Совсем недавно совместно с коллегами провели большую работу по получению вновь лицензий ФСБ на работу со средствами криптографической защиты информации и ФСТЭК на работу по технической защите конфиденциальной информации. Понятно, что все четыре месяца, которые, включая проблемы и шероховатости (которых, к слову, оказалось не так много, как я пессимистично предполагала), мы занимались этим делом, лучше один раз увидеть и пережить. Но всё же сделаю попытку рассказать о ключевых моментах, которые, возможно, будут полезны следующим по нашим следам сотрудникам, в чьих организациях принято решение о получении лицензий.
Основы.
Ни для кого не секрет, что получение лицензий регламентировано постановлениями Правительства РФ. Так, стоит ознакомиться с Постановлением Правительства Российской Федерации от 16 апреля 2012 г. № 313 и с Постановлением Правительства от 03.02.2012 № 79 (в ред. ПП № 541 от 15.06.2016г.)
После этого (данные процессы можно делать параллельно):
- Собираем документацию по уставной документации компании, персоналу, помещению, программному и аппаратному обеспечению, необходимым для получения каждой лицензии;
- Приобретаем нормативную документацию (весь пакет, если лицензия получается вновь, и документации ДСП нет никакой, либо докупаем недостающее, если большая часть документов была приобретена ранее, и сохранилась в наличии (её наличие нужно будет подтверждать);
- Запускаем процессы аттестации.
Заверяем все документы, разрабатываем недостающие организационно-распорядительные и внутренние нормативные документы, формируем огромный пакет в добрые 300-400 листов и направляем регулятору.
Странности.
Да, да, процесс получения лицензий полон странностей, причём некоторые из них несовместимы с логикой.
Первая странность, с которой сталкиваешься – требования для получения лицензии есть, а перечня документации нет. Того самого, полного, необходимого и достаточного для её получения. Автоматически возникают опасения многократных писем регуляторам и затягивания процесса. Что допустить никак нельзя. Что делаем в итоге? Прибегаем к помощи знающих людей. И важный нюанс – даже пройдя весь процесс, как мы, с начала и до положительного результата, при его повторении в другое время и в другом месте могут возникнуть замечания. Государственные регуляторы процессов ИБ – структуры секретные, но порой динамично изменяющиеся. Не всегда с уведомлением всех заинтересованных сторон.
Вторая странность - консультанты. С ними связано много странностей. На этапе запроса коммерческих предложений, явно бросается в глаза различие в уровнях цен. Буквально, у одних консультантов сумма за лицензирование может отличаться от аналогичной суммы у других в 10 раз. В десять. Позже, при общении, понимаем, что, как и почему. И выбираем ту сумму, что поменьше. И, соответственно, большую часть работы выполняем сами. Поскольку это а) наша работа; б) экономия средств и в) неповторимое время набития шишек получения бесценного опыта, который непременно пригодится в дальнейшем.
Третья странность снова связана с консультантами. В общении с представителями одного из регуляторов категорически запрещено упоминать сам факт взаимодействия с консультантами. Несмотря на то, что сами эти представители периодически допускают общение с нами через них. Видимо, здесь правило бойцовского клуба никогда не упоминать о бойцовском клубе, в действии.))
Четвертая странность – наверное даже не странность, а бюрократический формализм. Необходимость предоставлять бумажку на бумажку на бумажку. С визами, подписями и печатями всех причастных. Но в этом деле лучше перестраховаться и направить лишнее, чем получить уведомление с замечанием о недостаточности документов.
Узкие места
Не стоит фантазировать и ставить нереальные сроки получения лицензий. Их можно получить за два месяца, но лучше закладывать в два раза больше. Сроки рассмотрения обращений в регулирующих органах обычно составляют порядка 30 рабочих дней, и зачастую это реальные сроки реагирования на ваше обращение. Поэтому с быстрыми рапортами руководству об очень скором получении лицензий лучше подождать до их фактического получения.
И главное узкое место, на котором лично я обжигалась два раза и больше не хочу. Документы о праве собственности на помещения, планы БТИ, экспликации, документы по аренде/субаренде занимаемого лицензиатом помещения – всё это должно быть кристально чистым юридически. Как ни странно, это самое узкое место в процессе получения лицензий во многих компаниях.
И ложка мёда в этой бочке дёгтя. Главный и неоспоримый плюс текущего процесса получения лицензий ФСТЭК ТЗКИ и ФСБ СЗКИ в том, что они бессрочные. Если ваша организация не изменит наименование и/или место дислокации, данная работа для вас будет однократной. А опыт – всё же бесценным.)
