Проверки регуляторов – ни для кого не новость. О деятельности Роскомнадзора мы пишем достаточно много, поэтому сегодня речь пойдет о статистике проверок другого регулятора – ФСБ России.
Операторы персональных данных уже давно привыкли к тому, что с проверкой выполнения требований, предъявляемых к обработке персональных данных, к ним могут прийти сотрудники Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора). О результатах, проводимых этим ведомством контрольно-надзорных мероприятий, на страницах журнала мы писали не один раз. Что же касается проверок двух других регуляторов – Федеральной службы безопасности Российской Федерации (ФСБ России) и Федеральной службы по техническому и экспортному контролю (ФСТЭК России) – об этом пока говорят очень мало. В какие же организации могут прийти с проверкой, например, сотрудники ФСБ России? Каковы основные нарушения, которые выявляются ими в ходе контрольно-надзорных мероприятий? И от чего же в конечном итоге зависит реализованный уровень защищенности информационных систем?
«В соответствии с частью 8 статьи 19 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» ФСБ России осуществляет контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных при обработке персональных данных в Государственных информационных системах персональных данных в пределах своих полномочий. Причем, без права ознакомления с персональными данными, обрабатываемыми в этих информационных системах персональных данных.
В 2011 году органами ФСБ России осуществлялись проверки операторов государственных информационных систем персональных данных (далее - ИСПДн) из разных сфер деятельности: подразделения Федеральной налоговой службы, Федеральной службы судебных приставов, Федеральной миграционной службы, Федеральной таможенной службы, Пенсионного фонда Российской Федерации, Федеральной службы по труду и занятости, учреждения здравоохранения, образовательные учреждения, районные администрации и организации других сфер деятельности.
Итого в 2011 году проверками было охвачено 1,8% операторов, зарегистрированных в реестре Роскомнадзора, как обрабатывающие персональные данные с использованием шифровальных (криптографических) средств. В отличие от предыдущего отчетного периода уменьшилось количество операторов, неправильно подавших уведомления об обработке персональных данных (далее – ПДн) в части использования шифровальных (криптографических) средств для их защиты в ИСПДн, что связано с более тщательным изучением операторами Федерального закона от 27 июля 2006 года № 52-ФЗ «О персональных данных».
Также во исполнение поручения Председателя Правительства Российской Федерации сотрудниками ФСБ России совместно с другими регулирующими органами (Роскомнадзор и ФСТЭК России) проведена внеплановая выездная проверка Пенсионного фонда Российской Федерации.
По результатам проверок делались выводы, что эксплуатация шифровальных (криптографических) средств, используемых для обеспечения безопасности ПДн при их обработке в ИСПДн, осуществляется с отступлением от требований руководящих документов.
Взаимодействие с Федеральной службой безопасности Российской Федерации (ФСБ России) и Федеральной службой по техническому и экспортному контролю (ФСТЭК России) в 2011 году осуществлялось Уполномоченным органом в форме проведения совместных проверок в рамках осуществления государственного контроля (надзора) за соблюдением обязательных требований законодательства Российской Федерации в области персональных данных.
Данное взаимодействие включало в себя как вопросы организации и проведения совместных проверок, так и их планирование на будущий период.
Инициатива Уполномоченного органа о планировании плановых проверок совместно с органами ФСБ России и ФСТЭК России в 2012 году было направлено на снижение административной нагрузки на операторов, осуществляющих обработку персональных данных.
Решения о проведении совместных проверок в 2012 году были приняты органами ФСБ России по 23 субъектам Российской Федерации, органами ФСТЭК России - по 9 субъектам.
Практика проведения тремя регуляторами совместных проверок берет свое начало с 2009 года и за это время было проведено 17 подобных проверок.
Отчет о деятельности Уполномоченного органа по защите
прав субъектов персональных данных за 2011 год
Нарушения и недостатки, выявленные в ходе проверок, можно разделить на 4 категории:
1. Нарушения, связанные с разработкой ведомственных нормативных документов:
- не проведена классификация ИСПДн;
- отсутствуют или требуют доработки модели угроз или нарушителя;
- отсутствует инструкция о порядке действий при компрометации ключей.
2. Нарушения, связанные с порядком эксплуатации средств криптографической защиты информации (далее - СКЗИ):
- использование СКЗИ, не прошедших сертификацию ФСБ России;
- использование СКЗИ с истекшими сроками действия сертификатов;
- использование ключей с истекшими сроками их действия;
- отсутствие формуляров, эксплуатационной и технической документации;
- аппаратные средства, совместно с которыми эксплуатируется СКЗИ, не оборудованы средствами контроля за их вскрытием.
3. Нарушения, связанные с подготовкой и назначением пользователей криптосредств:
- не назначен ответственный пользователь;
- отсутствует список лиц, допущенных к работе с СКЗИ;
- лица, допущенные к работе с СКЗИ, не проходят обучение и не ознакомлены с действующими нормативными и методическими документами.
4. Нарушения, связанные с учетом и хранением СКЗИ и ключевой документации к ним:
- не ведется учет СКЗИ, ключевых документов, эксплуатационной и технической документации;
- хранилища и помещения с СКЗИ не оборудуются приспособлениями для опечатывания, либо личные печати отсутствуют;
- не пронумерованы и не учтены ключи от помещений с СКЗИ.
Обнаруженные нарушения и недостатки явились следствием низкой исполнительской дисциплины отдельных работников в системе защиты ПДн при их обработке в ИСПДн, а также невыполнения ими требований ведомственных руководящих документов, регламентирующих порядок работы с СКЗИ…
Полную версию материала читайте в №6 (47) журнала «Персональные данные»