Где ознакомиться с планами проверок на 2023 год

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Где ознакомиться с планами проверок на 2023 год». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. КТО МЫ, КИИ ИЛИ НЕ КИИ?
2. Если что-то изменилось
3. Подходы к внедрению процессов БРПО
4. Информационное сообщение ФСТЭК России от 17 апреля 2020 г. N 240/84/611
5. Сколько стоит аттестация?
6. Основные изменения в законодательстве о проверках в 2020 — 2021 годах
7. Положение по сертификации ФСТЭК хочет перемен?
8. Единый реестр видов контроля начнёт функционировать с 1 июля 2021 года
9. Приказ № 239 ФСТЭК России
10. Утвержден план проверок на 2022 год
11. Планы проверок – 2022 уже утверждены

В соответствии со статьей 7 Федерального закона от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127, субъекты критической информационной инфраструктуры осуществляют категорирование объектов критической информационной инфраструктуры Российской Федерации, в ходе которого формируют и направляют в ФСТЭК России перечни объектов критической информационной инфраструктуры, подлежащих категорированию.

КТО МЫ, КИИ ИЛИ НЕ КИИ?

Первым делом необходимо выяснить, подпадает ли организация под понятие «субъект КИИ» и сделать это можно посмотрев законодательство. Не нашли себя, выдохните, у вас немного меньше головной боли.

Какие критерии указывают что вы субъект КИИ?

Первый критерий – ОКВЭД организации. Общероссийский классификатор видов экономической деятельности (ОКВЭД), они, а их может быть много у одного предприятия, открываются в любой момент деятельности, поэтому актуальный список вы можете посмотреть в выписке ЕГРЮЛ предприятия или информационно-справочных сервисах «Контур Фокус», «Спарк» и пр. ОКВЭД явно укажет, к какой сфере деятельности относится ваше предприятие и подпадает ли под перечень следующих отраслей указанных в ФЗ №-187:

  • здравоохранение;
  • наука;
  • транспорт;
  • связь;
  • энергетика;
  • банковская сфера и иные финансовые сферы;
  • топливно-энергетический комплекс;
  • область атомной энергии;
  • оборонная промышленность;
  • ракетно-космическая промышленность;
  • горнодобывающая промышленность;
  • металлургическая промышленность;
  • химическая промышленность;
  • юридически лица и/или ИП, которые обеспечивают взаимодействие указанных систем или сетей.

Если что-то изменилось

Документация по объектам критической информационной инфраструктуры не остается неизменной. Время от времени её нужно актуализировать. Например, если:

  • такое решение приняла ФСТЭК по результатам проверки;
  • сам объект КИИ претерпел изменения и перестал соответствовать ранее определенным критериям значимости;
  • субъект КИИ ликвидирован или изменена его организационно-правовая форма;
  • появились новые объекты КИИ или модернизированы существующие;
  • прошло пять лет с момента согласования документации с ФСТЭК.

Подходы к внедрению процессов БРПО

Рассматривая существующие подходы к внедрению процессов безопасной разработки ПО (БРПО), можно выделить три основных направления: отечественная регуляторика, гармонизированные международные стандарты, международные стандарты и практики. К последним двум можно отнести стандарты серии ГОСТ/ИСО МЭК 27034 «Безопасности приложений», систему стандартов ГОСТ Р ИСО/МЭК 15408 «Общие критерии», а также стандарты, разработанные на основе накопленного опыта крупных международных вендоров и некоммерческих организаций, таких как Microsoft, Cisco, OWASP и других.

Если говорить про отечественную регуляторику, то это уже упомянутый выше Приказ № 239 ФСТЭК России, а также система национальных стандартов ГОСТ Р 56939, к которой относится один утвержденный стандарт и пять опубликованных проектов стандартов. Изложенные в них подходы хорошо знакомы разработчикам средств защиты информации, которые в ходе сертификационных испытаний проводят проверки безопасности своих программных продуктов по «Методике выявления уязвимостей и недекларированных возможностей» (документ утвержден в 2020 году и имеет ограниченное распространение), а также в соответствии с требованиям Приказа № 76 ФСТЭК России.

Информационное сообщение ФСТЭК России от 17 апреля 2020 г. N 240/84/611

Информационное сообщение ФСТЭК России от 17 апреля 2020 г. N 240/84/611

Информационное сообщение ФСТЭК России от 17 апреля 2020 г. N 240/84/611

137 КБ 1971
117 КБ 1005

Сколько стоит аттестация?

Стоимость аттестации зависит от множества критериев. В первую очередь от того, проводились ли ранее работы по аттестации объекта КИИ.

Полный набор критериев, от которых зависит стоимость аттестации выглядит следующим образом:

  • количественные характеристики (количество объектов вычислительной техники, сетевого и коммуникационного оборудования);
  • качественные характеристики (состав используемого прикладного программного обеспечения, типы аппаратных платформ и др.);
  • применяемые технологии обработки информации (терминальный доступ, беспроводной доступ, SAAS, облачные технологии и др.);
  • распределенность информационной системы (географическая/территориальная).

Только проведя оценку по каждому критерию, можно определить стоимость аттестации объекта КИИ.

Основные изменения в законодательстве о проверках в 2020 — 2021 годах

В случае использования несертифицированного программного обеспечения в субъектах или государственных учреждениях и структурах, ФСТЭК может лишить проверяемую организацию, государственной лицензии на проведение своей деятельности или предоставление услуг. Кроме этого, предусмотрены огромные денежные штрафы.

Мы подобрали для Вас, самое популярное программное обеспечение, используемое в государственным учреждениях, и которое можно приобрести в нашем интернет-магазине.

По решению Правительства на плановые проверки субъектов малого бизнеса в течение 2021 года введен мораторий. Не освобождаются от проверок организации и ИП, соответствующие двум условиям:

  • привлекались к административной ответственности в виде приостановки деятельности;
  • со дня завершения проверки, по результатам которой были применены санкции, прошло менее трех лет.

Также в план ежегодных проверок войдут компании, имеющие объекты чрезвычайно высокого и или высокого рисков (полный список исключений приведен в п. 8 постановления).

Положение по сертификации ФСТЭК хочет перемен?

Никаких ограничений в плановых проверках нет для лиц, деятельность и (или) используемые производственные объекты которых отнесены к :

  • категориям чрезвычайно высокого и высокого рисков или 1, 2 классам (категориям) опасности;
  • I, II и III классу опасности опасных производственных объектов;
  • I, II и III классу гидротехнических сооружений;
  • режиму постоянного государственного контроля (надзора).

Установлено, что уже утвержденные ежегодные планы проверок все госструктуры должны привести в соответствие с требованиями Постановления № 1969 не позднее 15 декабря 2020 г. Ищите себя в планах.

  • Как изменились требования по удалённому взаимодействию? (20:08)
    Смягчены требования по удалённому взаимодействию ЗО КИИ с внешним миром. Норма о запрете на взаимодействие заменена допущением на взаимодействие в отдельных случаях при условии выполнения определённых мер.

  • В каких случаях допускается удалённое взаимодействие? (23:58)
    Удалённое взаимодействия допускается в случае технической невозможности его исключения. Например, при необходимости получения извне данных для обеспечения техпроцесса.

  • Кому разрешён удалённый доступ? (24:46)
    Работникам организаций, дочерних по отношению к субъекту КИИ, который эксплуатирует значимый объект КИИ.

  • Как организовать получение обновлений для ЗО КИИ с учётом требований к удалённому доступу? (24:54)
    Так как запрещается удалённый доступ со стороны лиц, не являющихся работниками субъекта КИИ, то сотрудник субъекта может зайти на сайт производителя ПО, в личном кабинете скачать обновление и установить его. Запрещается доступ разработчика ПО (ПЛК, SCADA-пакета) к ЗО КИИ — ограничение именно на это накладывается.

  • Какие меры надо принять для организации удалённого доступа? (26:17)
    Меры уже были перечислены в Приказе №239, теперь они указаны в явном виде, чтобы не было возможности отказаться от их выполнения, заменив меры из базового набора другими мерами.

    1. Определение лиц и устройств, которым разрешён удалённый доступ;
    2. Контроль доступа;
    3. Защита данных, передаваемых по каналам удалённого доступа;
    4. Мониторинг и регистрация действий лиц, которым разрешён удалённый доступ, и анализ действий по удалённому доступу;
    5. Обеспечение невозможности отказа лиц, получивших удалённый доступ, от совершённых действий.
  • Правовые основы деятельности
  • Нормативные акты
  • Постановления Европейского Суда по правам человека
  • Судебная практика
  • Конституционный Суд
  • Верховный Суд
  • Научно-методические материалы
  • По вопросам надзора за исполнением федерального законодательства
  • По иным вопросам надзорной деятельности
  • Статистические данные
  • Об использовании выделяемых бюджетных средств
  • О деятельности органов прокуратуры
Читайте также:  С какими долгами выпускают за границу в 2023 году

Основные типы компьютерных инцидентов, которые могут привести к внеплановой проверке:

  • с вашей информационной инфраструктуры произошла компьютерная атака на орган власти или бюджетное учреждение;
  • в результате компьютерного инцидента компания обратилась в МВД или ФСБ, и они в ходе расследования выявили, что компьютерная атака шла с вашей информационной инфраструктуры;
  • от лица вашей компании произошла рассылка электронных писем, сообщений в мессенджерах, соцсетях с вредоносным ПО или ссылками на фишинговые сайты.

Во всех перечисленных случаях можно ожидать проверки со стороны ФСБ.

Последствия такой проверки будут следующие:

  1. выдача предписания. На исполнение обычно дается 30 дней;
  2. штраф по статье 13.12 КоАП;
  3. уголовное дело по статье 274 УК РФ в случае, если есть подозрение, что ваша организация могла знать об атаке или своими действиями или бездействием способствовала ее совершению.

Под данный тип компьютерных инцидентов может попасть как любая организация любой формы собственности, так и обычный гражданин.

В любом случае, каким бы не было основание для проведения внеплановой проверки, она не несет спокойствия и нарушает режим работы организации, не говоря уже о возможных штрафах, приостановлении деятельности организации или привлечения руководителя и других сотрудников к уголовной ответственности.

Выполнение требований законодательства по защите информации и следование лучшим практикам обеспечения информационной безопасности позволит организациям значительно снизить вероятность возникновения компьютерных инцидентов, а значит и негативных последствий для бизнеса.

Во время работ по лицензированию организации сталкиваются с тремя основными сложностями:

  1. Оборудование. Для выполнения работ и оказания услуг по аттестации защищаемых помещений и автоматизированных систем необходимо закупить (иметь в собственности или на любом ином законном основании) оборудование. Стоимость комплекта варьируется, но составляет около миллиона рублей. И если начать работы по лицензированию с покупки оборудования, то к моменту подачи заявления может оказаться так, что его придется заново поверять (сертификаты о поверке действительны один год). Можно попытаться сэкономить и взять оборудование в аренду, но она должна быть специальным образом оформлена. Требуется периодически подтверждать владение оборудованием, заключать дополнительные соглашения к договорам аренды о том, что оборудование находится именно у арендатора. Минус варианта с арендой в том, что он снижает шансы на получение лицензии — велика вероятность оформить отношения неверно и получить отказ.
  2. Аренда помещений. Если соискатель лицензии арендует помещение у субарендатора, то необходимо представлять всю цепочку документов вплоть до владельца помещения. Также необходимо следить за тем, чтобы фактические номера помещений совпадали с кадастровыми, чтобы помещения однозначно идентифицировались исходя из одних лишь документов.
  3. Кадровая документация. У сотрудников должны быть дипломы о высшем профессиональном образовании в области технической защиты информации и стаж более трех лет либо диплом о высшем образовании с курсов переподготовки / о высшем техническом образовании и стаж более пяти лет. Сотрудников должно быть не менее трех, и они должны быть трудоустроены у соискателя по основному месту работы.

Для того чтобы получить лицензию, а затем успешно проходить в случае необходимости плановые проверки ФСТЭК на соблюдение требований, предлагаем учесть ряд моментов:

  1. Оборудование (если оно необходимо для выбранного вами вида деятельности) лучше покупать, а не брать в аренду.
  2. Постоянно следить за изменениями в законодательной базе и поддерживать документацию в актуальном состоянии, в том числе периодически обновлять и докупать ГОСТы (информация об этом не является тайной, официальный сайт ФСТЭК России открыт для всех).
  3. Своевременно обновлять антивирусное ПО и лицензии на контрольно-измерительное программное обеспечение и оборудование.
  4. Вовремя проводить переаттестацию помещений и автоматизированных систем, поскольку аттестаты действительны максимум три года.

Все материалы сайта Министерства внутренних дел Российской Федерации могут быть воспроизведены в любых средствах массовой информации, на серверах сети Интернет или на любых иных носителях без каких-либо ограничений по объему и срокам публикации.

Это разрешение в равной степени распространяется на газеты, журналы, радиостанции, телеканалы, сайты и страницы сети Интернет. Единственным условием перепечатки и ретрансляции является ссылка на первоисточник.

Никакого предварительного согласия на перепечатку со стороны Министерства внутренних дел Российской Федерации не требуется.

ТО Киров план план проведения плановых проверок юридических лиц и индивидуальных предпринимателей на 2021 год

ТО Киров план проверок ОМС 2021 год

ТО РМЭ план план проведения плановых проверок юридических лиц и индивидуальных предпринимателей на 2021 год

Согласно документам ФСТЭК России, к СЗИ относятся: межсетевые экраны, средства обнаружения вторжений, антивирусные программы, средства доверенной загрузки и контроля съемных носителей, другие решения в области информационной безопасности. В таблице 1 приведена дифференциация требований к УД СЗИ в зависимости от класса (категории/уровня) объекта защиты.

Таблица 1. Дифференциация требований к уровням доверия СЗИ

УД СЗИ КИИ (категория) ГИС АСУ ТП ИСПДн
(уровень защищенности ПДн)
(класс защищенности)
6 3 3 3 3, 4
5 2 2 2 2
4* 1 1 1 1
1, 2, 3 Государственная тайна
* включая информационные системы общего пользования II класса

СЗИ, соответствующие 6-му УД, подлежат применению в значимых объектах критической информационной инфраструктуры (далее — КИИ) 3 категории, в государственных информационных системах (далее — ГИС) 3 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами (далее — АСУ ТП) 3 класса защищенности, в информационных системах персональных данных (далее — ИСПДн) при необходимости обеспечения 3 и 4 уровня защищенности персональных данных.

СЗИ, соответствующие 5-му УД, подлежат применению в значимых объектах КИИ 2 категории, в ГИС 2 класса защищенности, в АСУ ТП 2 класса защищенности, в ИСПДн при необходимости обеспечения 2 уровня защищенности персональных данных.

СЗИ, соответствующие 4-му УД, подлежат применению в значимых объектах КИИ 1 категории, в ГИС 1 класса защищенности, АСУ ТП 1 класса защищенности, в ИСПДн при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса.

Единый реестр видов контроля начнёт функционировать с 1 июля 2021 года

18 мая 2021 года Государственная Дума РФ приняла в третьем (окончательном) чтении законопроект о штрафах за нарушение безопасности критической информационной инфраструктуры. Речь идет о системах в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и т. д.

Согласно новым нормам, которые должны вступить в силу 1 сентября 2021 года, за нарушения требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры, обеспечения их работы и безопасности будут грозить штрафы. Их сумма составит от 10 000 до 50 000 рублей для должностных лиц и от 50 000 до 100 000 рублей для юридических лиц.

В конце марта 2021 года сервис для защиты информационных активов «Ростелеком-Solar» опубликовал исследование, в котором сообщил о двукратном росте числа атак на объекты критической информационной инфраструктуры (КИИ: банки, предприятия ТЭК и т.п.) путем проникновения через инфраструктуру подрядчика (метод supply chain) в 2020 году. Центр мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар» выявил и отразил свыше 1,9 млн атак, что на 73% превышает показатель 2019 года.

По словам экспертов, взлом подрядчика стал самым эффективным методом для проникновения в целевые для киберпреступников инфраструктуры, среди которых, как правило, крупнейшие федеральные организации госсектора и объекты КИИ. Это подтверждается и международным опытом. В конце 2020 года стало известно о взломе компании-разработчика ПО SolarWinds, вследствие чего пострадали такие ее клиенты, как Microsoft, Cisco, FireEye, а также несколько ключевых министерств и ведомств США. Аналогичные попытки атак на органы власти и объекты КИИ Solar JSOC фиксирует и в России.

12 марта 2021 года стало известно об уязвимости более 6300 камер видеонаблюдений, установленных на объектах критической инфраструктуры и промышленных предприятиях России. Из-за недостатков в этом оборудовании его легко взломать.

Читайте также:  Судебные расходы. Как взыскать и куда подать заявление?

Об уязвимости камер на электростанциях, промышленных предприятиях, АЗС и т. п. сообщили в компании Avast со ссылкой на данные поисковой системы по интернету вещей Shodan.io. IP-адреса этих камер открыты, и к ним могут получить доступ киберпреступники, рассказали «Коммерсанту» эксперты.

Доступ к ряду камер сегодня защищен самыми простыми паролями, которые легко можно подобрать, подтвердил изданию гендиректор компании «Интернет Розыск» Игорь Бедеров. Такие камеры, по его словам, могут быть размещены в том числе в банках, что потенциально грозит утечками данных кредитных карт и паспортов клиентов. На базе камер с открытым IP можно организовать нелегальную систему видеонаблюдения или аналитики, допустил Бедеров. Если дополнить такую систему модулями распознавания лиц, получится система тотальной слежки, сказал он.

Все материалы сайта Министерства внутренних дел Российской Федерации могут быть воспроизведены в любых средствах массовой информации, на серверах сети Интернет или на любых иных носителях без каких-либо ограничений по объему и срокам публикации.

Это разрешение в равной степени распространяется на газеты, журналы, радиостанции, телеканалы, сайты и страницы сети Интернет. Единственным условием перепечатки и ретрансляции является ссылка на первоисточник.

Никакого предварительного согласия на перепечатку со стороны Министерства внутренних дел Российской Федерации не требуется.

Приказ № 239 ФСТЭК России

Перечислены меры защиты, которые нужно применять исходя из присвоенной объекту категории.

После того как субъект выделит лю­дей, работающих со значимыми объек­тами, ему следует определиться с ОРД. Если посмотреть на таблицу из Прика­за № 239 ФСТЭК России, то мы увидим, что каждая группа требований начина­ется с нулевого пункта. Например, груп­па «VI. Антивирусная защита» содержит меру «АВЗ.0 — Регламентация правил и процедур антивирусной защиты». Сле­довательно, если для владельца значи­мого объекта положения этой группы применимы, ему стоит позаботиться о принятии документа, регламентиру­ющего требования к антивирусной защи­те, соответствующие мероприятия и т.д.

Таблица из Приказа № 239 разбита на 17 групп, к каждой из них нужно раз­работать новые или актуализировать действующие регламенты. Либо нужно создать документ «Политика ИБ значи­мых объектов КИИ» и добавить в него со­ответствующие разделы. Надо отметить, что 17 групп применимы только к объ­ектам 1-­й и 2-­й категорий значимости. Для 3­-й категории исключаются группы III «Ограничение программной среды» и VII «Средство обнаружения вторжения». Но остальные 15 групп необходимо рас­смотреть, выделить те, что применимы к объекту КИИ и соответствуют вашим моделям угроз и нарушителей, и присту­пить к их разработке.

Иерархическая структура необходи­мых документов представлена в табл. 1.

В качестве примера в табл. 2 представ­лен минимальный набор регламентов, которые мы готовим для заказчиков в рамках построения системы безопас­ности для объектов 3­-й категории зна­чимости.

Утвержден план проверок на 2022 год

Федеральным законом от 25.12.2018 № 480-ФЗ «О внесении изменения в Федеральный закон «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», с 1 января 2019 года по 31 декабря 2020 года установлены «надзорные каникулы» для субъектов малого и среднего предпринимательства, по которым не введен риск-ориентированный подход.

Новый период «надзорных каникул» вводится путем дополнения Федерального закона от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» новой ‎статьей 26.2, согласно которой с 1 января 2019 года по 31 декабря 2020 года не будут проводиться плановые проверки в отношении юридических лиц, индивидуальных предпринимателей, сведения о которых включены в единый реестр субъектов малого и среднего предпринимательства. Для защиты охраняемых законом ценностей данные ограничения не будут применяются:

  • при проведении плановых проверок в рамках видов государственного контроля (надзора), по которым установлены категории риска, классы (категории) опасности, а также критерии отнесения деятельности юридических лиц, индивидуальных предпринимателей и (или) используемых ими производственных объектов к определенной категории риска либо определенному классу (категории) опасности;

  • при проведении плановых проверок в отношении юридических лиц, индивидуальных предпринимателей, осуществляющих лицензируемые виды деятельности;

  • в отношении плановых проверок в рамках проведения:

    • федерального государственного надзора в области обеспечения радиационной безопасности;

    • федерального государственного контроля за обеспечением защиты государственной тайны;

    • внешнего контроля качества работы аудиторских организаций, определенных Федеральным законом от 30 декабря 2008 года № 307-ФЗ «Об аудиторской деятельности»;

    • федерального государственного надзора в области использования атомной энергии;

    • федерального государственного пробирного надзора.

Федеральным законом от 13.07.2015 № 246-ФЗ предусматривается, что с 1 января 2016 года по 31 декабря 2018 года вводится ограничение на проведение плановых проверок в отношении субъектов малого предпринимательства, за исключением:

  • лиц, осуществляющих виды деятельности, перечень которых устанавливается Правительством РФ (рисковые виды деятельности);

  • хозяйствующих субъектов, привлекавшихся к административной ответственности за грубые правонарушения или лишенных лицензии на осуществление деятельности и с даты окончания проведения проверки, по результатам которой было вынесено такое постановление (решение), прошло менее 3-х лет.

Хозяйствующим субъектам предоставляется право подать заявление об исключении их из ежегодного плана проведения плановых проверок.

Согласно Распоряжению Правительства РФ от 19.04.2016 № 724-р с 1 июля 2016 года при проведении проверок запрещено требовать у юридических лиц и индивидуальных предпринимателей:

  • разрешения на строительство;
  • сведения из реестра нотариусов и лиц, сдавших квалификационный экзамен;
  • выписки из реестра федерального имущества;
  • выписки из реестра зарегистрированных СМИ;
  • сведения из ЕГРП;
  • сведения из реестра аккредитованных лиц;
  • сведения из бухгалтерской (финансовой) отчетности;
  • сведения из Единого государственного реестра налогоплательщиков;
  • сведения из ЕГРИП и ЕГРЮЛ;
  • сведения о выдаче иностранному лицу или лицу без гражданства вида на жительство;
  • сведения о регистрации по месту жительства или месту пребывания гражданина РФ.

В то же время согласно изменениям, внесенным в статью 360 Трудового кодекса РФ (Федеральный закон от 03.07.2016 № 272-ФЗ) внесено дополнительное основание для проведения внеплановых проверок – поступление любой информации в Государственная инспекция труда (ГИТ) из любых источников (в том числе — из СМИ) о фактах нарушений работодателями требований трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права, в том числе:

  • требований охраны труда, повлекших возникновение угрозы причинения вреда жизни и здоровью работников;

  • приведших к невыплате или неполной выплате в установленный срок заработной платы, других выплат, причитающихся работникам;

  • установлению заработной платы в размере менее МРОТ.

Следовательно, ГИТ вправе проводить внеплановые проверки чаще и для этого не надо ждать жалоб от физических лиц.

План всех проверок всего бизнеса (как организаций, так и индивидуальных предпринимателей) должна согласовывать и публиковать на своем сайте прокуратура — так установил Закон № 294-ФЗ и Постановление Правительства РФ от 30.06.2010 № 489 «Об утверждении Правил подготовки органами государственного контроля (надзора) и органами муниципального контроля ежегодных планов проведения плановых проверок юридических лиц и индивидуальных предпринимателей».

На этом основании органы гос контроля и надздора каждого региона до 1 сентября направляют в прокуратуру региона проекты ежегодных планов проверок организаций и ИП для рассмотрения и согласования (проверки на предмет законности) региональной прокуратурой. После рассмотрения планов прокуратура возвращает планы для их утверждения органами гос. контроля и надздора каждого региона. К 1 ноябяря органы гос контроля и надздора каждого региона направляют в прокуратуру уже утвержденные планы проверок.

По общему правилу для проведения плановой проверки необходимо, чтобы прошло 3 года со дня:

  1. Государственной регистрации юридического лица, индивидуального предпринимателя.

  2. Окончания проведения последней плановой проверки.

  3. Начала осуществления организацией (ИП) предпринимательской деятельности в соответствии с представленным в уполномоченный гос. орган уведомлением о начале предпринимательской деятельности.

Читайте также:  Пенсионный фонд предложил новый механизм выплат накопительных пенсий

При этом (пункт 2) учитываются только плановые проверки, у которых была та же цель (предмет).

Это означает, что не учитываются:

  • внеплановые проверки (к таковым, к примеру, относятся проверки по жалобам потребителей);

  • плановые проверки, проведенные тем же гос. органом, но по другим основаниями (с другими целями).

Как водится, из любого правила есть исключения. Так для проведения плановых проверок организаций и ИП, осуществляющих виды деятельности в сфере здравоохранения, сфере образования, в социальной сфере, предусмотрено, что плановые проверки могут проводиться два и более раз в три года.

Надо иметь в виду, что в связи со вступлением в силу Закона от 18.07.2011 № 242-ФЗ изменен порядок проведения проверок в некоторых отраслях государственного надзора (контроля) и муниципального контроля.

Теперь сокращенная периодичность проверок может быть установлена и иными нормативными правовыми актами.

Планы проверок – 2022 уже утверждены

Информационным сообщением от 18 июня 2021 г. N 240/82/1037 ФСТЭК России [11] рекомендует порядок представления субъектами КИИ, осуществляющими деятельность в сфере здравоохранения, перечней объектов КИИ, подлежащих категорированию (далее – перечни), сведений о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий (далее – сведения).

Согласно информационному письму рассмотрение перечней и сведений осуществляется центральным аппаратом ФСТЭК России для субъектов КИИ, являющихся федеральными органами исполнительной власти, а также федеральными учреждениями здравоохранения. Управления ФСТЭК России по федеральному округу, на территории которых расположены соответствующие субъекты КИИ, осуществляют рассмотрение документов субъектов КИИ, являющихся органами власти субъектов РФ, учреждениями здравоохранения, подведомственными органам власти субъектов РФ, а также самостоятельными юридическими лицами.

Постановление Правительства Российской Федерации от 31.05.2021 г. No 837 «О внесении изменения в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» [12] (далее – ПП РФ No 837) официально опубликовано 1 июня 2021 г.

ПП РФ No 837 увеличивает срок рассмотрения Минцифры России, ФСБ России и ФСТЭК России технических заданий на создание государственных информационных систем, а также срок рассмотрения ФСБ России и ФСТЭК России моделей угроз безопасности информации с 10 до 20 рабочих дней.

Постановление Правительства Российской Федерации от 29.06.2021 г. No 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных» [13] (далее – ПП РФ No 1046) официально опубликовано 30 июня 2021 г.

ПП РФ No 1046 вступает в силу с 1 июля 2021 г. и утверждает положение, устанавливающее порядок организации и осуществления государственного контроля (надзора) за обработкой ПДн. Как и ранее, реализация полномочий контрольно-надзорного органа осуществляется Роскомнадзором. Ранее действующее постановление Правительства Российской Федерации от 13 февраля 2019 г. No 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных» признано утратившим силу.

Федеральный государственный контроль (надзор) осуществляется посредством проведения следующих контрольных (надзорных) мероприятий:

  • инспекционный визит;
  • документарная проверка;
  • выездная проверка.

При этом согласно ПП РФ No 1046 Роскомнадзор может осуществлять мероприятия по контролю без взаимодействия с контролируемым лицом в целях предупреждения, выявления, прогнозирования и пресечения нарушения требований.

Для осуществления контроля (надзора) за обработкой вводится система оценки и управления рисками (см. табл. 2). При осуществлении контроля (надзора) поднадзорные объекты классифицируются по одной из следующих категорий риска причинения вреда (ущерба) (далее – категории риска):

  • высокий риск;
  • значительный риск;
  • средний риск;
  • умеренный риск;
  • низкий риск.

ФСБ России представила для общественного обсуждения проект постановления Правительства Российской Федерации «О порядке осуществления федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, контроля и надзора за выполнением органами, организациями, индивидуальными предпринимателями, нотариусами, указанными в части 18.2 статьи 14.1 Федерального закона от 27 июля 2006 г. No 149-ФЗ, организационных и технических мер по обеспечению безопасности персональных данных с использованием средств защиты информации, указанных в части 18.3 статьи 14.1 Федерального закона от 27 июля 2006 г. No 149-ФЗ» [14] (далее – проект ПП РФ). Общественные обсуждения пройдут до 15 июля 2021 г.

Проект ПП РФ направлен на определение порядка осуществления ФСБ России и ФСТЭК России мероприятий по контролю за выполнением организационных и технических мер по обеспечению безопасности ПДн и использованием СрЗИ в единой биометрической системе (ЕБС). Контроль проводится в целях проверки соблюдения государственными органами, органами местного самоуправления, организациями, индивидуальными предпринимателями и нотариусами требований по обеспечению безопасности ПДн.

Несмотря на изъятие из законодательства самой возможности проведения плановых проверок, инспектора ФНС всё-таки смогут раз в три года посещать предпринимателя. Без чуткого контроля со стороны налоговой бизнес не останется.

Главным отличием профилактических мероприятий от проверок является их безвредность для предпринимателя. Инспектор на сможет что-либо требовать или штрафовать, он вправе только наблюдать, фиксировать факты, рекомендовать и консультировать. Разберем профилактические мероприятия подробно.

Теперь инспектора ФНС смогут проводить целый ряд профилактических мероприятий по предупреждению совершения правонарушений предпринимателями. К таким действиям относят:

  • информирование ИП;
  • объявление предостережения предпринимателю;
  • обобщение правоприменительной практики;
  • консультирование субъектов хозяйствования;
  • профилактический визит.

Разберем их подробнее, потому что некоторые из них предполагают скрытую проверку бизнеса.

Законодатели не всегда могут сразу учесть все нюансы практического применения норм нормативно-правовых актов (НПА). Поэтому чтобы предприниматели могли правильно, а главное без нарушений, реализовывать на практике спорные нормы закона, налоговый орган будет ежегодно составлять и публиковать доклад по наиболее резонансным вопросам.

Ознакомившись с официальной трактовкой спорных норм законов, ИП смогут смело их применять на практике, не боясь штрафов.

Это необычная процедура, которая ранее не применялась к индивидуальным предпринимателям. Объявление предостережения проводится в соответствии со статьёй 49 закона 248-ФЗ. Основанием для вынесения подобного решения может являться информация о:

  • совершенных нарушениях закона в сфере применения онлайн-касс;
  • готовящихся нарушениях законодательства;
  • предполагаемых нарушениях законодательства.

Следует заметить, что проверки ККТ в 2022 году могут проводиться и незаметно от предпринимателей – путем анализа их кассовой активности. Именно эта информация будет браться для оценки вероятности и риска совершения правонарушения.

Например, налоговая инспекция может определить, что в дневное время, когда совершаются основные продажи, поток чеков минимален. Это с определенной вероятностью является признаком продаж «мимо кассы». В таком случае и возможно объявление предостережения.

В то ж время, после получения предостережения предприниматель может в течение 15 дней оспорить его с предоставлением доказательств своей позиции. Это можно сделать как при очном посещении органа ФНС, так и через личный кабинет контрольно-кассовой техники. Но заработает такой кабинет только с 01.03.2022 года. В течение 10 дней после обращения, ФНС обязана дать ответ о сохранении или аннулировании своего первоначального решения.

Мониторинг событий ИБ Управление привилегированными пользователями Защита периметра сети Защита АСУ ТП Защита от утечек и НСД

Мониторинг и управление событиями информационной безопасности

Для оперативного реагирования на инциденты информационной безопасности и реализации комплексного подхода к ее обеспечению, включая:

  • разработку и автоматизацию процессов управления инцидентами информационной безопасности;
  • внедрение системы обработки событий информационной безопасности;
  • поставку системы управления информационной безопасностью.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *