3 Июля, 2019

Ситуация с лицензиатами ФСТЭК на ТЗКИ

Валерий Комаров

   ФСТЭК опубликовала отчет по надзору за своими лицензиатами в 2018 году. Аналогичный отчет за 2017 год показал катастрофический результат .
name='more'>

     По итогам 2018 года количество подконтрольных субъектов – лицензиатов ФСТЭК России, осуществляющих деятельность по технической защите конфиденциальной информации (далее – ТЗКИ), составило 2295, по разработке и производству средств защиты конфиденциальной информации (далее – разработка и производство СЗКИ) – 1082. ( в 2017 году было ТЗКИ – 2185, по разработке и производству СЗКИ – 1036). По ТЗКИ количество лицензиатов увеличилось, по производству СЗИ сократилось.
    Количество лицензиатов по ТЗКИ, по результатам проверки которых выявлены нарушения обязательных требований – 11, что составило 44 % от общего числа проверенных лицензиатов (в 2017 году – 50 %)
   Административных правонарушений в ходе лицензионного контроля, влекущих за собой необходимость привлечения к административной ответственности юридических лиц, их должностных лиц, индивидуальных предпринимателей, за отчетный период не выявлено.
    Оценка тяжести нарушений обязательных требований и выбора ответственности, к которой возможно привлечение виновного лица, затруднений не вызывает.
    В качестве основных нарушений обязательных лицензионных требований по результатам проведенных проверок отмечены:

   отсутствие в штате у лицензиата на основной работе согласно штатному расписанию руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица и не менее двух инженерно-технических работников, осуществляющих лицензируемый вид деятельности, прошедших, при необходимости, переподготовку и (или) повышение квалификации по технической защите конфиденциальной информации по согласованным ФСТЭК России образовательным программам (примерно 20 % всех отмеченных нарушений);

   неполный комплект технической и (или) технологической документации, национальных стандартов и методических документов, необходимых для осуществления лицензируемых видов деятельности (15 %);

    истечение сроков действия поверки контрольно-измерительного оборудования, используемого для осуществления лицензируемого вида деятельности, отсутствие документов, подтверждающих право на использование указанного оборудования, сертификатов соответствия и лицензий на право использования средств контроля защищенности информации от несанкционированного доступа (15 %);

   несоответствие сведений в документах, разработанных на автоматизированные системы, реальным условиям их эксплуатации (15 %);

    отсутствие помещений, принадлежащих лицензиату на праве собственности или ином законном основании, в которых созданы необходимые условия для размещения работников, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, и размещено (установлено) производственное и испытательное оборудование, необходимое для осуществления лицензируемого вида деятельности (10 %);

   фактическое отсутствие системы производственного контроля, необходимой при осуществлении деятельности по разработке и производству СЗКИ (5 %);

   прочие нарушения (около 20%).

Выявленные нарушения лицензиатами устранены в установленные ФСТЭК России сроки.

Сравним с былым

   "Количество лицензиатов, по результатам проверки которых выявлены нарушения обязательных требований, – 12, что составляет 50 % от общего числа проверенных организаций (в 2016 году – 9 %).
  Значительный рост числа выявленных за отчетный период нарушений обусловлен вступлением в силу в 2017 году новых лицензионных требований при осуществлении деятельности по ТЗКИ и по разработке и производству СЗКИ, введенных в действие постановлением Правительства Российской Федерации от 15 июня 2016 г. N 541 «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности», а также актуализацией перечней необходимого для осуществления лицензируемых видов деятельности оборудования."

   С одной стороны, сравнивать статистику по 17 и 18 году некорректно. Основное количество нарушителей было выявлено во втором полугодии 17 года, а не за весь год. А с другой стороны, даже через год после изменения требований к лицензиатам, огромное количество их нарушений.

   И остается три очень насущных вопроса:

1.       Какая судьба у аттестатов, выданных нарушителями? Они аннулированы или действительны? Ведь измерения проводились неквалифицированными кадрами, не в соответствии с методиками, да и несоответствующими средствами измерений? Приводит к таким вот последствиям .

2.       Лицензиат ТЗКИ выполняет работы по договору. Выявление при проверке существенных нарушений, говорит о ненадлежащем исполнении условий договора по ТЗКИ. ФСТЭК не волнует, что у заказчика услуг лицензиатов-нарушителей защита конфиденциальной информации не обеспечивается? Необходимо обязывать лицензиатов-нарушителей не только приводить себя в соответствие с требованиями законодательства, но и обязывать их переделать работы по уже выполненным договорам у заказчиков.

3.       Какой смысл в лицензировании работ, если уже два года при ПЛАНОВЫХ проверках выявляется нарушения в половине случаев? И никаких корректирующих действий от лицензирующего органа, который считает достаточным проведение исключительно разъяснительной работы. А ведь лицензиатам ТЗКИ отведена существенная роль для обеспечения безопасности значимых объектов КИИ.

   И подобные вопросы со стороны заказчиков услуг по ТЗКИ в сторону ФСТЭК будут возникать все чаще. Вот пример публичной дискуссии с представителями Управления ФСТЭК по ДФО:
    "При обсуждении темы «Аттестация объектов информатизации» завязалась дискуссия на тему некачественных услуг, оказываемых лицензиатами ФСТЭК России. Один из посетителей форума рассказал свою историю. Их тендер на оказание услуг по проектированию системы защиты информации выиграл один из лицензиатов, который даже не хотел приезжать на объект для проведения работ. После того как этого лицензиата все-таки заставили провести работы непосредственно на объекте, полученный результат оставлял желать лучшего.
   Уникальность этой ситуации в том, что в данном случае заказчик услуг выявил их плохое качество до подписания акта выполненных работ. К сожалению, гораздо чаще проблемы выявляются уже после закрытия контракта. Здесь не могу не сказать еще раз о важности повышения осведомления сотрудников в сфере информационной безопасности. Даже если предполагается делать всю информационную безопасность руками сторонних организаций, должен быть кто-то, кто сможет оценить качество выполненных работ.
   Представитель ФСТЭК России тоже присутствовал в зале и ответил на вопрос о мерах воздействия регулятора на таких недобросовестных лицензиатов. Алексей Баранов сказал, что такие нарушения должны пресекаться в рамках проведения ФСТЭК России контроля лицензионной деятельности. В случае выявления нарушений регулятором или при поступлении жалоб на лицензиата будет выдано предписание об устранении нарушений. В случае многократных нарушений или жалоб, лицензиату могут аннулировать лицензию."

   А пока видим только увеличение количество лицензиатов по ТЗКИ.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога