По российскому законодательству для разработки ПО, а также программных средств для защиты персональных данных может потребоваться лицензия ФСТЭК. В статье расскажем, что это такое, кому и в каких случаях она требуется.
Процесс получения сертификата, доказывающего, что средство защиты ПДн отвечает требованиям нормативных и методических документов ФСТЭК РФ (это аббревиатура от «Федеральная служба по техническому и экспортному контролю»). Одной из её задач является контроль защиты чувствительной информации и государственной тайны.
Лицензия позволяет обеспечить:
- Защиту конфиденциальной информации.
- Наличие профессиональных и надёжных средств защиты.
- Создание рынка информационных технологий и средств, обеспечивающих защиту.
На что даётся лицензия
Основные требования к защите ПДн описаны в федеральном законе 152, но техническую составляющую вопроса регулирует ФСТЭК. Кроме того, он занимается проверкой соблюдения этих правил компаниями.
Федеральная служба по техническому и экспортному контролю выдаёт лицензии:
- На тех. защиту чувствительных данных. Это позволяет организации предоставлять услуги по хранению ПДн сторонних организаций, инсталлировать и настраивать оборудование и ПО для защиты данных.
- Дающую разрешение на создание средств, призванных защищать конфиденциальные данные. Это позволяет компании выполнять разработку ПО и средств для защиты информации, например, антивирусные программы, сетевые экраны и т.п. Важно отметить, что лицензии ФСТЭК можно получить только на ПО, где не используются методы криптографии. В противном случае требуется лицензия ФСБ.
- На охрану гостайны, позволяющую держать у себя сведения, относящиеся к гостайне, и создавать ПО для их защиты.
Зачем требуется лицензия
Она нужна не для любых сфер деятельности, важно понимать, какие данные будут обрабатываться. Какие же сферы нуждаются в обязательном лицензировании:
- Государственные информационные системы (ГИС)
- Персональные данные (ПДн)
- Автоматизированные системы управления технологическим процессом (АСУ ТП)
- Критическая информационная инфраструктура (КИИ)
- Государственная тайна (ЗГТ)
- Конфиденциальная информация
Соответственно, если ваш продукт будет работать с этими типами данных, то его нельзя будет использовать без получения сертификата. В противном случае можно получить крупный штраф или последствия вплоть до головной ответственности.
Кому нужно лицензирование
Вам потребуется лицензия ФСТЭК, если ваша компания:
- Создают ПО или тех. средства для защиты данных (антивирусное ПО, межсетевые экраны и др.)
- Обеспечивает работу других компаний с чувствительной информацией, например, предоставляет свои сервера для хранения ПДн или занимается построением защищённых IT-инфраструктур.
- Занимаются хранением информации, которая считается гос. тайной, или создают ПО для её хранения.
В остальных случаях лицензия ФСТЭК не потребуется. Обработка и хранение ПДн, разработка ПО не для защиты ПДн не требуют лицензирования.
Отличие лицензии от аттестата и сертификата
Лицензии, сертификаты и аттестаты ФСТЭК — это не одно и то же. Лицензии даются самим организациям, чтобы дать ей право заниматься той или иной деятельностью по защите данных. Аттестат тоже дают организации, чтобы подтвердить, что она соблюдает требования ФСТЭК по защите ПДн. Сертификат, в отличие от них, даётся самому программному обеспечению, и это означает, что оно полностью соответствует тех. требованиям и пригодно для защиты персональных данных.
Чем может помочь Cloud4Y
Cloud4Y предлагает услугу «Облако ФЗ 152», которое упрощает соблюдение требований закона 152-ФЗ для тех, кто хранит и обрабатывает ПДн. Наша защищенная инфраструктура прошла аттестацию лицензиатами ФСТЭК и подтвердила её соответствие требованиям безопасности 1УЗ, 1Г и 1К. Также в сфере нашей компетенции разработка программы и методологии оценки эффективности мер ИБ в соответствии с 21 приказом ФСТЭК России.