Лицензия ФСТЭК

Меня зовут Екатерина Волкова, я занимаюсь лицензированием в «Центрконсалт» больше 8 лет. Самый частый триггер, после которого люди начинают искать зачем нужна лицензия ФСТЭК - это письмо от заказчика или строка в тендере: «наличие лицензии ФСТЭК обязательно». Дальше начинается путаница: лицензию смешивают с аттестацией, видят «универсальную бумагу на все случаи», а решение принимают на эмоциях, либо из страха проверок, либо из желания быстрее получить допуск к контракту.

Эта статья решает практическую задачу: дает понятный критерий, когда лицензия ФСТЭК нужна по закону, когда она нужна только из-за требований рынка и заказчиков, а когда не нужна вообще. В конце будет чек-лист для самопроверки и короткие ответы на популярные вопросы.

Что такое лицензия ФСТЭК простыми словами

Лицензия ФСТЭК - это не «разрешение на работу в IT» и не формальный документ для отчетности. Это допуск к конкретным видам деятельности, которые государство относит к технической защите конфиденциальной информации. Речь идет не о владении данными, а о работах по их защите, которые выполняются для других организаций.

ФСТЭК России в этой логике выступает регулятором. Он не оценивает коммерческий успех компании и не контролирует весь IT-рынок. Его зона ответственности - чтобы работы по защите информации выполняли организации, у которых есть подготовленные специалисты, выстроенные процессы и подтвержденная методика выполнения таких работ.

Здесь важно зафиксировать ключевую мысль, из-за которой возникает большинство ошибок. Лицензия ФСТЭК привязана к виду деятельности, а не к профилю компании. IT-компания, интегратор, разработчик ПО или системный администратор сами по себе не становятся лицензиатами. Лицензия появляется в момент, когда компания начинает выполнять лицензируемые работы по ТЗКИ для заказчика.

Какие лицензии выдает ФСТЭК и что обычно понимают под видами лицензий ФСТЭК

На практике вопросы про виды лицензий ФСТЭК, почти всегда означают одно и то же - попытку разобраться, один это документ или несколько разных, и что именно требуется в конкретном проекте.

ФСТЭК выдает лицензии не по отраслям и не по типу бизнеса, а по видам деятельности. Для коммерческих компаний чаще всего обсуждают лицензию на деятельность по технической защите конфиденциальной информации (ТЗКИ). Именно она фигурирует в тендерах, договорах и требованиях служб безопасности заказчиков.

Важно понимать: внутри этой лицензии нет «одной кнопки на все». В лицензии указывается перечень работ и услуг, которые компания имеет право выполнять. К таким работам относятся:

• контроль защищенности информации;
• аттестационные испытания объектов информатизации;
• проектирование систем в защищенном исполнении;
• установка, настройка и сопровождение средств защиты информации;
• анализ уязвимостей и оценка соответствия требованиям защиты.

Когда спрашивают про генеральную лицензию ФСТЭК, чаще всего имеют в виду лицензию с широким перечнем работ, а не отдельный юридический вид лицензии. Это важно, потому что заказчику может быть нужна не вся совокупность работ, а один конкретный этап - например, только аттестационные испытания или только контроль защищенности.

Критическая ошибка - ориентироваться на название лицензии, а не на состав разрешенных работ. Именно перечень работ определяет, что дает лицензия ФСТЭК в конкретном проекте и закрывает ли она требования договора или тендера.

Кому лицензия ФСТЭК нужна по закону, а кому нет

Самый важный момент во всей теме лицензирования ФСТЭК - обязательность возникает не из-за статуса компании, а из-за выполняемых работ. Закон не делит организации на «IT» и «не IT». Он делит деятельность на лицензируемую и не лицензируемую.

Лицензия ФСТЭК обязательна, если компания выполняет работы по технической защите конфиденциальной информации для заказчика. К таким ситуациям относятся:

• проведение контроля защищенности информационных систем;
• выполнение аттестационных испытаний объектов информатизации;
• проектирование систем защиты информации;
• внедрение и настройка средств защиты информации как части работ по ТЗКИ;
• сопровождение защищенных систем в рамках лицензионных работ.

Во всех этих случаях компания фактически берет на себя ответственность за соблюдение требований по защите информации, и государство требует подтверждения компетенций через лицензирование.

Теперь о том, где лицензия не становится обязательной автоматически, хотя многие считают иначе.

• Разработка программного обеспечения,
• внедрение ERP,
• CRM, сайтов,
• мобильных приложений,
• администрирование собственной инфраструктуры,
• эксплуатация своей ИСПДн

Сами по себе они не являются лицензируемой деятельностью по ТЗКИ. Даже если в системе обрабатываются персональные данные или коммерческая тайна, это не превращает разработчика или владельца системы в лицензиата.

Отсюда появляется ключевая развилка для бизнеса. Если компания:

• защищает информацию как услугу - лицензия нужна;
• использует защищенные системы для своих задач - лицензия не становится обязательной только по этому факту.

Именно на этой границе чаще всего возникают споры с заказчиками и ошибки при подготовке к тендерам.

Что делать когда лицензия ФСТЭК не обязательна, но ее требуют заказчики

Этот блок - причина, по которой тема лицензии вызывает столько напряжения. Юридическая обязательность и рыночные требования часто не совпадают, и именно это ломает логику принятия решений.

На практике лицензия ФСТЭК регулярно появляется в тендерах и договорах даже тогда, когда закон прямо не обязывает подрядчика быть лицензиатом. Заказчик использует лицензию как фильтр рисков.

Логика простая: лицензированная компания, по мнению службы безопасности, с меньшей вероятностью сорвет проект, допустит ошибки в защите или не пройдет проверку регулятора.

Типовые ситуации, где возникает это требование:

• участие в закупках госсектора и компаний с госучастием;
• проекты с повышенными требованиями ИБ, где заказчик страхуется «на входе»;
• сложные цепочки подрядчиков, где заказчик хочет переложить ответственность на исполнителя.

С точки зрения закона это не всегда корректно, но с точки зрения бизнеса - распространенная практика. Важно другое: требование лицензии в договоре не делает ее автоматически обязательной по закону, но делает обязательной для участия в конкретном проекте.

Отсюда два рабочих сценария.

Первый - компания действительно выполняет лицензируемые работы, и тогда наличие лицензии логично и обоснованно.

Второй - компания не выполняет работы по ТЗКИ, но заказчик включает лицензию «на всякий случай». В таких проектах правильный ход - не спорить абстрактно, а разбирать предмет договора и распределение ответственности: кто именно проводит аттестацию, кто внедряет СЗИ, кто отвечает за контроль защищенности.

Этот подход позволяет либо легально обойтись без лицензии, либо понять, зачем получать лицензию ФСТЭК именно в текущей модели работы, а не «про запас».

Чем рискует бизнес работая без лицензии ФСТЭК

Риски работы без лицензии ФСТЭК делятся на два уровня - юридические и коммерческие. Их важно разделять, потому что страхи чаще всего возникают из-за смешения этих плоскостей.

Юридический риск возникает когда компания фактически выполняет лицензируемые работы, но делает это без лицензии. В этом случае проверяющие смотрят не на формулировки сайта и не на название должности, а на реальные действия: проводился ли контроль защищенности, выполнялись ли аттестационные испытания, внедрялись ли средства защиты как часть работ по ТЗКИ. Если факт деятельности подтверждается, отсутствие лицензии становится нарушением.

Коммерческий риск появляется даже там, где юридического нарушения нет. Компания может работать строго в рамках закона, но:

• получить отказ в допуске к тендеру;
• потерять контракт на этапе проверки документов;
• столкнуться с расторжением договора по формальному основанию.

Для интеграторов и ИБ-подрядчиков второй риск часто оказывается болезненнее первого. Именно он объясняет, что дает лицензия ФСТЭК бизнесу на практике - доступ к проектам, где требования сформулированы жестко и без альтернатив.

Отдельная зона риска - попытка «подогнать» деятельность под лицензию постфактум. Когда компания сначала берет проект, а потом выясняет, что часть работ подпадает под ТЗКИ, времени на корректную подготовку может не остаться. В таких ситуациях бизнес либо несет прямые потери, либо идет на рискованную схему.

Частые мифы о лицензии ФСТЭК

Большая часть ошибок вокруг лицензирования ФСТЭК возникает не из-за сложных норм, а из-за устойчивых мифов, которые кочуют из статьи в статью и из тендера в тендер.

Миф 1. Лицензия ФСТЭК нужна всем, кто работает с персональными данными.

Это неверно. Обработка персональных данных требует выполнения мер защиты, но не превращает компанию автоматически в лицензиата. Лицензия привязана к деятельности по технической защите конфиденциальной информации как услуге или виду работ для заказчика. Компания может быть оператором ПДн, внедрять ИСПДн для себя и при этом не подпадать под лицензирование.

Миф 2. Без лицензии ФСТЭК работать вообще нельзя.

Работать нельзя только в рамках лицензируемой деятельности. Разработка ПО, сопровождение собственной инфраструктуры, хостинг, эксплуатация информационных систем, администрирование серверов - не становятся запрещенными из-за отсутствия лицензии, пока компания не выполняет работы по ТЗКИ для других организаций.

Миф 3. Лицензия ФСТЭК равна аттестации.

Это разные сущности. Аттестация подтверждает соответствие конкретного объекта требованиям защиты информации. Лицензия подтверждает право компании выполнять определенные виды работ. Часто аттестацию проводит именно лицензиат, из-за чего понятия путают, но юридически и процессно это разные процедуры.

Миф 4. Существует универсальная «генеральная лицензия ФСТЭК».

На практике под этим понимают лицензию с широким перечнем работ. ФСТЭК лицензирует не «все сразу», а конкретные виды деятельности. Если в лицензии нет нужного вида работ, она не закрывает требования проекта, даже если ее называют «генеральной».

Разбор этих мифов нужен не для теории. Он позволяет спокойно обсуждать требования с заказчиком и понимать, где есть реальная обязанность, а где - завышенное ожидание.

Чек-лист: нужна ли лицензия ФСТЭК именно в вашей ситуации

Этот чек-лист удобно использовать как внутренний фильтр перед участием в тендере или подписанием договора. Он опирается не на формулировки «IT-деятельность» или «работа с данными», а на фактические действия в проекте.

Лицензия ФСТЭК нужна, если в рамках договора компания:

• выполняет контроль защищенности информационных систем заказчика;
• проводит аттестационные испытания объектов информатизации;
• проектирует систему защиты информации под требования регуляторов;
• внедряет и настраивает средства защиты информации как часть работ по ТЗКИ;
• сопровождает защищенные системы в рамках лицензируемых работ.

Лицензия ФСТЭК не становится обязательной, если компания:

• разрабатывает программное обеспечение без выполнения работ по ТЗКИ;
• администрирует или эксплуатирует собственную инфраструктуру;
• является оператором персональных данных без оказания услуг по защите информации третьим лицам;
• привлекает лицензированного подрядчика для этапов, подпадающих под ТЗКИ.

Ключевой вопрос, который стоит задать себе или заказчику: кто именно в проекте отвечает за техническую защиту конфиденциальной информации и какие работы он выполняет. Ответ на него почти всегда снимает спор о необходимости лицензии.

Вывод

Лицензия ФСТЭК - это инструмент допуска к конкретным видам деятельности, а не универсальное разрешение на работу в IT или с данными. Понимание границы между лицензируемыми работами и обычной хозяйственной деятельностью позволяет бизнесу не переплачивать за «лишнюю» лицензию и не терять контракты из-за неправильной оценки рисков.

Если цель - принять взвешенное решение, стоит начинать не с вопроса «зачем получать лицензию ФСТЭК», а с анализа реальных работ в проектах и требований заказчиков. В большинстве случаев этого достаточно, чтобы понять, нужна ли лицензия сейчас, понадобится ли она в будущем или разумнее выстроить работу через лицензированного партнера.