Как проходят проверки?
Как подготовиться к проверке ФСТЭК по персональным данным
Деятельность операторов ПДн, согласно 152-ФЗ «О персональных данных», контролируют три ведомства: Роскомнадзор, ФСТЭК и ФСБ. Как подготовиться к визиту Федеральной службы защиты и Роскомнадзора мы писали ранее. Теперь поговорим о подготовке к визиту ФСТЭК.
Опираясь на часть 4 статьи 19 152-ФЗ «О персональных данных», служба выпустила приказ №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», в котором регламентированы действия ведомства по проверке обеспечения безопасности персональных данных». В документе указан порядок действия ФСТЭК по проверке информационных систем персональных данных.
Проверки могут быть как плановыми, так и внеплановыми. Информация о плановых проверках на год публикуется на сайте ФСТЭК, о внеплановых сообщают не менее, чем за сутки.
Что проверяет ФСТЭК?
ФСТЭК как и ФСБ проверяют операторов на наличие технических мер по защите персональных данных. ФСБ интересуют средства криптографической защиты, ФСТЭК же контролирует исполнение мер по остальным вопросам обеспечения безопасности.
В первую очередь службу интересует наличие у оператора модели угроз и нарушителей, нормативных актов установления уровней защищенности информационной системы персональных данных.
Оператору необходимо предоставить сотрудникам службы сведения о сотруднике или подразделении, которые занимаются защитой информации. У организации должны быть приказы о назначении сотрудников, данные о стаже, копии дипломов и сертификатов повышения квалификации, порядок допуска специалистов к информационной системе персональных данных, сведения о согласовании кандидатуры руководителя подразделения или специалиста с Управлением ФСТЭК в регионе.
Сотрудники службы будут проверять факты наличия у оператора средств защиты информации, порядок их эксплуатации и учета.
ФСТЭК проверяет наличие разрешающей документации на средства защиты ПДн (лицензии на их использование, формуляры, сертификаты и др.)
Также ведомство интересует наличие материалов аттестационных испытаний информационной системы и наличие аппаратуры контроля эффективности мер по защите информации.
Согласно части 8 статьи 19 152-ФЗ «О персональных данных» ФСТЭК может проверять только операторов, использующих государственные информационные системы. Обязательный контроль других ИС в законе не указан.
Типовые нарушения
К наиболее часто встречающимся недочетам, которые обнаруживаются при проверке оператора, можно отнести:
— отсутствие любых средств защиты информации;
— недостаточный уровень знаний специалистов, отвечающих за информационную безопасность;
— отсутствие сертификатов на используемые средства защиты или завершение их срока действия сертификат;
— некорректное использование средств защиты информации, неправильную их настройку или не использование, несмотря на их наличие;
— отсутствие аттестации у государственной информационной системы;
— некорректно составленную модель угроз и нарушителей;
— отсутствие нормативной документации и формуляров;
— игнорирование факта проведения запланированных мероприятий по защите информации;
— низкий уровень физической защиты технических средств.
Штрафы
Согласно статье 13.12 Кодекса РФ об административных правонарушениях, юридическим лицам грозят следующие штрафы:
— 15 000 рублей за нарушение требований по защите информации, установленных законами и другими нормативными актами (кроме информации, которая составляет государственную тайну);
— 25 000 рублей за использование несертифицированных ИС, баз и банков данных или несертифицированных средств защиты информации, если их обязательно необходимо сертифицировать.