В России в некоторых случаях нужно получать лицензии ФСТЭК на разработку программного обеспечения и технических средств для защиты персональных данных. Разбираемся, что это за документы и почему вам они, скорее всего, не нужны.

Что именно лицензирует ФСТЭК

ФСТЭК — Федеральная служба по техническому и экспортному контролю. У этой службы много обязанностей, одна из которых — контроль защиты персональных данных и гостайны.

Юридические требования к защите данных прописаны в 152-ФЗ, а вот технические устанавливает именно ФСТЭК в своих приказах и инструкциях. И именно ФСТЭК проверяет, соблюдают ли компании эти технические требования, в том числе выдает следующие документы:

Лицензия ФСТЭК на техническую защиту конфиденциальной информации. Разрешает компании оказывать услуги по хранению персональных данных других организаций, устанавливать и настраивать оборудование и программы, предназначенные для защиты данных. Например, компания с такой лицензией может построить защищенное облако или помочь другой компании организовать защищенную инфраструктуру.

У Mail.ru Cloud Solutions есть лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации

Лицензия на разработку средств защиты конфиденциальной информации. Разрешает компании разрабатывать ПО и технические средства для защиты информации: антивирусы, межсетевые экраны и другие.

Лицензия на разработку средств защиты у Mail.ru Cloud Solutions тоже есть

ФСТЭК выдает лицензию только на средства защиты, не использующие криптографические методы шифрования. Чтобы разрабатывать ПО, связанное с криптографией, нужно получать лицензию ФСБ.

Лицензия на охрану гостайны. Разрешает компании хранить сведения, которые относятся к государственной тайне, а также разрабатывать средства для их защиты.

Кому нужна лицензия ФСТЭК

Этот документ нужен только IT-компаниям, которые:

  1. Разрабатывают ПО или технические средства для защиты данных, например, антивирусы, межсетевые экраны, защитные программные комплексы.
  2. Помогают другим компаниям работать с персональными данными: хранят их на своих серверах, строят на заказ защищенные IT-инфраструктуры.
  3. Хранят сведения, являющиеся государственной тайной, или разрабатывают для этого ПО и технические инструменты.

Если компания просто хранит персональные данные клиентов и сотрудников, лицензия ей не нужна — это подтверждается специальным разъяснением ФСТЭК. То есть ФСТЭК не выдает никакой лицензии на обработку персональных данных, потому что она для этой деятельности не требуется.

Если компания разрабатывает ПО, не связанное с защитой информации, о получении лицензии ФСТЭК думать тоже не надо.

Компаниям, которые хранят персональные данные сотрудников и клиентов, важно доверять работу с ними только организациям, у которых есть лицензия ФСТЭК. То есть, если вы храните данные в облаке или устанавливаете антивирус, убедитесь, что у облачного провайдера или разработчика ПО есть лицензия — иначе будет риск утечки данных.

Чем лицензия отличается от аттестата и сертификата ФСТЭК

Кроме лицензий ФСТЭК выдает еще аттестаты и сертификаты. Сравним эти три документа, чтобы понять отличия:

  1. Лицензию ФСТЭК выдают самой компании. Она дает право заниматься определенной деятельностью, связанной с защитой информации.
  2. Аттестат ФСТЭК также выдают компании. Он показывает, что компания соблюдает технические требования ФСТЭК по защите персональных данных. Этот документ нужен, если вы храните данные, требующие особой защиты — об этом мы рассказывали в статье про аттестат ФСТЭК.
  3. Сертификат ФСТЭК выдают на программное обеспечение. Он показывает, что это ПО соответствует техническим требованиям, его можно использовать для защиты персональных данных. Например, такой сертификат можно получить на разработанный антивирус.

Получается, что если организации нужна лицензия ФСТЭК, в будущем ей наверняка понадобятся сертификаты на разработанные продукты. А аттестат может понадобиться любой организации, но обычно нужен только крупным компаниям, которые хранят много разных персональных данных.

У облака Mail.ru Cloud Solutions есть аттестат безопасности ФСТЭК. В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе Mail.ru Cloud Solutions вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты MCS, что позволит быстрее пройти необходимые процедуры.

Что нужно знать о лицензировании ФСТЭК

  1. Лицензия ФСТЭК — это документ, который подтверждает, что компания имеет право на определенную деятельность, связанную с защитой информации.
  2. ФСТЭК выдает лицензии на разработку ПО и технических средств для защиты информации, на разработку систем для хранения конфиденциальных данных и на деятельность по охране гостайны.
  3. Если ваша компания просто хранит персональные данные клиентов и сотрудников, получать лицензию ФСТЭК ей не нужно. Но обращаться за защитой своей информации обязательно нужно только в компании, у которых такая лицензия есть.
  4. Лицензия ФСТЭК ≠ аттестату ФСТЭК. Аттестат подтверждает, что инфраструктура компании достаточно надежная, и она вправе хранить персональные данные, требующие особой защиты.
  5. Лицензия ФСТЭК ≠ сертификату ФСТЭК. Сертификат выдается на программное обеспечение и подтверждает, что это ПО можно использовать для защиты персональных данных.