Абсолютно каждая организация, которая сталкивалась с получением лицензии ФСБ на работу с шифровальными (криптографическими) средствами, знает, что такое «выездная оценка» в рамках получения лицензии на криптографию. Проведение «выездной оценки» (в обиходе «выездная проверка ФСБ» или “Проверка ФСБ”) регламентировано 313 ПП, в этом документе о ней написано лишь одна фраза в п.8.
Так же о данном мероприятии имеется информация в административном регламенте утвержденном Приказом ФСБ России № 641 от 29.12.2020. п.77-89.
Но увы, никакой конкретики о самой проверке в этих документах нет.
Но как же она выглядит на самом деле? Давайте разбираться, что же это за мероприятие и как к нему подготовиться.
Начнем с процесса получения лицензии ФСБ на криптографию.
Для того что бы инициировать процедуру получения лицензии, нужно должным образом подготовить Заявление на получение лицензии и приложить к нему «лицензионное дело». Перечень того, что нужно приложить в заявочный пакет приведен в ПП 313 п. 7. Более подробная информация по самому процессу получения лицензии описана ЗДЕСЬ.
Будем считать, что Заявочный пакет был собран корректно, у Исполнителя на стороне лицензирующего органа к нему вопросов не возникло и соискатель получил уведомление о начале процесса лицензирования в рамках поданного заявления. Следующим шагом будет как раз выездная проверка.
Как только Исполнитель на стороне лицензирующего органа будет готов выехать к соискателю, он заблаговременно предупреждает представителя соискателя о своем визите. Обычно это происходит по контактному номеру телефона, указанному в Заявлении.
Начинается томительное ожидание. К проверке соискатель должен подойти в 100% готовности, а именно:
– должны быть «под рукой» оригиналы всех документов, которые прикладывались к лицензионному делу;
– соискатель должен чётко понимать и объяснить проверяющему для чего получается лицензия. Какие работы с криптографическими средствами планируется выполнять. С какими производителями криптографических средств планируется сотрудничать и т.д.;
– в 100% готовности должно быть помещение которое заявлялось как место осуществления лицензируемых видов деятельности;
– в указанном ранее помещении должно располагаться аттестованное по требованиям ФСТЭК рабочее место. На данном рабочем месте должна осуществляться обработка конфиденциальной информации;
– что бы не возникало лишних вопросов, сотрудники, заявленные как специалисты с опытом работ по лицензируемым видам деятельности, должны тоже присутствовать на данном мероприятии. Очень рекомендуем что бы у данных сотрудников на руках были оригиналы документов об образовании.
Предположим, предварительная подготовка была выполнена должным образом, то в этом случае особо переживать не стоит – проверка должна пройти в рабочем порядке. Если же в подготовке были пробелы, то будьте готовы их оперативно устранить (в принципе, такой сценарий часто бывает). В противном случае уже возможны разные варианты.
Если проверяющий проявит лояльность, то может дать вам 1-2 дня на устранение выявленных несоответствий. В рамках оговоренного срока вас могут попросить подвести недостающую информацию “на руки” Исполнителю.
Если же общий язык с проверяющим найти не получится, то будьте готовы получить акт с отрицательным результатом проверки. По уже нынешнему заявлению будут оформлен отказ в связи с несоответствием лицензионным требованиям. В случае отказа процедуру лцензирования придется начинать сначала.
Бывают случаи, когда на проверке выясняется несоответствие соискателя каким-то отдельным заявленным пунктам лицензии. В этом случае соискателю могут предложить отказаться от ряда заявленных пунктов в соответствии с Приложением 1 к ПП 313. Если соискатель согласен, то лицензия будет выдана с урезанным набором пунктов.
Далее рассмотрим как проходят проверки действующих Лицензиатов.
Есть еще два типа проверок, которым может подвергнутся уже Лицензиат (ЮЛ умеющее лицензию и оказывающее услуги в рамках этой лицензии).
Тут возможны два варианта:
– Плановая проверка Лицензиата регулятором;
– Внеплановая проверка Лицензиата регулятором.
Более подробно по условиям проведения таких проверок можно почитать в Федеральном законе № 294-ФЗ, Глава 2 ст. 9 и 10.
Ниже рассмотрим принципиальные отличия данных проверок.
Согласно указанному выше ФЗ № 294-ФЗ, включать лицензиата в график плановых проверок могут не чаще одного раза в 3 года.
Лицензиату необходимо в конце календарного года проверять опубликованный план проверок по интересующей его лицензии. Обычно планы проверок публикуются на сайте самого регулятора, а также на сайте Генеральной прокуратуры.
В зависимости от того в какой месяц следующего года к Лицензиату придет проверка, он должен спланировать подготовку к ней. Например, если проверка на январь следующего года – то необходимо незамедлительно предпринимать действия по подготовке к проверке. Если же проверка назначена на конец года, то и подготовку можно сместить ближе к дате проверки.
Допустим, вы обнаружили себя в плане проверок на следующий год. Рекомендуем предпринять следующие действия:
1) Зафиксировать дату проверки и оповестить ответственных лиц в организации;
2) Руководителю собрать комиссию из ответственных лиц, определить план мероприятий по подготовке к проведению плановой проверки в организации.
3) Отслеживать ход проведения подготовки к проведению проверки.
4) В случае обнаружения несоответствий Лицензиата лицензионным требованиям, обеспечить оперативное устранение несоответствий.
При своевременной подготовке к плановой проверке, шанс получить негативный результат по факту её завершения будет минимален.
Порядок инициирования внеплановой проверки описан в ст.10 Главы 2 Федерального закона № 294-ФЗ. В этом документе вы можете ознакомиться с причинами инициирования такой проверки и порядке её проведения.
Для Лицензиата главное отличие внеплановой проверки от плановой – срок который будет доступен до прихода проверки. При плановой проверке у Лицензиата будет на подготовку от месяца до почти года, то при внеплановой проверке срок подготовки сильно меньше. Хорошо если Лицензиат получает уведомление о проведении внеплановой проверки заблаговременно. Зачастую проверка предупреждает о своем приходе за 1-2 дня, иногда и вовсе является без предварительных уведомлений. В итоге, если в работе Лицензиата есть изъяны, устранить их к приходу проверяющих не предоставляется возможным.
Так же, важным фактором является то, что проводить внеплановые проверки могут чаще чем плановые. Но и причин для инициирования внеплановой проверки значительно меньше.
Самое важное – что же будут требовать от Лицензиата на проверке? Тут все просто, проверять будут ровно то, что прописано в требованиях регулятора. Открываем ПП 313 и смотрим пункт 6.
Другими словами, попросят показать действующий договор аренды на офис и закупочные документы на оборудование.
Это значит, что на этапе оказания услуг лицензиат, должен был учитывать и предпринимать все необходимые (в соответствии с законодательством) меры обеспечения безопасности обрабатываемой информации. Это довольно обширная тема, меры могут сильно отличаться в зависимости от массива входных данных: тип объекта защиты, тип обрабатываемых данных, расположение объекта, используемые методы обработки информации и т.д. Основное что должен понимать лицензиат – в случае проведения проверки, могут инициировать проверку по любому проекту, который подразумевал оказание лицензируемых видов деятельности. Особо актуален данный пункт для работ с государственными заказчиками. Отдельного внимания заслуживают работы связанные с государственной тайной (в этой статье мы их не рассматриваем).
Если вкратце, то компьютер, на котором осуществляется обработка информации, связанной с криптографией, должен быть аттестован по требованиям ФСТЭК. Аттестат должен быть действующим на всём сроке оказания лицензируемых услуг Лицензиатом.
Актуально только для Лицензиатов, у которых в лицензии открыт пункты 1, 4-6, 16, 19. Данные пункты открываются довольно редко, обычно они открыты у тех компаний, которые осуществляют разработку и реализацию собственных криптоалгоритмов. Таких компаний на нашем рынке не много, а потому специфика довольно узкая и заострять внимание на этом моменте не будем.
Опять же, на всем сроке действия лицензии у Лицензиата в штате должен присутствовать персонал, соответствующий лицензионным требованиям. В зависимости от открытых в лицензии пунктов, требования к персоналу могут значительно отличаться, обращайте на это внимание! На проверке могут потребовать, как минимум, документы по трудоустройству и подтверждение стажа/образования сотрудников. Как максимум – физическое присутствие на проверке, самих сотрудников.
Актуально только для пунктов 1-11, 16-19. Соответственно, любое оборудования закупленное для осуществления лицензируемых видов деятельности, при необходимости должно регулярно проходить процедуру поверки и/или калибровки. Могут запросить подтверждающие документы о проведении данных мероприятий, на всем сроке лицензии. Так же могут проверить наличие сведений о поверках и калибровках в общедоступных метрологических реестрах.
Будут проверять, использовались ли такие средства при оказании услуг, если использовались, будут проверять предоставлялась ли по ним отчетность.
На проверке попросят показать подтверждающие закупку документы и действующие лицензии (если они предусмотрены производителем/дистрибьютером).
При должной подготовке, бояться проверки не стоит. В идеале, что бы вопросом получения лицензии у соискателя занимался уже опытный человек. Если опытного специалиста у вас нет, то нужно собирать команду из коммуникабельных, технически и юридически подкованных людей.
Что касается проверок Лицензиатов, то не стоит забывать о соблюдении лицензионных требований на всем сроке действия лицензии. Такой подход убережет Лицензиата от возможных проблем в будущем. Намного проще поддерживать заданный уровень подготовки, чем потом в авральном режиме пытаться устранить несоответствия. В дополнении Лицензиат не должен забывать следить за законодательством в вопросе Лицензирования. Требования к Лицензиатам, хоть и не часто, но меняются и, как правило, ужесточаются. Такие изменения нужно оперативно отслеживать и проводить мероприятия по приведению своей организации к соответствию новым требованиям.
Учитывая, что формат проверок ФСБ всегда очный, то многое решают обычные человеческие взаимоотношения. Представителям Соискателя/Лицензиата не стоит проявлять излишнюю агрессию или назойливо демонстрировать знание каких-то законов или НПА. Четко отвечайте на поставленные вопросы и оперативно отрабатывайте выявленные нестыковки и замечания.
Остались вопросы? Обращайтесь к нам по контактным данным в верхнем правом углу сайта. Либо оставляйте заявку в форме ниже.