Верхнее

Проверка

Типичные выявляемые ФСТЭК нарушения со стороны лицензиатов в 2017 году

Своим приказом №122 от 17 июня 2018 года ФСТЭК утвердила Обзор правоприменительной практики ФСТЭК России в рамках контроля за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации (ТЗКИ) и деятельности по разработке и производству средств защиты конфиденциальной информации (СЗКИ) за 2017 год

Сначала немного странной статистики из этого отчёта:

ПоказательЧислоДоля
Всего выдано лицензий32213221
— из них лицензий на деятельность по ТЗКИ218567,8%
— из них лицензий на разработку и производство СЗКИ103632,2%
Лицензиатов ФСТЭК России2152

Странность заключается в том, что не очень понятно, как 2152-ум лицензиатам можно было выдать 2185 лицензий ТЗКИ? Кому-то досталось несколько штук сразу?

Про данную ошибку(?) через сайт сообщил, но пока реакции не последовало.

На момент написания поста число выданных лицензий согласно реестрам (ТЗКИСКЗИ) стало чуть больше:

ПоказательЧислоРост
Всего выдано лицензий33804,9%
— из них лицензий на деятельность по ТЗКИ23186,1%
— из них лицензий на разработку и производство СЗКИ10622,5%

Вернёмся к самому отчёту. В 2017 году ФСТЭК проводила только плановые проверки (для внеплановых не было оснований), но в половине(!) из них были выявлены нарушения. 

ПоказательЧислоДоля
Лицензиатов2152
Внеплановых проверок00,0%
Плановых проверок241,1%
— их них случаев нарушений1250,0%

Как же так? ФСТЭК крайне «удачно» выбрала именно проблемных лицензиатов для проверки? Или явление носит массовый характер и действительно нарушителей так много? К сожалению, выборка в 1,1% от общего числа лицензиатов не позволяет делать каких-либо обощающих выводов.

Сама ФСТЭК в качестве причины роста числа проверок, в ходе которых были выявлены нарушения (в 2016 году нарушения были лишь в 9% случаев), связывает с «вступлением в силу в 2017 году новых лицензионных требований при осуществлении деятельности по ТЗКИ и по разработке и производству СЗКИ, введенных в действие постановлением Правительства Российской Федерации от 15 июня 2016 г. N 541 «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности», а также актуализацией перечней необходимого для осуществления лицензируемых видов деятельности оборудования«.

Несмотря на обилие выявленных нарушений, «административных правонарушений […], влекущих за собой необходимость привлечения к административной ответственности […], за отчетный период не выявлено», а все «выявленные нарушения […] устранены в установленные сроки«.

Тем не менее, полагаю, что тем, кто попал в план проверок на 2018 год и до кого представители ФСТЭК ещё не доехали, да и вообще — всем лицензиатам, стоит внимательнее отнестись к указанным нововведениям и типичным выявляемым ФСТЭК проблемам, среди которых, согласно отчёту:

  1. Отсутствие в штате у лицензиата на основной работе согласно штатному расписанию руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица и не менее двух инженерно-технических работников, осуществляющих лицензируемый вид деятельности, прошедших, при необходимости, переподготовку или повышение квалификации по вопросам технической защиты информации;
    Рекомендация: нанять недостающий персонал и (или) направить имеющихся сотрудников на курсы повышения квалификации: Перечень учебных центров и их программ.
  2. Отсутствие помещений, принадлежащих лицензиату на праве собственности или ином законном основании, в которых созданы необходимые условия для размещения работниковобсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, и размещено (установлено) производственное и испытательное оборудование, необходимое для осуществления лицензируемого вида деятельности;
    Рекомендация: Лучше отказаться от практики выделения помещения «для галочки», не стоит также пытаться размещать испытательное оборудование в случайно выбранных помещениях (например, в переговорных) или переориентировать их для обсуждения информации ограниченного доступа специально на время проведения проверки — проверяющие такой креатив вряд ли оценят.
  3. Истечение сроков действия поверки контрольно-измерительного оборудования, используемого для осуществления лицензируемого вида деятельности, отсутствие документов, подтверждающих право на использование указанного оборудования, сертификатов соответствия и лицензий на право использования средств контроля защищенности информации от несанкционированного доступа;
    Рекомендация: простая ревизия и инвентаризация быстро выявят подобные проблемы, стоит ли дожидаться выданного предписания об устранении нарушений?
  4. Несоответствие сведений в документах, разработанных на автоматизированные системы, реальным условиям их эксплуатации;
    Рекомендация: в отчёте ФСТЭК нет деталей о том, в чём именно тут бывают нарушения, поэтому лучше ещё раз перепроверить документы по эксплуатации и сверить их с действительными процессами, зонами ответственности и проч.
  5. Фактическое отсутствие системы производственного контроля;
    Рекомендация: как хорошо известно лицензиатам СЗКИ, система производственного контроля должна включать:
    — правила и процедуры проверки и оценки системы разработки СЗКИ, учета изменений, вносимых в проектную и конструкторскую документацию на разрабатываемую продукцию (для работ из подпункта «а» пункта 3 Положения о лицензировании деятельности по разработке и производству СЗКИ);
    — а также правила и процедуры проверки и оценки качества выпускаемой продукции и неизменности установленных параметров , учета готовой продукции (дополнительно для работ из подпункта «б» пункта 3 Положения о лицензировании деятельности по разработке и производству СЗКИ). 
    Нужно проверить наличие этих правил и процедур и «на бумаге» и «в жизни».
  6. Неполный комплект технической и (или) технологической документации, национальных стандартов и методических документов, необходимых для осуществления лицензируемых видов деятельности.
    Рекомендация: проверить наличие всего необходимого, согласно Перечню. Важно учесть, что вся документация (а среди неё много документов ДСП) должна принадлежать лицензиату на праве собственности или ином законном основании.

В завершение стоит обратить внимание на то, что ФСТЭК при организации и проведении проверок руководствуется принципом «комплексности» — т.е. одновременное проведение «в подконтрольных субъектах уполномоченными должностными лицами ФСТЭК России всех спланированных видов контроля«. Например, к проверкам соблюдения лицензионных требований могут быть присоединены проверки по вопросам экспортного контроля (План этих проверок).

, , , ,

Начать обсуждение: rucybersecurity.ru