Как ФСБ проверяет мастерские

с 1 июля 2016 года официально запрещены аналоговые тахографы, которые теперь необходимо менять на тахографы с блоком СКЗИ. Вопрос к эксперту в тахографии< Кем запрещены официально?

Здравствуйте. Аналоговые тахографы отменены на внутренних перевозках России на основании Приказа Минтранса РФ от 02.12.2015 № 348 (http://naviport.info/info/docs/348/), это также подтверждено судебной практикой на основании решения Верховного суда (http://naviport.info/upload/files/resh_verh_sud_analog.pdf).

Здравствуйте! Ни в одном нормативном акте регулятора не идёт речи об отмене аналоговых контрольных устройств, устанавливаемых на транспортные средства. В приказе Минтранса России № 273 идёт речь о том, что транспортные средства должны быть оснащены техническими устройствами, обеспечивающими регистрацию на карты ЕСТР или на карты тахографа, использующие СКЗИ для защиты информации. Так что, используйте "аналоговый тахограф" на здоровье. Но для контроля режимов труда и отдыха водителя, будьте любезны использовать техническое устройство в соответствии с требованиями приказа Минтранса России № 273. Более того, транспортные средства, осуществляющие международные перевозки, могут эксплуатироваться с аналоговыми контрольными устройствами, в соответствии с договорённостями, изложенными в ЕСТР с дополнениями. Слова о запрете можно услышать и прочесть в различных комментариях, но не в нормативных, а, тем более, законодательных актах. Однако, при этом, эксплуатация аналоговых контрольных устройств, если транспортное средство не осуществляет международные перевозки, стала не актуальна. Для выполнения контрольно надзорных функций по контролю режимов труда и отдыха водителей информация соответствующими органами будет получаться с технических устройств, обеспечивающих регистрацию на карты ЕСТР или на карты тахографа, использующие СКЗИ для защиты информации. Такой экспертный комментарий мы получили, чем и хотим поделиться. Возможно наши специалисты не достаточно компетентны, но у нас бытует устойчивое мнение, что аналоговые контрольные устройства вообще не могут обеспечить регистрацию ни на какую карту, в том числе и, так называемую, по 720 постановлению. В данной ситуации, по нашему мнению, если при проверке контролёром на транспортном средстве будет установлено аналоговое контрольное устройство, но не будет цифрового контрольного устройства, то организация, эксплуатирующая такое транспортное средство, будет подвергнута административному наказанию. Но, это не касается транспортного средства, осуществляющего международные перевозки. Т.е., имеющего специальное разрешение.

Здравствуйте! После вступления в силу приказа Минтранса России № 36 от 13.02.13, экспертами в области информационной безопасности высказывались мнения о необходимости выполнения требований ФСБ России мастерскими, как полноценными участниками рынка оборота и эксплуатации СКЗИ, без «скидок» на специфику работы мастерской. Мало кто из соискателей задумывался над тем, что и, главное, каким образом, они должны выполнять в рамках лицензированного вида деятельности. По истечении времени, но уже тогда, когда сотрудники ФСБ России стали проводить плановые и неплановые проверки мастерских, в результате чего появились первые штрафы, а более того, и уголовные дела, руководители мастерских стали обращаться к экспертам в области информационной безопасности для получения квалифицированных консультаций в части выполнения лицензионных требований. Однако, большинство мастерских до настоящего времени не задумывается о том, что невыполнение лицензионных требований влечёт привлечение, как минимум, к административной ответственности. После ознакомления с материалом экспертов ЭОЧУ ЮТК, касающимся проверок в мастерских выполнения лицензированного вида деятельности соответствующими подразделениями ФСБ России, мы посчитали необходимым задать ряд вопросов, для более детального раскрытия вопросов, связанных с проверками. Тем более, что руководству мастерских по этому поводу поступает достаточно противоречивая информация от разных, якобы экспертов, отстаивающих, в основном, исключительно собственные коммерческие интересы. Деятельность таких экспертов никогда, до 2013 года, не была связана со средствами криптозащиты. А, если и была у некоторых связана, то только с вопросами получения лицензий при помощи привлечённых специалистов, но в меньшей мере с выполнением лицензионных требований в полной мере, как того требует регулятор. Ниже приводим, сформулированные нами вопросы и просим экспертов ЭОЧУ ЮТК, с учётом специфики деятельности мастерской, осуществляющей деятельность по установке, проверке, техническому обслуживанию и ремонту тахографов, подробно ответить на наши вопросы. 1. После получения лицензии работники соответствующей квалификации, которые, на момент получения лицензии числились в штате соискателя по основному месту работы, переведены на работу по совместительству. Нарушены ли при этом лицензионные требования, наказуемо ли это со стороны контролирующего органа и каким образом? 2. После получения лицензии мастерской, работники соответствующей квалификации, числящиеся в штате мастерской на момент получения лицензии, уволены. Их функционал возложен на работников организации, которые имеют опыт работы у лицензиата по совместительству в течение полутора лет, при этом они либо проходят, либо уже прошли переподготовку в учебном центре по направлению «Информационная безопасность» по программе 520 – ти часов. Нарушены ли при этом лицензионные требования, наказуемо ли это со стороны контролирующего органа и каким образом? 3. Какие СКЗИ (типы, виды, категории) используют в своей деятельности мастерские, осуществляющие деятельность по установке, проверке, техническому обслуживанию и ремонту тахографов? 4. Где мастерская может получить сертификат соответствия на используемые СКЗИ и чем это регламентировано? 5. Где мастерская может получить эксплуатационную документацию на СКЗИ (формуляры, правила работы, руководство оператора и т.п.) и чем это регламентировано? 6. Должны ли документы, рассмотренные в вопросах 4 и 5 иметь признаки утверждения соответствующим органом сертификации или лицензирования и какие? Чем это регламентировано? 7. Каким образом мастерская может выявлять несертифицированные ФСБ России СКЗИ? Какие у неё для этого полномочия? Какие действия должна предпринять мастерская при выявлении несертифицированных ФСБ России СКЗИ? 8. Достаточно ли мастерской иметь в штате, по основному месту работы, руководителя и инженера подразделения информационной безопасности, соответствующей квалификации, и ряд сотрудников в подразделении, прошедших внутренний инструктаж, связанный с работой СКЗИ, для полноценного выполнения лицензионных требований? 9. Какой функционал может быть возложен на ответственного пользователя СКЗИ и пользователя СКЗИ, применительно к мастерской, в части работ с тахографами и, в части работ с картами тахографов? 10. Применительно к деятельности мастерской, осуществляющей деятельность по установке, проверке, техническому обслуживанию и ремонту тахографов, что такое ключевые документы, как они выглядят? 11. Приказ ФАПСИ № 152 и типовые требования, утверждённые руководством 8-го управления ФСБ России, требуют, чтобы криптосредства и ключевые документы доставлялись фельдъегерской (в том числе ведомственной) связью или со специально выделенными оператором ответственными пользователями криптосредств и сотрудниками при соблюдении мер, исключающих бесконтрольный доступ к криптосредствам и ключевым документам во время доставки. Штат фельдъегерей имеется только у ФГУП «ГЦСС». Возможна ли доставка СКЗИ и ключевых документов посредством привлечения организаций, оказывающих услуги курьерской и почтовой доставки, но не имеющих в своем штате фельдъегерей? Если нет, то каким образом выявляются такие нарушения лицензионных требований и каково наказание за подобные нарушения? 12. Каким образом разграничены вопросы выполнения работ и оказания услуг по лицензированным видам деятельности? 13. После получения лицензии ФСБ России мастерская, реально, не выполняет работы и не оказывает услуги по лицензированным видам деятельности. Необходимо ли, при этом, мастерской выполнять лицензионные требования? Какие последствия могут быть для мастерской, при условии невыполнения нею обязанностей по лицензированным видам деятельности? 14. Может ли мастерская продавать СКЗИ организации, не имеющей лицензии ФСБ России? Если да, то какие условия должны быть соблюдены для этого? Появляется ли, при этом, у организации, не имеющей соответствующей лицензии ФСБ России, обязанность учёта средств криптозащиты? 15. Карта тахографа является СКЗИ. Водитель, получивший карту тахографа на своё имя, является пользователем СКЗИ. Считается ли утеря карты тахографа утерей ключевых документов, способствующих компрометации действующих ключей к СКЗИ? Какая ответственность, при этом, возложена на пользователя СКЗИ и на ответственного пользователя СКЗИ? Кто, при этом, является ответственным пользователем СКЗИ? 16. В каком случае мастерская выполняет работы, а в каком оказывает услуги в рамках реализации вопросов тахографии? Данный перечень вопросов далеко не полон. Квалифицированные ответы на данные вопросы помогут мастерским глубже вникнуть в вопросы выполнения лицензионных требований. В тоже время, ознакомление с ответами на данные вопросы, наверняка, вызовут у мастерских новые вопросы к экспертам. Считаем, что их не нужно стесняться задавать, чтобы иметь первичную информацию для грамотного выстраивания работы мастерской в рамках выполнения лицензионных требований. Ждем ответы экспертов ЭОЧУ ЮТК на поставленные вопросы. Благодарим за внимание!