Плановые проверки ФСБ проводятся в соответствии с требованиями следующих нормативных актов.
И еще много других нормативных документов, но это основные.
Что проверяется?
Проверка условий обработки персональных данных осуществляется с использованием криптографического шифрования защиты информации. Правовой основой является Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г., №. 378, г. Москва «Об утверждении порядка объединения и содержания организационных и технических мер, направленных на обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств защиты информации о персональных данных». Персональные данные, установленные Правительством Российской Федерации для каждого из уровней безопасности».
А в чем же заключается конкретика?
Говоря о деталях, мы в первую очередь имеем в виду приказ, установленный ответственным лицом за эксплуатацию средств шифровальной защиты. В этом же приказе могут быть указаны все сотрудники, являющиеся пользователями этих средств. Приказ также должен быть утвержден директором по защите шифрованной информации и директивой по обращению со средствами защиты шифрованной информации. Кстати, вышеупомянутые обязанности сотрудника также должны определяться его производственными обязанностями.
Их также просят определить уровень безопасности информационных систем персональных данных и указать, в каких из них используются методы шифрования. Как минимум, это бухгалтерская фирма, данные о сотрудниках которой передаются в пенсионные фонды, налоговые инспекции и кредитные организации. Следует отметить, что компьютеры для использования на единых воротах Госуслуг и других подобных ресурсах не интересуют в связи с отсутствием там событий по обработке персональных данных. В ходе изучения поведения инспекторы опрашивают сотрудников, работающих в этих информационных системах. Здесь важно, насколько адекватно и правильно они отвечают на задаваемые им вопросы.
Проверяются дневники шифровальной защиты. Помимо копий этих медиа-форм, обязательными для отчетности являются руководства пользователя и менеджера. Они также должны быть распечатаны и показаны во время проверки. Не забудьте предоставить акт приемки носителей с шифровальной защитой, так как с ними обычно возникают некоторые проблемы. И, конечно, все рабочие станции должны иметь акт об установке средств защиты информации. Опечатайте эти рабочие станции. Это также особенно важно.
Подготовьте команду по всем функциям злоумышленника в области информационной безопасности. Цель этого задания — обосновать выбор защиты для системы шифровальной защиты: CS2 или CS1.
И, что самое интересное, необходимо подготовить системы сигнализации и безопасности во всех помещениях, где установлена шифровальная защита. Что делать с этим правилом — дело индивидуальное. Охрана — это дорого и громоздко.
Каковы штрафы?
Да, штрафы есть. Это плохая новость. А относительно хорошая новость заключается в том, что они незначительны. Для людей мы обычно говорим о тысяче рублей. Кто облагается этим штрафом — ответственный сотрудник. Почему «относительно хорошая новость»? Если 1 000 рублей для ответственного сотрудника — не такой уж и штраф, то есть и более существенные штрафы от 50 000 рублей, налагаемые другими контролирующими органами, например Роскомнадзором. Впрочем, это уже проблема для другого, менее приятного материала.
Нужно ли готовиться к проверке?
Подготовка к проверке ФСБ сама по себе не слишком полезна. Это связано с тем, что выполнение перечисленных пунктов весьма проблематично при отсутствии полноценной защиты персональных данных. Рекомендуется провести полное обследование всей информационной инфраструктуры. На основе этого можно правильно построить план защиты персональных данных организации. Далее, на начальном этапе делайте упор на подготовку документации только для проверок ФСБ. Это означает, что, к сожалению, невозможно «противостоять» одним комплектом документов.
Вывод.
Если все необходимые документы в наличии и ответы на вопросы правильные, то проверка обычно проходит очень гладко.
Вы подготовили необходимый пакет документов для проверки ФСБ. Или если вы просто решили организовать организационно-приемлемую документацию по защите персональных данных на своем предприятии.
Вы получите следующий образец документации.
ООО «ИЦ „Региональные системы“ — крупнейшая системная интеграция в Южном федеральном округе.
Основные направления деятельности компании в области информационной безопасности:
Специалисты компании стараются разработать более полный механизм построения защиты, учитывающий все особенности каждой защищаемой сети Фонда, и для этого изучают опыт всех успешных и неудачных событий, отражающих кибератаки.
Если вы сомневаетесь в надежности системы безопасности вашего бизнеса или считаете, что существующая система нуждается в усовершенствовании, обращайтесь к нам!
Услуги.
Защита персональных данных — это совокупность организационных и технических мер, направленных на защиту конкретной информации или сведений, определяемых на основании этой информации (субъекта персональных данных).
Аудит информационной безопасности — это процесс получения объективной оценки текущего состояния защищенности информационных ресурсов компании в соответствии с российскими и международными нормами. В рамках данного мероприятия выполняется ряд задач по выявлению уязвимостей в ИТ-инфраструктуре, анализу защищенности онлайн-приложений и предотвращению возможных атак с использованием средств проводной связи.
Как мне подготовиться к регулярным проверкам моих персональных данных ФСБ?
Что ФСБ будет проверять в моих персональных данных? Почему они проверяют несанкционированные объекты? Каковы риски проверки ФСБ? Эти вопросы мы получаем от организаций, которые не имеют лицензии ФСБ и занимаются только обработкой персональных данных. Сразу ответим: ФСБ интересуют меры криптографической защиты.
Однако здесь есть много тонкостей. Правила учета и хранения криптографических средств, доступа к системам криптографической защиты и их использования должны осуществляться в строгом соответствии с требованиями законодательства.
Согласно статье 13.12 КоАП РФ, нарушение правил защиты информации может повлечь за собой различные санкции, включая штрафы для сотрудников и организаций и конфискацию самой виртуальной валюты. Это может привести к невозможности отправки электронных отчетов или блокировке работы оператора в системе обмена данными.
Регулярный контроль использования шифровальных средств, применяемых для обеспечения безопасности персональных данных («ПДн»), осуществляется в соответствии с требованиями следующих нормативных актов.
План проверок ФСБ на текущий год опубликован на официальном сайте Генеральной прокуратуры Российской Федерации. Здесь каждая организация может получить информацию о предстоящих в этом году проверках, их продолжительности и сроках проведения на основании своего ИНН или ОГРН.
Для подготовки к проверкам ФСБ необходимо провести определенные организационные мероприятия, подготовить и утвердить документы, связанные с работой с ИФНС.
Ответы на следующие вопросы помогут организовать работу по подготовке к инспекции и сосредоточиться на необходимых шагах.
Все документы должны быть авторизованы руководителем агентства или уполномоченным лицом. Конфиденциальность не требуется, но документы должны предназначаться только для сотрудников агентства и инспекторов.
Опыт поддержки клиентов СЗКК при проведении проверок позволил нам выявить наиболее типичные блоки, на которые обращают внимание контролирующие органы.
Эксперты «Контур-Безопасность» оказывают помощь в подготовке документации для проверок ФСБ.
Рекомендации по выполнению основных требований ФСБ:
1. организация системы организационных измерений для защиты персональных данных
— 2. область применения системы шифрования для информационных систем персональных данных,
— Наличие документации по организации шифровальной защиты и заказу услуг.
2. организация системы измерений шифровальной защиты информации
— 3. наличие модели угроз агрессора,
— 3. несоответствия между моделью угроз и исходными данными,
— 3. наличие документации на поставку системы шифровальной защиты оператору
— Модель угрозы, разработанная холдинговой организацией,
— Документация на поставку систем шифровальной защиты владельцам
3. авторизационная и эксплуатационная документация
— Наличие лицензий, необходимых для использования АСУ в информационных системах персональных данных,
— Наличие сертификатов соответствия на используемые АСУ,
— наличие эксплуатационной документации на море (например, формуляры, правила эксплуатации, руководства по эксплуатации и т. д.),
— процессы ведения файлов СКИИ, их эксплуатационной и технической документации.
— Лицензии и сертификаты на используемые АСУ,
— Функциональная документация СКИИ.
Какие документы имеются в виду:
1) Лицензии на использование программного обеспечения,
2) Наличие легально полученного дистрибутива этих лицензий. 4,
4. требования к оперативному персоналу.
-Порядок учета лиц, уполномоченных работать в СЭК,
— ACS Наличие операций по продаже для ответственных пользователей,
— укомплектованность штатных должностей персоналом и адекватность решения обязательств, связанных с организацией защиты криптографической информации,
— Организация процессов обучения лиц, использующих СКЗИ
— Документация, подтверждающая оперативные обязанности сотрудников,
— Дневник пользователей шифрованных носителей,
— Документация, подтверждающая обучение сотрудника.
Необходимы следующие документы.
1) Инструкции по работе в море,
2) Правила внутреннего распорядка и назначения офицеров для работы с ИСПДн
5. эксплуатация СКСИ
— Проверка правильности положения во время работы,
— Оценка технического состояния СКСИ,
— соблюдение требований по техническому обслуживанию и целостности,
— Проверка соблюдения правил пользования СКСИ и процесса обработки основной документации.
— Профессиональное поведение в режиме СКЗИ,
— Дневник учета СКЗИ по образцу,
— учет и публикация учреждений, использующих базовую информацию.
Необходимо подготовить следующие документы
2) Приказ об утверждении календарного плана