Как подготовиться к плановой проверке ФСБ по персональным данным?

Никита Ярков 25 мая 2015

Что проверяет ФСБ по персональным данным? Зачем проверяют нелицензиатов? Чем грозит проверка ФСБ? Такие вопросы нам задают организации, которые не имеют лицензий ФСБ, а лишь занимаются обработкой персональных данных. Сразу ответим: ФСБ интересуют средства криптографической защиты. 

Однако здесь кроется масса нюансов: учет и хранение средств шифрования, допуски к СКЗИ, регламент их использования должны проводиться в строгом соответствии с требованиями законодательства.

Нарушение правил защиты информации, согласно статье 13.12 КоАП РФ, может повлечь ряд санкций: штрафы для должностных лиц и организации, а также конфискацию самих средств криптозащиты. Следствием может стать невозможность отправить электронную отчетность или блокировка работы учреждения в системе обмена данными.

Регулярный контроль использования шифровальных средств, применяемых для обеспечения безопасности персональных данных (далее ПДн), проводится на основании требований следующих нормативных актов:

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Приказ ФСБ России от 10.07.2014 № 378;
  • Инструкция ФАПСИ от 13.06.2001 № 152;
  • и ряд других нормативных документов.

План проверок ФСБ на год публикуется на официальном сайте Генеральной прокуратуры РФ. Здесь любая организация по своему ИНН или ОГРН может узнать о предстоящих проверках в текущем году, их длительности и периоде проведения.

Для того чтобы подготовиться к проверке ФСБ, необходимо провести ряд организационных мер, разработать и утвердить документы, связанные с работой с СКЗИ.

Ответы на следующие вопросы помогут систематизировать работу по подготовке к проверке и сосредоточиться на необходимых мерах:

  1. Есть ли в организации средства криптографической защиты информации? Есть ли документы на их приобретение, ведется ли учет? Какими документами регламентируется передача СКЗИ в отчуждение и в пользование?
  2. Какой отдел на предприятии отвечает за работу с СКЗИ, а именно: составление заключений о возможности эксплуатации СКЗИ, разработку мероприятий по обеспечению функционирования и безопасности применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, поэкземплярный учет используемых СКЗИ, эксплуатационной и технической документации к ним, учет обслуживаемых обладателей конфиденциальной информации, контроль за соблюдением условий использования СКЗИ, расследование и составление заключений по фактам нарушения условий использования СКЗИ, разработку схемы организации криптографической защиты конфиденциальной информации?
  3. Какими документами регламентируется создание обозначенного выше отдела, а также какими документами назначаются лица, ответственные за выполнение действий в рамках данного подразделения?
  4. Выработан ли регламент учета и хранения СКЗИ?
  5. Утверждены ли формы журналов учета СКЗИ? Как они ведутся?
  6. Определен ли круг ответственных лиц и ответственность в случае нарушения правил работы с СКЗИ?
  7. Каким образом производится хранение и предоставление доступа к СЗКИ?

Все документы должны быть утверждены руководителем либо уполномоченным лицом организации, грифов секретности не требуется, однако документы должны быть предназначены только для сотрудников организации и проверяющих.

Опыт поддержки клиентов в ходе проверок ФСБ позволил нам выделить наиболее типичные блоки, на которые обращает внимание контролирующий орган.

Подготовить документы к проверке ФСБ помогут специалисты «Контур-Безопасность».

Узнать больше

Рекомендации по выполнению основных требований ФСБ: 

1. Организация системы организационных мер защиты персональных данных

Что проверяется

Какие документы должны быть предоставлены  Совет

– область применения СКЗИ в информационных системах персональных данных;

– наличие ведомственных документов и приказов по организации криптографической защиты

Ведомственные документы и приказы по организации криптографической защиты информации Необходимо сослаться на документы, определяющие обязательное использование СКЗИ для обработки и передачи информации. В части защиты ПДн в государственных системах это 17 и 21 Приказы ФСТЭК

2. Организация системы криптографических мер защиты информации

Что проверяется

Какие документы
должны быть предоставлены 
Совет

– наличие модели угроз нарушителя;

– соответствие модели угроз исходным данным;

– наличие документов по поставке СКЗИ оператору

– модель угроз, разработанная оператором;

– документы по поставке СКЗИ оператору

Необходимо сослаться на документы, определяющие обязательное использование СКЗИ для обработки и передачи информации. В части защиты ПДн в государственных системах это 17 и 21 Приказы ФСТЭК. При необходимости предоставить модель угроз ее обходимо составлять индивидуально, с учетом реальной ситуации в ИС организации

3. Разрешительная и эксплуатационная документация

Что проверяется

Какие документы должны быть предоставлены  Совет

– наличие необходимых лицензий для использования СКЗИ в информационных системах персональных данных;

– наличие сертификатов соответствия на используемые СКЗИ;

– наличие эксплуатационной документации на СКЗИ (формуляров, правил работы, руководство оператора и т п.);

– порядок учета СКЗИ, эксплуатационной и технической документации к ним 

– лицензии и сертификаты на используемые СКЗИ;

– эксплуатационная документация на СКЗИ

Какие документы имеются в виду:

1) лицензии на ПО,

2) наличие дистрибутивов к этим лицензиям, полученных законным путем,

3) инструкция по работе с СКЗИ

4. Требования к обслуживающему персоналу

Что проверяется

Какие документы должны быть предоставлены  Совет

– порядок учета лиц, допущенных к работе с СКЗИ;

– наличие функциональных обязанностей ответственных пользователей СКЗИ;

– укомплектованность штатных должностей личным составом и его достаточность для решения задач по организации криптографической защиты информации;

– организация процесса обучения лиц, использующих СКЗИ

– утвержденные списки;

– документы, подтверждающие функциональные обязанности сотрудников;

– журнал учета пользователей криптографических средств;

– документы, подтверждающие прохождение обучения сотрудников 

Необходимо иметь следующие документы:

1) инструкция по работе с СКЗИ,

2) назначение внутренними приказами ответственных за работу с СКЗИ

5. Эксплуатация СКЗИ

Что проверяется

Какие документы должны быть предоставлены  Совет

– проверка правильности ввода в эксплуатацию;

– оценка технического состояния СКЗИ;

– соблюдение сроков и полноты технического обслуживания;

– проверка соблюдения правил пользования СКЗИ и порядка обращения с ключевыми документами к ним

– акты ввода СКЗИ в эксплуатацию;

– журнал поэкземплярного учета СКЗИ;

– журнал учета и выдачи носителей с ключевой информацией

Необходимо разработать следующие документы:

1) акты установки СКЗИ,

2) приказ по утверждению форм журналов учета

6. Организационные меры

Что проверяется

Какие документы должны быть предоставлены  Совет

– выполнение требований по размещению, специальному оборудованию, охране и организации режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним;

– соответствие режима хранения СКЗИ и ключевой документации предъявляемым требованиям;

– оценка степени обеспечения оператора криптоключами и организация их доставки;

– проверка наличия инструкции по восстановлению связи в случае компрометации действующих ключей к СКЗИ

– эксплуатационная документация на СКЗИ;

– помещения, выделенные для установки СКЗИ и хранения ключевых документов к ним;

– инструкция на случай компрометации действующих ключей СКЗИ 

1) Выполнение требования Инструкции 152 ФАПСИ. Зависит от конкретных условий, может потребовать монтажа охраны, установки штор на окна, покупки сейфа и пр.

2) Инструкция по работе с СКЗИ 

Все перечисленные требования вытекают из Регламента проведения проверок ФСБ. Конкретные действия проводятся согласно Приказу ФАПСИ от 13 июня 2001 года №152.

Выполнение хотя бы части требований существенно поднимет вероятность пройти все регламентные процедуры без штрафа. В целом в требованиях нет избыточности, все действия действительно важны и работают на защиту интересов организации.

Составить модель угроз, разработать инструкции по работе с СКЗИ, создать акты установки СКЗИ помогут специалисты «Контур-Безопасность».

Узнать больше

Никита Ярков, руководитель группы лицензирования компании «СКБ Контур», проект «Контур-Безопасность» 


Поделиться
Не пропусти новые публикации

Подписывайтесь, и мы будем один раз в неделю присылать полезные бизнес-советы, аналитические статьи, истории успеха и провала, интервью, а также мнения экспертов на острые темы

Подписаться
7451 просмотр
В избранное
3 комментария Написать свой
"Конкретные действия проводятся согласно Приказу ФАПСИ от 13 июня 2001 года №152."

Не смущает уважаемых коллег тот факт, что Приказ ФАПСИ №152 выпущен во исполнение 24-ФЗ (заменен на 149-ФЗ) и Приказа №158 (утратил силу после выхода Приказа №66 ФСБ)?
Ответить Ответить
Я Вам даже больше скажу: данный факт совершенно не смущает представителей ФСБ, пришедших с проверкой. Для них - это как букварь. Они просто открою Приказ ФАПСИ №152 и по пунктам будут проверять все "от и до". А "бодаться" с ними - себе дороже. Прочувствовал это лично полгода назад. Поэтому проще выполнить - и быть готовым. Тем более, согласен с автором статьи, - "В целом в требованиях нет избыточности, все действия действительно важны...", за исключением возможно пары пунктов.
Ответить Ответить
– журнал учета пользователей криптографических средств; Скажите как выглядит форма данного журнала ??? в интернете нет ее, что очень странно. Все получается придумывают ее сами ?
– документы, подтверждающие прохождение обучения сотрудников. А если организация оператор ? Какие у нее должны быть документы. Как они выглядят. Какое содержание должно быть ? Достаточно ли для оператора инструкций пользователя и администратора СКЗИ ?
Спасибо за ответ.
Ответить Ответить
Спасибо за ваше мнение!

Читайте также

Загрузить еще
loader
Спасибо за подписку.

Заполните, пожалуйста, все поля.

Предложение, замечание, просьба или вопрос.