Лицензия ФСТЭК: кому нужна, какие виды и как получить
Разбираемся, какие лицензии ФСТЭК существуют, кому реально нужна лицензия ТЗКИ, какие требования предъявляются к соискателю и сколько стоит получение лицензии в 2026 году.
Лицензия ФСТЭК: кому нужна, какие виды и как получить
Вопрос «нужна ли нам лицензия ФСТЭК» звучит на каждой второй встрече с клиентами. И почти всегда за ним стоит путаница: кто-то думает, что лицензия нужна всем, кто обрабатывает персданные, кто-то уверен, что без неё нельзя купить сертифицированный антивирус. Давайте сразу к делу — разберём, кому лицензия действительно нужна, а кому достаточно просто выполнять приказы ФСТЭК.
Три вида лицензий ФСТЭК
ФСТЭК России выдаёт три принципиально разных лицензии. Важно не путать их между собой:
| Лицензия | Что даёт право делать | Кому нужна |
|---|---|---|
| ТЗКИ — техническая защита конфиденциальной информации | Оказывать услуги по защите информации другим организациям: аудиты, внедрение СЗИ, аттестация, пентесты | IT-интеграторы, ИБ-компании, аутсорсинговые SOC |
| СЗКИ — средства защиты конфиденциальной информации | Разрабатывать и производить средства защиты информации | Вендоры: разработчики DLP, антивирусов, SIEM, межсетевых экранов |
| Лицензия на работу с гостайной | Работать со сведениями, составляющими государственную тайну | Оборонка, спецслужбы, отдельные госзаказы |
Для 95% бизнеса актуальна именно ТЗКИ. СЗКИ — удел вендоров. Гостайна — отдельный мир со своими правилами, и если вы с ней работаете, вы об этом знаете. Дальше говорим про ТЗКИ.
Кому нужна лицензия ТЗКИ
Вот простое правило: если вы оказываете услуги по защите информации другим компаниям — вам нужна лицензия. Если защищаете только свои собственные системы — не нужна.
Конкретные сценарии, когда лицензия обязательна:
- IT-интеграторы, которые внедряют клиентам системы защиты — межсетевые экраны, средства антивирусной защиты, системы обнаружения вторжений
- Компании, проводящие аудиты ИБ и аттестацию информационных систем
- Пентестеры — компании, выполняющие тестирование на проникновение для заказчиков
- Аутсорсинговые SOC и компании, предоставляющие услуги мониторинга безопасности
- Консалтинговые компании, которые не просто консультируют, а выполняют работы: проектируют системы защиты, разрабатывают модели угроз на заказ
Частая ошибка: компания обрабатывает персданные клиентов и думает, что ей нужна лицензия ФСТЭК. Нет — ей нужно выполнить требования Приказа №21 ФСТЭК и, возможно, пройти аудит соответствия. Но лицензия для этого не требуется.
Когда лицензия точно не нужна
- Вы — обычная компания (ритейл, производство, медицина) и защищаете свои собственные информационные системы
- Вы покупаете и устанавливаете СЗИ для себя
- Вы нанимаете лицензированного подрядчика для работ по защите информации
Требования к соискателю лицензии ТЗКИ
ФСТЭК не раздаёт лицензии всем желающим. Требования серьёзные, и проверяются они при выездной проверке:
1. Юридическое лицо в РФ
ИП лицензию получить не может. Только юрлицо, зарегистрированное на территории России.
2. Помещение
Собственное или арендованное, но обязательно с подтверждением права пользования. ФСТЭК проверяет наличие помещений, где будут выполняться работы. Требования к помещениям включают контроль доступа и условия для работы с конфиденциальной информацией.
3. Квалифицированный персонал — минимум 3 специалиста
Это один из самых жёстких пунктов. Нужны не менее трёх штатных сотрудников с:
- высшим образованием в области ИБ, или
- профессиональной переподготовкой по направлению ИБ (от 500 часов), или
- повышением квалификации по ИБ (от 36 часов) при наличии технического высшего образования
Ключевое слово — штатные. Договоры ГПХ не подходят.
4. Оборудование и средства защиты
Нужны сертифицированные средства контроля защищённости и обработки информации. На каждое — технический паспорт. ФСТЭК при проверке запросит перечень оборудования и убедится, что оно реально есть и работает.
5. Документация системы менеджмента качества
Набор внутренних документов: политики, процедуры выполнения работ, инструкции. Это не формальность — проверяющие читают и задают вопросы.
6. Отсутствие судимости у руководства
Руководитель и лица, ответственные за лицензируемую деятельность, не должны иметь непогашенных судимостей за преступления в сфере компьютерной информации.
Как проходит процесс получения
Процедура регламентирована и предсказуема, но требует тщательной подготовки:
Шаг 1. Подготовка (1–3 месяца) — формирование штата, закупка оборудования, разработка документации СМК, подготовка помещений.
Шаг 2. Подача заявления — комплект документов направляется в ФСТЭК России. Заявление, копии учредительных документов, сведения о персонале, помещениях, оборудовании.
Шаг 3. Документарная проверка — ФСТЭК проверяет полноту и корректность представленных документов.
Шаг 4. Выездная проверка — инспекторы приезжают и проверяют всё лично: помещения, оборудование, квалификацию сотрудников, документацию.
Шаг 5. Решение — в течение 45 рабочих дней с момента приёма заявления ФСТЭК принимает решение о выдаче или отказе.
Общий срок от начала подготовки до получения лицензии — 3–6 месяцев.
Сколько это стоит
| Статья расходов | Стоимость |
|---|---|
| Госпошлина за выдачу лицензии | 7 500 ₽ |
| Обучение/переподготовка сотрудников (если нет нужного образования) | от 50 000 ₽ за человека |
| Закупка сертифицированного оборудования и ПО | от 100 000 ₽ |
| Подготовка документации самостоятельно | от 0 ₽ (но месяцы работы) |
| Итого при самостоятельной подготовке | от 200 000 ₽ |
| «Под ключ» с консультантами | 450 000 – 900 000 ₽ |
Госпошлина — мелочь. Основные затраты — люди и оборудование. Если у вас уже есть ИБ-специалисты с нужным образованием и вы готовы разбираться в документации сами, можно уложиться в 200–300 тысяч. Если нужен результат без погружения в бюрократию — закладывайте бюджет на консалтинг.
Лицензия бессрочная, но это не значит «навсегда забыли»
С 2011 года лицензии ФСТЭК выдаются бессрочно. Не нужно продлевать каждые 3–5 лет, как раньше. Но бессрочная — не значит бесконтрольная.
ФСТЭК проводит плановые и внеплановые проверки лицензиатов. Проверяют, что:
- штат по-прежнему укомплектован квалифицированными специалистами
- оборудование в наличии и в рабочем состоянии
- работы выполняются в соответствии с условиями лицензии
- документация актуальна
При серьёзных нарушениях лицензию могут приостановить или аннулировать. Поэтому получение лицензии — это не разовый квест, а постоянное поддержание уровня.
Частые вопросы
Можно ли работать без лицензии, пока она оформляется? Нет. Оказание услуг по ТЗКИ без лицензии — это административное правонарушение (ст. 13.13 КоАП РФ), штраф до 20 000 ₽ для должностных лиц и до 20 000 ₽ для юрлиц с конфискацией оборудования.
Нужна ли лицензия для проведения пентестов? Да, если вы проводите тестирование на проникновение как услугу для внешних заказчиков. Это деятельность по технической защите конфиденциальной информации.
Мы — облачный провайдер. Нужна лицензия? Зависит от модели. Если вы просто предоставляете инфраструктуру (IaaS) — скорее нет. Если предоставляете управляемые сервисы безопасности (MDR, managed SIEM) — скорее да. Каждый случай стоит разбирать отдельно.
Что делать прямо сейчас
Если вы понимаете, что лицензия вам нужна — не откладывайте. Процесс занимает минимум 3 месяца, и узкое место обычно не ФСТЭК, а ваша собственная подготовка: найти людей, купить оборудование, написать документы.
Если не уверены, нужна ли лицензия именно вам, — начните с аудита текущего состояния ИБ. Это покажет, какие требования на вас распространяются и какие шаги нужны.
Нужна помощь с подготовкой к лицензированию или аудитом требований ФСТЭК? Свяжитесь с нами — разберём вашу ситуацию и дадим конкретный план действий.