Как подготовиться к плановой проверке ФСБ по персональным данным?

Никита Ярков 25 мая 2015
Как подготовиться к плановой проверке ФСБ по персональным данным?

Что проверяет ФСБ по персональным данным? Зачем проверяют нелицензиатов? Чем грозит проверка ФСБ? Такие вопросы нам задают организации, которые не имеют лицензий ФСБ, а лишь занимаются обработкой персональных данных. Сразу ответим: ФСБ интересуют средства криптографической защиты. 

Однако здесь кроется масса нюансов: учет и хранение средств шифрования, допуски к СКЗИ, регламент их использования должны проводиться в строгом соответствии с требованиями законодательства.

Нарушение правил защиты информации, согласно статье 13.12 КоАП РФ, может повлечь ряд санкций: штрафы для должностных лиц и организации, а также конфискацию самих средств криптозащиты. Следствием может стать невозможность отправить электронную отчетность или блокировка работы учреждения в системе обмена данными.

Регулярный контроль использования шифровальных средств, применяемых для обеспечения безопасности персональных данных (далее ПДн), проводится на основании требований следующих нормативных актов:

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Приказ ФСБ России от 10.07.2014 № 378;
  • Инструкция ФАПСИ от 13.06.2001 № 152;
  • и ряд других нормативных документов.

План проверок ФСБ на год публикуется на официальном сайте Генеральной прокуратуры РФ. Здесь любая организация по своему ИНН или ОГРН может узнать о предстоящих проверках в текущем году, их длительности и периоде проведения.

Для того чтобы подготовиться к проверке ФСБ, необходимо провести ряд организационных мер, разработать и утвердить документы, связанные с работой с СКЗИ.

Ответы на следующие вопросы помогут систематизировать работу по подготовке к проверке и сосредоточиться на необходимых мерах:

  1. Есть ли в организации средства криптографической защиты информации? Есть ли документы на их приобретение, ведется ли учет? Какими документами регламентируется передача СКЗИ в отчуждение и в пользование?
  2. Какой отдел на предприятии отвечает за работу с СКЗИ, а именно: составление заключений о возможности эксплуатации СКЗИ, разработку мероприятий по обеспечению функционирования и безопасности применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, поэкземплярный учет используемых СКЗИ, эксплуатационной и технической документации к ним, учет обслуживаемых обладателей конфиденциальной информации, контроль за соблюдением условий использования СКЗИ, расследование и составление заключений по фактам нарушения условий использования СКЗИ, разработку схемы организации криптографической защиты конфиденциальной информации?
  3. Какими документами регламентируется создание обозначенного выше отдела, а также какими документами назначаются лица, ответственные за выполнение действий в рамках данного подразделения?
  4. Выработан ли регламент учета и хранения СКЗИ?
  5. Утверждены ли формы журналов учета СКЗИ? Как они ведутся?
  6. Определен ли круг ответственных лиц и ответственность в случае нарушения правил работы с СКЗИ?
  7. Каким образом производится хранение и предоставление доступа к СЗКИ?

Все документы должны быть утверждены руководителем либо уполномоченным лицом организации, грифов секретности не требуется, однако документы должны быть предназначены только для сотрудников организации и проверяющих.

Опыт поддержки клиентов в ходе проверок ФСБ позволил нам выделить наиболее типичные блоки, на которые обращает внимание контролирующий орган.

Подготовить документы к проверке ФСБ помогут специалисты «Контур-Безопасность».

Узнать больше

Рекомендации по выполнению основных требований ФСБ: 

1. Организация системы организационных мер защиты персональных данных

Что проверяется

Какие документы должны быть предоставлены  Совет

– область применения СКЗИ в информационных системах персональных данных;

– наличие ведомственных документов и приказов по организации криптографической защиты

Ведомственные документы и приказы по организации криптографической защиты информации Необходимо сослаться на документы, определяющие обязательное использование СКЗИ для обработки и передачи информации. В части защиты ПДн в государственных системах это 17 и 21 Приказы ФСТЭК

2. Организация системы криптографических мер защиты информации

Что проверяется

Какие документы
должны быть предоставлены 
Совет

– наличие модели угроз нарушителя;

– соответствие модели угроз исходным данным;

– наличие документов по поставке СКЗИ оператору

– модель угроз, разработанная оператором;

– документы по поставке СКЗИ оператору

Необходимо сослаться на документы, определяющие обязательное использование СКЗИ для обработки и передачи информации. В части защиты ПДн в государственных системах это 17 и 21 Приказы ФСТЭК. При необходимости предоставить модель угроз ее обходимо составлять индивидуально, с учетом реальной ситуации в ИС организации

3. Разрешительная и эксплуатационная документация

Что проверяется

Какие документы должны быть предоставлены  Совет

– наличие необходимых лицензий для использования СКЗИ в информационных системах персональных данных;

– наличие сертификатов соответствия на используемые СКЗИ;

– наличие эксплуатационной документации на СКЗИ (формуляров, правил работы, руководство оператора и т п.);

– порядок учета СКЗИ, эксплуатационной и технической документации к ним 

– лицензии и сертификаты на используемые СКЗИ;

– эксплуатационная документация на СКЗИ

Какие документы имеются в виду:

1) лицензии на ПО,

2) наличие дистрибутивов к этим лицензиям, полученных законным путем,

3) инструкция по работе с СКЗИ

4. Требования к обслуживающему персоналу

Что проверяется

Какие документы должны быть предоставлены  Совет

– порядок учета лиц, допущенных к работе с СКЗИ;

– наличие функциональных обязанностей ответственных пользователей СКЗИ;

– укомплектованность штатных должностей личным составом и его достаточность для решения задач по организации криптографической защиты информации;

– организация процесса обучения лиц, использующих СКЗИ

– утвержденные списки;

– документы, подтверждающие функциональные обязанности сотрудников;

– журнал учета пользователей криптографических средств;

– документы, подтверждающие прохождение обучения сотрудников 

Необходимо иметь следующие документы:

1) инструкция по работе с СКЗИ,

2) назначение внутренними приказами ответственных за работу с СКЗИ

5. Эксплуатация СКЗИ

Что проверяется

Какие документы должны быть предоставлены  Совет

– проверка правильности ввода в эксплуатацию;

– оценка технического состояния СКЗИ;

– соблюдение сроков и полноты технического обслуживания;

– проверка соблюдения правил пользования СКЗИ и порядка обращения с ключевыми документами к ним

– акты ввода СКЗИ в эксплуатацию;

– журнал поэкземплярного учета СКЗИ;

– журнал учета и выдачи носителей с ключевой информацией

Необходимо разработать следующие документы:

1) акты установки СКЗИ,

2) приказ по утверждению форм журналов учета

6. Организационные меры

Что проверяется

Какие документы должны быть предоставлены  Совет

– выполнение требований по размещению, специальному оборудованию, охране и организации режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним;

– соответствие режима хранения СКЗИ и ключевой документации предъявляемым требованиям;

– оценка степени обеспечения оператора криптоключами и организация их доставки;

– проверка наличия инструкции по восстановлению связи в случае компрометации действующих ключей к СКЗИ

– эксплуатационная документация на СКЗИ;

– помещения, выделенные для установки СКЗИ и хранения ключевых документов к ним;

– инструкция на случай компрометации действующих ключей СКЗИ 

1) Выполнение требования Инструкции 152 ФАПСИ. Зависит от конкретных условий, может потребовать монтажа охраны, установки штор на окна, покупки сейфа и пр.

2) Инструкция по работе с СКЗИ 

Все перечисленные требования вытекают из Регламента проведения проверок ФСБ. Конкретные действия проводятся согласно Приказу ФАПСИ от 13 июня 2001 года №152.

Выполнение хотя бы части требований существенно поднимет вероятность пройти все регламентные процедуры без штрафа. В целом в требованиях нет избыточности, все действия действительно важны и работают на защиту интересов организации.

Составить модель угроз, разработать инструкции по работе с СКЗИ, создать акты установки СКЗИ помогут специалисты «Контур-Безопасность».

Узнать больше

Никита Ярков, руководитель группы лицензирования компании «СКБ Контур», проект «Контур-Безопасность» 

Не пропусти новые публикации

Подписывайтесь, и мы будем один раз в неделю присылать полезные бизнес-советы, аналитические статьи, истории успеха и провала, интервью, а также мнения экспертов на острые темы

Подписаться
6179 просмотров
В избранное
Безопасность
Безопасность

Комплекс услуг по обеспечению информационной безопасности предприятия. Подключение к ГИС: ФИС ГИА, АИСТ ГБД, ЕГИСМ, ФИС ФРДО и др.

Узнать больше

Комментарии

3 комментария Написать свой
"Конкретные действия проводятся согласно Приказу ФАПСИ от 13 июня 2001 года №152."

Не смущает уважаемых коллег тот факт, что Приказ ФАПСИ №152 выпущен во исполнение 24-ФЗ (заменен на 149-ФЗ) и Приказа №158 (утратил силу после выхода Приказа №66 ФСБ)?
Ответить Ответить
Я Вам даже больше скажу: данный факт совершенно не смущает представителей ФСБ, пришедших с проверкой. Для них - это как букварь. Они просто открою Приказ ФАПСИ №152 и по пунктам будут проверять все "от и до". А "бодаться" с ними - себе дороже. Прочувствовал это лично полгода назад. Поэтому проще выполнить - и быть готовым. Тем более, согласен с автором статьи, - "В целом в требованиях нет избыточности, все действия действительно важны...", за исключением возможно пары пунктов.
Ответить Ответить
– журнал учета пользователей криптографических средств; Скажите как выглядит форма данного журнала ??? в интернете нет ее, что очень странно. Все получается придумывают ее сами ?
– документы, подтверждающие прохождение обучения сотрудников. А если организация оператор ? Какие у нее должны быть документы. Как они выглядят. Какое содержание должно быть ? Достаточно ли для оператора инструкций пользователя и администратора СКЗИ ?
Спасибо за ответ.
Ответить Ответить
Спасибо за ваше мнение!
← К списку публикаций

Читайте также

Загрузить еще
loader
Спасибо за подписку.

Заполните, пожалуйста, все поля.

Предложение, замечание, просьба или вопрос.