Как подготовиться к плановой проверке ФСБ по персональным данным?

Как подготовиться к плановой проверке ФСБ по персональным данным?

Что проверяет ФСБ по персональным данным? Зачем проверяют нелицензиатов? Чем грозит проверка ФСБ? Такие вопросы нам задают организации, которые не имеют лицензий ФСБ, а лишь занимаются обработкой персональных данных. Сразу ответим: ФСБ интересуют средства криптографической защиты.

Однако здесь кроется масса нюансов: учет и хранение средств шифрования, допуски к СКЗИ, регламент их использования должны проводиться в строгом соответствии с требованиями законодательства.

Нарушение правил защиты информации, согласно статье 13.12 КоАП РФ, может повлечь ряд санкций: штрафы для должностных лиц и организации, а также конфискацию самих средств криптозащиты. Следствием может стать невозможность отправить электронную отчетность или блокировка работы учреждения в системе обмена данными.

Регулярный контроль использования шифровальных средств, применяемых для обеспечения безопасности персональных данных (далее ПДн), проводится на основании требований следующих нормативных актов:

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Приказ ФСБ России от 10.07.2014 № 378;
  • Инструкция ФАПСИ от 13.06.2001 № 152;
  • и ряд других нормативных документов.

План проверок ФСБ на год публикуется на официальном сайте Генеральной прокуратуры РФ. Здесь любая организация по своему ИНН или ОГРН может узнать о предстоящих проверках в текущем году, их длительности и периоде проведения.

Для того чтобы подготовиться к проверке ФСБ, необходимо провести ряд организационных мер, разработать и утвердить документы, связанные с работой с СКЗИ.

Ответы на следующие вопросы помогут систематизировать работу по подготовке к проверке и сосредоточиться на необходимых мерах:

  1. Есть ли в организации средства криптографической защиты информации? Есть ли документы на их приобретение, ведется ли учет? Какими документами регламентируется передача СКЗИ в отчуждение и в пользование?
  2. Какой отдел на предприятии отвечает за работу с СКЗИ, а именно: составление заключений о возможности эксплуатации СКЗИ, разработку мероприятий по обеспечению функционирования и безопасности применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, поэкземплярный учет используемых СКЗИ, эксплуатационной и технической документации к ним, учет обслуживаемых обладателей конфиденциальной информации, контроль за соблюдением условий использования СКЗИ, расследование и составление заключений по фактам нарушения условий использования СКЗИ, разработку схемы организации криптографической защиты конфиденциальной информации?
  3. Какими документами регламентируется создание обозначенного выше отдела, а также какими документами назначаются лица, ответственные за выполнение действий в рамках данного подразделения?
  4. Выработан ли регламент учета и хранения СКЗИ?
  5. Утверждены ли формы журналов учета СКЗИ? Как они ведутся?
  6. Определен ли круг ответственных лиц и ответственность в случае нарушения правил работы с СКЗИ?
  7. Каким образом производится хранение и предоставление доступа к СЗКИ?

Все документы должны быть утверждены руководителем либо уполномоченным лицом организации, грифов секретности не требуется, однако документы должны быть предназначены только для сотрудников организации и проверяющих.

Опыт поддержки клиентов в ходе проверок ФСБ позволил нам выделить наиболее типичные блоки, на которые обращает внимание контролирующий орган.

Подготовить документы к проверке ФСБ помогут специалисты «Контур-Безопасность».

Рекомендации по выполнению основных требований ФСБ:

1. Организация системы организационных мер защиты персональных данных

– область применения СКЗИ в информационных системах персональных данных;

– наличие ведомственных документов и приказов по организации криптографической защиты

2. Организация системы криптографических мер защиты информации

– наличие модели угроз нарушителя;

– соответствие модели угроз исходным данным;

– наличие документов по поставке СКЗИ оператору

– модель угроз, разработанная оператором;

– документы по поставке СКЗИ оператору

3. Разрешительная и эксплуатационная документация

– наличие необходимых лицензий для использования СКЗИ в информационных системах персональных данных;

– наличие сертификатов соответствия на используемые СКЗИ;

– наличие эксплуатационной документации на СКЗИ (формуляров, правил работы, руководство оператора и т п.);

– порядок учета СКЗИ, эксплуатационной и технической документации к ним

– лицензии и сертификаты на используемые СКЗИ;

– эксплуатационная документация на СКЗИ

Какие документы имеются в виду:

1) лицензии на ПО,

2) наличие дистрибутивов к этим лицензиям, полученных законным путем,

4. Требования к обслуживающему персоналу

– порядок учета лиц, допущенных к работе с СКЗИ;

– наличие функциональных обязанностей ответственных пользователей СКЗИ;

– укомплектованность штатных должностей личным составом и его достаточность для решения задач по организации криптографической защиты информации;

– организация процесса обучения лиц, использующих СКЗИ

– документы, подтверждающие функциональные обязанности сотрудников;

– журнал учета пользователей криптографических средств;

– документы, подтверждающие прохождение обучения сотрудников

Необходимо иметь следующие документы:

1) инструкция по работе с СКЗИ,

2) назначение внутренними приказами ответственных за работу с СКЗИ

5. Эксплуатация СКЗИ

– проверка правильности ввода в эксплуатацию;

– оценка технического состояния СКЗИ;

– соблюдение сроков и полноты технического обслуживания;

– проверка соблюдения правил пользования СКЗИ и порядка обращения с ключевыми документами к ним

– акты ввода СКЗИ в эксплуатацию;

– журнал поэкземплярного учета СКЗИ;

– журнал учета и выдачи носителей с ключевой информацией

Необходимо разработать следующие документы:

1) акты установки СКЗИ,

2) приказ по утверждению форм журналов учета

6. Организационные меры

– выполнение требований по размещению, специальному оборудованию, охране и организации режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним;

– соответствие режима хранения СКЗИ и ключевой документации предъявляемым требованиям;

– оценка степени обеспечения оператора криптоключами и организация их доставки;

– проверка наличия инструкции по восстановлению связи в случае компрометации действующих ключей к СКЗИ

– эксплуатационная документация на СКЗИ;

– помещения, выделенные для установки СКЗИ и хранения ключевых документов к ним;

1) Выполнение требования Инструкции 152 ФАПСИ. Зависит от конкретных условий, может потребовать монтажа охраны, установки штор на окна, покупки сейфа и пр.

Все перечисленные требования вытекают из Регламента проведения проверок ФСБ. Конкретные действия проводятся согласно Приказу ФАПСИ от 13 июня 2001 года №152.

Выполнение хотя бы части требований существенно поднимет вероятность пройти все регламентные процедуры без штрафа. В целом в требованиях нет избыточности, все действия действительно важны и работают на защиту интересов организации.

Составить модель угроз, разработать инструкции по работе с СКЗИ, создать акты установки СКЗИ помогут специалисты «Контур-Безопасность».

Никита Ярков, руководитель группы лицензирования компании «СКБ Контур», проект «Контур-Безопасность»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

📎📎📎📎📎📎📎📎📎📎