Чем руководствуются?
Регулярный контроль со стороны Федеральной Службы Безопасности проводится на основании требований следующих нормативных актов:
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Приказ ФСБ России от 10.07.2014 № 378;
- Приказ ФАПСИ от 13.06.2001 № 152;
и ряд других нормативных документов, но эти основные.
Что проверяют?
Проверяются условия обработки персональных данных с использованием средств криптографической защиты информации. Правовым основанием является Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 года № 378 г. Москва “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности”.
А конкретно?
Если говорить о конкретике, то смотрят, прежде всего, приказ о назначении ответственного сотрудника за эксплуатацию средств криптографической защиты. В этом же приказе можно указать всех сотрудников, являющихся пользователями данных средств. Еще приказ должен утверждать инструкцию ответственного за эксплуатацию средств криптографической защиты информации и инструкцию по обращению со средствами криптографической защиты информации. Кстати сказать, вышеуказанная ответственность сотрудника должна быть также закреплена в его функциональных обязанностях.
А ещё обязательно спросят акты установления уровня защищенности информационных систем персональных данных с целью выявления тех, в которых используются средства криптографии. Как минимум, это бухгалтерия, где передают данные о сотрудниках в Пенсионный фонд, Налоговую службу и в кредитные организации. Стоит отметить, что компьютеры для работы с Единым порталом государственных услуг и прочими подобными ресурсами не интересуют ввиду отсутствия там фактов обработки персональных данных. В процессе изучения актов проверяющими будут интервьюироваться сотрудники, работающие с данными информационными системами. Тут уже важно то, насколько уместно и корректно они будут отвечать на задаваемые им вопросы.
Проверяется журнал учета средств криптографической защиты. Помимо собственных копий данных средств, обязательными для учета являются формуляры, инструкции пользователя и администратора для этих средств. Их нужно обязательно распечатать и также показать при проверке. Не забудьте предоставить акты приема-передачи средств криптографической защиты, так как обычно с этим бывают некоторые проблемы. И, безусловно, необходимы акты установки средств защиты информации на все рабочие станции. Обязательно опечатайте эти рабочие станции. Этот момент тоже на особом счету.
Подготовьте приказ о совокупности возможностей нарушителя информационной безопасности. Смысл данного приказа заключается в обосновании выбора класса защиты СКЗИ: КС2 или КС1.
И самое интересное – это то, что необходимо иметь сигнализацию и сейфы во всех помещениях, где установлены средства криптографической защиты. Что делать с этой нормой – дело индивидуальное: сейф – штука дорогая и громоздкая.
Какие штрафы?
Да, штрафы есть. Это новость плохая. А относительно хорошая новость в том, что они незначительные. Для физического лица обычно разговор идет об одной тысяче рублей. Именно на физическое лицо – ответственного сотрудника накладывается данное взыскание. Почему «относительно хорошая новость»? Если 1000 рублей для ответственного сотрудника не значительный штраф, то есть и более существенные, которые начинаются от 50 000 рублей, которые накладываются другими регуляторами, например, Роскомнадзором. Но это уже тема для другого, не менее занимательного материала.
Надо ли готовиться к проверке?
Непосредственно к самой проверке ФСБ готовиться особого смысла нет. Потому что если не построена комплексная защита персональных данных, то выполнить указанные выше пункты будет весьма проблематично. Мы бы рекомендовали провести полное обследование всей информационной инфраструктуры, оттолкнувшись от которого можно грамотно построить план по защите персональных данных организации. А потом сделать первоначальный акцент на подготовке документов именно к проверке ФСБ. Т.е., одним только комплектом документов грамотно «отбиться», увы, не получится.
Вывод
Проверка обычно проходит достаточно спокойно, при условии полного наличия всех нужных документов и правильно поставленных ответов на задаваемые вопросы.
Мы подготовили для вас комплект документов, которые понадобятся при проверке со стороны ФСБ, ну или просто если вы решите привести в порядок организационно-разрешительную документацию по защите персональных данных на предприятии.
Вы получите следующие шаблоны документов:
- Приказ об обращении со средствами криптографической защиты
- Приказ о совокупности возможностей нарушителя криптографической защиты
- Акт установки уровня защищенности
- Акт установки средств защиты информации
Компания ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ» является ведущим системным интегратором ЮФО.
Основные направления деятельности Компании в области информационной безопасности:
- Обеспечение сетевой безопасности, проведение аудитов информационной безопасности;
- Обеспечение исполнения требований по защите персональных данных (ФЗ-152), включая Регламент Европейского Союза (GDPR);
- Разработка комплексных систем защиты информации;
- Поставка продуктов по информационной безопасности;
- Полный комплекс работ по соответствию ФЗ-187, безопасность критической информационной инфраструктуры;
- Организация контроля за утечками информации (DLP решения);
- Внедрение систем управления событиями и инцидентами безопасности (SIEM решения).
Специалисты компании стремятся разработать наиболее полный механизм построения защиты с учетом всех особенностей каждой защищаемой сети учреждения и для этого изучают опыт всех успешных и неудачных фактов отражения кибератак, происходящих в последнее время.
Если у вас есть сомнения по поводу надежности системы информационной безопасности вашего предприятия или вы считаете, что необходимо провести работы по улучшению существующей системы – обращайтесь!
