Своим приказом №122 от 17 июня 2018 года ФСТЭК утвердила Обзор правоприменительной практики ФСТЭК России в рамках контроля за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации (ТЗКИ) и деятельности по разработке и производству средств защиты конфиденциальной информации (СЗКИ) за 2017 год.

Сначала немного странной статистики из этого отчёта:

Показатель Число Доля
Всего выдано лицензий 3221 100,0%
- из них лицензий на деятельность по ТЗКИ 2185 67,8%
- из них лицензий на разработку и производство СЗКИ 1036 32,2%
Лицензиатов ФСТЭК России 2152

Странность заключается в том, что не очень понятно, как 2152-ум лицензиатам можно было выдать 2185 лицензий ТЗКИ? Кому-то досталось несколько штук сразу?

Про данную ошибку(?) через сайт сообщил, но пока реакции не последовало.

На момент написания поста число выданных лицензий согласно реестрам (ТЗКИ, СКЗИ) стало чуть больше:

Показатель Число Рост
Всего выдано лицензий 3380 4,9%
- из них лицензий на деятельность по ТЗКИ 2318 6,1%
- из них лицензий на разработку и производство СЗКИ 1062 2,5%

Вернёмся к самому отчёту. В 2017 году ФСТЭК проводила только планове проверки (для внеплановых не было оснований), но в половине(!) из них были выявлены нарушения.

Показатель Число Доля
Лицензиатов 2152
Внеплановых проверок 0 0,0%
Плановых проверок 24 1,1%
- их них случаев нарушений 12 50,0%

Как же так? ФСТЭК крайне "удачно" выбрала именно проблемных лицензиатов для проверки? Или явление носит массовый характер и действительно нарушителей так много? К сожалению, выборка в 1,1% от общего числа лицензиатов не позволяет делать каких-либо обощающих выводов.

Сама ФСТЭК в качестве причины роста числа проверок, в ходе которых были выявлены нарушения (в 2016 году нарушения были лишь в 9% случаев), связывает с "вступлением в силу в 2017 году новых лицензионных требований при осуществлении деятельности по ТЗКИ и по разработке и производству СЗКИ, введенных в действие постановлением Правительства Российской Федерации от 15 июня 2016 г. N 541 «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности», а также актуализацией перечней необходимого для осуществления лицензируемых видов деятельности оборудования".

Несмотря на обилие выявленных нарушений, "административных правонарушений [...], влекущих за собой необходимость привлечения к административной ответственности [...], за отчетный период не выявлено", а все "выявленные нарушения [...] устранены в установленные сроки".

Тем не менее, полагаю, что тем, кто попал в план проверок на 2018 год и до кого представители ФСТЭК ещё не доехали, да и вообще - всем лицензиатам, стоит внимательнее отнестись к указанным нововведениям и типичным выявляемым ФСТЭК проблемам, среди которых, согласно отчёту:

  1. Отсутствие в штате у лицензиата на основной работе согласно штатному расписанию руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица и не менее двух инженерно-технических работников, осуществляющих лицензируемый вид деятельности, прошедших, при необходимости, переподготовку или повышение квалификации по вопросам технической защиты информации;
    Рекомендация: нанять недостающий персонал и (или) направить имеющихся сотрудников на курсы повышения квалификации: Перечень учебных центров и их программ.
  2. Отсутствие помещений, принадлежащих лицензиату на праве собственности или ином законном основании, в которых созданы необходимые условия для размещения работников, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, и размещено (установлено) производственное и испытательное оборудование, необходимое для осуществления лицензируемого вида деятельности;
    Рекомендация: Лучше отказаться от практики выделения помещения "для галочки", не стоит также пытаться размещать испытательное оборудование в случайно выбранных помещениях (например, в переговорных) или переориентировать их для обсуждения информации ограниченного доступа специально на время проведения проверки - проверяющие такой креатив вряд ли оценят.
  3. Истечение сроков действия поверки контрольно-измерительного оборудования, используемого для осуществления лицензируемого вида деятельности, отсутствие документов, подтверждающих право на использование указанного оборудования, сертификатов соответствия и лицензий на право использования средств контроля защищенности информации от несанкционированного доступа;
    Рекомендация: простая ревизия и инвентаризация быстро выявят подобные проблемы, стоит ли дожидаться выданного предписания об устранении нарушений?
  4. Несоответствие сведений в документах, разработанных на автоматизированные системы, реальным условиям их эксплуатации;
    Рекомендация: в отчёте ФСТЭК нет деталей о том, в чём именно тут бывают нарушения, поэтому лучше ещё раз перепроверить документы по эксплуатации и сверить их с действительными процессами, зонами ответственности и проч.
  5. Фактическое отсутствие системы производственного контроля;
    Рекомендация: как хорошо известно лицензиатам СЗКИ, система производственного контроля должна включать:
    - правила и процедуры проверки и оценки системы разработки СЗКИ, учета изменений, вносимых в проектную и конструкторскую документацию на разрабатываемую продукцию (для работ из подпункта «а» пункта 3 Положения о лицензировании деятельности по разработке и производству СЗКИ);
    - а также правила и процедуры проверки и оценки качества выпускаемой продукции и неизменности установленных параметров , учета готовой продукции (дополнительно для работ из подпункта «б» пункта 3 Положения о лицензировании деятельности по разработке и производству СЗКИ).
    Нужно проверить наличие этих правил и процедур и "на бумаге" и "в жизни".
  6. Неполный комплект технической и (или) технологической документации, национальных стандартов и методических документов, необходимых для осуществления лицензируемых видов деятельности.
    Рекомендация: проверить наличие всего необходимого, согласно Перечню. Важно учесть, что вся документация (а среди неё много документов ДСП) должна принадлежать лицензиату на праве собственности или ином законном основании.

В завершение стоит обратить внимание на то, что ФСТЭК при организации и проведении проверок руководствуется принципом «комплексности» - т.е. одновременное проведение "в подконтрольных субъектах уполномоченными должностными лицами ФСТЭК России всех спланированных видов контроля". Например, к проверкам соблюдения лицензионных требований могут быть присоединены проверки по вопросам экспортного контроля (План этих проверок).