квалифицированного персонала для лицензии.
  3. Ничего не делать и продолжать работать. Вариант для рисковых. Я бы не советовал. Далее в статье я расскажу об ответственности за работу без лицензии на криптографию.
  4. Закрыть направление бизнеса. Иногда целесообразно поступить именно так, поскольку затраты на получение лицензии могут доходить до 1 млн. руб. Единственный совет - посчитать смету до того, как вы решили получать лицензию.
2. Сколько стоит лицензия ФСБ на криптографию?
Стоимость лицензии на криптографию напрямую зависит от того, насколько ваша компания соответствует лицензионным требованиям. Стоимость складывается из расходов на наем квалифицированных сотрудников, оборудование помещения, аттестацию автоматизированной системы, покупку сейфа, нотариальные расходы, услуги консультанта, госпошлину и др. расходы.

Лицензия на 2, 3, 7-15, 17, 18, 20-28 виды работ в Москве вам обойдется:
  • Min ~ 10 тыс. руб. (госпошлина + услуги нотариуса).
  • Max ~ 950 тыс. руб. (если "ничего" нет). Например, вы только открыли новую компанию.

Если вам нужны расчеты конкретно по вашей компании, пришлите мне заполненную анкету, а я рассчитаю смету на лицензию.
Получить анкету
для расчета стоимости лицензии на криптографию
3. А можно вообще не получать лицензию на криптографию и работать без нее?
Нет, нельзя. Это незаконно и крайне рискованно. Законодательство РФ предусматривает административную и уголовную ответственность за деятельность без лицензии. Это значит, что компанию могут оштрафовать, а генерального директора – посадить.

Следует отметить, что ответственность напрямую зависит от выручки компании. Чем больше денег ваша компания заработала, тем выше ответственность.
4. Административная ответственность.
  • Штраф на генерального директора (ч.1 ст.13.13 КоАП). Размер штрафа составляет 2-3 тыс. руб. Применяется часто. Не зависит от размера заработанных денег, сам факт деятельности влечет административную ответственность.
  • Штраф на компанию (ч.1 ст.13.13 КоАП). Размер штрафа – 10-20 тыс. руб. Применяется всегда.
  • Конфискация (ст.13.13 КоАП). Конфискуются средства защиты информации (криптография и оборудование). Применяется редко.
  • Предписание об устранении нарушений (пп.3 п.1 ст.7 99-ФЗ). Устранить нарушения необходимо в течение 30 дней. Применяется всегда. Если лицензии нет – вас обяжут получить лицензию или прекратить деятельность. Если лицензия есть, но имеются нарушения – устранить нарушения в срок. Самое распространенное нарушение – отсутствие квалифицированного персонала. Соответственно, его необходимо нанять.
  • Приостановление лицензии (ст.20 99-ФЗ). Не встречал на практике.
  • Отзыв лицензии (ст.20 99-ФЗ). Не встречал на практике.
  • Ликвидация компании (ч.2 п.2 ст.61 ГК РФ). Не встречал на практике.
Подробный обзор судебных дел провел мой коллега - Виталий Кривонос здесь и здесь.
5. Уголовная ответственность.
  • Штраф на гендиректора до 300 тыс. руб. (ч.1. ст. 171 УК РФ). Применяется, если вы заработали за последние 6 лет от 2,25 до 9 млн. руб.
  • Арест генерального директора до 6 месяцев (ч.1. ст. 171 УК РФ). Применяется, если вы заработали за последние 6 лет от 2,25 до 9 млн. руб.
  • Лишение свободы гендиректора до 5 лет (ч.2. ст. 171 УК РФ). Применяется, если вы заработали за последние 6 лет более 9 млн. руб.
Известны случаи возбуждения уголовных дел в отношении руководителей банков, которые оказывали услуги ДБО без получения лицензии. В Москве, в Краснодаре, в Ростове-на-Дону, еще раз в Краснодаре. Банкам проще заработать 9 млн. руб., а это влечет за собой уголовную ответственность.

За 2015-2018 годы я столкнулся с 9 случаями проведения доследственных проверок в банках, оказывающих услуги без лицензии на криптографию. В 3 случаях по материалам проверок возбудили уголовные дела в отношении руководства банков.
6. Подумываю обратиться к консультанту за помощью. Как найти хорошего консультанта?
На рынке много квалифицированных специалистов по лицензированию криптографии, включая меня. Цены на услуги консультантов варьируются от 120 до 200 тыс. руб.

При выборе консультанта важно понимать, что он должен знать и уметь делать.
  • Найти в вашем городе сотрудников с образованием и стажем. Это 70% успеха. Если консультант не гарантирует подбор сотрудников - не заключайте договор - с вероятностью 99% сами вы людей не найдете. Готовьтесь заплатить деньги за поиск сотрудников. Стоит услуга 40-50 тыс. руб. за одного сотрудника в зависимости от того, на какие виды работ вы получаете лицензию. Цена указана для пунктов 2, 3, 7-15, 17, 18, 20-28 из 313-ПП. Также нужно будет платить зарплату нанятому сотруднику.
  • Разработать "под ключ" пакет документов для получения лицензии. Это основная часть работы консультанта. Также консультант должен доработать документы, если к ним будут претензии со стороны ФСБ.
  • Найти в вашем городе подрядчика для аттестации автоматизированной системы. Подрядчик должен иметь лицензию ФСТЭК на проведение аттестации. Это платная услуга. Стоит 80-150 тыс. руб.
  • Подготовить вас к выездной проверке ФСБ. Объяснить чего ждать, как себя вести и что отвечать на вопросы проверяющих.
7. Советы при общении с консультантом.
Несколько советов, которые позволят вам отстоять свои интересы.
  • Не верьте 100% гарантии. Такие гарантии дают мошенники. Специалист не будет гарантировать, что не будет отказа в предоставлении лицензии. Отказ возможен. И у меня было 2 приостановления, но в обоих случаях устранили замечания в течение месяца. Кроме того практика отличается от региона к региону. Например, в Краснодарском крае и в Ростове-на-Дону, по моему мнению, самые дотошные проверяющие.
  • Возврат 100% стоимости услуг. Пропишите в договоре с консультантом условие о возврате денег в случае отказа в предоставлении лицензии. У хороших специалистов отказы бывают крайне редко. Они пойдут на это.
  • Четкие обязанности консультанта в договоре. Пропишите в договоре обязанность консультанта найти сотрудников, подрядчика по аттестации, разработать необходимые документы и подготовить вас к проверке ФСБ.
  • Смета расходов. Запросите у консультанта до заключения договора подробную смету всех расходов, связанных с получением лицензии. Нет ничего хуже, чем непредвиденное увеличение сметы.
8. Я все-таки решил получать лицензию ФСБ самостоятельно. С чего мне начать?
Как бы банально это не звучало, я советую начать с изучения законов:
  • 99-ФЗ. Федеральный закон, который устанавливает перечень видов деятельности, для которых требуется лицензия в РФ, включая криптографическую деятельность. Устанавливает общие правила лицензирования, лицензионные требования, сроки реагирования госорганов, ответственность. Обязательно к прочтению.
  • 313-ПП. Профильное постановление правительства, которое устанавливает правила лицензирования конкретно для криптографической деятельности. Тоже что и 99-ФЗ, но более детально. А еще в 313-ПП приведен перечень из 28 лицензируемых видов работ. Обязательно к прочтению.
  • Инструкция ФАПСИ № 152. Инструкция определяет порядок ведения лицензируемой деятельности. То, чем вы будете заниматься после получения лицензии. Например, организация органа криптографической защиты (ОКЗ), должностные инструкции сотрудников ОКЗ, требования к защите помещения ОКЗ, ведение журналов учета криптографии и др. На практике ФСБ требует выполнять требования инструкции еще на этапе подготовки к получению лицензии. Если не выполните, то, вероятнее всего, откажут в лицензии. Обязательно к прочтению.
  • ПКЗ-2005. Понадобится, если вы планируете разрабатывать и производить криптографию.
  • Приказ ФСБ N 440. Описывает госуслугу по лицензированию. В приказе приведена форма заявления на получение лицензии.

Даже если после прочтения законов вы что-то не поймете, у вас появится общее представление о процедуре получения лицензии.
И не стесняйтесь задавать вопросы в форме в конце страницы.
9. Просто так лицензию не получить. Нужно подготовиться.
Все верно. Чтобы получить лицензию на криптографию нужно выполнить лицензионные требования, разработать документы и пройти выездную проверку ФСБ.

  1. Выполнение лицензионных требований. На данном этапе подбирают сотрудников, покупают оборудование, готовят помещение, проводят аттестацию и др. Это 70% всей работы.
  2. Подготовка документов. 20% работы.
  3. Прохождение проверки ФСБ. На этом этапе мы ждем гостей из ФСБ. От нас почти ничего не зависит. Нужно знать что говорить, как себя вести с проверяющими. А также вовремя выполнить все замечания регулятора, если таковые будут.
Если вы хорошо подготовитесь, то в конце вас будет ждать заветный бланк лицензии.

Хочу сразу отметить, что получить лицензию на криптографию своими силами реально. Необходимо только иметь достаточное количество времени, разобраться в вопросе и немного удачи.
10. Какие существуют лицензионные требования?
Все требования можно условно поделить на следующие группы:
В статье я остановлюсь подробно на каждом.
11. Требования к сотрудникам.
Требования к сотрудникам - самые трудновыполнимые требования.
Компания должна иметь сотрудников, которые будут заниматься лицензируемой деятельностью. Для разных видов работ предъявляются разные требования к образованию и стажу сотрудников (см. пп.Д п.6 313-ПП).
  • Для 21-24 видов работ нужно иметь 2 сотрудников с 100 часами курсов по информационной безопасности, стаж не обязателен.
  • Для 2, 3, 7-15, 17, 18, 20, 25-28 видов работ нужно иметь 2 сотрудников с 500 часами курсов по информационной безопасности или академическим образованием и стажем в лицензируемой деятельности более 3 лет.
  • Для 1, 4-6, 16, 19 видов работ нужно иметь 2 сотрудников с 1000 часами курсов по информационной безопасности или академическим образованием и стаже в лицензируемой деятельности более 5 лет.
Сотрудников нужно оформить в штат на основное место работы. По совместительству не подойдет.

Обучить сотрудников можно. Это займет время 3-6 мес. А вот со стажем есть проблема.
12. Стаж сотрудников в лицензируемой деятельности.
Дело в том, что для получения лицензии нужен стаж в лицензируемой деятельности. Это такой стаж, когда сотрудник:
  1. работал в компании с лицензией на криптографию (наличие лицензии проверяется ФСБ)
  2. работал с криптографией (см. в должностные обязанности)
Только такой стаж идет в зачет при получении лицензии. Объясняется это тем, что если компания не имела лицензию на криптографию, то и лицензируемой деятельностью компания (сотрудники) не занималась. Соответственно, у сотрудника этой компании нет опыта в лицензируемой деятельности. Будь ты хоть трижды офицером по информационной безопасности с 30 летним стажем.

Но и здесь есть проблема.
Если сотрудник работал в компании, которая имела лицензию только на 21-24 виды работ, то стаж в этой компании не пойдет в зачет, если компания захочет в последующем получить лицензию на 1-20, 25-28 виды работ. Потому, что для 1-20, 25-28 видов работ предъявляются более высокие требования.

Также это правило действует, если сотрудник работает в компании, которая имела лицензию на 2, 3, 7-15, 17, 18, 20, 25-28 виды работ, то стаж в этой компании не пойдет в зачет, если компания захочет расширить лицензию на 1, 4-6, 16, 19 пункты 313-ПП.

А вот стаж в компании, которая имеет лицензию на 1, 4-6, 16, 19 виды работ подойдет для получения любой лицензии на криптографии.
13. Как найти сотрудника со стажем и образованием?
Как правило, у большинства компаний нет в штате подходящих сотрудников. Кадровый голод испытывают даже некоторые банки. Еще хуже обстоят дела в регионах.

Сотрудников можно искать в компаниях, которые могут иметь лицензию на криптографию. На собеседовании задавайте сотруднику вопрос в лоб, была ли у компании-работодателя лицензия на криптографию.

Если сами не сможете найти сотрудников, то, скорее всего, придется обращаться за помощью к консультантам. Но имейте ввиду, что консультанты предоставляют сотрудников вместе с услугами по сопровождению.
14. Требования к помещениям.
Следует отметить, что лицензия на криптографию выдается на конкретный адрес, по которому вы планируете вести деятельность. Если у вас несколько адресов (например, филиалы банков), то в лицензию нужно включать все адреса. При этом для каждого адреса придется выполнять требования к помещениям.

  • Законное владение помещением (пп.1 п.3 ст.8 99-ФЗ). У вас должно быть помещение в аренде или в собственности, и правоустанавливающие документы (например, ДКП, аренда, свидетельство о праве собственности). Ограничений по площади нет. А вот open space не подойдет.
  • Двери (п.52 152-ФАПСИ). Двери в помещение должны быть прочными. Подойдут двери-сейфы, металлические или прочные деревянные двери. Из стекла не подойдут.
  • Окна (п.52, 53, 56 152-ФАПСИ). Должны быть защищены от проникновения металлическими решетками, и от просмотра с улицы – шторами.
  • Сигнализация и охрана (п.52, 53, 56 152-ФАПСИ). Должны исключать неконтролируемое проникновение в помещение посторонних лиц. Особых требований нет.
  • Сейф (п.58 152-ФАПСИ). В вашем помещении должен быть сейф или металлический шкаф с кодовым замком/средством опечатывания замочной скважины. В сейфе вы будете хранить криптографию и документацию к ней.
15. Требование по обеспечению конфиденциальности.
Самое непонятное требование.
В пп.В п.6 313-ПП буквально сказано "наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации".
Как хочешь, так и понимай.

Оказывается под требованием подразумевается следующее:
  • Режим коммерческой тайны (пп.В п.6 313-ПП). Вы должны установить в компании режим коммерческой тайны. Как установить режим коммерческой тайны – предмет отдельной статьи. Когда-нибудь напишу, а пока поищите в интернете.
  • Автоматизированная система (пп.В п.6 313-ПП). Применяется для ведения журнала учета СКЗИ. Вы должны купить компьютер, его аттестует компания с лицензией ФСТЭК и выдаст вам аттестат на 3 года. Подробности в блоге у Виталия Кривоноса.
  • Охрана помещения из предыдущей карточки № 15.
О том как выполнить данное требование можно узнать только на практике.
16. Требования к организации работы.
Организация работы сводится к выполнению следующих правил:
  • Учет СКЗИ (п.7, 26, 27 152-ФАПСИ, п.48 ПКЗ-2005). На самом деле наибольшая часть вашей работы будет сводиться к поэкземплярному учету СКЗИ. Это как бухгалтерский учет, только вместо денег – криптография. Нужно записать от кого получил криптографию и кому ее потом передал. Для этого существует специальный журнал учета СКЗИ. Образец журнала можно найти в 152-ФАПСИ. Также каждую передачу криптографии следует оформлять актом приема-передачи.
  • Документация на СКЗИ (п.69 152-ФАПСИ). Вместе с криптографией вам следует передавать своим клиентам техническую и эксплуатационную документацию на СКЗИ. И тоже ее учитывать в журнале учета СКЗИ.
  • Передача СКЗИ (п.32, 33 152-ФАПСИ). Как бы это странным не казалось, но передавать криптографию можно только специальным образом. Только по внутренней почте в сейф-пакетах или сотруднику клиента лично в руки. Есть еще вариант с фельдъегерской службой (этакая спецпочта), но вам это не грозит.
  • Правила пользования СКЗИ (п.46 ПКЗ-2005). Если вы используете криптографию для оказания услуг, то использовать ее следует в соответствии с правилами пользования СКЗИ. Например, установка определенных сроков действия ключа ЭЦП.
  • Законное владение СКЗИ (пп.1 п.3 ст.8 99-ФЗ). Вы должны иметь документы, подтверждающие законность владения СКЗИ (например, лицензионный договор, договор поставки, ДКП и др.).
17. Прочие требования.
Внутренний аудит (п.51 ПКЗ-2005). Вам необходимо проводить регулярные проверки (например, ежегодно) соблюдения правил пользования криптографией и выполнением лицензионных требований ФСБ.

В дальнейшем, после получения лицензии, ФСБ вас будет регулярно (примерно, раз в три года) проверять вашу компанию. Если вы будете проводить регулярно аудит, то будете знать свои слабые места, и сможете их оперативно исправить. И никакая проверка вам не будет страшна.
18. Подготовка документов.
Для получения лицензии придется подготовить следующие документы:
  • Создание органа криптографической защиты (ОКЗ) (п.6 152-ФАПСИ). Оформляется приказом, в котором прописываются цели и задачи ОКЗ, а также персональный состав сотрудников ОКЗ. Следует отметить, что ОКЗ – это не отдельное структурное подразделение компании, как, например, юридический отдел или бухгалтерия. ОКЗ – это некие роли, которые выполняют штатные сотрудники. Например, в ОКЗ могут входить сотрудники разных подразделений. Как правило, ОКЗ состоит из сотрудников отдела информационной безопасности.
  • Должностные инструкции ОКЗ (п.18 152-ФАПСИ). Каждому сотруднику ОКЗ прописывают дополнительные должностные инструкции, которые описывают перечень прав и обязанностей в рамках лицензируемой деятельности. Отдельные должностные инструкции для руководителя ОКЗ, отдельные – для инженерно-технических работников. Рекомендуемый набор прав и обязанностей вы найдете в инструкции ФАПСИ № 152.
  • Инструкция по работе с СКЗИ (п.7, 10 152-ФАПСИ). Инструкция регулирует порядок обращения с СКЗИ. Как передается, обрабатывается или хранится конфиденциальная информация, с учетом используемых СКЗИ. Инструкцию можно разработать на базе инструкции ФАПСИ № 152.
  • Ограничение доступа в помещение ОКЗ (п.54, 55, 63 152-ФАПСИ). Компания обязана ограничить доступ к криптографии простым смертным. Это можно сделать установив режим охраны помещений ОКЗ, в том числе правила допуска сотрудников и посетителей в рабочее и нерабочее время. Установленный режим охраны должен предусматривать периодический контроль за состоянием технических средств охраны. Также следует утвердить и вести журнал контроля технических средств охраны.
  • Заявление на получение лицензии. Форма приведена в приказе ФСБ от 30 августа 2012 г. N 440 "Об утверждении Административного регламента..."
  • Нотариальные копии учредительных документов (устав, свидетельства о регистрации и постановке, протокол о назначении гендиректора, выписка из ЕГРЮЛ).
Также повторюсь, что к этому времени у вас должен быть введен режим коммерческой тайны, который также подразумевает пакет документов.
19. Прохождение проверки ФСБ.
После того, как вы выполнили все лицензионные требования и подготовили все документы, вы должны оплатить госпошлину в размере 7500 руб. и подать копии документов в ЦЛСЗ ФСБ России (для Москвы) или региональное управление ФСБ (для других регионов России).

В течение 45 рабочих дней после подачи документов к вам должны приехать проверяющие из ФСБ. Это выездная проверка. Будут ходить, смотреть, спрашивать, проверять.

Несколько советов, как удачно пройти проверку ФСБ при получении лицензии на криптографию:
  • От вас практически ничего не зависит. Если вы плохо подготовились до проверки, то уже ничего сделать не получится.
  • При проверке должен присутствовать представитель от вашей компании. Лучше чтобы этим человеком был тот, кто готовил документы.
  • Ваш представитель должен четко знать какой деятельностью вы планируете заниматься, ваши внутренние документы по лицензируемой деятельности, где находится помещение, где сейф и что в нем хранится. В общем должен знать все.
  • Возможно, что у проверяющих будут нарекания к документам или организации деятельности. Будьте готовы выполнить оперативно их требования. Как правило, вам дают на это месяц.
После выездной проверки вам выдадут бланк лицензии. Как видите - ничего сверхъестественного!
20. Бланк лицензии ФСБ на криптографию.
Могу вас поздравить – вам выдали бланк лицензии! Это было непросто, но вы преодолели все трудности и добились результата. Имейте ввиду, что лицензия – только начало. Вам еще предстоят регулярные проверки ФСБ, но это уже совсем другая история... Возможно, я еще напишу отдельную статью о проверках.
А еще я готовлю 3 часть статьи – FAQ по лицензии на криптографию. Присылайте вопросы.
Если долго смотреть на лицензию, то лицензия начинает смотреть на тебя.
Консультация
Оставить заявку на бесплатную консультацию по лицензии ФСБ на криптографию
Расчет стоимости
Оставить заявку на бесплатный расчет стоимости лицензии ФСБ на криптографию