📍
🕒 Работаем с 9:00 до 18:00
📞 +7 (499) 403-32-37
💬 Консультация
📞 +7 (499) 403-32-37 Получить консультацию

Лицензирование ИТ-услуг и вопрос безопасности информации

Лицензирование

IT-бизнес сегодня оказался в точке, где вопросы обеспечения информационной безопасности тесно связаны с обязательствами по лицензированию предоставляемых услуг. Центр по сертификации товаров и услуг СертЦентр регулярно получает запросы от компаний, работающих с данными, на проведение лицензионных аудитов, оформление разрешений и внедрение необходимых политик защиты информации. Наш опыт свидетельствует: без понимания специфики законодательства, специфики обработки персональных данных и требований рынка компании рискуют столкнуться с санкциями, а иногда – и потерей деловой репутации.

Нормативная база лицензирования и безопасности ИТ-услуг

К числу основополагающих нормативных документов России, регулирующих лицензирование деятельности в сфере IT и вопросы информационной безопасности, относятся:

      • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
      • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
      • Постановление Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации»;
      • ГОСТ Р 57580.1-2017 (Стандарты безопасности финансовых организаций);
      • Классификатор ТН ВЭД для отдельных видов оборудования, участвующих в защите и шифровании данных;
      • Согласованные требования ФСТЭК и ФСБ России.

Что касается лицензии, наиболее часто требуется:

Тип лицензии Особенности Регулятор
Техническая защита конфиденциальной информации Оформляется юридическими лицами, выполняющими услуги по защите данных ФСТЭК России
Деятельность по разработке/производству защищенных СКЗИ Для компаний, выпускающих средства криптографической защиты ФСБ России
Обработка персональных данных В случае передачи за рубеж или использования облачных сервисов Роскомнадзор

Ошибочное мнение, что лицензии касаются исключительно государственных структур – сегодня требования касаются коммерческого рынка и интеграторов, обслуживающих финансовый и медицинский сегменты, электронную коммерцию, образовательные платформы и другие IT-организации.

Ключевые этапы лицензирования и проверки информационной безопасности

Оформляя лицензии для своих клиентов, мы сталкиваемся с рядом типичных вопросов и «узких мест». Алгоритм стандартных действий, применяемый в нашей работе, включает:

      1. Первичный аудит существующих бизнес-процессов и IT-инфраструктуры.
      2. Разработку/корректировку внутренней документации (политики, инструкции, приказы по безопасности, шаблоны соглашений по защите конфиденциальной информации).
      3. Организацию работ по внедрению сертифицированных средств технической и криптографической защиты (СКЗИ, межсетевые экраны, антивирусные комплексы).
      4. Подготовку и сдачу пакета документов в орган лицензирования (ФСТЭК/ФСБ/Роскомнадзор).
      5. Сопровождение при проверках, в том числе разъяснительная работа с персоналом.

Важно: требования к компаниям отличаются в зависимости от сложности и критичности обрабатываемой информации. Например, для организации, оказывающей услуги по аутсорсингу информационных систем банка, это минимум 25+ документов, оборудованный защищённый серверный зал, сотрудники со специальным образованием, внутренний аудит с периодичностью 1 раз в год.

Стоимость и сроки оформления лицензий

Практика СертЦентр показывает, что стоимость лицензирования IT-услуг зависит от объёма работ и специфики проектов:

Вид лицензии/сертификации Средний срок Средняя стоимость (руб.)
Лицензия ФСТЭК на ТЗКИ 3-6 месяцев 450 000 – 950 000
Разработка комплекта документации по ИБ 1-2 месяца 80 000 – 200 000
Лицензия на СКЗИ (ФСБ) 4-9 месяцев от 1 400 000
Внедрение сертифицированных технических средств защиты 2-4 месяца 100 000 – 400 000

Расходы в первую очередь идут на обучение персонала, консультирование по ТН ВЭД и ГОСТ РФ, регистрацию изменений в Роскомнадзоре.

Ответы на наиболее частые вопросы клиентов

Когда лицензирование становится обязательным?
Как только деятельность вашей компании выходит на рынок предоставления услуг по защите, обработке или хранению информации, а также при взаимодействии с государственными контрактами.
Обязательно ли внедрять СКЗИ для облачных сервисов?
Согласно требованиям ФСТЭК, если предусмотрена обработка персональных или конфиденциальных данных, сертифицированные средства защиты обязателен элемент, включая облачные сервисы.
Насколько рискованно откладывать лицензирование?
Практика СертЦентр показывает, что задержка с оформлением лицензий чревата административной ответственностью по КоАП РФ, исключением из перечня надежных подрядчиков на тендерах, а также потерей доверия клиентов.
Можно ли получить лицензию самостоятельно?
Теоретически возможно, но на практике 90% заявителей возвращаются к экспертам после отказа из-за ошибок в документации, несоответствия оборудованию или некорректного описания бизнес-процессов. Даже опытные IT-администраторы часто не могут подобрать актуальные ГОСТ и ТН ВЭД для используемых инструментов.

Практические кейсы и опыт СертЦентр

За последние два года нами были реализованы проекты для финансовых компаний, медицинских центров и интеграторов облачных B2B-сервисов. Среди ключевых случаев:

      • Для банка регионального уровня проведён комплексный аудит: выявлено отсутствие требований к резервному копированию, устаревшие пароли и неактуальные антивирусные решения. Были внедрены средства защиты класса КС1 (согласно приказу ФСТЭК № 17/21) и оформлена лицензия на оказание услуг по ТЗКИ. Срок получения разрешения – 5 месяцев.
      • ИТ-компания, предоставлявшая SaaS-решения для медицины, столкнулась с необходимостью срочного получения лицензии на обработку персональных данных. После аудита была оперативно внедрена система шифрования, документы поданы в Роскомнадзор. Результатом стало заключение государственных контрактов на десятки миллионов рублей.
      • Малому бизнесу в сфере интернет-торговли были даны рекомендации по минимальному комплекту мер безопасности (сегментированный доступ к базе данных, двухфакторная аутентификация, инструкция по реагированию на инциденты). Такая подготовка позволила избежать штрафа за инцидент с утечкой данных.

Типовые ошибки организации при подготовке к лицензированию и как их избежать

    • Недостаточная детализация бизнес-процессов. Регуляторы требуют максимально прозрачного описания всех этапов работы с данными. Советуем заранее фиксировать каждый шаг и взаимодействие IT-систем.
    • Отсутствие актуальных сертификатов на технические средства защиты. Нередка ситуация, когда программное обеспечение не обновлялось или не подано на новый сертификат ФСТЭК.
    • Пренебрежение обучением персонала. Даже самый современный софт теряет ценность, если сотрудники не понимают правил безопасности.
    • Ошибка в выборе соответствующего ТН ВЭД/ГОСТ. Для оборудования и ПО критично подобрать правильные коды для регистрации и сертификации.
    • Отсутствие внутреннего контроля. Не существует надёжных IT-систем, если не проводится регламентный внутренний аудит ИБ.

Мы в СертЦентр выработали систему чек-листов, позволяющую минимизировать количество возвратов заявок и повышающую скорость согласования документации с контролирующими органами.

Влияние лицензирования и сертификации на деловую репутацию

В современном мире наличие лицензий и сертификаций стало не только обязательным юридическим требованием, но и важным конкурентным преимуществом. Компания, прошедшая лицензионные проверки и ежегодную сертификацию по ФСТЭК/ФСБ, фактически гарантирует клиентам надежность защиты их данных, а также возможность заключать крупные сделки с государством и корпорациями. С каждым годом вопросы кибербезопасности становятся ключевыми для инвесторов и партнеров при заключении международных контрактов.

Заключение: почему без экспертизы сегодня нельзя

В условиях постоянного ужесточения требований рынка самостоятельная подготовка к лицензированию и внедрению стандартов информационной безопасности становится все более трудоемкой и рискованной задачей. Обращение в специализированную организацию, такую как СертЦентр, обеспечивает не только быстрое и корректное оформление всех документов по ГОСТ, ФСТЭК и ФСБ, но и системную подготовку персонала, готовых чек-листов, грамотное сопровождение в случае аудитов и проверок. Это позволяет IT-компаниям свести к минимуму юридические и финансовые риски, а также повысить свою конкурентоспособность даже в самых чувствительных сегментах – от госзаказа до электронной коммерции. Мы рекомендуем заранее проводить самоаудит, корректировать внутренние регламенты и регулярно консультироваться с признанными экспертами рынка.