Как проходят проверки?

Как подготовиться к проверке ФСТЭК по персональным данным


Деятельность операторов ПДн, согласно 152-ФЗ «О персональных данных», контролируют три ведомства: Роскомнадзор, ФСТЭК и ФСБ. Как подготовиться к визиту Федеральной службы защиты и Роскомнадзора мы писали ранее. Теперь поговорим о подготовке к визиту ФСТЭК.

Опираясь на часть 4 статьи 19 152-ФЗ «О персональных данных», служба выпустила приказ №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», в котором регламентированы действия ведомства по проверке обеспечения безопасности персональных данных». В документе указан порядок действия ФСТЭК по проверке информационных систем персональных данных.

Проверки могут быть как плановыми, так и внеплановыми. Информация о плановых проверках на год публикуется на сайте ФСТЭК, о внеплановых сообщают не менее, чем за сутки.

Что проверяет ФСТЭК?

ФСТЭК как и ФСБ проверяют операторов на наличие технических мер по защите персональных данных. ФСБ интересуют средства криптографической защиты, ФСТЭК же контролирует исполнение мер по остальным вопросам обеспечения безопасности.

В первую очередь службу интересует наличие у оператора модели угроз и нарушителей, нормативных актов установления уровней защищенности информационной системы персональных данных.

Оператору необходимо предоставить сотрудникам службы сведения о сотруднике или подразделении, которые занимаются защитой информации. У организации должны быть приказы о назначении сотрудников, данные о стаже, копии дипломов и сертификатов повышения квалификации, порядок допуска специалистов к информационной системе персональных данных, сведения о согласовании кандидатуры руководителя подразделения или специалиста с Управлением ФСТЭК в регионе.

Сотрудники службы будут проверять факты наличия у оператора средств защиты информации, порядок их эксплуатации и учета.

ФСТЭК проверяет наличие разрешающей документации на средства защиты ПДн (лицензии на их использование, формуляры, сертификаты и др.)

Также ведомство интересует наличие материалов аттестационных испытаний информационной системы и наличие аппаратуры контроля эффективности мер по защите информации.

Согласно части 8 статьи 19 152-ФЗ «О персональных данных» ФСТЭК может проверять только операторов, использующих государственные информационные системы. Обязательный контроль других ИС в законе не указан.

Типовые нарушения

К наиболее часто встречающимся недочетам, которые обнаруживаются при проверке оператора, можно отнести:

— отсутствие любых средств защиты информации;

— недостаточный уровень знаний специалистов, отвечающих за информационную безопасность;

— отсутствие сертификатов на используемые средства защиты или завершение их срока действия сертификат;

— некорректное использование средств защиты информации, неправильную их  настройку или не использование, несмотря на их наличие;

— отсутствие аттестации у государственной информационной системы;

— некорректно составленную модель угроз и нарушителей;

— отсутствие нормативной документации и формуляров;

— игнорирование факта проведения запланированных мероприятий по защите информации;

— низкий уровень физической защиты технических средств.

Штрафы

Согласно статье 13.12 Кодекса РФ об административных правонарушениях, юридическим лицам грозят следующие штрафы:

— 15 000 рублей за нарушение требований по защите информации, установленных законами и другими нормативными актами (кроме информации, которая составляет государственную тайну);

— 25 000 рублей за использование несертифицированных ИС, баз и банков данных или несертифицированных средств защиты информации, если их обязательно необходимо сертифицировать.