Зачем вообще проверять
Если ваш подрядчик окажется без лицензий или с отозванными, то все выполненные им работы — юридически ничтожны. ФСТЭК при проверке посчитает, что защита не построена. Штраф, повторные работы, дисквалификация в госзакупках.
9 конкретных проверок
- Лицензии ФСТЭК в актуальном реестре. Реестр лицензий на сайте fstec.ru. Проверяйте: номер совпадает, срок действия не истёк, виды деятельности включают ваш (разработка СЗИ / ТЗКИ / контроль защищённости).
- Лицензия ФСБ на криптографию. Для любой работы с ГОСТ-СКЗИ нужна. Проверяется в реестре на clsz.fsb.ru. Без неё работать с КриптоПро/ViPNet/Континент — нарушение.
- Аккредитация Минцифры для ИТ-аутсорсинга по КИИ. Реестр аккредитованных ИТ-компаний. Если исполнитель в нём — это дополнительная проверка государственного реестра.
- Стаж и опыт по профильным проектам. Конкретные кейсы по вашей отрасли с ФИО руководителя, датами, объёмами. Запросите 2–3 референса с возможностью позвонить.
- Квалификация ключевых сотрудников. Сертификаты ФСТЭК на специалистов (приказ № 96), повышение квалификации не старше 3 лет, профильное образование.
- Финансовое состояние. Выручка, чистая прибыль, просроченная кредиторка через bo.nalog.ru. Если выручка < вашего проекта — риск, что исполнитель «выгорит» в середине.
- Судебные споры и исполнительные производства. Смотрите в kad.arbitr.ru и ФССП. Если много исков от клиентов — тревожный сигнал.
- Структура группы компаний и реальный владелец. Проверьте через egrul.nalog.ru: нет ли «однодневки», нет ли в учредителях дисквалифицированных лиц.
- Договор: раздел об ответственности. Должны быть: штрафы за срыв сроков; обязательство передать результаты, годные для ФСТЭК; конфиденциальность с неустойкой; гарантия на проект 12–36 месяцев.
Красные флаги в коммерческом предложении
«Всё за 200 000 ₽ под ключ»
Реальная стоимость полного цикла аттестации ИСПДн — от 400 тыс. ₽ без учёта СЗИ. Если дёшево — работают «формально» или передадут документы без внедрения.
Сроки меньше 25 рабочих дней
На обследование, модель угроз, проектирование, внедрение и испытания физически не хватает времени. Значит, часть этапов пропускается или делается фиктивно.
Отсутствие обследования в смете
Без обследования невозможно корректно определить класс защиты и меры. Исполнители, которые «знают типовой пакет» — не подходят для уникальной инфраструктуры.
Готовность брать работу без передачи НДА
Лицензиат обязан работать с вашей внутренней информацией — без НДА это нарушение его собственных процедур. Признак несерьёзности.
Список вопросов, которые стоит задать на встрече
- Кто конкретно будет руководителем проекта и его квалификация?
- Сколько сотрудников с сертификатами ФСТЭК в штате (не «в нашей группе компаний»)?
- Есть ли у вас своя испытательная лаборатория или партнёрская?
- Как организовано взаимодействие с НКЦКИ на этапе внедрения?
- Какие 3 недавних проекта вы можете показать целиком (с разрешения клиента)?
- Какой процент проектов у вас сопровождается переаттестацией — это работа с постоянными клиентами, не разовая?
- Что именно остаётся у нас после окончания проекта и сколько это поддерживается без вас?
Наши партнёры проходят эти 9 проверок
НПК «Оборон-Экран» (СПб) и ООО «Центр Информационных Технологий» (Москва) — лицензиаты ФСТЭК/ФСБ с 2011 и 2015 годов. Все документы открыто опубликованы.
Посмотреть лицензии