Одним из наиболее интересных на наш взгляд выступлений было выступление представителя УФСБ России по Ярославской области, в рамках которого представитель регулятора поделился некоторыми особенностями и результатами проверок поднадзорных организаций в части обращения средств криптографической защиты информации (далее — СКЗИ), используемых для защиты персональных данных (далее — ПДн). Дальше приведем основные тезисы этого выступления.
При проверках ФСБ России грубыми нарушениями считаются следующие:
- Для защиты передаваемых по каналам связи ПДн используются несертифицированные ФСБ России СКЗИ или сертифицированные, но с сертификатами с истекшими сроками действия;
- Не определены уровни защищенности информационных систем ПДн и классы защиты СКЗИ по
378-му приказу ФСБ.
Извещение о проверке направляется со стороны ФСБ России за три дня до самой проверки, т.к. почти внезапная проверка является более эффективной.
В последнее время наблюдается тенденция сокращения операторами ПДн финансовых расходов и кадровых ресурсов по информационной безопасности для защиты ПДн. Поэтому регулятором были внесены соответствующие изменения в подходы к проверкам. Если раньше при проверках в ответ на выявленные и зафиксированные в предписании нарушения со стороны проверяемой организации звучали жалобы на то, что на устранение нарушений нет денег и что в лучшем случае они будут заложены в бюджет на следующий год, то теперь же ситуация кардинально изменилась — отсутствие денег больше не повод для неисправления выявленных нарушений. На устранение выявленных нарушений ФСБ России в настоящее время дает три месяца стандартно, в исключительных случаях — шесть месяцев. За неисправление нарушений вовремя положены штрафы. Приостановка деятельности формально также возможна, но регулятором не практикуется.
Перечень типовых нарушений, обычно выявляемых регулятором в ходе проверок:
- Входные двери в помещения, в которых хранятся СКЗИ, а также металлические хранилища, в которых хранятся носители ключевой информации, не оборудованы устройствами для опечатывания;
- Дубликаты ключей от хранилищ сотрудников органа криптографической защиты не хранятся у руководителя органа или начальника организации;
- Журналы СКЗИ ведутся длительное время и в нескольких томах. Больше двух томов заводить не рекомендуется. Если записей много, то лучше завести новый журнал, сдав старый в архив, т.к. иначе неудобно как вести такие большие журналы, так и проверять их;
- Часто уже неиспользуемые СКЗИ (старое оборудование, дистрибутивы, формуляры, сертификаты, техническая документация) копятся и не уничтожаются, и потом зачастую очень сложно найти их и предъявить регулятору во время проверки. Так, например, если в организации КриптоПро CSP 3.6 выведен уже из эксплуатации, а используется КриптоПро CSP 4.0, не следует копить старые версии, лучше их уничтожить;
- Не организован поэкземплярный учет по серийным номерам машинных носителей информации, используемых для хранения и обработки ПДн. В основном это жесткие диски АРМов;
- В лучшем случае ведется журнал учета СКЗИ, но отсутствуют или не зарегистрированы сопроводительные письма, акты ввода в эксплуатацию, акты вывода из эксплуатации, акты уничтожения;
- Не планируются и не проводятся мероприятия по контролю обеспечения безопасности ПДн (по
1119-ПП это нужно делать не реже одного раза в три года).
Павел Луцик
директор по продажам и развитию бизнеса
ООО «КРИПТО-ПРО»