На своем сайте ФСТЭК опубликовал сообщение о том, что соискателям лицензий не следует обращаться за помощью к компаниям, оказывающим услуги по «гарантированному» получению лицензий на работы по ТЗКИ и разработку СЗИ.
Все, что там написано об отсутствии гарантий и активном оказании методической помощи лицензиатам со стороны ФСТЭК — правда. И основываясь на своем опыте получения лицензии на работы по ТЗКИ, переоформления этой же лицензии и опыте помощи в получении лицензии другой организацией в рамках стратегического партнерства, я расскажу почему это так.
Процесс получения лицензии очень плотно завязан на соискателя и просто заплатить денег кому надо, а потом получить лицензию нельзя. Что значит «завязан»? Например, соискатель должен приобрести ряд измерительных приборов (их состав зависит от видов деятельности, которые соискатель хочет видеть в своей лицензии) и, что самое важное, доказать законность владения ими. Аренда приборов уже не прокатывает с тех пор, как лицензии сделали бессрочными. Далее, соискателю необходимо аттестовать по требованиям безопасности АРМ, на котором будет обрабатываться конфиденциальная информация, а также защищаемое помещение, в котором будут проводиться конфиденциальные переговоры (обычно аттестованный АРМ находится в этом же помещении). Так вот, соискателю необходимо доказать законность владения помещением (свидетельство о регистрации, если собственность, или договор аренды, при этом аренда должна быть оформлена на период не менее 6 месяцев). Затем соискателю необходимо приобрести ряд ГОСТов, СНиПов и руководящих документов ФСТЭК (в том числе и с пометкой «ДСП»). И снова при подаче заявления на получение лицензии соискателю нужно предоставить доказательство законности владения этими документами (акты приема-передачи, документы об оплате и т. д.).
Что в итоге получается: соискатель должен самостоятельно приобрести измерительные приборы и тестирующие программные средства, самостоятельно заключить договор аренды на защищаемое помещение (или подготовить документы, подтверждающие право собственности), организовать аттестацию АРМ и защищаемого помещения, самостоятельно приобрести стандарты и руководящие документы.
Чем может помочь посредник? Подсказать какие приборы и программные средства и у кого покупать, подсказать лицензиата для организации работ по аттестации АРМ и помещения, дать список стандартов и руководящих документов, необходимых к приобретению. Ну а затем собрать все документы в кучу и отнести вместо вас во ФСТЭК. Так вот, все тоже самое, кроме последнего, в рамках методической помощи сделают и представители ФСТЭК абсолютно бесплатно, без регистрации и смс.
Ну и к слову о «гарантиях» — мой личный опыт подсказывает, что все заявки рассматриваются на общих основаниях, попытки как-то ускорить или упростить процесс ни на что не влияют.
Небольшой оффтоп. Мы получили наконец-то разъяснения от ФТСЭК по порядку аттестации типовых сегментов государственных информационных систем. Какие вопросы мы задавали и какие ответы получили я постараюсь написать на следующей неделе.