Своим приказом №122 от 17 июня 2018 года ФСТЭК России утвердила Обзор правоприменительной практики ФСТЭК России в рамках контроля за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации (ТЗКИ) и деятельности по разработке и производству средств защиты конфиденциальной информации (СЗКИ) за 2017 год.

Сначала немного странной статистики из этого отчёта:

Странность заключается в том, что не очень понятно, как 2152-ум лицензиатам можно было выдать 2185 лицензий ТЗКИ? Кому-то досталось несколько штук сразу?

Про данную ошибку(?) через сайт сообщил, но пока реакции не последовало.

{% include one_image_new2.html picture_name=“Ошибка(?) на сайте ФСТЭК России” picture_path=“2018/Ошибка.png” %}

На момент написания поста число выданных лицензий согласно реестрам (ТЗКИ, СКЗИ) стало чуть больше:

Вернёмся к самому отчёту. В 2017 году ФСТЭК России проводила только плановые проверки (для внеплановых не было оснований), но в половине(!) из них были выявлены нарушения. 

Как же так? ФСТЭК России крайне “удачно” выбрала именно проблемных лицензиатов для проверки? Или явление носит массовый характер и действительно нарушителей так много? К сожалению, выборка в 1,1% от общего числа лицензиатов не позволяет делать каких-либо обощающих выводов.

Сама ФСТЭК России в качестве причины роста числа проверок, в ходе которых были выявлены нарушения (в 2016 году нарушения были лишь в 9% случаев), связывает с “вступлением в силу в 2017 году новых лицензионных требований при осуществлении деятельности по ТЗКИ и по разработке и производству СЗКИ, введенных в действие постановлением Правительства Российской Федерации от 15 июня 2016 г. N 541 «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности», а также актуализацией перечней необходимого для осуществления лицензируемых видов деятельности оборудования”.

Несмотря на обилие выявленных нарушений, “административных правонарушений […], влекущих за собой необходимость привлечения к административной ответственности […], за отчетный период не выявлено”,а все “выявленные нарушения […] устранены в установленные сроки”.

Тем не менее, полагаю, что тем, кто попал в план проверок на 2018 год и до кого представители ФСТЭК России ещё не доехали, да и вообще - всем лицензиатам, стоит внимательнее отнестись к указанным нововведениям и типичным выявляемым ФСТЭК России проблемам, среди которых, согласно отчёту:

1. Отсутствие в штате у лицензиата на основной работе согласно штатному расписанию руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица и не менее двух инженерно-технических работников, осуществляющих лицензируемый вид деятельности, прошедших, при необходимости, переподготовку или повышение квалификации по вопросам технической защиты информации;
   Рекомендация: нанять недостающий персонал и (или) направить имеющихся сотрудников на курсы повышения квалификации: Перечень учебных центров и их программ.
2. Отсутствие помещений, принадлежащих лицензиату на праве собственности или ином законном основании, в которых созданы необходимые условия для размещения работников, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, и размещено (установлено) производственное и испытательное оборудование, необходимое для осуществления лицензируемого вида деятельности;
   Рекомендация: Лучше отказаться от практики выделения помещения “для галочки”, не стоит также пытаться размещать испытательное оборудование в случайно выбранных помещениях (например, в переговорных) или переориентировать их для обсуждения информации ограниченного доступа специально на время проведения проверки - проверяющие такой креатив вряд ли оценят.
3. Истечение сроков действия поверки контрольно-измерительного оборудования, используемого для осуществления лицензируемого вида деятельности, отсутствие документов, подтверждающих право на использование указанного оборудования, сертификатов соответствия и лицензий на право использования средств контроля защищенности информации от несанкционированного доступа;
   Рекомендация: простая ревизия и инвентаризация быстро выявят подобные проблемы, стоит ли дожидаться выданного предписания об устранении нарушений?
4. Несоответствие сведений в документах, разработанных на автоматизированные системы, реальным условиям их эксплуатации;
   Рекомендация: в отчёте ФСТЭК России нет деталей о том, в чём именно тут бывают нарушения, поэтому лучше ещё раз перепроверить документы по эксплуатации и сверить их с действительными процессами, зонами ответственности и проч.
5. Фактическое отсутствие системы производственного контроля;
   Рекомендация: как хорошо известно лицензиатам СЗКИ, система производственного контроля должна включать:
   • правила и процедуры проверки и оценки системы разработки СЗКИ, учета изменений, вносимых в проектную и конструкторскую документацию на разрабатываемую продукцию (для работ из подпункта «а» пункта 3 Положения о лицензировании деятельности по разработке и производству СЗКИ);
   • а также правила и процедуры проверки и оценки качества выпускаемой продукции и неизменности установленных параметров , учета готовой продукции (дополнительно для работ из подпункта «б» пункта 3 Положения о лицензировании деятельности по разработке и производству СЗКИ).
     Нужно проверить наличие этих правил и процедур и “на бумаге” и “в жизни”.
6. Неполный комплект технической и (или) технологической документации, национальных стандартов и методических документов, необходимых для осуществления лицензируемых видов деятельности.
   Рекомендация: проверить наличие всего необходимого, согласно Перечню. Важно учесть, что вся документация (а среди неё много документов ДСП) должна принадлежать лицензиату на праве собственности или ином законном основании.

В завершение стоит обратить внимание на то, что ФСТЭК России при организации и проведении проверок руководствуется принципом «комплексности» - т.е. одновременное проведение “в подконтрольных субъектах уполномоченными должностными лицами ФСТЭК России всех спланированных видов контроля”. Например, к проверкам соблюдения лицензионных требований могут быть присоединены проверки по вопросам экспортного контроля (План этих проверок).