Что проверяет ФСБ по персональным данным? Зачем проверяют нелицензиатов? Чем грозит проверка ФСБ? Такие вопросы нам задают организации, которые не имеют лицензий ФСБ, а лишь занимаются обработкой персональных данных. Сразу ответим: ФСБ интересуют средства криптографической защиты.
Однако здесь кроется масса нюансов: учет и хранение средств шифрования, допуски к СКЗИ, регламент их использования должны проводиться в строгом соответствии с требованиями законодательства.
Нарушение правил защиты информации, согласно статье 13.12 КоАП РФ, может повлечь ряд санкций: штрафы для должностных лиц и организации, а также конфискацию самих средств криптозащиты. Следствием может стать невозможность отправить электронную отчетность или блокировка работы учреждения в системе обмена данными.
Регулярный контроль использования шифровальных средств, применяемых для обеспечения безопасности персональных данных (далее ПДн), проводится на основании требований следующих нормативных актов:
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Приказ ФСБ России от 10.07.2014 № 378;
- Инструкция ФАПСИ от 13.06.2001 № 152;
- и ряд других нормативных документов.
План проверок ФСБ на год публикуется на официальном сайте Генеральной прокуратуры РФ. Здесь любая организация по своему ИНН или ОГРН может узнать о предстоящих проверках в текущем году, их длительности и периоде проведения.
Для того чтобы подготовиться к проверке ФСБ, необходимо провести ряд организационных мер, разработать и утвердить документы, связанные с работой с СКЗИ.
Ответы на следующие вопросы помогут систематизировать работу по подготовке к проверке и сосредоточиться на необходимых мерах:
- Есть ли в организации средства криптографической защиты информации? Есть ли документы на их приобретение, ведется ли учет? Какими документами регламентируется передача СКЗИ в отчуждение и в пользование?
- Какой отдел на предприятии отвечает за работу с СКЗИ, а именно: составление заключений о возможности эксплуатации СКЗИ, разработку мероприятий по обеспечению функционирования и безопасности применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, поэкземплярный учет используемых СКЗИ, эксплуатационной и технической документации к ним, учет обслуживаемых обладателей конфиденциальной информации, контроль за соблюдением условий использования СКЗИ, расследование и составление заключений по фактам нарушения условий использования СКЗИ, разработку схемы организации криптографической защиты конфиденциальной информации?
- Какими документами регламентируется создание обозначенного выше отдела, а также какими документами назначаются лица, ответственные за выполнение действий в рамках данного подразделения?
- Выработан ли регламент учета и хранения СКЗИ?
- Утверждены ли формы журналов учета СКЗИ? Как они ведутся?
- Определен ли круг ответственных лиц и ответственность в случае нарушения правил работы с СКЗИ?
- Каким образом производится хранение и предоставление доступа к СЗКИ?
Все документы должны быть утверждены руководителем либо уполномоченным лицом организации, грифов секретности не требуется, однако документы должны быть предназначены только для сотрудников организации и проверяющих.
Опыт поддержки клиентов в ходе проверок ФСБ позволил нам выделить наиболее типичные блоки, на которые обращает внимание контролирующий орган.
Подготовить документы к проверке ФСБ помогут специалисты «Контур-Безопасность».
Рекомендации по выполнению основных требований ФСБ:
1. Организация системы организационных мер защиты персональных данных
|
Что проверяется |
Какие документы должны быть предоставлены | Совет |
|---|---|---|
|
– область применения СКЗИ в информационных системах персональных данных; – наличие ведомственных документов и приказов по организации криптографической защиты |
Ведомственные документы и приказы по организации криптографической защиты информации | Необходимо сослаться на документы, определяющие обязательное использование СКЗИ для обработки и передачи информации. В части защиты ПДн в государственных системах это 17 и 21 Приказы ФСТЭК |
2. Организация системы криптографических мер защиты информации
|
Что проверяется |
Какие документы должны быть предоставлены |
Совет |
|---|---|---|
|
– наличие модели угроз нарушителя; – соответствие модели угроз исходным данным; – наличие документов по поставке СКЗИ оператору |
– модель угроз, разработанная оператором; – документы по поставке СКЗИ оператору |
Необходимо сослаться на документы, определяющие обязательное использование СКЗИ для обработки и передачи информации. В части защиты ПДн в государственных системах это 17 и 21 Приказы ФСТЭК. При необходимости предоставить модель угроз ее обходимо составлять индивидуально, с учетом реальной ситуации в ИС организации |
3. Разрешительная и эксплуатационная документация
|
Что проверяется |
Какие документы должны быть предоставлены | Совет |
|---|---|---|
|
– наличие необходимых лицензий для использования СКЗИ в информационных системах персональных данных; – наличие сертификатов соответствия на используемые СКЗИ; – наличие эксплуатационной документации на СКЗИ (формуляров, правил работы, руководство оператора и т п.); – порядок учета СКЗИ, эксплуатационной и технической документации к ним |
– лицензии и сертификаты на используемые СКЗИ; – эксплуатационная документация на СКЗИ |
Какие документы имеются в виду: 1) лицензии на ПО, 2) наличие дистрибутивов к этим лицензиям, полученных законным путем, 3) инструкция по работе с СКЗИ |
4. Требования к обслуживающему персоналу
|
Что проверяется |
Какие документы должны быть предоставлены | Совет |
|---|---|---|
|
– порядок учета лиц, допущенных к работе с СКЗИ; – наличие функциональных обязанностей ответственных пользователей СКЗИ; – укомплектованность штатных должностей личным составом и его достаточность для решения задач по организации криптографической защиты информации; – организация процесса обучения лиц, использующих СКЗИ |
– утвержденные списки; – документы, подтверждающие функциональные обязанности сотрудников; – журнал учета пользователей криптографических средств; – документы, подтверждающие прохождение обучения сотрудников |
Необходимо иметь следующие документы: 1) инструкция по работе с СКЗИ, 2) назначение внутренними приказами ответственных за работу с СКЗИ |
5. Эксплуатация СКЗИ
|
Что проверяется |
Какие документы должны быть предоставлены | Совет |
|---|---|---|
|
– проверка правильности ввода в эксплуатацию; – оценка технического состояния СКЗИ; – соблюдение сроков и полноты технического обслуживания; – проверка соблюдения правил пользования СКЗИ и порядка обращения с ключевыми документами к ним |
– акты ввода СКЗИ в эксплуатацию; – журнал поэкземплярного учета СКЗИ; – журнал учета и выдачи носителей с ключевой информацией |
Необходимо разработать следующие документы: 1) акты установки СКЗИ, 2) приказ по утверждению форм журналов учета |
6. Организационные меры
|
Что проверяется |
Какие документы должны быть предоставлены | Совет |
|---|---|---|
|
– выполнение требований по размещению, специальному оборудованию, охране и организации режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним; – соответствие режима хранения СКЗИ и ключевой документации предъявляемым требованиям; – оценка степени обеспечения оператора криптоключами и организация их доставки; – проверка наличия инструкции по восстановлению связи в случае компрометации действующих ключей к СКЗИ |
– эксплуатационная документация на СКЗИ; – помещения, выделенные для установки СКЗИ и хранения ключевых документов к ним; – инструкция на случай компрометации действующих ключей СКЗИ |
1) Выполнение требования Инструкции 152 ФАПСИ. Зависит от конкретных условий, может потребовать монтажа охраны, установки штор на окна, покупки сейфа и пр. 2) Инструкция по работе с СКЗИ |
Все перечисленные требования вытекают из Регламента проведения проверок ФСБ. Конкретные действия проводятся согласно Приказу ФАПСИ от 13 июня 2001 года №152.
Выполнение хотя бы части требований существенно поднимет вероятность пройти все регламентные процедуры без штрафа. В целом в требованиях нет избыточности, все действия действительно важны и работают на защиту интересов организации.
Составить модель угроз, разработать инструкции по работе с СКЗИ, создать акты установки СКЗИ помогут специалисты «Контур-Безопасность».
Никита Ярков, руководитель группы лицензирования компании «СКБ Контур», проект «Контур-Безопасность»
Не смущает уважаемых коллег тот факт, что Приказ ФАПСИ №152 выпущен во исполнение 24-ФЗ (заменен на 149-ФЗ) и Приказа №158 (утратил силу после выхода Приказа №66 ФСБ)?
– документы, подтверждающие прохождение обучения сотрудников. А если организация оператор ? Какие у нее должны быть документы. Как они выглядят. Какое содержание должно быть ? Достаточно ли для оператора инструкций пользователя и администратора СКЗИ ?
Спасибо за ответ.
Ответе пожалуйста где конкретно написано (пункт и документ) о необходимости наличия формуляров и коробки с установочным комплектом на СКЗИ??? П.С, Нет ни в 149 ни в ФАПСИ про это ничего совершенно.
ПКЗ-2005 предписывает: "...46. СКЗИ эксплуатируются в соответствии с правилами пользования ими", а в самой документации на СКЗИ (формуляр) указывается на состав комплектность поставки (выдержка из формуляра на один из сертифицированных СКЗИ):
"...3. Программное обеспечение и документация в электронном виде в формате PDF (Adobe Acrobat Reader) на CD-ROM для всех исполнений СКЗИ поставляется единым дистрибутивом, формуляр и копия сертификата, заверенная ООО «КРИПТО-ПРО», - в печатном виде."
Тема актуальна до сих пор, но топик явно заброшен.
Много вопросов остались без ответа.
Коллеги из "СКБ Контур", Вам "не зачет" по предмету!