четверг, 26 мая 2016 г.

Распространенные ошибки, возникающие при получении лицензий ФСБ на работу с криптографией



Лицензия ФСБ на работу с криптографическими средствами (далее - СКЗИ) может быть получена в соответствии с требованиями Положения, утвержденного постановлением Правительства № 313 от 16.04.2012 года.
В этой статье приведены распространенные ошибки, возникающие при получении лицензии ФСБ на работу с криптографией.



Компания и ее деятельность:
·         Предоставление нотариально заверенных копий учредительных документов без учета всех вносимых изменений.
·         Ведение деятельности по адресам, не указанным в заявке.
Помещения:
·         Отсутствие правоустанавливающих документов, подтверждающих полную цепочку прав от собственника помещения до заявителя.
·         Проведение аттестации помещения, не задействованного в технологических процессах с использованием СКЗИ.
Персонал:
·         Отсутствие у сотрудников, ответственных за лицензируемую деятельность (далее – квалифицированные сотрудники), стажа в компании-лицензиате ФСБ по заявленным видам работ.
·         Отсутствие документов, подтверждающих нахождение квалифицированных сотрудников в штате компании-соискателя на основном месте работы.
·         Прохождение сотрудниками переподготовки по программе, не согласованной с ФСБ, или в объеме, не соответствующем заявленным работам.
·         Отсутствие необходимых инструкций для персонала по лицензируемой деятельности.
Автоматизированные системы:
·         Проведение аттестации автоматизированных систем, не задействованных в технологических процессах с использованием СКЗИ.
·         Отсутствие аттестата соответствия на автоматизированные системы, задействованные в технологических процессах с использованием СКЗИ.
Защита информации:
·         Отсутствие в компании-соискателе введенного режима коммерческой тайны.
·         Не включение в перечень сведений конфиденциального характера сведений о криптографической защите и ключах.
Заявка:
·         Подача заявки по форме, не соответствующей приведенной в Административном регламенте.
·         Подача заявки без описи приложенных документов.
·         Подача заявки без приложения оригинала квитанции об оплате государственной пошлины.
·         При продлении/переоформлении лицензии – отсутствие приложенных оригиналов старых лицензий.
Выполнение требований ПКЗ-2005 и Приказа № 152:
·         Отсутствие договоров или актов с поставщиками СКЗИ.
·         Отсутствие или не ведение журнала учета СКЗИ.
·         Передача СКЗИ пользователям без документального оформления.
·         Передача СКЗИ пользователям бесконтрольно или по открытым каналам связи.
·         Передача СКЗИ пользователям без полного комплекта эксплуатационной документации.
·         Отсутствие или не ведение лицевых счетов пользователей СКЗИ.
·         Отсутствие схемы сети конфиденциальной связи.
·         Отсутствие актов о вводе СКЗИ в эксплуатацию.
·         Осуществление допуска пользователей к работе с СКЗИ без соответствующего документального оформления и принятия необходимых зачетов.
·         Отсутствие у пользователей СКЗИ надежных хранилищ с кодовым замком или приспособлением для опечатывания замочных скважин.
·         Отсутствие периодического контроля работоспособности технических средств охраны.
·         Отсутствие решеток на окнах и/или технических средств охраны при их необходимости.
·         Наличие возможности неконтролируемого доступа в помещения органа криптографической защиты.
Сведения о деятельности:
·         Не предоставление информации о компании, осуществляющей охрану помещений, и ее лицензии на охранную деятельность.
·         Не предоставление описания технологических процессов.
·         Не предоставление перечня используемых/планируемых к использованию СКЗИ.
Не обязательно, что какой-то из перечисленных пунктов приведет к отказу в выдаче лицензии, но соискателю может потребоваться устранить недостатки в сжатые сроки (обычно 2-3 рабочих дня). Обычно устранение недостатков в сжатые сроки приводит к излишней трате средств и нервов всех участников процесса.

Типовой регламент проведения проверок по защите персональных данных.

На него можно ориентироваться и при подготовке к проверке ФСБ при получении/продлении лицензии.

Обзоры судебной практики по статье 13.13 КоАП «Незаконная деятельность в области защиты информации». Штрафы за работу без лицензии ФСБ: Часть1Часть2

FAQ по лицензии ФСБ на криптографию

О лицензировании ФСБ в простой форме рассказывает Александр Цахариас 

Если Вам понравилась статья и хотите поблагодарить автора - поделитесь ссылкой на статью в социальных сетях! 

Комментариев нет:

Отправить комментарий