Как проходят проверки?
К нам едет проверка ФСБ по персональным данным: как подготовиться
Деятельность операторов персональных данных контролируют несколько органов: Роскомнадзор, ФСТЭК и ФСБ. В функции Федеральной службы безопасности входит проверка средств криптографической защиты.
Деятельность ФСБ по контролю персональных данных регламентируется:
— Приказом ФСБ России № 378 от 10 июля 2014 года;
— 152-ФЗ «О персональных данных»;
— Приказом ФАПСИ №152 от 13 июня 2001 года;
— Другими нормативными документами (три первых — основные).
План проверок ФСБ на год публикуется на сайте Генпрокуратуры РФ. Любая организация, введя в строку свой ИНН или ОГРН может узнать, ждет ли ее проверка, когда она будет проходить и сколько длиться.
В центре внимания проверки по 152-ФЗ
ФСБ осуществляет проверки условий обработки ПДн с использованием криптографической защиты на основании приказа ФСБ РФ № 378 от 10 июля 2014 года «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
Ведомство проверяет, есть ли у организации приказ о назначении сотрудника, отвечающего за эксплуатацию средств криптографической защиты (эти функции также должны быть прописаны у него в должностных обязанностях). В документе указываются инструкции, по которым действует работник, и руководство по работе со СКЗИ (средствами криптографической защиты информации).
Сотрудникам службы также необходимо предоставить журнал учета средств криптографической защиты. Проверяется не только журнал в распечатанном виде, но формуляры документов и инструкции, которым должны следовать пользователи и администраторы.
ФСБ проверяет документы, в которых описаны модели нарушителей, так как их основании делается выбор класса защиты средств криптографической защиты информации.
Сотрудникам ФСБ необходимо предоставить акты приема-передачи средств криптографической защиты, акты их установки на рабочие станции (станции необходимо опечатывать).
Еще один документ, интересующий ФСБ, — акт определения уровня защищенности персональных данных. Он необходим, чтобы выявить информационные системы, в которых используется криптография. К таким системам относится, например, бухгалтерия, которая передает данные в ПФР и банки. В процессе изучения этих документов проверяющие общаются с сотрудниками, работающими с этими системами.
Все документы должны быть утверждены директором или сотрудником, отвечающим за эксплуатацию средств криптографической защиты.
Стоит отметить, что организации должна установить сейфы и сигнализацию во все помещения, где находятся средства криптографической защиты.
Как наказывают
За нарушение организации облагаются штрафами. Сотрудника, допустившего недочеты, могут оштрафовать на сумму от 1 000 рублей до 2 000 рублей, организация может получить наказание в размере от 10 000 рублей до 15 000 рублей или лишиться средств криптозащиты.