Проверка ФСБ по персональным данным?
Что именно проверяется Федеральной службой безопасности, когда речь идет о персональных данных? С какими целями проверяют тех, кто не имеет лицензии? Существует ли какая-то угроза от проверки службы безопасности?
Такими вопросами интересуются организации, не имеющие лицензий ФСБ, а только обрабатывающие персональные данные. Если отвечать кратко, то интерес службы безопасности можно объяснить средствами, обеспечивающими криптографическую защиту.
В прочем, в данной ситуации присутствуют некоторые нюансы. Речь идет об учете и условиях хранения средств, с помощью которых осуществляется шифрование. Принимаются во внимание допуски к СКЗИ. Регламенты, определяющие их использование, должны проходить так, как того требует законодательство.
Если правила информационной защиты нарушены, то итогом могут стать санкции (статья 13.12 КоАП РФ). Должностные лица и организации могут быть оштрафованы, а средства, обеспечивающие криптозащиту, конфискованы.
Результат может оказаться таким, электронную отчетность будет нельзя отправлять или работа учреждения по обмену данными может быть заблокирована.
Для осуществления регулярного контроля пользования шифровальными средствами, используемыми с целями обеспечить безопасность персональным данным (ПДн) выполняются, как это предусмотрено такими нормативными актами:
- Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Приказа ФСБ России от 10.07.2014 № 378;
- Инструкции ФАПСИ от 13.06.2001 № 152;
- А также ряда иных документов, регламентирующих эти действия.
Официальный сайт Генпрокуратуры Российской Федерации своевременно предоставляет информацию о годовом плане проверок службы безопасности.
У каждой организации есть возможности по собственному ИНН или ОГРН выяснить, какие проверки будут проводиться в течение года, когда конкретно они будут проводиться, и сколько времени на них потребуется.
Чтобы своевременно провести подготовку к предстоящей проверке службы безопасности, следует предпринять некоторые организационные меры, выполнить разработку и утверждение документации, связанной с СКЗИ.
Для обеспечения систематизирования подготовительной работы к проверке, следует найти ответы на такие вопросы:
- Имеет ли предприятие (организация) средства, обеспечивающие криптографическую защиту данных? Имеются ли документы, подтверждающие их приобретение, и на должном ли уровне они учитываются? На основе какой документации осуществляется регламентирование передачи СКЗИ в отчуждение и в пользование?
- Какой отдел организации (предприятия) несет ответственность за выполнение работы с СКЗИ: кто дает заключение о том, что СКЗИ можно эксплуатировать, как разработаны мероприятия, обеспечивающие работу и безопасность используемых СКЗИ, как это предусмотрено сертификатами, эксплуатационная и техническая документация к ним, учет каждого экземпляра СКЗИ, а также документов к ним, учет тех, кто обладает информацией, являющейся конфиденциальной, осуществление контроля условий, при которых используются СКЗИ, разработки и схемы, обеспечивающие защиту данных, являющейся конфиденциальными.
- Следует определить документы, регламентирующие создание названого отдела и документы, на основании которых были назначены сотрудники, выполняющие действия в данном подразделении.
- Необходимо уточнить информацию о выработке регламента, определяющего учет и хранение СКЗИ.
- Следует проверить утверждены ли формы журналов, регистрирующих учет и ведение СКЗИ.
- Круг сотрудников, несущих ответственность, если происходят нарушения правил при работе с СКЗИ, должен быть определен.
- Надо также выяснить, как хранится и предоставляется доступ к СКЗИ.
Каждый документ утверждает руководитель или уполномоченное лицо, при этом гриф секретности не нужен. Но все же, все документы предназначаются лишь для тех, кто работает в данном предприятии (организации) и для осуществляющих проверки.
Следующая