Подготовка к проверке ФСБ по персональным данным

Проверка ФСБ по персональным данным?

Что именно проверяется Федеральной службой безопасности, когда речь идет о персональных данных? С какими целями проверяют тех, кто не имеет лицензии? Существует ли какая-то угроза от проверки службы безопасности?

Такими вопросами интересуются организации, не имеющие лицензий ФСБ, а только обрабатывающие персональные данные. Если отвечать кратко, то интерес службы безопасности можно объяснить средствами, обеспечивающими криптографическую защиту.

В прочем, в данной ситуации присутствуют некоторые нюансы. Речь идет об учете и условиях хранения средств, с помощью которых осуществляется шифрование. Принимаются во внимание допуски к СКЗИ. Регламенты, определяющие их использование, должны проходить так, как того требует законодательство.

Если правила информационной защиты нарушены, то итогом могут стать санкции (статья 13.12 КоАП РФ). Должностные лица и организации могут быть оштрафованы, а средства, обеспечивающие криптозащиту, конфискованы.

Результат может оказаться таким, электронную отчетность будет нельзя отправлять или работа учреждения по обмену данными может быть заблокирована.

Для осуществления регулярного контроля пользования шифровальными средствами, используемыми с целями обеспечить безопасность персональным данным (ПДн) выполняются, как это предусмотрено такими нормативными актами:

  • Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Приказа ФСБ России от 10.07.2014 № 378;
  • Инструкции ФАПСИ от 13.06.2001 № 152;
  • А также ряда иных документов, регламентирующих эти действия. 

Официальный сайт Генпрокуратуры Российской Федерации своевременно предоставляет информацию о годовом плане проверок службы безопасности.

У каждой организации есть возможности по собственному ИНН или ОГРН выяснить, какие проверки будут проводиться в течение года, когда конкретно они будут проводиться, и сколько времени на них потребуется.

Чтобы своевременно провести подготовку к предстоящей проверке службы безопасности, следует предпринять некоторые организационные меры, выполнить разработку и утверждение документации, связанной с СКЗИ.

Для обеспечения систематизирования подготовительной работы к проверке, следует найти ответы на такие вопросы:

  1. Имеет ли предприятие (организация) средства, обеспечивающие криптографическую защиту данных? Имеются ли документы, подтверждающие их приобретение, и на должном ли уровне они учитываются? На основе какой документации осуществляется регламентирование передачи СКЗИ в отчуждение и в пользование?
  2. Какой отдел организации (предприятия) несет ответственность за выполнение работы с СКЗИ: кто дает заключение о том, что СКЗИ можно эксплуатировать, как разработаны мероприятия, обеспечивающие работу и безопасность используемых СКЗИ, как это предусмотрено сертификатами, эксплуатационная и техническая документация к ним, учет каждого экземпляра СКЗИ, а также документов к ним, учет тех, кто обладает информацией, являющейся конфиденциальной, осуществление контроля условий, при которых используются СКЗИ, разработки и схемы, обеспечивающие защиту данных, являющейся конфиденциальными.   
  3. Следует определить документы, регламентирующие создание названого отдела и документы, на основании которых были назначены сотрудники, выполняющие действия в данном подразделении.
  4. Необходимо уточнить информацию о выработке регламента, определяющего учет и хранение СКЗИ. 
  5. Следует проверить утверждены ли формы журналов, регистрирующих учет и ведение СКЗИ. 
  6. Круг сотрудников, несущих ответственность, если происходят нарушения правил при работе с СКЗИ, должен быть определен. 
  7. Надо также выяснить, как хранится и предоставляется доступ к СКЗИ.

Каждый документ утверждает руководитель или уполномоченное лицо, при этом гриф секретности не нужен. Но все же, все документы предназначаются лишь для тех, кто работает в данном предприятии (организации) и для осуществляющих проверки.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий