×
Мы перезвоним Вам
×
Напишите нам
Популярные услуги
×

Выездная проверка ФСБ. Криптография. Подготовка.

Абсолютно каждая организация, которая сталкивалась с получением лицензии ФСБ на работу с шифровальными (криптографическими) средствами, знает, что такое «выездная оценка» в рамках получения лицензии на криптографию. Проведение «выездной оценки» (в обиходе «выездная проверка ФСБ» или “Проверка ФСБ”) регламентировано 313 ПП, в этом документе о ней написано лишь одна фраза в п.8.

Так же о данном мероприятии имеется информация в административном регламенте утвержденном Приказом ФСБ России № 641 от 29.12.2020. п.77-89.

Но увы, никакой конкретики о самой проверке в этих документах нет.

Но как же она выглядит на самом деле? Давайте разбираться, что же это за мероприятие и как к нему подготовиться.

Начнем с процесса получения лицензии ФСБ на криптографию.

Подаем заявление и ждем проверку ФСБ.

Для того что бы инициировать процедуру получения лицензии, нужно должным образом подготовить Заявление на получение лицензии и приложить к нему «лицензионное дело». Перечень того, что нужно приложить в заявочный пакет приведен в ПП 313 п. 7. Более подробная информация по самому процессу получения лицензии описана ЗДЕСЬ.

Будем считать, что Заявочный пакет был собран корректно, у Исполнителя на стороне лицензирующего органа к нему вопросов не возникло и соискатель получил уведомление о начале процесса лицензирования в рамках поданного заявления. Следующим шагом будет как раз выездная проверка.

Как только Исполнитель на стороне лицензирующего органа будет готов выехать к соискателю, он заблаговременно предупреждает представителя соискателя о своем визите. Обычно это происходит по контактному номеру телефона, указанному в Заявлении.

Начинается томительное ожидание. К проверке соискатель должен подойти в 100% готовности, а именно:

– должны быть «под рукой» оригиналы всех документов, которые прикладывались к лицензионному делу;

– соискатель должен чётко понимать и объяснить проверяющему для чего получается лицензия. Какие работы с криптографическими средствами планируется выполнять. С какими производителями криптографических средств планируется сотрудничать и т.д.;

– в 100% готовности должно быть помещение которое заявлялось как место осуществления лицензируемых видов деятельности;

– в указанном ранее помещении должно располагаться аттестованное по требованиям ФСТЭК рабочее место. На данном рабочем месте должна осуществляться обработка конфиденциальной информации;

– что бы не возникало лишних вопросов, сотрудники, заявленные как специалисты с опытом работ по лицензируемым видам деятельности, должны тоже присутствовать на данном мероприятии. Очень рекомендуем что бы у данных сотрудников на руках были оригиналы документов об образовании.

Проверка ФСБ. Как проверяют соискателя.

Предположим, предварительная подготовка была выполнена должным образом, то в этом случае особо переживать не стоит – проверка должна пройти в рабочем порядке. Если же в подготовке были пробелы, то будьте готовы их оперативно устранить (в принципе, такой сценарий часто бывает). В противном случае уже возможны разные варианты.

Если проверяющий проявит лояльность, то может дать вам 1-2 дня на устранение выявленных несоответствий. В рамках оговоренного срока вас могут попросить подвести недостающую информацию “на руки” Исполнителю.

Если же общий язык с проверяющим найти не получится, то будьте готовы получить акт с отрицательным результатом проверки. По уже нынешнему заявлению будут оформлен отказ в связи с несоответствием лицензионным требованиям. В случае отказа процедуру лцензирования придется начинать сначала.

Бывают случаи, когда на проверке выясняется несоответствие соискателя каким-то отдельным заявленным пунктам лицензии. В этом случае соискателю могут предложить отказаться от ряда заявленных пунктов в соответствии с Приложением 1 к ПП 313. Если соискатель согласен, то лицензия будет выдана с урезанным набором пунктов.

 

Далее рассмотрим как проходят проверки действующих Лицензиатов.

Проверка ФСБ. Как проверяют лицензиата.

Есть еще два типа проверок, которым может подвергнутся уже Лицензиат (ЮЛ умеющее лицензию и оказывающее услуги в рамках этой лицензии).

Тут возможны два варианта:

– Плановая проверка Лицензиата регулятором;

– Внеплановая проверка Лицензиата регулятором.

Более подробно по условиям проведения таких проверок можно почитать в Федеральном законе № 294-ФЗ, Глава 2 ст. 9 и 10.

Ниже рассмотрим принципиальные отличия данных проверок.

Плановая проверка ФСБ. Лицензия на криптографию.

Согласно указанному выше ФЗ № 294-ФЗ, включать лицензиата в график плановых проверок могут не чаще одного раза в 3 года.

Лицензиату необходимо в конце календарного года проверять опубликованный план проверок по интересующей его лицензии. Обычно планы проверок публикуются на сайте самого регулятора, а также на сайте Генеральной прокуратуры.

В зависимости от того в какой месяц следующего года к Лицензиату придет проверка, он должен спланировать подготовку к ней. Например, если проверка на январь следующего года – то необходимо незамедлительно предпринимать действия по подготовке к проверке. Если же проверка назначена на конец года, то и подготовку можно сместить ближе к дате проверки.

Допустим, вы обнаружили себя в плане проверок на следующий год. Рекомендуем предпринять следующие действия:
1) Зафиксировать дату проверки и оповестить ответственных лиц в организации;
2) Руководителю собрать комиссию из ответственных лиц, определить план мероприятий по подготовке к проведению плановой проверки в организации.
3) Отслеживать ход проведения подготовки к проведению проверки.
4) В случае обнаружения несоответствий Лицензиата лицензионным требованиям, обеспечить оперативное устранение несоответствий.

При своевременной подготовке к плановой проверке, шанс получить негативный результат по факту её завершения будет минимален.

Внеплановая проверка ФСБ. Лицензия на криптографию.

Порядок инициирования внеплановой проверки описан в ст.10 Главы 2 Федерального закона № 294-ФЗ. В этом документе вы можете ознакомиться с причинами инициирования такой проверки и порядке её проведения.

Для Лицензиата главное отличие внеплановой проверки от плановой – срок который будет доступен до прихода проверки. При плановой проверке у Лицензиата будет на подготовку от месяца до почти года, то при внеплановой проверке срок подготовки сильно меньше. Хорошо если Лицензиат получает уведомление о проведении внеплановой проверки заблаговременно. Зачастую проверка предупреждает о своем приходе за 1-2 дня, иногда и вовсе является без предварительных уведомлений. В итоге, если в работе Лицензиата есть изъяны, устранить их к приходу проверяющих не предоставляется возможным.

Так же, важным фактором является то, что проводить внеплановые проверки могут чаще чем плановые.  Но и причин для инициирования внеплановой проверки значительно меньше.

Что проверяют на плановой/внеплановой проверке ФСБ.

Самое важное – что же будут требовать от Лицензиата на проверке? Тут все просто, проверять будут ровно то, что прописано в требованиях регулятора. Открываем ПП 313 и смотрим пункт 6.

А) Законное основание на использование помещения и оборудования.

Другими словами, попросят показать действующий договор аренды на офис и закупочные документы на оборудование.

Б) Обеспечение информационной безопасности при осуществлении лицензируемых видов деятельности.

Это значит, что на этапе оказания услуг лицензиат, должен был учитывать и предпринимать все необходимые (в соответствии с законодательством) меры обеспечения безопасности обрабатываемой информации. Это довольно обширная тема, меры могут сильно отличаться в зависимости от массива входных данных: тип объекта защиты, тип обрабатываемых данных, расположение объекта, используемые методы обработки информации и т.д. Основное что должен понимать лицензиат – в случае проведения проверки, могут инициировать проверку по любому проекту, который подразумевал оказание лицензируемых видов деятельности. Особо актуален данный пункт для работ с государственными заказчиками. Отдельного внимания заслуживают работы связанные с государственной тайной (в этой статье мы их не рассматриваем).

В) Наличие условий соблюдения конфиденциальности информации.

Если вкратце, то компьютер, на котором осуществляется обработка информации, связанной с криптографией, должен быть аттестован по требованиям ФСТЭК. Аттестат должен быть действующим на всём сроке оказания лицензируемых услуг Лицензиатом.

Г) Наличие допуска к гостайне.

Актуально только для Лицензиатов, у которых в лицензии открыт пункты 1, 4-6, 16, 19. Данные пункты открываются довольно редко, обычно они открыты у тех компаний, которые осуществляют разработку и реализацию собственных криптоалгоритмов. Таких компаний на нашем рынке не много, а потому специфика довольно узкая и заострять внимание на этом моменте не будем.

Д) Наличие квалифицированного персонала.

Опять же, на всем сроке действия лицензии у Лицензиата в штате должен присутствовать персонал, соответствующий лицензионным требованиям. В зависимости от открытых в лицензии пунктов, требования к персоналу могут значительно отличаться, обращайте на это внимание! На проверке могут потребовать, как минимум, документы по трудоустройству и подтверждение стажа/образования сотрудников. Как максимум – физическое присутствие на проверке, самих сотрудников.

Е) Наличие приборов с поверкой и калибровкой.

Актуально только для пунктов 1-11, 16-19. Соответственно, любое оборудования закупленное для осуществления лицензируемых видов деятельности, при необходимости должно регулярно проходить процедуру поверки и/или калибровки. Могут запросить подтверждающие документы о проведении данных мероприятий, на всем сроке лицензии. Так же могут проверить наличие сведений о поверках и калибровках в общедоступных метрологических реестрах.

Ж) Если в рамках работы используются криптографические средства, не имеющие сертификат ФСБ, по таким средствам нужно подавать отчетность регулятору в установленном порядке.

Будут проверять, использовались ли такие средства при оказании услуг, если использовались, будут проверять предоставлялась ли по ним отчетность.

З) Программное обеспечение и базы данных, используемые в рамках оказания Лицензируемых услуг, должны принадлежать соискателю на законном основании.

На проверке попросят показать подтверждающие закупку документы и действующие лицензии (если они предусмотрены производителем/дистрибьютером).

Резюме по проверкам ФСБ.

При должной подготовке, бояться проверки не стоит. В идеале, что бы вопросом получения лицензии у соискателя занимался уже опытный человек. Если опытного специалиста у вас нет, то нужно собирать команду из коммуникабельных, технически и юридически подкованных людей.

Что касается проверок Лицензиатов, то не стоит забывать о соблюдении лицензионных требований на всем сроке действия лицензии. Такой подход убережет Лицензиата от возможных проблем в будущем. Намного проще поддерживать заданный уровень подготовки, чем потом в авральном режиме пытаться устранить несоответствия. В дополнении Лицензиат не должен забывать следить за законодательством в вопросе Лицензирования. Требования к Лицензиатам, хоть и не часто, но меняются и, как правило, ужесточаются. Такие изменения нужно оперативно отслеживать и проводить мероприятия по приведению своей организации к соответствию новым требованиям.

Учитывая, что формат проверок ФСБ всегда очный, то многое решают обычные человеческие взаимоотношения. Представителям Соискателя/Лицензиата не стоит проявлять излишнюю агрессию или назойливо демонстрировать знание каких-то законов или НПА. Четко отвечайте на поставленные вопросы и оперативно отрабатывайте выявленные нестыковки и замечания.

Остались вопросы? Обращайтесь к нам по контактным данным в верхнем правом углу сайта. Либо оставляйте заявку в форме ниже.

 

  15.11.2024   |     ФСБ