5 мин на чтение


Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.


Своим приказом №122 от 17 июня 2018 года ФСТЭК России утвердила Обзор правоприменительной практики ФСТЭК России в рамках контроля за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации (ТЗКИ) и деятельности по разработке и производству средств защиты конфиденциальной информации (СЗКИ) за 2017 год.

Сначала немного странной статистики из этого отчёта:

Показатель Число Доля
Всего выдано лицензий 3221  
— из них лицензий на деятельность по ТЗКИ 2185 67,8%
— из них лицензий на разработку и производство СЗКИ 1036 32,2%
Лицензиатов ФСТЭК России 2152  

Странность заключается в том, что не очень понятно, как 2152-ум лицензиатам можно было выдать 2185 лицензий ТЗКИ? Кому-то досталось несколько штук сразу?

Про данную ошибку(?) через сайт сообщил, но пока реакции не последовало.

Ошибка(?) на сайте ФСТЭК России

На момент написания поста число выданных лицензий согласно реестрам (ТЗКИ, СКЗИ) стало чуть больше:

Показатель Число Рост
Всего выдано лицензий 3380 4,9%
— из них лицензий на деятельность по ТЗКИ 2318 6,1%
— из них лицензий на разработку и производство СЗКИ 1062 2,5%

Вернёмся к самому отчёту. В 2017 году ФСТЭК России проводила только плановые проверки (для внеплановых не было оснований), но в половине(!) из них были выявлены нарушения. 

Показатель Число Доля
Лицензиатов 2152  
Внеплановых проверок 0 0,0%
Плановых проверок 24 1,1%
— их них случаев нарушений 12 50,0%

Как же так? ФСТЭК России крайне “удачно” выбрала именно проблемных лицензиатов для проверки? Или явление носит массовый характер и действительно нарушителей так много? К сожалению, выборка в 1,1% от общего числа лицензиатов не позволяет делать каких-либо обощающих выводов.

Сама ФСТЭК России в качестве причины роста числа проверок, в ходе которых были выявлены нарушения (в 2016 году нарушения были лишь в 9% случаев), связывает с “вступлением в силу в 2017 году новых лицензионных требований при осуществлении деятельности по ТЗКИ и по разработке и производству СЗКИ, введенных в действие постановлением Правительства Российской Федерации от 15 июня 2016 г. N 541 «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности», а также актуализацией перечней необходимого для осуществления лицензируемых видов деятельности оборудования”.

Несмотря на обилие выявленных нарушений, “административных правонарушений […], влекущих за собой необходимость привлечения к административной ответственности […], за отчетный период не выявлено”,а все “выявленные нарушения […] устранены в установленные сроки”.

Тем не менее, полагаю, что тем, кто попал в план проверок на 2018 год и до кого представители ФСТЭК России ещё не доехали, да и вообще - всем лицензиатам, стоит внимательнее отнестись к указанным нововведениям и типичным выявляемым ФСТЭК России проблемам, среди которых, согласно отчёту:

  1. Отсутствие в штате у лицензиата на основной работе согласно штатному расписанию руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица и не менее двух инженерно-технических работников, осуществляющих лицензируемый вид деятельности, прошедших, при необходимости, переподготовку или повышение квалификации по вопросам технической защиты информации;
    Рекомендация: нанять недостающий персонал и (или) направить имеющихся сотрудников на курсы повышения квалификации: Перечень учебных центров и их программ.
  2. Отсутствие помещений, принадлежащих лицензиату на праве собственности или ином законном основании, в которых созданы необходимые условия для размещения работников, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, и размещено (установлено) производственное и испытательное оборудование, необходимое для осуществления лицензируемого вида деятельности;
    Рекомендация: Лучше отказаться от практики выделения помещения “для галочки”, не стоит также пытаться размещать испытательное оборудование в случайно выбранных помещениях (например, в переговорных) или переориентировать их для обсуждения информации ограниченного доступа специально на время проведения проверки - проверяющие такой креатив вряд ли оценят.
  3. Истечение сроков действия поверки контрольно-измерительного оборудования, используемого для осуществления лицензируемого вида деятельности, отсутствие документов, подтверждающих право на использование указанного оборудования, сертификатов соответствия и лицензий на право использования средств контроля защищенности информации от несанкционированного доступа;
    Рекомендация: простая ревизия и инвентаризация быстро выявят подобные проблемы, стоит ли дожидаться выданного предписания об устранении нарушений?
  4. Несоответствие сведений в документах, разработанных на автоматизированные системы, реальным условиям их эксплуатации;
    Рекомендация: в отчёте ФСТЭК России нет деталей о том, в чём именно тут бывают нарушения, поэтому лучше ещё раз перепроверить документы по эксплуатации и сверить их с действительными процессами, зонами ответственности и проч.
  5. Фактическое отсутствие системы производственного контроля;
    Рекомендация: как хорошо известно лицензиатам СЗКИ, система производственного контроля должна включать:
    • правила и процедуры проверки и оценки системы разработки СЗКИ, учета изменений, вносимых в проектную и конструкторскую документацию на разрабатываемую продукцию (для работ из подпункта «а» пункта 3 Положения о лицензировании деятельности по разработке и производству СЗКИ);
    • а также правила и процедуры проверки и оценки качества выпускаемой продукции и неизменности установленных параметров , учета готовой продукции (дополнительно для работ из подпункта «б» пункта 3 Положения о лицензировании деятельности по разработке и производству СЗКИ).
      Нужно проверить наличие этих правил и процедур и “на бумаге” и “в жизни”.
  6. Неполный комплект технической и (или) технологической документации, национальных стандартов и методических документов, необходимых для осуществления лицензируемых видов деятельности.
    Рекомендация: проверить наличие всего необходимого, согласно Перечню. Важно учесть, что вся документация (а среди неё много документов ДСП) должна принадлежать лицензиату на праве собственности или ином законном основании.

В завершение стоит обратить внимание на то, что ФСТЭК России при организации и проведении проверок руководствуется принципом «комплексности» - т.е. одновременное проведение “в подконтрольных субъектах уполномоченными должностными лицами ФСТЭК России всех спланированных видов контроля”. Например, к проверкам соблюдения лицензионных требований могут быть присоединены проверки по вопросам экспортного контроля (План этих проверок).

--- === @zlonov === ---


Комментарии из Telegram


Комментарии ВКонтакте