Типичные выявляемые ФСТЭК нарушения со стороны лицензиатов в 2017 году
Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.
Своим приказом №122 от 17 июня 2018 года ФСТЭК России утвердила Обзор правоприменительной практики ФСТЭК России в рамках контроля за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации (ТЗКИ) и деятельности по разработке и производству средств защиты конфиденциальной информации (СЗКИ) за 2017 год.
Сначала немного странной статистики из этого отчёта:
| Показатель | Число | Доля |
|---|---|---|
| Всего выдано лицензий | 3221 | |
| — из них лицензий на деятельность по ТЗКИ | 2185 | 67,8% |
| — из них лицензий на разработку и производство СЗКИ | 1036 | 32,2% |
| Лицензиатов ФСТЭК России | 2152 |
Странность заключается в том, что не очень понятно, как 2152-ум лицензиатам можно было выдать 2185 лицензий ТЗКИ? Кому-то досталось несколько штук сразу?
Про данную ошибку(?) через сайт сообщил, но пока реакции не последовало.
На момент написания поста число выданных лицензий согласно реестрам (ТЗКИ, СКЗИ) стало чуть больше:
| Показатель | Число | Рост |
|---|---|---|
| Всего выдано лицензий | 3380 | 4,9% |
| — из них лицензий на деятельность по ТЗКИ | 2318 | 6,1% |
| — из них лицензий на разработку и производство СЗКИ | 1062 | 2,5% |
Вернёмся к самому отчёту. В 2017 году ФСТЭК России проводила только плановые проверки (для внеплановых не было оснований), но в половине(!) из них были выявлены нарушения.
| Показатель | Число | Доля |
|---|---|---|
| Лицензиатов | 2152 | |
| Внеплановых проверок | 0 | 0,0% |
| Плановых проверок | 24 | 1,1% |
| — их них случаев нарушений | 12 | 50,0% |
Как же так? ФСТЭК России крайне “удачно” выбрала именно проблемных лицензиатов для проверки? Или явление носит массовый характер и действительно нарушителей так много? К сожалению, выборка в 1,1% от общего числа лицензиатов не позволяет делать каких-либо обощающих выводов.
Сама ФСТЭК России в качестве причины роста числа проверок, в ходе которых были выявлены нарушения (в 2016 году нарушения были лишь в 9% случаев), связывает с “вступлением в силу в 2017 году новых лицензионных требований при осуществлении деятельности по ТЗКИ и по разработке и производству СЗКИ, введенных в действие постановлением Правительства Российской Федерации от 15 июня 2016 г. N 541 «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности», а также актуализацией перечней необходимого для осуществления лицензируемых видов деятельности оборудования”.
Несмотря на обилие выявленных нарушений, “административных правонарушений […], влекущих за собой необходимость привлечения к административной ответственности […], за отчетный период не выявлено”,а все “выявленные нарушения […] устранены в установленные сроки”.
Тем не менее, полагаю, что тем, кто попал в план проверок на 2018 год и до кого представители ФСТЭК России ещё не доехали, да и вообще - всем лицензиатам, стоит внимательнее отнестись к указанным нововведениям и типичным выявляемым ФСТЭК России проблемам, среди которых, согласно отчёту:
- Отсутствие в штате у лицензиата на основной работе согласно штатному расписанию руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица и не менее двух инженерно-технических работников, осуществляющих лицензируемый вид деятельности, прошедших, при необходимости, переподготовку или повышение квалификации по вопросам технической защиты информации;
Рекомендация: нанять недостающий персонал и (или) направить имеющихся сотрудников на курсы повышения квалификации: Перечень учебных центров и их программ. - Отсутствие помещений, принадлежащих лицензиату на праве собственности или ином законном основании, в которых созданы необходимые условия для размещения работников, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, и размещено (установлено) производственное и испытательное оборудование, необходимое для осуществления лицензируемого вида деятельности;
Рекомендация: Лучше отказаться от практики выделения помещения “для галочки”, не стоит также пытаться размещать испытательное оборудование в случайно выбранных помещениях (например, в переговорных) или переориентировать их для обсуждения информации ограниченного доступа специально на время проведения проверки - проверяющие такой креатив вряд ли оценят. - Истечение сроков действия поверки контрольно-измерительного оборудования, используемого для осуществления лицензируемого вида деятельности, отсутствие документов, подтверждающих право на использование указанного оборудования, сертификатов соответствия и лицензий на право использования средств контроля защищенности информации от несанкционированного доступа;
Рекомендация: простая ревизия и инвентаризация быстро выявят подобные проблемы, стоит ли дожидаться выданного предписания об устранении нарушений? - Несоответствие сведений в документах, разработанных на автоматизированные системы, реальным условиям их эксплуатации;
Рекомендация: в отчёте ФСТЭК России нет деталей о том, в чём именно тут бывают нарушения, поэтому лучше ещё раз перепроверить документы по эксплуатации и сверить их с действительными процессами, зонами ответственности и проч. - Фактическое отсутствие системы производственного контроля;
Рекомендация: как хорошо известно лицензиатам СЗКИ, система производственного контроля должна включать:- правила и процедуры проверки и оценки системы разработки СЗКИ, учета изменений, вносимых в проектную и конструкторскую документацию на разрабатываемую продукцию (для работ из подпункта «а» пункта 3 Положения о лицензировании деятельности по разработке и производству СЗКИ);
- а также правила и процедуры проверки и оценки качества выпускаемой продукции и неизменности установленных параметров , учета готовой продукции (дополнительно для работ из подпункта «б» пункта 3 Положения о лицензировании деятельности по разработке и производству СЗКИ).
Нужно проверить наличие этих правил и процедур и “на бумаге” и “в жизни”.
- Неполный комплект технической и (или) технологической документации, национальных стандартов и методических документов, необходимых для осуществления лицензируемых видов деятельности.
Рекомендация: проверить наличие всего необходимого, согласно Перечню. Важно учесть, что вся документация (а среди неё много документов ДСП) должна принадлежать лицензиату на праве собственности или ином законном основании.
В завершение стоит обратить внимание на то, что ФСТЭК России при организации и проведении проверок руководствуется принципом «комплексности» - т.е. одновременное проведение “в подконтрольных субъектах уполномоченными должностными лицами ФСТЭК России всех спланированных видов контроля”. Например, к проверкам соблюдения лицензионных требований могут быть присоединены проверки по вопросам экспортного контроля (План этих проверок).
Комментарии из Telegram
Комментарии ВКонтакте