×
Мы перезвоним Вам
×
Напишите нам
Популярные услуги
×

Лицензия ФСТЭК. Получили – отлично. Осталось не потерять!

Лицензия ФСТЭК получена – «что делать дальше?». Лицензиаты часто не задаются вопросом – это большая ошибка, которая впоследствии может привести к самым серьезным последствиям для бизнеса лицензиата.

Лицензия ФСТЭК. Сложившаяся практика.

90% контрагентов нашей компании либо лицензиаты ФСТЭК, либо с организации-соискатели лицензий данного регулятора. И если с соискателями все понятно – подготовились к получению, получили и начали работать. То с лицензиатами все «интереснее».

Как правило, лицензиаты к нам обращаются либо за переаттестацией или периодическим контролем (ПК) своих аттестованных объектов (АС и ЗП), либо с вопросом переоформления действующей лицензии.

Вопрос переаттестации и ПК довольно узконаправленный, его в этой статье рассматривать не будем. А вот переоформление лицензий дает понимание общего состояния рынка лицензиатов. И состояние это довольно удручающее! В 95% случаев лицензиаты не соответствуют лицензионным требованиям в полной мере. В особо запущенных случаях лицензиаты не соответствуют лицензионным требованиям ни по одному пункту!

Типовые ошибки лицензиатов ФСТЭК.

Главная ошибка львиной доли лицензиатов – получили лицензию ФСТЭК и забыли про нее. С течением определенного промежутка времени, лицензиат начинает не соответствовать лицензионным требованиям. Из самого распространенного:

  • Заканчиваются лицензии на средства защиты информации (СЗИ) и прикладное программное обеспечение. Лицензии на ПО, как правило, действуют 1 год. Просроченные лицензии на ПО, в свою очередь, влияют на актуальность Аттестатов соответствия объектов заказчика.
  • Заканчиваются сроки действия самих Аттестатов соответствия. Если на защищаемые помещения аттестаты теперь бессрочные (на весь срок эксплуатации объекта), то на автоматизированные системы все так же могут выдаваться срочные (3 года) аттестаты. Иногда вносятся изменения в аттестованные объекты без уведомления аттестующей организации. У нас были случаи, когда в аттестованное ранее помещение вносились конструктивные изменения в виде новых дверей и окон. В таких случаях аттестат соответствия перестает действовать, так как в конструкцию объекта вносятся серьезные изменения.
  • Не обновляется организационно-распорядительная документация (ОРД). Причин для обновлений может быть множество, самой распространенной является кадровая «текучка». Если у лицензиата уволился сотрудник, который был ответственен за безопасность обработки конфиденциальной информации, то нужно назначить другого сотрудника. Все изменения, соответственно, требуют отображения в ОРД.
  • Не поддерживается актуальность перечня нормативной документации и национальных стандартов, которые должны быть у лицензиата в наличии. Данные перечни регулярно обновляются, появляются новые документы. Обязанность лицензиата следить за обновлениями и дозаказывать новые документы.
  • Уволились сотрудники (один или несколько), которые должны быть в штате лицензиата для ведения лицензируемой деятельности. Для лицензий ФСТЭК на ТЗКИ и СЗКИ, требуется минимум 3 сотрудника (Руководитель и два ИТР). Если хотя бы один увольняется, лицензиат должен найти ему замену. На практике про это просто забывают. В особо запущенных случаях (особенно когда такие сотрудники устраиваются под получение лицензии), лицензиат сам инициирует увольнение специалистов, чтобы сэкономить на окладах.
  • Переносят фактическое место осуществление лицензируемых видов деятельности в другое место, не уведомляя регулятора.
  • Не проводится поверка контрольно-измерительного оборудования (КИО). Без поверки такое оборудование превращается в «дрова», с помощью которых нельзя оказывать лицензируемые виды работ и услуг.

Чем это грозит лицензиату ФСТЭК?

Самое безобидное – приостановка действия лицензии ФСТЭК. С приостановкой выдаётся предписание на устранение выявленных несоответствий. Если несоответствия не устраняются в обозначенный в предписании срок – лицензия отзывается (аннулируется).

Самое главное, чтобы в период несоответствия лицензиата, он не оказывал какие-либо лицензируемые услуги. Тут уже могут «наказать рублем», в особо запущенных случаях вплоть до приостановки деятельности организации с блокировкой счетов.

Если оказываете лицензируемые услуги/работы на постоянной основе – следите за соответствием требованиям.

Как ФСТЭК узнает, что наша организация не соответствует лицензионным требованиям?

Форма проверок регулятора имеет всего два вида – плановая проверка и внеплановая проверка.

Плановая проверка, это когда организация лицензиат попадает в план проверок ФСТЭК на календарный год. План проверок на будущий год регулятор публикует на своем сайте в конце года (ноябрь-декабрь). Планы проверок ФСТЭК можно посмотреть Здесь

Если вы своевременно обнаружили свою организацию в этом документе, то у вас есть время подготовится к проверке.

Внеплановая проверка проводится в случае наличия у регулятора сведений о злостных нарушениях лицензиатом. Сведения о нарушениях могут прийти от другого государственного ведомства, от контрагентов самого лицензиата, которым оказали некачественную услугу, не исключено что это могут быть и происки конкурентов.

О внеплановой проверке тоже обычно предупреждают заранее, по крайней мере это предусмотрено административным регламентом. К сожалению, сроки подготовки к таким проверкам значительно меньше (хорошо если у лицензиата будет 2-3 недели). Если соответствие лицензионным требованиям не обеспечить, то готовьтесь к приостановке действия лицензии и заморозке проектов.

Что делать, чтобы избежать негативных последствий проверок?

Ответ прост – всегда следите за соответствием своей организации всем лицензионным требованиям. Получить лицензию намного сложении, чем потом соблюдать лицензионные требования.

Назначьте ответственного сотрудника, который будет отвечать за соблюдение лицензионных требований организацией. Затраты на поддержание соответствия лицензионным требованиям в десятки раз ниже, чем подготовка к получению лицензии «с нуля».

При должном подходе, любая проверка для вашей организации будет лишь мелкой бюрократической неприятностью, а не непреодолимым препадствием.

«Шеф всё пропало!» К нам идёт проверка, а мы совсем не готовы!

Довольно распространенная ситуация. Вариантов в таком случае не много, если быть точнее только один – готовиться, а значит приводить организацию в соответствие.

В случае плановой проверки, запас времени позволит осуществить полноценную подготовку «с чувством, с толком и расстановкой». В случае внеплановой проверки, подготовка превращается в авральную работу. К примеру, поставка СЗИ в среднем занимает 2-3 недели, т.е. затягивать тут совсем не стоит.

К любой проверке при должном подходе можно и нужно готовиться, не надейтесь на авось. Если назначена проверка, то придут и проверят все, что прописано в лицензионных требованиях – не сомневайтесь.

Как избежать проверок ФСТЭК?

Ни как. Попасть в перечень плановых проверок может любой лицензиат. Можно конечно надеяться на удачу, но лучше быть готовыми к любым поворотам судьбы.

У нашей организации есть лицензия ФСТЭК, но не знаю соответствием мы требованиям или нет. Что делать?

Ситуация конечно довольно странная. Кому как не лицензиату знать о всех лицензионных требованиях?

Но бывают разные случаи, например, сотрудник, который отвечал за соблюдение лицензионных требований скоропостижно уволился. Дела переданы не были. При словосочетании «лицензия ФСТЭК» у оставшихся сотрудников пробегают мурашки по коже. Тут вариантов несколько:

  • Найти сотрудника, который возложит на свои плечи данный груз ответственности. Это может быть либо новый сотрудник, либо кото-то из уже существующего штата.
  • Найти организацию, которая поможет разобраться с действующими требованиями в части лицензий ФСТЭК.

Первым вариантом обычно занимается кадровый отдел лицензиата.

Что касается второго варианта, то вы его уже выполнили, если читаете данную статью. Обращайтесь, ООО ЕЦАС поможет разобраться в хитросплетении требований ФСТЭК и привести организацию к полному соответствию!

  02.10.2023   |     ФСТЭК