Как проходят проверки?

К нам едет проверка ФСБ по персональным данным: как подготовиться

Деятельность операторов персональных данных контролируют несколько органов: Роскомнадзор, ФСТЭК и ФСБ. В функции Федеральной службы безопасности входит проверка средств криптографической защиты.

Деятельность ФСБ по контролю персональных данных регламентируется:

— Приказом ФСБ России № 378 от 10 июля 2014 года;

— 152-ФЗ «О персональных данных»;

— Приказом ФАПСИ №152 от 13 июня 2001 года;

— Другими нормативными документами (три первых — основные).

План проверок ФСБ на год публикуется на сайте Генпрокуратуры РФ. Любая организация, введя в строку свой ИНН или ОГРН может узнать, ждет ли ее проверка, когда она будет проходить и сколько длиться.

В центре внимания проверки по 152-ФЗ

ФСБ осуществляет проверки условий обработки ПДн с использованием криптографической защиты на основании приказа ФСБ РФ № 378 от 10 июля 2014 года «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Ведомство проверяет, есть ли у организации приказ о назначении сотрудника, отвечающего за эксплуатацию средств криптографической защиты (эти функции также должны быть прописаны у него в должностных обязанностях). В документе указываются инструкции, по которым действует работник, и руководство по работе со СКЗИ (средствами криптографической защиты информации).

Сотрудникам службы также необходимо предоставить журнал учета средств криптографической защиты. Проверяется не только журнал в распечатанном виде, но формуляры документов и инструкции, которым должны следовать пользователи и администраторы.

ФСБ проверяет документы, в которых описаны модели нарушителей, так как их основании делается выбор класса защиты средств криптографической защиты информации.

Сотрудникам ФСБ необходимо предоставить акты приема-передачи средств криптографической защиты, акты их установки на рабочие станции (станции необходимо опечатывать).

Еще один документ, интересующий ФСБ, — акт определения уровня защищенности персональных данных. Он необходим, чтобы выявить информационные системы, в которых используется криптография. К таким системам относится, например, бухгалтерия, которая передает данные в ПФР и банки. В процессе изучения этих документов проверяющие общаются с сотрудниками, работающими с этими системами.

Все документы должны быть утверждены директором или сотрудником, отвечающим за эксплуатацию средств криптографической защиты.

Стоит отметить, что организации должна установить сейфы и сигнализацию во все помещения, где находятся средства криптографической защиты.

Как наказывают

За нарушение организации облагаются штрафами. Сотрудника, допустившего недочеты, могут оштрафовать на сумму от 1 000 рублей до 2 000 рублей, организация может получить наказание в размере от 10 000 рублей до 15 000 рублей или лишиться средств криптозащиты.