ФСТЭК (Федеральная служба по техническому и экспортному контролю) выдаёт лицензии и аттестаты, подтверждающие, что ИТ-система или оборудование соответствуют требованиям защиты информации. Для многих компаний это не «галочка», а юридическое право работать с персональными данными или гостайной.
Зачем бизнесу сертификация ФСТЭК? (если у вас не военный завод)
Ошибочно думать, что ФСТЭК нужна только госорганам. С 2024–2026 годов регуляторы ужесточили проверки операторов ПДн (персональных данных) 1–2 уровня защищённости для российских производителей телекоммуникационного оборудования:
- Обработка спецкатегорий данных: здоровье, биометрия, политические взгляды — без сертифицированного ПО работать запрещено.
- Участие в тендерах по 223-ФЗ и 44-ФЗ: заказчики требуют от поставщика систему учёта обращений (например, call-центр) с аттестатом ФСТЭК не ниже УЗИ-2.
- Снижение рисков утечек: сертификация обязывает внедрить средства защиты информации (СЗИ), которые реально блокируют несанкционированный доступ, а не просто антивирус Касперского.
Реальные этапы процедуры (на примере аттестации call-центра компании)
Этап 1. Обследование и разработка модели угроз
Аккредитованная лаборатория ФСТЭК приезжает на объект. Специалисты выявляют:
- Какие данные передаются (телефония, сканы паспортов, адреса).
- По каким каналам (Ethernet, Wi-Fi, USB-накопители).
- Вероятного нарушителя (сотрудник, хакер, техперсонал).
Срок: 2–3 недели. Стоимость: от 150 000 руб.
Этап 2. Внедрение организационных мер
Юристы и ИТ-отдел готовят:
- Перечень лиц, допущенных к защищаемой информации.
- Журналы учёта съёмных носителей (все флешки запрещены или прошиты).
- Инструкцию «Действия при попытке вторжения в АТС».
Срок: 1 месяц (параллельно с этапом 3).
Этап 3. Установка и настройка сертифицированного СЗИ
Это ключевой этап. Для телефонной сети понадобятся:
- ViPNet Coordinator (для шифрования SIP-трафика).
- «Соболь» (контроль съёмных носителей на рабочих станциях операторов).
- Средства обнаружения вторжений (например, «Континент»).
- Важно: версии должны быть именно с действующим сертификатом ФСТЭК, а не просто последние.
Этап 4. Спецпроверки и контрольные испытания
Лаборатория проводит:
- Тестирование на утечку по акустическому каналу (запись разговоров).
- Сканирование на закладные устройства (только если в помещении сидят операторы с гостайной, для ПДн — обычно не требуется).
- Замер производительности АТС под нагрузкой СЗИ (критично: некоторые системы защиты добавляют 20–30 мс задержки).
Этап 5. Выдача аттестата и последующие проверки
Если всё в порядке — выдается аттестат сроком на 3 года. Но жизнь не заканчивается:
- Каждые 6 месяцев — внутренний контроль.
- Раз в год — проверка от ФСТЭК (с правом внеплановой при инциденте).
Совет: не пытайтесь пройти сертификацию «вслепую». Наймите компанию-интегратора с лицензией ФСТЭК на ТЗКИ (техническую защиту конфиденциальной информации). Средняя стоимость аттестации офиса на 30 рабочих мест с телефонией — от 900 тыс. до 1,8 млн рублей, но без неё при проверке штраф для юрлица до 500 тыс. и приостановка деятельности.
