Судя по отчетам ФСТЭК, ситуация с лицензиатами ТЗКИ находится с 2017 года на очень печальном уровне. Почти у половины проверенных в плановом режиме (то есть - лицензиат заранее знает что к нему придут) выявляют существенные нарушения установленных требований! Как результат видим усиление бюрократизма при аттестации, когда вводят требования к дополнительной отчетности и все. Вопросов с целью и эффективностью лицензирования деятельности по ТЗКИ возникает все больше, но за 4 отчетных года не видно никаких попыток регулятора изменить подход и системно подойти к решению проблемы. Видимо всех все устраивает. Ждем отчет за 2021 год, ФСТЭК за первое полугодие уже проверило в два раза больше лицензиатов, чем в прошлом году.
Ранее - https://valerykomarov.blogspot.com/2019/07/blog-post_4.html
Отчет за 2019 год - "Количество лицензиатов по ТЗКИ, по результатам проверки которых выявлены нарушения обязательных требований – 13, что составило 46 % от общего числа проверенных лицензиатов (в 2018 году – 44 %), по разработке и производству СЗКИ – 4, что составило 40 % (в 2018 году –38 %)."
Оказывается ФСТЭК борется не за понижение показателя - выявленные нарушители, а за отсутствие роста этого показателя: "Отсутствие повышения количества лицензиатов, допустивших нарушения, достигнуто проведением плановой профилактической работы, в том числе консультирования (информирования) по вопросам выполнения (соблюдения) лицензионных требований по ТЗКИ и по разработке и производству СЗКИ, особенностей применения оборудования, необходимого при выполнении конкретных видов работ и оказании услуг, составляющих лицензируемые виды деятельности."
- отсутствие в штате у лицензиата на основной работе согласно штатному расписанию руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица и не менее двух инженерно-технических работников, осуществляющих лицензируемый вид деятельности, прошедших, при необходимости, переподготовку и (или) повышение квалификации по технической защите конфиденциальной информации по согласованным ФСТЭК России образовательным программам (примерно 30 % всех отмеченных нарушений); - а в 2018 году было 20%. Существенный рост.
- неполный комплект технической и (или) технологической документации, национальных стандартов и методических документов, необходимых для осуществления лицензируемых видов деятельности (20 %);
- истечение сроков действия поверки контрольно-измерительного оборудования, используемого для осуществления лицензируемого вида деятельности, отсутствие документов, подтверждающих право на использование указанного оборудования, сертификатов соответствия и лицензий на право использования средств контроля защищенности информации от несанкционированного доступа (15 %); - Показатель не изменился с 2018 года
- несоответствие сведений в документах, разработанных на автоматизированные системы, реальным условиям их эксплуатации (20 %);
- отсутствие помещений, принадлежащих лицензиату на праве собственности или ином законном основании, в которых созданы необходимые условия для размещения работников, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, и размещено (установлено) производственное и испытательное оборудование, необходимое для осуществления лицензируемого вида деятельности (7 %);
- фактическое отсутствие системы производственного контроля, необходимой при осуществлении деятельности по разработке и производству СЗКИ (4 %);
- прочие нарушения (около 9%).
Отчет за 2020 год - "Всего в 2020 году проведены выездные проверки 5 организаций-лицензиатов из 32 запланированных. Остальные проверки перенесены на 2021 год". Здесь все понятно - пандемия ковида и мораторий на проведение проверок.
Вопрос в другом, а почему в отчете о результатах проверок только 4 организации? Возможно что это последствия исключения из плановой проверки одной из организаций? Но тогда показатель выявленных нарушителей - от 50% и выше. Не многовато для плановых проверок?
"В ходе проведенных проверок в деятельности 2 организаций выявлены нарушения лицензионных требований и условий, которым были выданы предписания об устранении выявленных нарушений, основными из которых были низкая квалификация специалистов, а также отсутствие отдельных образцов оборудования и методических документов, необходимых для осуществления лицензируемых видов деятельности. Все нарушения устранены в установленные ФСТЭК России сроки."
В качестве основных нарушений обязательных лицензионных требований по результатам проведенных проверок отмечены:
- отсутствие в штате у лицензиата на основной работе согласно штатному расписанию руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица и не менее двух инженерно-технических работников, осуществляющих лицензируемый вид деятельности, прошедших, при необходимости, переподготовку и (или) повышение квалификации по технической защите конфиденциальной информации по согласованным ФСТЭК России образовательным программам (примерно 15 % всех отмеченных нарушений);
- неполный комплект технической и (или) технологической документации, национальных стандартов и методических документов, необходимых для осуществления лицензируемых видов деятельности (20 %);
- истечение сроков действия поверки контрольно-измерительного оборудования, используемого для осуществления лицензируемого вида деятельности, отсутствие документов, подтверждающих право на использование указанного оборудования, сертификатов соответствия и лицензий на право использования средств контроля защищенности информации от несанкционированного доступа (10 %);
- несоответствие сведений в документах, разработанных на автоматизированные системы, реальным условиям их эксплуатации (15 %);
- отсутствие помещений, принадлежащих лицензиату на праве собственности или ином законном основании, в которых созданы необходимые условия для размещения работников, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, и размещено (установлено) производственное и испытательное оборудование, необходимое для осуществления лицензируемого вида деятельности (10 %);
- фактическое отсутствие системы производственного контроля, необходимой при осуществлении деятельности по разработке и производству СЗКИ (5 %);
- прочие нарушения (около 15%).
* Раздел блога "Административная ответственность субъекта КИИ" на главной странице блога.
** Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
*** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
***** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
****** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
Комментариев нет:
Отправить комментарий