О типовых нарушениях, выявляемых ФСБ России при проверках операторов персональных данных

Публикация: 16 Сентябрь 2019 - 11:51, редакция: 20.09.2019 18:30

12-13 сентября 2019 года в Ярославле состоялось Межрегиональное совещание директоров территориальных ФОМС Центрального Федерального округа, в котором приняли участие в том числе эксперты КриптоПро.

Одним из наиболее интересных на наш взгляд выступлений было выступление представителя УФСБ России по Ярославской области, в рамках которого представитель регулятора поделился некоторыми особенностями и результатами проверок поднадзорных организаций в части обращения средств криптографической защиты информации (далее — СКЗИ), используемых для защиты персональных данных (далее — ПДн). Дальше приведем основные тезисы этого выступления.

При проверках ФСБ России грубыми нарушениями считаются следующие:

  • Для защиты передаваемых по каналам связи ПДн используются несертифицированные ФСБ России СКЗИ или сертифицированные, но с сертификатами с истекшими сроками действия;
  • Не определены уровни защищенности информационных систем ПДн и классы защиты СКЗИ по 378-му приказу ФСБ.

Извещение о проверке направляется со стороны ФСБ России за три дня до самой проверки, т.к. почти внезапная проверка является более эффективной.

В последнее время наблюдается тенденция сокращения операторами ПДн финансовых расходов и кадровых ресурсов по информационной безопасности для защиты ПДн. Поэтому регулятором были внесены соответствующие изменения в подходы к проверкам. Если раньше при проверках в ответ на выявленные и зафиксированные в предписании нарушения со стороны проверяемой организации звучали жалобы на то, что на устранение нарушений нет денег и что в лучшем случае они будут заложены в бюджет на следующий год, то теперь же ситуация кардинально изменилась — отсутствие денег больше не повод для неисправления выявленных нарушений. На устранение выявленных нарушений ФСБ России в настоящее время дает три месяца стандартно, в исключительных случаях — шесть месяцев. За неисправление нарушений вовремя положены штрафы. Приостановка деятельности формально также возможна, но регулятором не практикуется.

Перечень типовых нарушений, обычно выявляемых регулятором в ходе проверок:

  • Входные двери в помещения, в которых хранятся СКЗИ, а также металлические хранилища, в которых хранятся носители ключевой информации, не оборудованы устройствами для опечатывания;
  • Дубликаты ключей от хранилищ сотрудников органа криптографической защиты не хранятся у руководителя органа или начальника организации;
  • Журналы СКЗИ ведутся длительное время и в нескольких томах. Больше двух томов заводить не рекомендуется. Если записей много, то лучше завести новый журнал, сдав старый в архив, т.к. иначе неудобно как вести такие большие журналы, так и проверять их;
  • Часто уже неиспользуемые СКЗИ (старое оборудование, дистрибутивы, формуляры, сертификаты, техническая документация) копятся и не уничтожаются, и потом зачастую очень сложно найти их и предъявить регулятору во время проверки. Так, например, если в организации КриптоПро CSP 3.6 выведен уже из эксплуатации, а используется КриптоПро CSP 4.0, не следует копить старые версии, лучше их уничтожить;
  • Не организован поэкземплярный учет по серийным номерам машинных носителей информации, используемых для хранения и обработки ПДн. В основном это жесткие диски АРМов;
  • В лучшем случае ведется журнал учета СКЗИ, но отсутствуют или не зарегистрированы сопроводительные письма, акты ввода в эксплуатацию, акты вывода из эксплуатации, акты уничтожения;
  • Не планируются и не проводятся мероприятия по контролю обеспечения безопасности ПДн (по 1119-ПП это нужно делать не реже одного раза в три года).

Павел Луцик
директор по продажам и развитию бизнеса
ООО «КРИПТО-ПРО»