СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Блоги
Валерий Комаров
12.07.2021
#Dev#ИБ

В продолжение о ситуации с лицензиатами ФСТЭК на ТЗКИ

В продолжение о ситуации с лицензиатами ФСТЭК на ТЗКИ

Судя по отчетам ФСТЭК, ситуация с лицензиатами ТЗКИ находится с 2017 года на очень печальном уровне. Почти у половины проверенных в плановом режиме (то есть — лицензиат заранее знает что к нему придут) выявляют существенные нарушения установленных требований! Как результат видим усиление бюрократизма при аттестации, когда вводят требования к дополнительной отчетности и все. Вопросов с целью и эффективностью лицензирования деятельности по ТЗКИ возникает все больше, но за 4 отчетных года не видно никаких попыток регулятора изменить подход и системно подойти к решению проблемы. Видимо всех все устраивает. Ждем отчет за 2021 год, ФСТЭК за первое полугодие уже проверило в два раза больше лицензиатов, чем в прошлом году.

Ранее — https://valerykomarov.blogspot.com/2019/07/blog-post_4.html

Отчет за 2019 годКоличество лицензиатов по ТЗКИ, по результатам проверки которых выявлены нарушения обязательных требований – 13, что составило 46 % от общего числа проверенных лицензиатов (в 2018 году – 44 %), по разработке и производству СЗКИ – 4, что составило 40 % (в 2018 году –38 %).

Оказывается ФСТЭК борется не за понижение показателя — выявленные нарушители, а за отсутствие роста этого показателя: Отсутствие повышения количества лицензиатов, допустивших нарушения, достигнуто проведением плановой профилактической работы, в том числе консультирования (информирования) по вопросам выполнения (соблюдения) лицензионных требований по ТЗКИ и по разработке и производству СЗКИ, особенностей применения оборудования, необходимого при выполнении конкретных видов работ и оказании услуг, составляющих лицензируемые виды деятельности.

отсутствие в штате у лицензиата на основной работе согласно штатному расписанию руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица и не менее двух инженерно-технических работников, осуществляющих лицензируемый вид деятельности, прошедших, при необходимости, переподготовку и (или) повышение квалификации по технической защите конфиденциальной информации по согласованным ФСТЭК России образовательным программам (примерно 30 % всех отмеченных нарушений); — а в 2018 году было 20%. Существенный рост.

— неполный комплект технической и (или) технологической документации, национальных стандартов и методических документов, необходимых для осуществления лицензируемых видов деятельности (20 %

— истечение сроков действия поверки контрольно-измерительного оборудования, используемого для осуществления лицензируемого вида деятельности, отсутствие документов, подтверждающих право на использование указанного оборудования, сертификатов соответствия и лицензий на право использования средств контроля защищенности информации от несанкционированного доступа (15 %Показатель не изменился с 2018 года

— несоответствие сведений в документах, разработанных на автоматизированные системы, реальным условиям их эксплуатации (20 %

— отсутствие помещений, принадлежащих лицензиату на праве собственности или ином законном основании, в которых созданы необходимые условия для размещения работников, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, и размещено (установлено) производственное и испытательное оборудование, необходимое для осуществления лицензируемого вида деятельности (7 %

— фактическое отсутствие системы производственного контроля, необходимой при осуществлении деятельности по разработке и производству СЗКИ (4 %

— прочие нарушения (около 9%).

Отчет за 2020 годВсего в 2020 году проведены выездные проверки 5 организаций-лицензиатов из 32 запланированных. Остальные проверки перенесены на 2021 год. Здесь все понятно — пандемия ковида и мораторий на проведение проверок.

Вопрос в другом, а почему в отчете о результатах проверок только 4 организации? Возможно что это последствия исключения из плановой проверки одной из организаций? Но тогда показатель выявленных нарушителей — от 50% и выше. Не многовато для плановых проверок?

В ходе проведенных проверок в деятельности 2 организаций выявлены нарушения лицензионных требований и условий, которым были выданы предписания об устранении выявленных нарушений, основными из которых были низкая квалификация специалистов, а также отсутствие отдельных образцов оборудования и методических документов, необходимых для осуществления лицензируемых видов деятельности. Все нарушения устранены в установленные ФСТЭК России сроки.

В качестве основных нарушений обязательных лицензионных требований по результатам проведенных проверок отмечены:

— отсутствие в штате у лицензиата на основной работе согласно штатному расписанию руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица и не менее двух инженерно-технических работников, осуществляющих лицензируемый вид деятельности, прошедших, при необходимости, переподготовку и (или) повышение квалификации по технической защите конфиденциальной информации по согласованным ФСТЭК России образовательным программам (примерно 15 % всех отмеченных нарушений);

— неполный комплект технической и (или) технологической документации, национальных стандартов и методических документов, необходимых для осуществления лицензируемых видов деятельности (20 %

— истечение сроков действия поверки контрольно-измерительного оборудования, используемого для осуществления лицензируемого вида деятельности, отсутствие документов, подтверждающих право на использование указанного оборудования, сертификатов соответствия и лицензий на право использования средств контроля защищенности информации от несанкционированного доступа (10 %

— несоответствие сведений в документах, разработанных на автоматизированные системы, реальным условиям их эксплуатации (15 %

— отсутствие помещений, принадлежащих лицензиату на праве собственности или ином законном основании, в которых созданы необходимые условия для размещения работников, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, и размещено (установлено) производственное и испытательное оборудование, необходимое для осуществления лицензируемого вида деятельности (10 %

— фактическое отсутствие системы производственного контроля, необходимой при осуществлении деятельности по разработке и производству СЗКИ (5

— прочие нарушения (около 15%).


* Раздел блога Административная ответственность субъекта КИИ на главной странице блога.


** Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе ЧаВо по КИИ на главной странице блога.

*** Все новости блога на публичном Telegram-канале t.me/ruporsecurite

**** YouTube — канал блога

***** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

****** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

Источник — Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова “Рупор бумажной безопасности”.

Валерий Комаров
Автор: Валерий Комаров
Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова "Рупор бумажной безопасности"
Комментарии: