В продолжение о ситуации с лицензиатами ФСТЭК на ТЗКИ

В продолжение о ситуации с лицензиатами ФСТЭК на ТЗКИ

   


    Судя по отчетам ФСТЭК, ситуация с лицензиатами ТЗКИ находится с 2017 года на очень печальном уровне. Почти у половины проверенных в плановом режиме (то есть - лицензиат заранее знает что к нему придут) выявляют существенные нарушения установленных требований! Как результат видим усиление бюрократизма при аттестации , когда вводят требования к дополнительной отчетности и все. Вопросов с целью и эффективностью лицензирования деятельности по ТЗКИ возникает все больше, но за 4 отчетных года не видно никаких попыток регулятора изменить подход и системно подойти к решению проблемы. Видимо всех все устраивает. Ждем отчет за 2021 год, ФСТЭК за первое полугодие уже проверило в два раза больше лицензиатов, чем в прошлом году.

name='more'>


   Ранее -  https://valerykomarov.blogspot.com/2019/07/blog-post_4.html

    Отчет за 2019 год - "Количество лицензиатов по ТЗКИ, по результатам проверки которых выявлены нарушения обязательных требований – 13, что составило 46 % от общего числа проверенных лицензиатов (в 2018 году – 44 %), по разработке и производству СЗКИ – 4, что составило 40 % (в 2018 году –38 %)."

   Оказывается ФСТЭК борется не за понижение показателя - выявленные нарушители, а за отсутствие роста этого показателя: "Отсутствие повышения количества лицензиатов, допустивших нарушения, достигнуто проведением плановой профилактической работы, в том числе консультирования (информирования) по вопросам выполнения (соблюдения) лицензионных требований по ТЗКИ и по разработке и производству СЗКИ, особенностей применения оборудования, необходимого при выполнении конкретных видов работ и оказании услуг, составляющих лицензируемые виды деятельности."

 - отсутствие в штате у лицензиата на основной работе согласно штатному расписанию руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица и не менее двух инженерно-технических работников, осуществляющих лицензируемый вид деятельности, прошедших, при необходимости, переподготовку и (или) повышение квалификации по технической защите конфиденциальной информации по согласованным ФСТЭК России образовательным программам (примерно 30 % всех отмеченных нарушений); - а в 2018 году было 20%. Существенный рост.

- неполный комплект технической и (или) технологической документации, национальных стандартов и методических документов, необходимых для осуществления лицензируемых видов деятельности (20 %);

- истечение сроков действия поверки контрольно-измерительного оборудования, используемого для осуществления лицензируемого вида деятельности, отсутствие документов, подтверждающих право на использование указанного оборудования, сертификатов соответствия и лицензий на право использования средств контроля защищенности информации от несанкционированного доступа (15 %);  - Показатель не изменился с 2018 года 

- несоответствие сведений в документах, разработанных на автоматизированные системы, реальным условиям их эксплуатации (20 %);

- отсутствие помещений, принадлежащих лицензиату на праве собственности или ином законном основании, в которых созданы необходимые условия для размещения работников, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, и размещено (установлено) производственное и испытательное оборудование, необходимое для осуществления лицензируемого вида деятельности (7 %);

- фактическое отсутствие системы производственного контроля, необходимой при осуществлении деятельности по разработке и производству СЗКИ (4 %);

- прочие нарушения (около 9%).

       Отчет за 2020 год - "Всего в 2020 году проведены выездные проверки 5 организаций-лицензиатов из 32 запланированных. Остальные проверки перенесены на 2021 год". Здесь все понятно - пандемия ковида и мораторий на проведение проверок.

  Вопрос в другом,  а почему в отчете о результатах проверок только 4 организации? Возможно что это последствия исключения из плановой проверки одной из организаций ? Но тогда показатель выявленных нарушителей  - от 50% и выше. Не многовато для плановых проверок?


"В ходе проведенных проверок в деятельности 2 организаций выявлены нарушения лицензионных требований и условий, которым были выданы предписания об устранении выявленных нарушений, основными из которых были низкая квалификация специалистов, а также отсутствие отдельных образцов оборудования и методических документов, необходимых для осуществления лицензируемых видов деятельности. Все нарушения устранены в установленные ФСТЭК России сроки."

В качестве основных нарушений обязательных лицензионных требований по результатам проведенных проверок отмечены:

- отсутствие в штате у лицензиата на основной работе согласно штатному расписанию руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица и не менее двух инженерно-технических работников, осуществляющих лицензируемый вид деятельности, прошедших, при необходимости, переподготовку и (или) повышение квалификации по технической защите конфиденциальной информации по согласованным ФСТЭК России образовательным программам (примерно 15 % всех отмеченных нарушений);

- неполный комплект технической и (или) технологической документации, национальных стандартов и методических документов, необходимых для осуществления лицензируемых видов деятельности (20 %);

- истечение сроков действия поверки контрольно-измерительного оборудования, используемого для осуществления лицензируемого вида деятельности, отсутствие документов, подтверждающих право на использование указанного оборудования, сертификатов соответствия и лицензий на право использования средств контроля защищенности информации от несанкционированного доступа (10 %);

- несоответствие сведений в документах, разработанных на автоматизированные системы, реальным условиям их эксплуатации (15 %);

- отсутствие помещений, принадлежащих лицензиату на праве собственности или ином законном основании, в которых созданы необходимые условия для размещения работников, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, и размещено (установлено) производственное и испытательное оборудование, необходимое для осуществления лицензируемого вида деятельности (10 %);

- фактическое отсутствие системы производственного контроля, необходимой при осуществлении деятельности по разработке и производству СЗКИ (5 %);

- прочие нарушения (около 15%).


* Раздел блога "Административная ответственность субъекта КИИ" на главной странице блога.


** Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


*** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite


****  YouTube - канал блога


***** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1


****** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite

Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности