Фстэк проверки на 2021 год

От: admin Опубликовано

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Фстэк проверки на 2021 год». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

  • Об использовании информации сайта
  • Об использовании персональных данных пользователей информации
  • О разработке и администрировании сайта
  • Технические сведения
  • Написать разработчику

Проверка ФСТЭК дает возможность улучшить качество предоставления услуг в сфере информационной безопасности. Данную процедуру проходят все физические и юридические лица, которые получили лицензию на производство, разработку, эксплуатацию, установку и сервисное обслуживание аппаратуры для технических средств защиты информации. С полным перечнем подлежащих проверке предприятий вас могут ознакомить наши специалисты сайта ФСТЭК Крым, кроме того, мы рады помочь вам в успешном прохождении такой проверки.

Поиск нарушений в эксплуатации оборудования и ведении документации может проводиться только в присутствии владельца предприятия, директора предприятия, его заместителя или другого уполномоченного должностного лица. В отсутствии хотя бы одного представителя проверка переносится.

В комплекс мероприятий по проведению плановой проверки ФСТЭК входит:

  • мониторинг конструкторской и методологической документации;
  • сверка отчетности и фактического состояния производства, разработки или эксплуатации средств защиты информации;
  • выявление не сертифицированных средств защиты информации;
  • обнаружение аппаратов для съема или сохранения данных, с просроченным сертификатом;
  • определение угроз для утечки, искажения, распространения и уничтожения конфиденциальных данных;
  • поиск нарушений стандартов и технологических требований по эксплуатации или разработке оборудования для защиты информации;
  • обнаружение угроз со стороны иностранной разведки.

После проведения проверки комиссия ФСТЭК составляет отчет о проведении проверки и выдает предпринимателю или его представителю результаты проверки, где значится список обнаруженных нарушений. Если в установленный срок все нарушения не будут устранены деятельность предприятия будет приостановлена.

В случае грубых нарушений, таких как применение для защиты конфиденциальной информации оборудования, которое не прошло аттестацию и сертификацию – юридическое лицо потеряет лицензию на право предоставления услуг в сфере защиты информации, производство или разработку технических средств защиты информации.

Федеральная служба по техническому и экспортному контролю осуществляет работу не только по проведению проверок предприятий, но и по разработке инновационных методов и средств для защиты информации. Успешное прохождение проверки открывает для юридического лица новые возможности.

Проверка ФСТЭК сопровождается консультациями и повышением требований к производству и разработке технических средств защиты, а также квалификации сотрудников. Постоянное развитие информационных технологий приводит к разработке новых, многофункциональных технических средств и дает право на переподготовку по одной из программ обучения ФСТЭК в любом учебном заведении.

Положительные стороны проведения проверки ФСТЭК:

  • Заблаговременная публикация плана проверок ФСТЭК с предоставлением возможности ознакомления с критериями проверки и подготовки предприятия;
  • Высокие требования к профессиональным навыкам сотрудников с последующей рекомендацией прохождения курсов переподготовки по новым методикам;
  • Коррекция стандартов производства и разработки программно-технических средств защиты информации и ознакомление с инновационными разработками ФСТЭК;
  • Оценивание правильности работы средств защиты данных на специализированном оборудовании;
  • Консультация по методике изготовления средств технической защиты информации.
  • Как теперь определены признаки модернизации ЗО КИИ? (15:04)
    Два ключевых признака:
    1. Меняется архитектура ЗО КИИ, в том числе подсистема его безопасности.
    2. Должно быть ТЗ на модернизацию ЗО КИИ или ТЗ/ЧТЗ на модернизацию подсистемы безопасности.
  • Является ли обновление ПО модернизацией ЗО КИИ? (15:46)
    Если для обновления пишется ТЗ и меняется архитектура объекта, то безусловно. В остальных случаях — нет.
  • По отношению к чему изменениями определены требования по безопасности? (16:07)
    Установлены требования к программным и программно-аппаратным средствам, применяемым для обеспечения безопасности ЗО КИИ: как к наложенным средствам, так и к встроенным в системное и прикладное ПО.

  • Какие введены новые требования к СЗИ? (16:24)
    Требования по оценке соответствия по 6 (шестому) Уровню доверия устанавливаются с 01 января 2023 года.

  • Как могут быть проверены требования к СЗИ? (16:38) (17:29)
    Самостоятельно либо лицензиатом на этапе предварительных испытаний. Большой сложности в проверках по 6-му Уровня доверия нет — специалист по защите информации с должным образованием способен справиться с этой задачей. Если же не способен — есть соответствующие лицензиаты.

  • Где субъекту КИИ взять Требования к 6 Уровню доверия? (16:48)
    На сайте ФСТЭК России опубликована выписка, кроме того — любой субъект КИИ может написать ФСТЭК России запрос и получить (по обстановке) либо документ полностью с ограничительной пометкой ДСП либо в виде соответствующей выписки.

Примечание На сайте приведена выписка из Приказа ФСТЭК России №131, который отменяется Приказом ФСТЭК России №76 с 01 января 2021 года. Выписка из нового Приказа пока отсутствует.

Добавлено 12.11.2020 Выписка из Приказа ФСТЭК России №76: ссылка на PDF-файл.

  • Что понимается под специальным прикладным программным обеспечением (СППО)? (18:38)
    Под СППО понимается ПО, которое обеспечивает выполнение функций ЗО КИИ по назначению (для АСУ ТП — это скорее всего будут SCADA-пакеты).

  • Кем выполняется проверка СППО? (19:26)
    Проверка осуществляется тем, кто создаёт либо модернизирует ЗО КИИ. В случае самостоятельного создания либо модернизации — проверку осуществляет сам субъект КИИ. Если работу выполняет интегратор — то интегратор. Также возможно привлечение лицензиата. Проверка осуществляется на этапе проектирования ЗО КИИ либо проектирования состава работ по модернизации.

  • Какие требования введены к специальному прикладному программному обеспечению (СППО)? (20:47)
    1. Требования по безопасной разработке СППО;
    2. Требования к поддержке безопасности СППО;
    3. Требования к испытаниям по выявлению уязвимостей СППО.
  • Что включают в себя требования по безопасной разработке СППО? (21:05)
    1. Проверка наличия руководства по безопасной разработке ПО;
    2. Проверка проведения анализа угроз;
    3. Наличие процедур информирования субъекта КИИ об окончании производства и (или) поддержки ПО (для 1 категории ЗО КИИ).
  • Что включают в себя требования к поддержке безопасности СППО? (21:28)
    1. Наличие процедуры отслеживания и исправления обнаруженных ошибок и уязвимостей ПО;
    2. Определение способов и сроков доведения разработчиком (производителем) ПО до его пользователей информации об уязвимостях, о компенсирующих мерах по защите информации или ограничениях по применению ПО, способов получения пользователями ПО его обновлений, проверки их целостности и подлинности;
    3. Проверка наличия описания структуры ПО на уровне подсистем и результатов сопоставления функций ПО и интерфейсов, описанных в функциональной спецификации, с его подсистемами (для 1 категории ЗО КИИ).
  • Что включают в себя требования к испытаниям по выявлению уязвимостей СППО? (21:54)
    1. Проведение статического анализа исходного кода;
    2. Проведение фаззинг-тестирования программы, направленного на выявление в ней уязвимостей;
    3. Проведение динамического анализа кода программы (для 1 категории ЗО КИИ).
  • Как осуществляется проверка выполнения требований к СППО? (22:14)
    Проверка осуществляется экспертно-документальным методом, т.е. эти требования закладываются в ТЗ и разработчик СППО предоставляет документы (на русском языке), которые подтверждают, что все необходимые процедуры есть и выполнены. “Если этих процедур нет либо они не выполняются, то вам такой разработчик не нужен: его программное обеспечение дырявое как дуршлаг и вашему техпроцессу будет угрожать значительная опасность.” (с)
  • Может ли быть пересмотрена дата введения новых требований к СЗИ и к СППО 01 января 2023? (18:10) (19:07)
    Дата 01 января 2023 года выбрана так, чтобы было время подготовиться, потренироваться. Ближе к этой дате будет отдельно рассматриваться необходимость её корректировки. В случае больших сложностей в реализации этой нормы возможны либо перенесение срока либо смягчение самой нормы.

Ростехнадзор опубликовал графики проверок на 2021 год

  • Как изменились требования по удалённому взаимодействию? (20:08)
    Смягчены требования по удалённому взаимодействию ЗО КИИ с внешним миром. Норма о запрете на взаимодействие заменена допущением на взаимодействие в отдельных случаях при условии выполнения определённых мер.

  • В каких случаях допускается удалённое взаимодействие? (23:58)
    Удалённое взаимодействия допускается в случае технической невозможности его исключения. Например, при необходимости получения извне данных для обеспечения техпроцесса.

  • Кому разрешён удалённый доступ? (24:46)
    Работникам организаций, дочерних по отношению к субъекту КИИ, который эксплуатирует значимый объект КИИ.

  • Как организовать получение обновлений для ЗО КИИ с учётом требований к удалённому доступу? (24:54)
    Так как запрещается удалённый доступ со стороны лиц, не являющихся работниками субъекта КИИ, то сотрудник субъекта может зайти на сайт производителя ПО, в личном кабинете скачать обновление и установить его. Запрещается доступ разработчика ПО (ПЛК, SCADA-пакета) к ЗО КИИ — ограничение именно на это накладывается.

  • Какие меры надо принять для организации удалённого доступа? (26:17)
    Меры уже были перечислены в Приказе №239, теперь они указаны в явном виде, чтобы не было возможности отказаться от их выполнения, заменив меры из базового набора другими мерами.

    1. Определение лиц и устройств, которым разрешён удалённый доступ;
    2. Контроль доступа;
    3. Защита данных, передаваемых по каналам удалённого доступа;
    4. Мониторинг и регистрация действий лиц, которым разрешён удалённый доступ, и анализ действий по удалённому доступу;
    5. Обеспечение невозможности отказа лиц, получивших удалённый доступ, от совершённых действий.
  • Правовые основы деятельности
  • Нормативные акты
  • Постановления Европейского Суда по правам человека
  • Судебная практика
  • Конституционный Суд
  • Верховный Суд
  • Научно-методические материалы
  • По вопросам надзора за исполнением федерального законодательства
  • По иным вопросам надзорной деятельности
  • Статистические данные
  • Об использовании выделяемых бюджетных средств
  • О деятельности органов прокуратуры
  • Новости
  • Основные документы
  • Главное управление международно-правового сотрудничества
  • Региональное представительство
    Международной ассоциации прокуроров в России
  • Новости Генеральной прокуратуры России
  • Новости прокуратур субъектов федерации
  • События Генеральной прокуратуры
  • Мероприятия и встречи
  • Интервью и выступления
  • Печатные издания
  • Видео
  • К сведению СМИ
  • Инфографика
  • Конкурс
  • Участие в конкурсе
  • Этапы конкурса
  • Итоги конкурса
  • Аккредитация СМИ
  • Информационные материалы
  • Социальные ролики
  • Наглядные материалы
  • Прокурор разъясняет
  • Порядок обращения граждан
  • График приема
  • Интернет приемная
  • Уведомления об экстремизме
  • Статусы уведомлений
  • Прямая линия для предпринимателей

Генеральная прокуратура Российской Федерации. 07 октября 2020, 16:00

Генпрокуратура России совместно с прокурорами субъектов Российской Федерации и специализированных прокуратур в рамках реализации полномочий, предоставленных статьей 9 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» завершила первый этап формирования ежегодного сводного плана проведения плановых проверок юридических лиц и индивидуальных предпринимателей на 2021 год (далее – Сводный план).

По результатам оценки законности полумиллиона предложений контролеров о включении проверок в проект плана прокуроры отклонили 40 тыс. из них и направили предложения руководителям контролирующих органов о проведении совместных проверок. К примеру, из проектов планов Россельхознадзора и Росздравнадзора Генпрокуратурой исключено около 400 проверок (почти половина запланированных).

Планирование мероприятий по контролю осуществляется с учетом риск-ориентированного подхода и в условиях завершения ранее установленных ограничений контрольно-надзорной деятельности (пятилетнего запрета на проверки малого бизнеса и моратория, установленного на 2020 год в связи с пандемией).

В срок до 1 ноября уже утвержденные планы будут представлены в органы прокуратуры для завершения формирования Сводного плана и его размещения на официальном сайте Генеральной прокуратуры Российской Федерации в сети Интернет.

Обеспечение законности при планировании контрольно-надзорной деятельности находится на контроле Генеральной прокуратуры Российской Федерации.

Внеплановая проверка может прийти в результате следующих компьютерных инцидентов:

  1. использование персональных данных против людей, вследствие получения доступа злоумышленниками к базам данных ресурсов, где они хранятся;
  2. случайно или умышленно сотрудник отправил персональные данные себе на почту, ее взломали, и данные выложили в общий доступ или использовали против владельцев персональных данных;
  3. случайно или умышленно сотрудник отправил данные третьим лицам;
  4. утечка персональных данных в результате действий вредоносного ПО или взлома серверов или ПК организации;
  5. персональные данные собираются и обрабатываются с нарушениями требований 152-ФЗ «О персональных данных» (сбор без согласия, сбор сканов документов, содержащих персональные данные через мессенджеры, сайт, соцсети, онлайн-чаты);
  6. персональные данные были переданы третьим лицам без получения корректного согласия их владельца, или владелец считает, что такое согласие не было им дано (передача в компании-партнеры).

Кто может внепланового прийти проверять:

  1. Прокуратура;
  2. Роскомнадзор;
  3. ФСБ;
  4. Центральный банк России.

Основание для проверки — публикации в СМИ, обращения от общественных организаций и органов власти, заявления субъектов персональных данных.

Роскомнадзор не может проверять техническую часть, поскольку это не входит в его полномочия. При этом регулятор имеет право привлечь к проведению проверки ФСТЭК или ФСБ по своему усмотрению.

Аналогичная ситуация и у прокуратуры.

Вероятность привлечения Роскомнадзором и прокуратурой ФСТЭК значительно ниже, чем ФСБ, по трем причинам:

  1. ФСТЭК более сфокусирована на госсекторе и сфере 187-ФЗ;
  2. Управления ФСТЭК есть только в федеральных округах. Следовательно, чтобы Роскомнадзору в Самаре привлечь ФСТЭК, потребуется, чтобы его представители приехали из Нижнего Новгорода;
  3. количество служащих в Управлениях ФСТЭК, которые могут осуществлять проверки, незначительное. Бóльшую часть рабочего времени они заняты плановыми проверками.

С ФСБ картина немного другая. Управления ФСБ есть в каждом регионе, количество специалистов больше и скорость их реакции соответственно выше. Также ФСБ регулярно проводит проверки самостоятельно по обращениям граждан, органов власти, общественных организаций и публикациям в СМИ.

Результатом внеплановой проверки с участием ФСТЭК и ФСБ может явиться:

  1. выдача предписаний на устранение выявленных нарушений. Обычно на устранение дается 30 дней;
  2. административная ответственности согласно статей 13.11, 13.12 КоАП РФ. Сумма штрафа может доходить до 75 тыс. руб. за каждого человека, чьи права были нарушены, а значит, если вы нарушили права 10 человек, то потенциально можете получить штраф до 750 тыс. руб.;
  3. возбуждение уголовного дела по статьям 137, 138, 272, 274 УК РФ. Максимальная сумма штрафа — 500 тыс. руб. или же лишение свободы на срок до двух лет.

В отношении органов власти и бюджетных учреждений ФСТЭК и ФСБ не требуются какие-то дополнительные основания для проверки. Достаточно фиксации факта компьютерного инцидента или его последствий.

В каких случаях к ним могут прийти с внеплановой проверкой:

  1. компьютерные инциденты в отношении персональных данных;
  2. нарушение работоспособности государственных информационных систем;
  3. несанкционированное опубликование данных, содержащихся в государственных информационных системах (в результате взлома или «слива» информации служащим).

Основными последствиями внеплановой проверки будут:

  1. выдача предписаний на устранение выявленных нарушений;
  2. привлечение к административной ответственности должностных лиц по статье 13.12 КоАП.

С середины 2021 года проверять бизнес будут по-новому

Основные типы компьютерных инцидентов, которые могут привести к внеплановой проверке:

  • с вашей информационной инфраструктуры произошла компьютерная атака на орган власти или бюджетное учреждение;
  • в результате компьютерного инцидента компания обратилась в МВД или ФСБ, и они в ходе расследования выявили, что компьютерная атака шла с вашей информационной инфраструктуры;
  • от лица вашей компании произошла рассылка электронных писем, сообщений в мессенджерах, соцсетях с вредоносным ПО или ссылками на фишинговые сайты.

Во всех перечисленных случаях можно ожидать проверки со стороны ФСБ.

Последствия такой проверки будут следующие:

  1. выдача предписания. На исполнение обычно дается 30 дней;
  2. штраф по статье 13.12 КоАП;
  3. уголовное дело по статье 274 УК РФ в случае, если есть подозрение, что ваша организация могла знать об атаке или своими действиями или бездействием способствовала ее совершению.

Под данный тип компьютерных инцидентов может попасть как любая организация любой формы собственности, так и обычный гражданин.

В любом случае, каким бы не было основание для проведения внеплановой проверки, она не несет спокойствия и нарушает режим работы организации, не говоря уже о возможных штрафах, приостановлении деятельности организации или привлечения руководителя и других сотрудников к уголовной ответственности.

Выполнение требований законодательства по защите информации и следование лучшим практикам обеспечения информационной безопасности позволит организациям значительно снизить вероятность возникновения компьютерных инцидентов, а значит и негативных последствий для бизнеса.

Во время работ по лицензированию организации сталкиваются с тремя основными сложностями:

  1. Оборудование. Для выполнения работ и оказания услуг по аттестации защищаемых помещений и автоматизированных систем необходимо закупить (иметь в собственности или на любом ином законном основании) оборудование. Стоимость комплекта варьируется, но составляет около миллиона рублей. И если начать работы по лицензированию с покупки оборудования, то к моменту подачи заявления может оказаться так, что его придется заново поверять (сертификаты о поверке действительны один год). Можно попытаться сэкономить и взять оборудование в аренду, но она должна быть специальным образом оформлена. Требуется периодически подтверждать владение оборудованием, заключать дополнительные соглашения к договорам аренды о том, что оборудование находится именно у арендатора. Минус варианта с арендой в том, что он снижает шансы на получение лицензии — велика вероятность оформить отношения неверно и получить отказ.
  2. Аренда помещений. Если соискатель лицензии арендует помещение у субарендатора, то необходимо представлять всю цепочку документов вплоть до владельца помещения. Также необходимо следить за тем, чтобы фактические номера помещений совпадали с кадастровыми, чтобы помещения однозначно идентифицировались исходя из одних лишь документов.
  3. Кадровая документация. У сотрудников должны быть дипломы о высшем профессиональном образовании в области технической защиты информации и стаж более трех лет либо диплом о высшем образовании с курсов переподготовки / о высшем техническом образовании и стаж более пяти лет. Сотрудников должно быть не менее трех, и они должны быть трудоустроены у соискателя по основному месту работы.

Для того чтобы получить лицензию, а затем успешно проходить в случае необходимости плановые проверки ФСТЭК на соблюдение требований, предлагаем учесть ряд моментов:

  1. Оборудование (если оно необходимо для выбранного вами вида деятельности) лучше покупать, а не брать в аренду.
  2. Постоянно следить за изменениями в законодательной базе и поддерживать документацию в актуальном состоянии, в том числе периодически обновлять и докупать ГОСТы (информация об этом не является тайной, официальный сайт ФСТЭК России открыт для всех).
  3. Своевременно обновлять антивирусное ПО и лицензии на контрольно-измерительное программное обеспечение и оборудование.
  4. Вовремя проводить переаттестацию помещений и автоматизированных систем, поскольку аттестаты действительны максимум три года.

Все материалы сайта Министерства внутренних дел Российской Федерации могут быть воспроизведены в любых средствах массовой информации, на серверах сети Интернет или на любых иных носителях без каких-либо ограничений по объему и срокам публикации.

Это разрешение в равной степени распространяется на газеты, журналы, радиостанции, телеканалы, сайты и страницы сети Интернет. Единственным условием перепечатки и ретрансляции является ссылка на первоисточник.

Никакого предварительного согласия на перепечатку со стороны Министерства внутренних дел Российской Федерации не требуется.

ТО Киров план план проведения плановых проверок юридических лиц и индивидуальных предпринимателей на 2021 год

ТО Киров план проверок ОМС 2021 год

ТО РМЭ план план проведения плановых проверок юридических лиц и индивидуальных предпринимателей на 2021 год

В июле 2018 года Федеральная служба по техническому и экспортному контролю (далее — ФСТЭК России) представила приказ №131 об утверждении «Требований по безопасности информации, устанавливающих уровни доверия (далее — УД) к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий». В соответствии с новым перечнем требований для средств защиты информации (далее — СЗИ) устанавливаются УД, характеризующие безопасность их применения для обработки и защиты информации, содержащей государственную тайну, конфиденциальные сведения или данные ограниченного доступа. По новым правилам в отношении СЗИ всех уровней доверия должны проводиться исследования по выявлению уязвимостей и недекларированных возможностей (далее — НДВ) в соответствии с методикой, разработанной в дополнение к приказу №131 и утвержденной ФСТЭК России в феврале 2019 года.

Рекомендации по применению приказа №131 касаются только тех разработчиков, кто специализируется на программных решениях для защиты инфраструктур и систем, содержащих информацию, доступ к которой должен быть ограничен или защищен. Однако любое программное обеспечение (далее — ПО), разрабатываемое и используемое в системах, где хранятся и обрабатываются данные, имеет встроенные программные алгоритмы для защиты информации (например, проверки полномочий доступа к данным или к системе в целом), которые также могут нуждаться в проверке на безопасность.

Основной причиной инцидентов в области ИБ чаще всего становятся ошибки кодирования, приводящие к уязвимостям программ и систем. В связи с этим для предотвращения нарастающих угроз в информационной сфере всем разработчикам программных продуктов рекомендуется принимать меры по выпуску защищенного ПО и придерживаться требований ГОСТ и приказов ФСТЭК России, касающихся безопасной разработки кода.

Рассмотрим варианты реализации требований к проведению исследований, направленных на выявление уязвимостей и НДВ в программном обеспечении, и, в частности, требование об отсутствии в оцениваемом объекте уязвимостей кода.

В соответствии с ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного ПО. Общие требования» можно обеспечить реализацию и проведение мер по разработке безопасного программного обеспечения непосредственно в процессах его жизненного цикла. Целесообразно проводить исследования по выявлению уязвимостей и НДВ:

  • при выполнении проектирования и разработки ПО (этап разработки);
  • при выполнении квалификационного тестирования ПО (этап тестирования);
  • при выполнении инсталляции программы и поддержки приемки ПО (этап реализации и эксплуатации).

Одним из способов упростить и автоматизировать проведение таких исследований является применение СЗИ для анализа кода. Необходимо отметить важность проверки программного кода, содержащегося в транспортных запросах, при переносе данных по ландшафту системы от этапа к этапу. В таком варианте исследований применение СЗИ позволит снизить процент небезопасных конструкций в коде к моменту эксплуатации программного обеспечения, провести работы по выявлению уязвимостей и НДВ без выгрузки и передачи исходного кода на исследования третьей стороне. При этом средства защиты информации могут быть интегрированы в систему разработки.

Схема использования СЗИ для анализа кода в процессах жизненного цикла ПО представлена на рисунке 1.

Рисунок 1. Схема использования СЗИ для анализа кода в процессах жизненного цикла ПО

В соответствии с требованиями методики ФСТЭК России, разработанной в дополнение к приказу №131, можно осуществить проверку кода уже готового к эксплуатации ПО с привлечением испытательных лабораторий (или СЗИ).

При данном варианте исследований существуют риски ввода в эксплуатацию небезопасного программного обеспечения. Для того чтобы выполнить анализ, необходимо будет предоставить испытательным лабораториям исходный код программных решений или воспользоваться интегрируемыми СЗИ, установив их на испытательный стенд. В последнем случае выгрузка исходного кода не потребуется, если стенд будет развернут на рабочей станции разработчика программного обеспечения.

Схема использования СЗИ для анализа кода после завершения разработки ПО приведена на рисунке 2.

Рисунок 2. Схема использования СЗИ для анализа кода после завершения разработки ПО

План проверок Роскомнадзора на 2021 год

Согласно документам ФСТЭК России, к СЗИ относятся: межсетевые экраны, средства обнаружения вторжений, антивирусные программы, средства доверенной загрузки и контроля съемных носителей, другие решения в области информационной безопасности. В таблице 1 приведена дифференциация требований к УД СЗИ в зависимости от класса (категории/уровня) объекта защиты.

Таблица 1. Дифференциация требований к уровням доверия СЗИ

УД СЗИ КИИ (категория) ГИС АСУ ТП ИСПДн
(уровень защищенности ПДн)
(класс защищенности)
6 3 3 3 3, 4
5 2 2 2 2
4* 1 1 1 1
1, 2, 3 Государственная тайна
* включая информационные системы общего пользования II класса

СЗИ, соответствующие 6-му УД, подлежат применению в значимых объектах критической информационной инфраструктуры (далее — КИИ) 3 категории, в государственных информационных системах (далее — ГИС) 3 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами (далее — АСУ ТП) 3 класса защищенности, в информационных системах персональных данных (далее — ИСПДн) при необходимости обеспечения 3 и 4 уровня защищенности персональных данных.

СЗИ, соответствующие 5-му УД, подлежат применению в значимых объектах КИИ 2 категории, в ГИС 2 класса защищенности, в АСУ ТП 2 класса защищенности, в ИСПДн при необходимости обеспечения 2 уровня защищенности персональных данных.

СЗИ, соответствующие 4-му УД, подлежат применению в значимых объектах КИИ 1 категории, в ГИС 1 класса защищенности, АСУ ТП 1 класса защищенности, в ИСПДн при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса.

СЗИ, соответствующие 1-му, 2-му и 3-му УД, применяются в информационных (автоматизированных) системах, в которых обрабатываются сведения, составляющие государственную тайну.

Прокуратуры регионов утвердят сводные планы проверок региональных контролирующих органов на 2020 год в конце 2019 года, поэтому информация о провеках регионального госнадзора и муниципального контроля появится здесь в конце декабря 2019 года.

О проверках федерального государственного надзора информация размещается только на сайте генеральной прокуратуры РФ.

Прокуратуры регионов утвердят сводные планы проверок региональных контролирующих органов на 2019 год в конце 2018 года, поэтому информация о провеках регионального госнадзора и муниципального контроля появится здесь в конце декабря 2018 года.

О проверках федерального государственного надзора информация размещается только на сайте генеральной прокуратуры РФ.

Федеральным законом от 25.12.2018 № 480-ФЗ «О внесении изменения в Федеральный закон «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», с 1 января 2019 года по 31 декабря 2020 года установлены «надзорные каникулы» для субъектов малого и среднего предпринимательства, по которым не введен риск-ориентированный подход.

Новый период «надзорных каникул» вводится путем дополнения Федерального закона от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» новой ‎статьей 26.2, согласно которой с 1 января 2019 года по 31 декабря 2020 года не будут проводиться плановые проверки в отношении юридических лиц, индивидуальных предпринимателей, сведения о которых включены в единый реестр субъектов малого и среднего предпринимательства. Для защиты охраняемых законом ценностей данные ограничения не будут применяются:

  • при проведении плановых проверок в рамках видов государственного контроля (надзора), по которым установлены категории риска, классы (категории) опасности, а также критерии отнесения деятельности юридических лиц, индивидуальных предпринимателей и (или) используемых ими производственных объектов к определенной категории риска либо определенному классу (категории) опасности;

  • при проведении плановых проверок в отношении юридических лиц, индивидуальных предпринимателей, осуществляющих лицензируемые виды деятельности;

  • в отношении плановых проверок в рамках проведения:

    • федерального государственного надзора в области обеспечения радиационной безопасности;

    • федерального государственного контроля за обеспечением защиты государственной тайны;

    • внешнего контроля качества работы аудиторских организаций, определенных Федеральным законом от 30 декабря 2008 года № 307-ФЗ «Об аудиторской деятельности»;

    • федерального государственного надзора в области использования атомной энергии;

    • федерального государственного пробирного надзора.

Please turn JavaScript on and reload the page.

План всех проверок всего бизнеса (как организаций, так и индивидуальных предпринимателей) должна согласовывать и публиковать на своем сайте прокуратура — так установил Закон № 294-ФЗ и Постановление Правительства РФ от 30.06.2010 № 489 «Об утверждении Правил подготовки органами государственного контроля (надзора) и органами муниципального контроля ежегодных планов проведения плановых проверок юридических лиц и индивидуальных предпринимателей».

На этом основании органы гос контроля и надздора каждого региона до 1 сентября направляют в прокуратуру региона проекты ежегодных планов проверок организаций и ИП для рассмотрения и согласования (проверки на предмет законности) региональной прокуратурой. После рассмотрения планов прокуратура возвращает планы для их утверждения органами гос. контроля и надздора каждого региона. К 1 ноябяря органы гос контроля и надздора каждого региона направляют в прокуратуру уже утвержденные планы проверок.

По общему правилу для проведения плановой проверки необходимо, чтобы прошло 3 года со дня:

  1. Государственной регистрации юридического лица, индивидуального предпринимателя.

  2. Окончания проведения последней плановой проверки.

  3. Начала осуществления организацией (ИП) предпринимательской деятельности в соответствии с представленным в уполномоченный гос. орган уведомлением о начале предпринимательской деятельности.

При этом (пункт 2) учитываются только плановые проверки, у которых была та же цель (предмет).

Это означает, что не учитываются:

  • внеплановые проверки (к таковым, к примеру, относятся проверки по жалобам потребителей);

  • плановые проверки, проведенные тем же гос. органом, но по другим основаниями (с другими целями).

Как водится, из любого правила есть исключения. Так для проведения плановых проверок организаций и ИП, осуществляющих виды деятельности в сфере здравоохранения, сфере образования, в социальной сфере, предусмотрено, что плановые проверки могут проводиться два и более раз в три года.

Надо иметь в виду, что в связи со вступлением в силу Закона от 18.07.2011 № 242-ФЗ изменен порядок проведения проверок в некоторых отраслях государственного надзора (контроля) и муниципального контроля.

Теперь сокращенная периодичность проверок может быть установлена и иными нормативными правовыми актами.

К примеру, для осуществления лицензионного контроля основанием для включения плановой проверки лицензиата в ежегодный план проведения плановых проверок является истечение одного года со дня принятия решения о предоставлении лицензии или переоформлении лицензии.

В соответствии с Постановлением Правительства РФ от 23.11.2009 № 944 «Об утверждении перечня видов деятельности в сфере здравоохранения, сфере образования и социальной сфере, осуществляемых юридическими лицами и индивидуальными предпринимателями, в отношении которых плановые проверки проводятся с установленной периодичностью» для девяти видов деятельности в сфере здравоохранения, образования и социальной сфере установлена сокращенная периодичность проведения плановых проверок.

(в ред. Постановления Правительства РФ от 20.01.2011 № 13)

Наименование вида деятельности Органы, осуществляющие плановые проверки Периодичность проведения плановой проверки

1

 Оказание амбулаторно-поликлинической медицинской помощи органы, осуществляющие лицензирование медицинской деятельности не чаще 1 раза в год
тот же органы, осуществляющие государственный пожарный надзор, государственный санитарно-эпидемиологический надзор не чаще 1 раза в 2 года

2

 Оказание стационарной и санаторно-курортной медицинской помощи органы, осуществляющие лицензирование медицинской деятельности, и органы, осуществляющие государственный пожарный надзор, государственный санитарно-эпидемиологический надзор не чаще 1 раза в 2 года

3

 Оказание скорой медицинской помощи органы, осуществляющие лицензирование медицинской деятельности не чаще 1 раза в 2 года

4

 Розничная торговля лекарственными средствами и изготовление лекарственных средств в аптечных учреждениях органы, осуществляющие лицензирование фармацевтической деятельности не чаще 1 раза в год

5

 Оптовая торговля лекарственными средствами органы, осуществляющие лицензирование фармацевтической деятельности не чаще 1 раза в 2 года

6

 Дошкольное и начальное общее образование органы, осуществляющие государственный пожарный надзор, государственный санитарно-эпидемиологический надзор не чаще 1 раза в год
тот же органы, осуществляющие лицензирование образовательной деятельности не чаще 1 раза в 2 года

7

 Основное общее и среднее (полное) общее образование органы, осуществляющие государственный пожарный надзор, государственный санитарно-эпидемиологический надзор не чаще 1 раза в год
тот же органы, осуществляющие лицензирование образовательной деятельности не чаще 1 раза в 2 года

8

 Деятельность детских лагерей на время каникул органы, осуществляющие государственный пожарный надзор 1 раз перед началом каникул
тот же органы, осуществляющие государственный санитарно-эпидемиологический надзор 1 раз перед началом каникул и далее не чаще 1 раза в смену

9

 Предоставление социальных услуг с обеспечением проживания органы, осуществляющие государственный пожарный надзор, государственный санитарно-эпидемиологический надзор не чаще 1 раза в год
тот же органы, осуществляющие государственный надзор в сфере здравоохранения и социального развития не чаще 1 раза в 2 года

Порядок организации проверки и порядок оформления ее результатов установлены статьями 14 и 16 Закона № 294-ФЗ независимо от видов и форм проверок (плановая, внеплановая, выездная, документарная).

Согласно части 1 статьи 14 Закона № 294-ФЗ проверка проводится на основании распоряжения или приказа руководителя, заместителя руководителя органа государственного контроля (надзора), органа муниципального контроля. Типовая форма распоряжения или приказа утверждена Приказом Министерства экономического развития РФ от 30.04.2009 № 141 «О реализации положений Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», которая, в свою очередь, предусматривает указание как на вид проверки (плановая, внеплановая), так и на ее форму (документарная, выездная).

О плановой проверке организацию (ИП) обязаны уведомить за три дня до ее начала путем направления копии распоряжения или приказа руководителя органа контроля.

Порядок проведения проверок достаточно подробно изложен как в Законе № 294, так и в подзаконых нормативных актах, поэтому не вижу смысла подробно на этом останавливаться.

По правилам части 1 статьи 16 Закона № 294-ФЗ по результатам проверки должностными лицами органа государственного контроля (надзора), органа муниципального контроля, проводящими проверку, составляется акт по установленной форме в двух экземплярах.

Суммарные изменения согласно редакции № 2 от 27.02.2020 и редакции № 3 от 12.03.2020 года

  1. Добавлены новые термины: «нижняя часть помещения (коридора)», «помещение с высокой плотностью пребывания людей», «системы противодымной тоннельной вентиляции приточно-вытяжные».
  2. Пункт 5.2. Добавили информацию об установках газоиспользующего оборудования:
    • Следует применять в многоквартирных жилых и общественных зданиях высотой не более 28 м
    • Нельзя использовать в помещениях общественного питания (кухнях) на объектах защиты классов функциональной пожарной опасности Ф1.1, Ф2.1, Ф4.1
    • В жилых домах высотой от шести этажей и в общественных помещениях в этих домах можно применять только газоиспользующее оборудование с закрытой камерой сгорания
    • Помещения, в которых устанавливается газоиспользующее оборудование, должны быть оснащены автоматикой безопасности, которая в определенных ситуациях должна отключить подачу топлива
  3. Пункт 6.13. Были дополнены требования к конструкции воздуховодов и к элементам креплений (подвески) конструкций.
  4. Пункт 7.2. Добавлено: тупиковые части коридоров в зданиях различного назначения нельзя разделять перегородками с дверями на участки длиной менее 15 м.
  5. Пункт 7.6. Дополнился положением:

    6. «Для защиты коридоров помещений общественного назначения и коридоров жилых помещений вышележащих этажей могут быть предусмотрены общие системы вытяжной противодымной вентиляции, если все указанные помещения расположены в одном пожарном отсеке».

  6. Пункт 7.8. Добавлено: длина коридора — это сумма длин условно выделенных и последовательно расположенных участков прямоугольной формы или близкой к ней формы.

Изменения, внесенные в этот СП, вызвали замешательство застройщиков. В частности, требование, что в домах высотой от пяти этажей обязательно должны быть мусоропроводы.

Минстрой дал нам на это официальное разъяснение: СП 54.13330.2016 нельзя считать обязательным для исполнения. Необходимо ссылаться на региональные и местные нормы и требования.

Согласование не требуется, если есть утвержденный в установленном порядке норматив градостроительного регулирования в части мусороудаления, позволяющий строительство многоквартирных жилых домов без мусоропровода (необходимо в проектной документации ссылаться на данный нормативный акт).

Наличие мусоропровода в жилых домах до четырех этажей включительно определяется заказчиком по согласованию с органами местного самоуправления и с учетом принятой в населенном пункте системы мусороудаления. Мусоропровод можно не предусматривать, если обеспечен раздельный сбор и ежедневное удаление твердых коммунальных отходов.

Мусоропровод обязателен в многоквартирных зданиях для инвалидов и престарелых высотой в два этажа и более.

  1. По поводу кровель: в федеральном законодательстве нет изменений, связанных с этажностью здания. Тип кровли выбирается в зависимости от климатических условий и нагрузок объекта. Если местное градостроительное законодательство содержит требования к архитектурным решениям или к архитектурно-градостроительному облику, то их необходимо учитывать
  2. ВАЖНО: Нормативы на основании Постановления Правительства № 985 от 04.07.2020 применяются в обязательном порядке:
  3. Если градостроительный план земельного участка был получен более 1,5 лет назад и при заходе на экспертизу после 01.08.2020
  4. Если градостроительный план земельного участка был получен после 01.08 2020 – согласно ст. 49 ГрК РФ

Пресс-центр компании СЕРКОНС.

Главной задачей любого государства, является обеспечение контроля информации, которая связана с государственной безопасностью. По этой причине, к программным решениям, которые находятся на локальном рынке, и которые связаны с любой государственной структурой, предъявляются особые требования к ПО и они должны быть сертифицированы ФСТЭК. Среди систем с особыми требованиями можно выделить: системы органов государственной власти, правоохранительных органов, информационные системы банкового сектора, телеком системы, системы внутренней связи правоохранительных структур, сети связи в районах без резервного канала связи, системы управления электроснабжением, общественным и воздушным транспортом, системы управления ликвидации ЧС и управление водоснабжением и т.д. Как видно, значимая часть государственных систем, требуют защиты данных. В перечисленных системах происходит обработка, обмен и хранение различной информации, которая в той или иной степени, влияет на информационную безопасность государства.

Имея ситуацию, когда любые государственные учреждения и другие организации, регламентированные законодательством российской федерации, обязаны использовать только проверенное, сертифицированное программное обеспечение. Кто занимается сертификацией ПО? В нашей стране этим занимается Федеральная служба по техническому и экспортному контролю (ФСТЭК), Федеральная служба безопасности (ФСБ), а также Минобороны.

Сертификация ФСБ предназначена для проверки программного обеспечения, использующее криптографические алгоритмы. Сертификацию проходит программное обеспечение только с российскими алоритмами, любые другие сразу отсекаются. Требования для систем ФСБ находятся в закрытом доступе.

Сертификация ФСТЭК проверяет ПО, в котором не задействована криптографическая защита, при этом все требования находятся в публичном доступе и доступны для любого желающего на официальном сайте.

В мире, все программное обеспечение, проходит международную сертификацию Common Criteria. Однако сертификация ФСТЭК, значительно отличается от общемирового стандарта. Для каждого экземпляра ПО или патча, который хочет претендовать на сертификат, проводится отдельная проверка на соответствие стандартам. То есть любой, выпущенный патч или обновленная версия, должна проходить сертификацию снова. Лишь только после дополнительных проверок, программное обеспечение может считать сертифицированным ФСТЭК. В свою очередь, компетентные органы, могут в любой момент проверить наличие дополнительных сертифицированных патчей и исправлений для выпущенного программно обеспечения.

Common Criteria, имеет другую систему сертификации. Любое программное обеспечение проверяется только один раз, все последующие патчи и обновления, могут содержать вредоносный код, или алгоритмы шифрования, которые могут нести в себе угрозу для государственной безопасности. Таким образом мы имеем, что новая версия ПО, на бинарном уровне может координально отличаться от той, которая получила сертификат.

Основные изменения в законодательстве о проверках в 2020 — 2021 годах

В случае использования несертифицированного программного обеспечения в субъектах или государственных учреждениях и структурах, ФСТЭК может лишить проверяемую организацию, государственной лицензии на проведение своей деятельности или предоставление услуг. Кроме этого, предусмотрены огромные денежные штрафы.

Мы подобрали для Вас, самое популярное программное обеспечение, используемое в государственным учреждениях, и которое можно приобрести в нашем интернет-магазине.

По решению Правительства на плановые проверки субъектов малого бизнеса в течение 2021 года введен мораторий. Не освобождаются от проверок организации и ИП, соответствующие двум условиям:

  • привлекались к административной ответственности в виде приостановки деятельности;
  • со дня завершения проверки, по результатам которой были применены санкции, прошло менее трех лет.

Также в план ежегодных проверок войдут компании, имеющие объекты чрезвычайно высокого и или высокого рисков (полный список исключений приведен в п. 8 постановления).

Документ: Постановление Правительства РФ от 30.11.2020 N 1969

Перечень ведомств, результаты проверок которых можно обжаловать через личный кабинет на портале госуслуг, дополнен. В него вошли Минпромторг, Росреестр, ФНС, Росаккредитация, Россельхознадзор, Росгидромет, Роспотребнадзор, Роскомнадзор, Ространснадзор, Росалкогольрегулирование, Роструд, ФССП, Росстандарт, Рособрнадзор, Росприроднадзор и Ростуризм.

Документ: Постановление Правительства РФ от 05.12.2020 N 2029


Похожие записи:

Добавить комментарий