ТБ-форум. День второй. Информационная безопасность-2.


Выступление заместителя начальника управления ФСТЭК России Торбенко Е.Б. было посвящено совершенствованию системы НПА в области обеспечения безопасности КИИ.

На основании поступающих во ФСТЭК России документов Торбенко Е.Б. выделяет этапы работы, где встречаются проблемы в организации работы по категорированию КИИ:

- определение объекта КИИ;

- определение субъекта КИИ;

- определение критических процессов;

- формирование перечня КИИ, подлежащих категорированию;

- согласование с государственными органами или юридическими лицами;

- подготовка сведений о результатах категорирования.

Типовые недостатки:

- занижение значений показателей критериев значимости;

- оценка проводится без учета всех показателей;

- не обосновывается неприменимость отдельных критериев; Обосновывать неприменимость критериев принятыми мерами нельзя.

- неполные сведения;

- сведения представлены не по форме, определенной приказом ФСТЭК № 236-2017 г.

С учетом опыта работы ФСТЭК планирует внести изменения в Постановление Правительства РФ № 127-2018 г. в части:

- уточнения показателей критериев значимости; В ряде показателей четко будет определена нижняя граница определения оценки ущерба;

- категорирования вновь созданных объектов КИИ;

- создания и функционирования комиссий по категорированию;

- рассмотрения наихудших сценариев;

- категорирования связанных объектов КИИ;

- оформления 1 акта категорирования на все объекты КИИ, подлежащие категорированию;

- обязательности предоставления сведений в бумажном и электронном виде;

- дополнения понятийного аппарата;

- изменения требований к созданию системы безопасности объекта КИИ и обеспечению безопасности вновь создаваемого объекта КИИ;

- внедрения мер доверия (для ликбеза можно посмотреть: https://lukatsky.blogspot.com/2018/02/blog-post_26.html).

ФСТЭК готовит методику категорирования ОКИИ:

Методики в открытом доступе не будут!!!

Торбенко Е.Б. отметила, что срок утверждения перечня объектов, подлежащих категорированию будет ограничен 01.06.2019 г.

Среди тем, которым были посвящены вопросы с мест можно выделить, тему определения сферы функционирования КИИ. Ряд объектов функционируют более чем в одной сфере. По мнению ФСТЭК прорабатывать нужно по каждой сфере деятельности (????).

February 20, 2019
by @sergeyingoda71
0
5

ТБ-форум. День второй. Информационная безопасность.


Первое впечатление от конференции – вопросы обеспечения безопасности критической информационной инфраструктуры (КИИ) очень многих людей. Во время выступления сотрудников ФСТЭК заняты были все места, очень много людей слушали стоя. 

Во время своего выступления заместитель директора ФСТЭК России Лютиков В.С. озвучил следующие цифры, связанные с КИИ: во ФСТЭК представили сведения о более 28 000 объектов КИИ; в целях категорирования во ФСТЭК поступили документы на более 2 000 объектов КИИ; категорированы примерно 1100 объектов КИИ

В текущем году ожидаются изменения в Правила, утвержденные Постановлением Правительства РФ от 8 февраля 2018 г. № 127. 

ФСТЭК продолжает работу по совершенствованию методов по выявлению уязвимостей и несанкционированного доступа в программном обеспечении. 11 февраля 2019 года утверждены методические рекомендации. 

В рамках этой деятельности продолжится совершенствование деятельности технического комитета по стандартизации «Защита информации» (ТК 362). 

Продолжается совершенствование Банка данных угроз безопасности информации. По состоянию на февраль 2019 года в банк включены 231 угроза и более 20 000 уязвимостей. 

В плане совершенствования методов по выявлению уязвимостей и несанкционированного доступа в программном обеспечении у ФСТЭК есть проблема с иностранными разработчиками программного обеспечения, но работа с ними ведется.

February 20, 2019
by @sergeyingoda71
0
5

ТБ-форум. День перый. Статистика по аттестации.

Продолжаю выкладывать информацию с ТБ-форума.

В этой части уделю внимание статистическим сведениям органа аттестации сил обеспечения транспортной безопасности в сфере морского и речного транспорта — ФБУ «Служба морской безопасности», которые озвучил заместитель начальника Алябьев А.Б..

В ФБУ «Служба морской безопасности» как в орган аттестации по состоянию на начало февраля: 

- поступило более 21 тысячи заявлений на прохождение аттестации:

- отказано в допуске к аттестации 7073 лицам

- допущено к аттестации по результатам проверок документов более 11 тысяч человек, данные цифры приведены с учетом сотрудников УВО Минтранса России.

Прошли аттестацию более 9-ти тысяч человек, из них около 2-х тысяч – сотрудники УВО и около полутора тысяч – сотрудники подразделений транспортной безопасности.

Службой организованы и функционируют 11 аттестующих площадок. На данных площадках была проведена аттестация более 6-ти тысяч человек. Площадки открыты во Владивостоке, Петропавловске-Камчатском, Москве, Санкт-Петербурге, Новороссийске, Нижним Новгороде, Южно-Сахалинске, Астрахани, Ростове-на-Дону, Хабаровске, Калининграде. Наибольшее количество аттестаций проведено в Новороссийске, Санкт-Петербурге и Владивостоке. В настоящий момент прорабатывается вопрос об открытии еще одной площадки в Самаре.

Службой осуществляется также проведение выездных аттестаций силами сотрудников центрального офиса Службы на базе СТИ или подразделений ТБ. На них было проведено порядка одной тысячи аттестаций.

В настоящий момент сотрудниками Службы еженедельно рассматриваются в среднем 200-220 комплектов документов, поданных для прохождения аттестации.

Начиная с конца 2018 года Служба начала сокращать сроки рассмотрения документов. Так в настоящий момент примерные сроки рассмотрения так называемых «простых категорий» (1, 2 и 8) составляют 10-15 рабочих дней, а «сложных», там, где требуется проводить дополнительные запросы в другие Федеральные органы исполнительной власти – 30 дней вместо 45-ти.

Общий процент отказов в допуске лиц к аттестации по сравнению с 2016-2017 годом снизился с 30 до 8-10%.

Вместе с тем субъекты продолжают допускать очевидные ошибки при оформлении пакета документов.

В частности, по-прежнему отсутствуют правильно заверенные копии документов, остается проблема с оформлением медицинских заключений о допуске к работам по ТБ, в том числе наркологическое и психиатрическое. Не все заявители своевременно производят оплату государственной пошлины.

February 18, 2019
by @sergeyingoda71
0
7

ТБ-форум. Проблемы аттестации.


Продолжаю публиковать материалы ТБ-форума.

Вашему вниманию предлагаю часть доклада заместителя начальника ФБУ «Служба морской безопасности» Алябьева А.Б.

Проблемные вопросы аттестации сил обеспечения транспортной безопасности

Дубликаты и копии свидетельств

Опыт работы ФБУ «Служба морской безопасности» в качестве органа аттестации сил обеспечения транспортной безопасности (далее – Орган аттестации) позволяет выделить ряд проблем, связанных с недостаточным нормативным правовым регулированием оборота свидетельств об аттестации сил обеспечения транспортной безопасности (далее – Свидетельства).

В настоящее время сложилась практика, по которой субъекты транспортной инфраструктуры и подразделения транспортной безопасности (далее – СТИ и ПТБ соответственно) не выдают уволившимся работникам оригиналы Свидетельств. Данная позиция работодателей связана с одной стороны с сокращением своих затрат на подготовку и аттестацию сил обеспечения транспортной безопасности путем снижения текучести кадров, а с другой с противодействием недобросовестным конкурентам, переманивающим «готовых» работников.

С точки зрения права позиция работодателей подкреплена положениями «Правил аттестации сил обеспечения транспортной безопасности» (утв. Постановлением Правительства РФ от 26.02.2015 № 172, далее - Правила). 

Так, пункт 7 Правил в качестве «заявителя» определяет СТИ, ПТБ и организацию, претендующую на аккредитацию в качестве ПТБ. Физическое или аттестуемое лицо Правилами в качестве «заявителя» не рассматривается. Пункт 31 Правил предписывает направлять (передавать) Свидетельство только «заявителю».

Пункт 8 статьи 12.1. Федерального закона от 09.02.2007 № 16-ФЗ «О транспортной безопасности» (далее – Закон) наравне с СТИ и ПТБ в качестве стороны договора о проведении аттестации сил обеспечения транспортной безопасности (далее – Договор) также рассматривает организации и индивидуального предпринимателя, выполняющих работы (оказывающих услуги) в целях исполнения СТИ требований по обеспечению транспортной безопасности, и аттестуемое лицо. Однако Правила не рассматривают указанные организации и лиц в качестве «заявителей», порядок аттестации по их заявлениям не регулируют. 

Таким образом, с точки зрения действующего законодательства «заявителем», стороной Договора и получателем Свидетельства в настоящее время могут выступать только СТИ, ПТБ и организации, претендующие на аккредитацию в качестве ПТБ. Проведение аттестации по заявлениям организаций и индивидуальных предпринимателей, выполняющих работы (оказывающих услуги) в целях исполнения СТИ требований по обеспечению транспортной безопасности, и аттестуемых лиц требует дополнительного регулирования подзаконными нормативными правовыми актами.

Из-за сложившейся ситуации в Орган аттестации поступают обращения о выдаче дубликатов Свидетельств. Однако ни Закон, ни Правила не предусматривают выдачу дубликата Свидетельства.

Утвержденная приказом Минтранса России от 18.12.2014 № 346 форма реестра выданных свидетельств об аттестации сил обеспечения транспортной безопасности не содержит разделов, позволяющих учесть выдачу дубликатов Свидетельств.

Приказ Минтранса России от 14.10.2015 № 307 утверждает только форму свидетельства об аттестации сил обеспечения транспортной безопасности. Форма дубликата Свидетельства нормативными правовыми актами не определена.

Для сравнения можно рассмотреть, как регулируются схожие правоотношения в сфере образования.

Так, в отличие от Закона статья 60 Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации» прямо определяет, что «лицам, успешно прошедшим итоговую аттестацию, выдаются документы об образовании и (или) о квалификации». Он устанавливает, что образцы таких документов об образовании, документов об образовании и о квалификации (за исключением образцов дипломов об окончании ординатуры или ассистентуры-стажировки) и приложений к ним, описание указанных документов и приложений, порядок заполнения, учета и выдачи указанных документов и их дубликатов устанавливаются федеральным органом исполнительной власти, осуществляющим функции по выработке государственной политики и нормативно-правовому регулированию в сфере образования. 

В частности, приказом Минобрнауки России от 13.02.2014 № 112 утвержден Порядок заполнения, учета и выдачи документов о высшем образовании и о квалификации и их дубликатов. Указанным порядком четко определены случаи выдачи дубликатов, порядок заполнения и выдачи дубликатов.

Также Орган аттестации сталкивается с обращениями о выдаче копий Свидетельств. Данные обращения неисполнимы, так как оригиналы Свидетельств в Органе аттестации не хранятся, в соответствии с Правилами они направляются заявителям.

Внеочередная аттестация

Пунктом 33 Правил определены случаи внеочередной аттестации аттестованных лиц. Так, ими предусмотрена возможность проведения внеочередной аттестации в случае:

а) наличия вступившего в законную силу решения суда, которым установлен факт несоблюдения требований законодательства Российской Федерации о транспортной безопасности в результате действия (бездействия) аттестованного лица;

б) наличия вынесенного постановления органа, уполномоченного осуществлять федеральный государственный контроль (надзор) в области транспортной безопасности, которым установлен факт несоблюдения требований законодательства Российской Федерации о транспортной безопасности в результате действия (бездействия) аттестованного лица;

в) изменения должностных обязанностей аттестованного лица, в случае если такие изменения повлекли за собой дополнительные требования к его знаниям, умениям, навыкам и личностным (психофизиологическим) качествам;

г) изменения требований к знаниям, умениям и навыкам аттестованных лиц, к личностным (психофизиологическим) качествам отдельных категорий аттестованных лиц.

Однако, процедура внеочередной аттестации ни Правилами, ни иными нормативными правовыми актами не определена. При этом случаи, определенные пунктом 33 Правил, не являются основанием для аннулирования действующего свидетельства об аттестации (см. пункт 35 Правил).

Согласно Правилам основанием для проведения аттестации является только заявление заявителя (см. пункт 9 Правил). Иные основания Правилами не предусмотрены.

В связи с этим возникают следующие вопросы, требующие нормативного правового регулирования:

- определение органа (компетентный, аттестации, надзорный и т.д.) уполномоченного выносить решение о внеочередной аттестации.

- порядок документирования решение о внеочередной аттестации. В нем необходимо четко решить, аннулируется ли действующее свидетельство об аттестации лица, подлежащего внеочередной аттестации.

- нормативный правовой акт о внеочередной аттестации должен обеспечивать императивность и обязательность решения о внеочередной аттестации для СТИ, ПТБ, иной организации или индивидуального предпринимателя, а также аттестованного лица.

- определение порядка проведения внеочередной аттестации. 

В частности, необходимо сформировать перечень заявителей (компетентный орган; СТИ или ПТБ, в отношении работника которого вынесено решение о внеочередной аттестации; сам работник, в отношении которого вынесено решение о внеочередной аттестации; и т.д.) подает заявление (иной документ) в орган аттестации о проведении внеочередной аттестации. Установить перечень документов, подаваемых заявителем в орган аттестации в целях проведения внеочередной аттестации.

Целесообразно определить документ, подтверждающий факт успешного прохождения внеочередной аттестации. Решить, оформляется ли по итогам внеочередной аттестации свидетельство об аттестации сил обеспечения транспортной безопасности. 

В целях решения возникших вышеизложенных проблемных вопросов Минтрансу России в пределах своей компетенции целесообразно либо внести изменения и дополнения в существующие нормативные правовые акты, регулирующие правоотношения в сфере аттестации сил обеспечения транспортной безопасности, либо издать новые.

February 14, 2019
by @sergeyingoda71
0
3
Show more