четверг, 4 июля 2019 г.

Ситуация с лицензиатами ФСТЭК на ТЗКИ


   ФСТЭК опубликовала отчет по надзору за своими лицензиатами в 2018 году. Аналогичный отчет за 2017 год показал катастрофический результат.


     По итогам 2018 года количество подконтрольных субъектов – лицензиатов ФСТЭК России, осуществляющих деятельность по технической защите конфиденциальной информации (далее – ТЗКИ), составило 2295, по разработке и производству средств защиты конфиденциальной информации (далее – разработка и производство СЗКИ) – 1082. ( в 2017 году было ТЗКИ – 2185, по разработке и производству СЗКИ – 1036). По ТЗКИ количество лицензиатов увеличилось, по производству СЗИ сократилось.
    Количество лицензиатов по ТЗКИ, по результатам проверки которых выявлены нарушения обязательных требований – 11, что составило 44 % от общего числа проверенных лицензиатов (в 2017 году – 50 %)
   Административных правонарушений в ходе лицензионного контроля, влекущих за собой необходимость привлечения к административной ответственности юридических лиц, их должностных лиц, индивидуальных предпринимателей, за отчетный период не выявлено.
    Оценка тяжести нарушений обязательных требований и выбора ответственности, к которой возможно привлечение виновного лица, затруднений не вызывает.
    В качестве основных нарушений обязательных лицензионных требований по результатам проведенных проверок отмечены:

   отсутствие в штате у лицензиата на основной работе согласно штатному расписанию руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица и не менее двух инженерно-технических работников, осуществляющих лицензируемый вид деятельности, прошедших, при необходимости, переподготовку и (или) повышение квалификации по технической защите конфиденциальной информации по согласованным ФСТЭК России образовательным программам (примерно 20 % всех отмеченных нарушений);

   неполный комплект технической и (или) технологической документации, национальных стандартов и методических документов, необходимых для осуществления лицензируемых видов деятельности (15 %);

    истечение сроков действия поверки контрольно-измерительного оборудования, используемого для осуществления лицензируемого вида деятельности, отсутствие документов, подтверждающих право на использование указанного оборудования, сертификатов соответствия и лицензий на право использования средств контроля защищенности информации от несанкционированного доступа (15 %);

   несоответствие сведений в документах, разработанных на автоматизированные системы, реальным условиям их эксплуатации (15 %);

    отсутствие помещений, принадлежащих лицензиату на праве собственности или ином законном основании, в которых созданы необходимые условия для размещения работников, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, и размещено (установлено) производственное и испытательное оборудование, необходимое для осуществления лицензируемого вида деятельности (10 %);

   фактическое отсутствие системы производственного контроля, необходимой при осуществлении деятельности по разработке и производству СЗКИ (5 %);

   прочие нарушения (около 20%).

Выявленные нарушения лицензиатами устранены в установленные ФСТЭК России сроки.

Сравним с былым

   "Количество лицензиатов, по результатам проверки которых выявлены нарушения обязательных требований, – 12, что составляет 50 % от общего числа проверенных организаций (в 2016 году – 9 %).
  Значительный рост числа выявленных за отчетный период нарушений обусловлен вступлением в силу в 2017 году новых лицензионных требований при осуществлении деятельности по ТЗКИ и по разработке и производству СЗКИ, введенных в действие постановлением Правительства Российской Федерации от 15 июня 2016 г. N 541 «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности», а также актуализацией перечней необходимого для осуществления лицензируемых видов деятельности оборудования."

   С одной стороны, сравнивать статистику по 17 и 18 году некорректно. Основное количество нарушителей было выявлено во втором полугодии 17 года, а не за весь год. А с другой стороны, даже через год после изменения требований к лицензиатам, огромное количество их нарушений.

   И остается три очень насущных вопроса:

1.       Какая судьба у аттестатов, выданных нарушителями? Они аннулированы или действительны? Ведь измерения проводились неквалифицированными кадрами, не в соответствии с методиками, да и несоответствующими средствами измерений? Приводит к таким вот последствиям.

2.       Лицензиат ТЗКИ выполняет работы по договору. Выявление при проверке существенных нарушений, говорит о ненадлежащем исполнении условий договора по ТЗКИ. ФСТЭК не волнует, что у заказчика услуг лицензиатов-нарушителей защита конфиденциальной информации не обеспечивается? Необходимо обязывать лицензиатов-нарушителей не только приводить себя в соответствие с требованиями законодательства, но и обязывать их переделать работы по уже выполненным договорам у заказчиков.

3.       Какой смысл в лицензировании работ, если уже два года при ПЛАНОВЫХ проверках выявляется нарушения в половине случаев? И никаких корректирующих действий от лицензирующего органа, который считает достаточным проведение исключительно разъяснительной работы. А ведь лицензиатам ТЗКИ отведена существенная роль для обеспечения безопасности значимых объектов КИИ.

   И подобные вопросы со стороны заказчиков услуг по ТЗКИ в сторону ФСТЭК будут возникать все чаще. Вот пример публичной дискуссии с представителями Управления ФСТЭК по ДФО:
    "При обсуждении темы «Аттестация объектов информатизации» завязалась дискуссия на тему некачественных услуг, оказываемых лицензиатами ФСТЭК России. Один из посетителей форума рассказал свою историю. Их тендер на оказание услуг по проектированию системы защиты информации выиграл один из лицензиатов, который даже не хотел приезжать на объект для проведения работ. После того как этого лицензиата все-таки заставили провести работы непосредственно на объекте, полученный результат оставлял желать лучшего.
   Уникальность этой ситуации в том, что в данном случае заказчик услуг выявил их плохое качество до подписания акта выполненных работ. К сожалению, гораздо чаще проблемы выявляются уже после закрытия контракта. Здесь не могу не сказать еще раз о важности повышения осведомления сотрудников в сфере информационной безопасности. Даже если предполагается делать всю информационную безопасность руками сторонних организаций, должен быть кто-то, кто сможет оценить качество выполненных работ.
   Представитель ФСТЭК России тоже присутствовал в зале и ответил на вопрос о мерах воздействия регулятора на таких недобросовестных лицензиатов. Алексей Баранов сказал, что такие нарушения должны пресекаться в рамках проведения ФСТЭК России контроля лицензионной деятельности. В случае выявления нарушений регулятором или при поступлении жалоб на лицензиата будет выдано предписание об устранении нарушений. В случае многократных нарушений или жалоб, лицензиату могут аннулировать лицензию."

   А пока видим только увеличение количество лицензиатов по ТЗКИ.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

15 комментариев:

  1. Лицензия на ТЗКИ не выдается просто так, в связи с этим с момента ее получения и до момента ее отзыва вполне законно считается, что в момент ее (лицензии) наличия организация полностью удовлетворяет требованиям для выполнения лицензируемого вида деятельность. Поэтому при решении вопроса об отзыве выданных аттестатов соответствия или возложения обязанности по переделке работ необходимо, как мне кажется, как минимум иметь доказательства, что в момент осуществления лицензиатом лицензируемого вида деятельности, он уже не соответствовал требованиям.

    ОтветитьУдалить
  2. То есть, сравнить дату последней поверки КИО и даты протоколов измерений у ФСТЭК нет возможности? Или дату увольнения сотрудника с требуемой квалификацией? У ФСТЭК есть вмя необходимая информация, видимо желания нет.

    ОтветитьУдалить
  3. А как максимум должны быть такие полномочия. Есть ли у ФСТЭК полномочия по аннулированию аттестатов выданных до момента отзыва лицензии? В Положении о ФСТЭК и Положении по аттестации такого нет. Есть ли у ФСТЭК полномочия принудить провести повторную аттестацию (переделка раьот)? Такого тоже, вроде, нет.
    Как определить заявителю, что работы по аттестации были проверены некачественно, если в момент их проведения имелось документальное подтверждение соответствия лицензиата о возможности осуществления лицензируемого вида деятельности? Нанимать за отдельные деньги другой аттестационный орган?
    Ну и как организация-лицензиат будет переделывать лицензируемые работы, если лицензию отозвали?

    ОтветитьУдалить
  4. Вообще то, такуб ситуацию разруливает п.3.10.6.положения об аттестации. Выполняет другой аттестационный орган, а работы оплачивает провинившийся орган по аттестации. И без всякого отзыва лицензий для этого

    ОтветитьУдалить
  5. В том же положении предусмотрена аккредитация органов по аттестации. Процедура аннулирования аккредитации так же предусмотрена за несоответствие требованиям.

    ОтветитьУдалить
  6. Да и сама постановка вопроса о том, что ФСТЭК не озаботился за 25 лет надзорной деятельности о необходимых полномочий звучит несколько оскорбительно для этой службы, особенно на фоне таких показателей с нарушителями.

    ОтветитьУдалить
  7. Данный пункт вступает в действие тоько тогда, когда принято решение о проведении повторной аттестации. И, повторюсь, необходимо доказать, что таковая необходима.
    Опять возвращаемся к тому, что необходимо доказать, что именно в момент проведения лицензируемого вида деятельности, лицензиат не соответствовал требованиям лицензии (А не факт, что именно так и будет и не факт, что это требует проведение повторной аттестации).

    ОтветитьУдалить
  8. Правильно. И такое решение может принять ФСТЭК при проверке, выявив нарушение.Это делается?Основания то точно есть, в отчёте описаны существенные нарушения требований у половины лицензиатов два года в подряд.

    ОтветитьУдалить
  9. Этот комментарий был удален автором.

    ОтветитьУдалить
  10. Ну и нужно привлечение арбитражных судов.

    ОтветитьУдалить
  11. В арбитраж и заказчик может обратится, только ему основания нужны.

    ОтветитьУдалить
  12. Заказчик это может сделать и без ФСТЭК. Допустим у него появились подозрения, что работы по аттестации были проведены с нарушением. Они для контроля приглашают другой аттестационный орган, который может это подтвердить.

    Но в любом случае, все эти мысли из разряда, что было бы, если бы. А фактически происходит так, как написано в заметке.

    ОтветитьУдалить
  13. Вы серьезно? Вот пришел я к директору и говорю "чую, что то не так нам сделали. Дайте мне денег на проведение еще одной аттестации другим исполнителем. Если мои подозрения подтвердятся, то мы заплатим юристам и они в суде взыщут стоимость повторной аттестации. возможно"

    ОтветитьУдалить
  14. Да сама постановка вопроса о некачественности работы изнутри заказчика приведет к его увольнению. Он же работы принимал по договору.

    ОтветитьУдалить
  15. В реальной жизни, единственная заинтересованная сторона в нормальном исполнении лицензиатом требований законодательства - это ФСТЭК. Заказчику главное наличие бумажки, исполнителю получить деньги. И только ФСТЭК рискует своей репутацией, потому как выдала аккредитацию аттестационному органу. Ведь по факту, нарушитель действовал от лица ФСТЭК.

    ОтветитьУдалить