16 февраля, суббота 01:57
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

В ожидании проверки ФСБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • В ожидании проверки ФСБ

    Коллеги, подкиньте, пожалуйста, мыслей по такому вот вопросу:

    Стоит у нас в плане на этот год проверка ФСБ (Цель проведения проверки: Оценка соответствия деятельностей, связанных с шифровальными (криптографическими) средствами, обязательным требованиям и условиям, установленным нормативными правовыми актами по защите информации, не содержащей сведений, составляющих государственную тайну).

    Лицензия у нас "старая", пятилетняя, со сроком действия до следующего года.

    Что нам могут выкатить в ходе проверки?
    В частности, может ли тут как-то сработать явная разница между лицензионными требованиями тогда и сейчас?

  • #2
    Сообщение от Useless Посмотреть сообщение
    Что нам могут выкатить в ходе проверки?
    ФЗ № 99-ФЗ от 04.05.2011 г. - О лицензировании отдельных видов деятельности:
    "ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ.
    Предоставленные до дня вступления в силу настоящего Федерального закона лицензии на виды деятельности, наименования которых изменены, а также такие лицензии, не содержащие перечня работ, услуг, которые выполняются, оказываются в составе конкретных видов деятельности, по истечении срока их действия подлежат переоформлению в порядке, установленном статьей 18 настоящего Федерального закона, при условии соблюдения лицензионных требований, предъявляемых к таким видам деятельности. Переоформленные лицензии действуют бессрочно."

    Я так понимаю, что до переоформления соответствовать достаточно "старым" требованиям.

    Комментарий


    • #3
      Сообщение от Useless Посмотреть сообщение
      Коллеги, подкиньте, пожалуйста, мыслей по такому вот вопросу:

      Стоит у нас в плане на этот год проверка ФСБ (Цель проведения проверки: Оценка соответствия деятельностей, связанных с шифровальными (криптографическими) средствами, обязательным требованиям и условиям, установленным нормативными правовыми актами по защите информации, не содержащей сведений, составляющих государственную тайну).

      Лицензия у нас "старая", пятилетняя, со сроком действия до следующего года.

      Что нам могут выкатить в ходе проверки?
      В частности, может ли тут как-то сработать явная разница между лицензионными требованиями тогда и сейчас?
      Возможно их будет интересовать Ваша деятельность по распространению СКЗИ, а в частности при работе в системах клиент-Банк (тонкий или толстый).
      У нас в том году данная проверка была и проверяли именно распространение СКЗИ.

      Комментарий


      • #4
        Журналы установленной формы и правильность их заполнения.
        Наличие политик и инструкций и их выполнение.
        Наличие сертифицированных средств защиты.
        Соответствие актов аттестации АРМ - и текущего состояния.

        Комментарий


        • #5
          Сообщение от VSolon Посмотреть сообщение
          Соответствие актов аттестации АРМ - и текущего состояния.
          У моих коллег из другого Банка в части аттестации АРМ ничего не спросили. Возможно это не для всех видов работ по СКЗИ требуется.

          Комментарий


          • #6
            Сообщение от khusainov rustam Посмотреть сообщение
            У моих коллег из другого Банка в части аттестации АРМ ничего не спросили. Возможно это не для всех видов работ по СКЗИ требуется.
            В Постановлении Правительства № 957, действовавшем до 16.04.2012 г., наличие аттестованного АРМ было обязательным, если банк осуществляет деятельность по предоставлению услуг и техническому обслуживанию СКЗИ. При получении лицензии на распространение СКЗИ аттестованный АРМ не был нужен.
            Соответственно, если лицензия ФСБ была получена банком только на деятельность по распространению СКЗИ, предъявить аттестованный АРМ при проверке, скорее всего, не попросят.

            В Поставлении Правительства № 313, по которому сейчас выдаются лицензии ФСБ, есть требование к соискателю лицензии предоставить "сведения о документе, подтверждающем наличие условий для соблюдения конфиденциальности информации". Причем, такое требование не подразумевает исключений в зависимости от заявляемых видов работ. Но на практике наличие аттестата соответствия АРМ требуется при получении лицензии на работы "превышающие" по требованиям передачу СКЗИ (т.е. на любые работы, кроме 21-24).

            Комментарий


            • #7
              Сообщение от iLegal Посмотреть сообщение
              В Поставлении Правительства № 313, по которому сейчас выдаются лицензии ФСБ, есть требование к соискателю лицензии предоставить "сведения о документе, подтверждающем наличие условий для соблюдения конфиденциальности информации". Причем, такое требование не подразумевает исключений в зависимости от заявляемых видов работ. Но на практике наличие аттестата соответствия АРМ требуется при получении лицензии на работы "превышающие" по требованиям передачу СКЗИ (т.е. на любые работы, кроме 21-24).
              Спасибо за развернутый ответ.

              Комментарий


              • #8
                Коллеги, мог бы кто-нибудь поделиться должностными инструкциями, который прошли проверку ФСБ в соответствии с 313-П, для руководителя и инженерно-технического специалиста, по следующим пунктам перечня: 7,8,12,13,15,17,20,21,22,24,25,26,27,28? Достаточно ли будет в общих чертах, в обязанности указанных сотрудников внести надзор,контроль и исполнение процессов указанных в перечне?
                Последний раз редактировалось InterrupT; 22.04.2014, 12:36.

                Комментарий


                • #9
                  Сообщение от InterrupT Посмотреть сообщение
                  Коллеги, мог бы кто-нибудь поделиться должностными инструкциями, который прошли проверку ФСБ в соответствии с 313-П, для руководителя и инженерно-технического специалиста
                  Руководитель
                  2.1.2. Организует, руководит и контролирует работы по выполнению лицензионных требований и условий по производству, распространению, техническому обслуживанию шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации.
                  2.1.3. Проводит контроль работ по генерации, учету, хранению, распределению и уничтожению ключей шифрования и электронной подписи систем электронного документооборота.

                  ИТР
                  2.1.9. Участвует в выполнении лицензионных требований и условий по производству, распространению, техническому обслуживанию шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации.
                  2.1.10. Проводит работы по генерации, учету, хранению, распределению и уничтожению ключей шифрования и электронной подписи систем электронного документооборота.

                  Комментарий


                  • #10
                    Сообщение от InterrupT Посмотреть сообщение
                    Коллеги, мог бы кто-нибудь поделиться должностными инструкциями, который прошли проверку ФСБ в соответствии с 313-П, для руководителя и инженерно-технического специалиста, по следующим пунктам перечня: 7,8,12,13,15,17,20,21,22,24,25,26,27,28? Достаточно ли будет в общих чертах, в обязанности указанных сотрудников внести надзор,контроль и исполнение процессов указанных в перечне?
                    Приказ ФАПСИ №152 от 13.06.2001 г. (пункт 7). Разделяете по специалистам, добавляете в должностные обязанности.
                    На практике всё хорошо.

                    Комментарий


                    • #11
                      Cпасибо за ответы!

                      Комментарий


                      • #12
                        Добрый день!
                        подскажите, как проверяют лицензионные требования по сотрудникам - берут выписки из штатного расписания?
                        практиковал ли кто-то совмещение должностей данных сотрудников с работой в других отделах?

                        Комментарий


                        • #13
                          Сообщение от Yuliana Посмотреть сообщение
                          совмещение должностей данных сотрудников с работой в других отделах?
                          ОКЗИ это не обязательно отдельное структурное подразделение. ОКЗИ может быть сформирован соответствующим приказом со ссылкой на внутренние документы, определяющие обязанности членов ОКЗИ.

                          Сообщение от Yuliana Посмотреть сообщение
                          берут выписки из штатного расписания?
                          Наличие сотрудника в штате вам 100% придется доказывать.

                          Комментарий


                          • #14
                            Сообщение от Yuliana Посмотреть сообщение
                            практиковал ли кто-то совмещение должностей данных сотрудников с работой в других отделах?
                            Как раз на той проверке (в 14 году) мы что-то такое делали, но, насколько мне помнится, пришлось делать массу сопутствующих бумаг, включая, например, персональные должностные инструкции.

                            Комментарий


                            • #15
                              Сообщение от Useless Посмотреть сообщение
                              персональные должностные инструкции
                              Наши кадровики говорили, что так нельзя по ТК РФ. Если хотите менять ДИ для нескольких сотрудников - значит и должность будет другая со своей ДИ.

                              Комментарий


                              • #16
                                Сообщение от Александр Четвертый Посмотреть сообщение
                                Наши кадровики говорили, что так нельзя по ТК РФ. Если хотите менять ДИ для нескольких сотрудников - значит и должность будет другая со своей ДИ.
                                Возможно.
                                Но ФСБ этот момент тогда не заинтересовал.
                                Что было потом - я уже не знаю.

                                Комментарий


                                • #17
                                  Yuliana

                                  Проверка по лицензируемой деятельности была в прошлом году. Проверяли тщательно последние 3 года. Наличие сотрудников и стаж, стаж проверяли очень тщательно (со слов проверяющих все основные штрафы и претензии именно к штату и по штату). Проверяли трудовые книжки, ДИ, даже делали запросы по прошлым местам работы. Обратите внимание на Дипломы сотрудников, они должны быть выданы аккредитованными учебными заведениями (списки есть на сайте ФСБ). Штатное расписание запрашивалось, также запрашивались документы о курирующих подразделениях (обычно это приказ).
                                  ДИ должны быть персональными, на это было обращено внимание. Орган КЗИ может быть сформирован Приказом из сотрудников ИБ и ИТ, к примеру (два сотрудника ИБ с образованием полным и 2 сотрудника ИТ со 100 часами на передачу СКЗИ).
                                  Последний раз редактировалось fog1973; 09.01.2019, 09:25.

                                  Комментарий


                                  • #18
                                    Сообщение от Yuliana Посмотреть сообщение
                                    Добрый день!
                                    подскажите, как проверяют лицензионные требования по сотрудникам - берут выписки из штатного расписания?
                                    практиковал ли кто-то совмещение должностей данных сотрудников с работой в других отделах?
                                    Вот на это обратите внимание
                                    https://bankir.ru/dom/forum/департам...41#post4865541

                                    Комментарий


                                    • #19
                                      Сообщение от fog1973 Посмотреть сообщение
                                      Yuliana

                                      Наличие сотрудников и стаж, стаж проверяли очень тщательно (со слов проверяющих все основные штрафы и претензии именно к штату и по штату). ).
                                      Подскажите, пожалуйста, размер штрафа? 0,1 % от капитала?

                                      Комментарий


                                      • #20
                                        Сообщение от tim100 Посмотреть сообщение

                                        Подскажите, пожалуйста, размер штрафа? 0,1 % от капитала?
                                        Не осведомлен, это не ЦБ, уверен, у них своя тарифная сетка)), что было в нашем случае я пояснил выше, а если по пунктам то так:
                                        1. Минимум 2 чел в штате с образованием со стажем работы от 3-х лет.
                                        2. Соответствие дипломов учебных заведений критериям (критерии на сайте фсб, пошли когда отменили при повышении квалификации дипломы гос образца)
                                        3. Наличие аттестованного помещения и аттестованной техники
                                        4.Наличие журналов регистрации выдачи СКЗИ за последние 5 лет
                                        5.Наличие в работе сертифицированных СКЗИ, сертификаты, журналы и т.п.
                                        6. Демонстрация работы со СКЗИ
                                        Последний раз редактировалось fog1973; 09.01.2019, 14:49.

                                        Комментарий


                                        • #21
                                          Сообщение от tim100 Посмотреть сообщение
                                          Подскажите, пожалуйста, размер штрафа?
                                          По идее - какая-то административка.
                                          По крайней мере, за работу без лицензии мы в своё время получили именно её.
                                          То есть, было что-то типа 15 тыр.
                                          Но дело было зело давно и с тех пор законы несколько ужесточались.

                                          Комментарий


                                          • #22
                                            большое спасибо всем за ответы

                                            Комментарий


                                            • #23
                                              Сообщение от Yuliana Посмотреть сообщение
                                              Добрый день!
                                              подскажите, как проверяют лицензионные требования по сотрудникам - берут выписки из штатного расписания?
                                              практиковал ли кто-то совмещение должностей данных сотрудников с работой в других отделах?
                                              в СПб в 2014 и в 2016 году дипломы годились копии, а трудовые требовали оригиналы+сотрудников приглашали и именно им задавали вопросы.
                                              не банк но лицензия на все банковские пункты и даже больше.
                                              А по поводу совмещения должностей в одной организации - можно. Главное в штате.

                                              Комментарий

                                              Пользователи, просматривающие эту тему

                                              Свернуть

                                              Присутствует 1. Участников: 0, гостей: 1.

                                              Обработка...
                                              X