fbpx

«К нам едет ревизор», или что проверяет ФСБ по персональным данным

Чем руководствуются?

 

Регулярный контроль со стороны Федеральной Службы Безопасности проводится на основании требований следующих нормативных актов:

и ряд других нормативных документов, но эти основные.

 

Что проверяют?

 

Проверяются условия обработки персональных данных с использованием средств криптографической защиты информации. Правовым основанием является Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 года № 378 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

 

А конкретно?

 

Если говорить о конкретике, то смотрят, прежде всего, приказ о назначении ответственного сотрудника за эксплуатацию средств криптографической защиты. В этом же приказе можно указать всех сотрудников, являющихся пользователями данных средств. Еще приказ должен утверждать инструкцию ответственного за эксплуатацию средств криптографической защиты информации и инструкцию по обращению со средствами криптографической защиты информации. Кстати сказать, вышеуказанная ответственность сотрудника должна быть также закреплена в его функциональных обязанностях.

 

А ещё обязательно спросят акты установления уровня защищенности информационных систем персональных данных с целью выявления тех, в которых используются средства криптографии. Как минимум, это бухгалтерия, где передают данные о сотрудниках в Пенсионный фонд, Налоговую службу и в кредитные организации. Стоит отметить, что компьютеры для работы с Единым порталом государственных услуг и прочими подобными ресурсами не интересуют ввиду отсутствия там фактов обработки персональных данных. В процессе изучения актов проверяющими будут интервьюироваться сотрудники, работающие с данными информационными системами. Тут уже важно то, насколько уместно и корректно они будут отвечать на задаваемые им вопросы.

 

Проверяется журнал учета средств криптографической защиты. Помимо собственных копий данных средств, обязательными для учета являются формуляры, инструкции пользователя и администратора для этих средств. Их нужно обязательно распечатать и также показать при проверке. Не забудьте предоставить акты приема-передачи средств криптографической защиты, так как обычно с этим бывают некоторые проблемы. И, безусловно, необходимы акты установки средств защиты информации на все рабочие станции. Обязательно опечатайте эти рабочие станции. Этот момент тоже на особом счету.

 

Подготовьте приказ о совокупности возможностей нарушителя информационной безопасности. Смысл данного приказа заключается в обосновании выбора класса защиты СКЗИ: КС2 или КС1.

 

И самое интересное – это то, что необходимо иметь сигнализацию и сейфы во всех помещениях, где установлены средства криптографической защиты. Что делать с этой нормой – дело индивидуальное: сейф – штука дорогая и громоздкая.

 

Какие штрафы?

 

Да, штрафы есть. Это новость плохая. А относительно хорошая новость в том, что они незначительные. Для физического лица обычно разговор идет об одной тысяче рублей. Именно на физическое лицо – ответственного сотрудника накладывается данное взыскание. Почему «относительно хорошая новость»? Если 1000 рублей для ответственного сотрудника не значительный штраф, то есть и более существенные, которые начинаются от 50 000 рублей, которые накладываются другими регуляторами, например, Роскомнадзором. Но это уже тема для другого, не менее занимательного материала.

 

Надо ли готовиться к проверке?

 

Непосредственно к самой проверке ФСБ готовиться особого смысла нет. Потому что если не построена комплексная защита персональных данных, то выполнить указанные выше пункты будет весьма проблематично. Мы бы рекомендовали провести полное обследование всей информационной инфраструктуры, оттолкнувшись от которого можно грамотно построить план по защите персональных данных организации. А потом сделать первоначальный акцент на подготовке документов именно к проверке ФСБ. Т.е., одним только комплектом документов грамотно «отбиться», увы, не получится.

 

Вывод

 

Проверка обычно проходит достаточно спокойно, при условии полного наличия всех нужных документов и правильно поставленных ответов на задаваемые вопросы.

 


 

Нужна стоимость работ по защите персональных данных?

 

Заполните опросный лист и в течении одного рабочего дня мы предоставим Технико-Коммерческое предложение для вашей организации.

 

 


 

Мы подготовили для вас комплект документов, которые понадобятся при проверке со стороны ФСБ, ну или просто если вы решите привести в порядок организационно-разрешительную документацию по защите персональных данных на предприятии.

Вы получите следующие шаблоны документов:

  • Приказ об обращении со средствами криптографической защиты
  • Приказ о совокупности возможностей нарушителя криптографической защиты
  • Акт установки уровня защищенности
  • Акт установки средств защиты информации

 

 


Компания ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ» является ведущим системным интегратором ЮФО.

Основные направления деятельности Компании в области информационной безопасности:

Специалисты компании стремятся разработать наиболее полный механизм построения защиты с учетом всех особенностей каждой защищаемой сети учреждения и для этого изучают опыт всех успешных и неудачных фактов отражения кибератак, происходящих в последнее время.

Если у вас есть сомнения по поводу надежности системы информационной безопасности вашего предприятия или вы считаете, что необходимо провести работы по улучшению существующей системы – обращайтесь!

Назад
  1. В статье не написали главного — ФСБ наделена полномочиями проводить проверки в части ПДн только в гос организациях. Если вы коммерческая организация, то ФСБ к вам с проверкой по ПДн не придёт.

    1. Администратор:

      В соответствии с Типовым регламентом проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством РФ, к обеспечению безопасности ПДн при их обработке в ИС ПДн от 08.08.2009г. № 149/7/2/6-1173 (утвержден Руководством 8 Центра ФСБ России), пп.3 п.1.1.2, а так же п.3.6, следует, что объектом проверки могут быть юридические лица или индивидуальные предприниматели. Какого-либо ограничения на организационно-правовую форму юридического лица как объекта проверки регламент не накладывает.

  2. В статье невооруженным взглядом виден непрофессионализм автора. Начиная с того, автор путает основание проверки с документом на соответствие которому она проводится и заканчивая тем, что он изобретает собственные названия документов, о которых даже гугл не знает — «Приказ о совокупности возможностей нарушителя криптографической защиты».

    1. Администратор:

      Благодарим Вас за оставленный комментарий! С точки зрения юридической терминологии, никакой путаницы нет. Обратите внимание, что в статье отсутствует фраза «основание проверки». Вместе с тем, присутствует фраза «правовое основание». Из контекста статьи очевидно, что речь идёт о юридически закрепленном за Федеральной службой безопасности Российской Федерации праве и обязанности проводить соответствующие проверки. А детализация проведения проверок возможна на основании указанного в тексте статьи приказа ФСБ.
      Что касается названия внутреннего приказа, который мы рекомендуем подготовить, то, вследствие отсутствия требований по именованию данного приказа, юридическое лицо вправе выпустить приказ, имеющий название, отличный от предложенного нами. Главное – чтобы он соответствовал «Методическим рекомендациям по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности» утвержденных руководством 8 Центра ФСБ России 31.03.2015г. № 149/7/2/6-432.
      Целью статьи не является освещение всех нюансов и тонкостей, т.к. они носят индивидуальный характер в каждом отдельном случае. Однако, все особенности и «тонкие моменты» будут учтены в случае Вашего обращения к нам!

  3. Как мне кажется, автору стоит доработать данный материал.
    Если посмотреть с позиции человека, который слабо разбирается в данном вопросе (ради чего и читает подобные статьи), то возникает сомнение по поводу правдивости предоставленной информации, когда дочитываешь до раздела с приказами (речь о «Приказ о совокупности возможностей нарушителя криптографической защиты»). Господа, почитайте статьи на уважаемых ресурсах (например, https://www.securitylab.ru/blog/personal/crypto-anarchist/148074.php или https://www.securitylab.ru/blog/personal/sborisov/108331.php) и поясните откуда взялось это название. Если вы пишете о том, о чем написано уже не один десяток раз на разных сайтах, то хотя бы не допускайте ошибки и не вводите потенциальных клиентов в заблуждение.

    1. Администратор:

      Алла, спасибо за Ваше неравнодушие! Предложенное в тексте статьи название внутреннего приказа может быть другим, т.е., организация может подготовить приказ с другим названием, не совпадающим с предложенным в статье. Требования по его жесткому именованию отсутствуют. Единственно важно – соответствие «Методическим рекомендациям по разработке нормативных правовых актов, определяющих угрозы безопасности ПДн, актуальные при обработке ПДн в ИСПДн, эксплуатируемых при осуществлении соответствующих видов деятельности» (от 31.03.2015г. № 149/7/2/6-432).
      Предложенные Вами статьи содержат достаточно неплохой анализ приказа ФСБ №378/его проекта. Однако, мы выяснили на реальном опыте общения с заказчиками, которые, как Вы справедливо сказали, «слабо разбираются в данном вопросе», и у которых в ближайшее время должна была пройти проверка ФСБ, что подобные статьи едва ли помогают подготовиться к проверке. Поэтому и родилась наша статья, в которой намеренно использовался простой и доходчивый стиль донесения информации. Она написана для тех, кому необходимо быстро разобраться, что делать, если предстоит проверка.
      Хотели бы обратить Ваше внимание на то, что предложенные Вами статьи были опубликованы до выхода вышеуказанных «Методических рекомендаций…».
      Мы будем рады Вашему обращению к нам! Мы готовы разработать для Вас необходимые документы с любым удобным Вам наименованием (кроме тех, чьи названия определены явно) и поможем подготовить обоснование перед регулятором.

  4. Пожалуйста, перечислите список нормативных документов, содержащих перечень ОРД, который будут требовать при проверке.

    1. Администратор:

      Владимир, благодарим за интерес к статье! Четкого списка названий документов в ОРД не существует (за исключением ряда журналов). Логика законодательства такова, что имеются требования, которые должны быть «закрыты» локальными документами. Название и тип документа формируется непосредственно организацией в соответствии с тем или иным требованием. Например, требование п.6 пп.б) приказа ФСБ от 10.07.2014г. №378 предполагает утверждение в организации регламента доступа в помещения; требование пп.в) того же приказа предполагает выпуск приказа с утверждением списка лиц, допущенных в помещение. И т.д. Для получения более подробной консультации, вы можете обратиться к нам в компанию любым удобным для Вас способом.

  5. Опять не знание предметной области и отсутствие элементарной юридической грамотности.
    Ещё раз.
    ФСБ не наделено полномочиями осуществлять проверки в части ПДн в коммерческих организациях. Читаем внимательно 152ФЗ, ст. 19, п. 8.

    1. Администратор:

      Уважаемая Зинаида! П.9 той же статьи того же Федерального закона находится совсем рядом с п.8 🙂 Кроме того, в п.8 говорится об обработке ПДн в ГИС без привязки к форме организации. К ряду ГИС могут подключаться, в т.ч., негосударственные организации. Предполагаем, что для Вас вопросы, связанные с проверками ФСБ, весьма актуальны. Данная тема, действительно, обладает массой нюансов, которые сложно описать в рамках одной статьи, и тем более, в формате комментариев. Предлагаем для Вас, а также для ваших коллег, провести персональную бесплатную консультацию, на которой Вы сможете задать все интересующие вопросы. При необходимости, наши специалисты могут прийти к Вам, или Вы можете посетить наш офис (адрес Вы хорошо знаете).
      Благодарим Вас за интерес, проявленный к опубликованному материалу!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *