В связи с поступающими вопросами доводим до сведения специалистов разъяснения по части органов контроля и надзора за выполнением организационных и технических мер по обеспечению безопасности персональных данных.
Часть 1 – Требования, устанавливаемые ФСБ России, при использовании средств криптографической защиты (СКЗИ) для обеспечения безопасности персональных данных в информационных системах персональных данных (ИСПДн).
В соответствии с п. 4 статьи 19 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» ФСБ России уполномочен определять состав и содержание требований к защите персональных данных, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
21 февраля 2008 года руководством 8 Центра ФСБ России были утверждены «Типовые требования по организации и обеспечению функционирования шифровальных средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случаи их использования для обеспечения безопасности при их обработке в информационных системах персональных данных».
В соответствии с требованиями данного документа в организации, использующей СКЗИ для обеспечения безопасности персональных данных в ИСПДн, должна быть разработана модель угроз, на основе которой должна быть разработана система безопасности, при необходимости включающая в свой состав СКЗИ. Также документ предъявляет ряд требований к порядку использования таких СКЗИ.
Часть 2 – Контроль, осуществляемый ФСБ России, за выполнением требований.
В соответствии с п. 8 статьи 19 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» ФСБ России уполномочен осуществлять контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных при обработке персональных данных в Государственных информационных системах персональных данных в пределах своих полномочий и без права ознакомления с персональными данными, обрабатываемыми в ИСПДн.
Проверки ФСБ России проводятся в соответствии с «Типовым регламентом проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным 08 августа 2009 года.
Данный документ определяет порядок организации и проведения проверки выполнения требований Федерального закона №152-ФЗ «О персональных данных», ограничения при проведении проверки, а также программу проверки использования СКЗИ, применяемых для обеспечения безопасности персональных данных в информационных системах персональных данных, и порядок оформления результатов проверки.
Программа проведения работ по контролю включает в свой состав требования к оператору по предоставлению лицензий (в случае осуществления лицензируемого вида деятельности) и сертификатов на используемые СКЗИ, а также эксплуатационной документации на СКЗИ.
План проверок можно найти на сайте ФСБ.
План проверок можно найти на сайте ФСБ.
При проведении проверок органами исполнительной власти, осуществляющими надзор в сфере защиты информации (ФСБ России) и выявлении нарушений законодательства высока вероятность получения Оператором предписания на устранение выявленных нарушений. Предписание содержит конкретные сроки устранения несоответствий, выявленных в входе проверки и требование по информированию надзорного органа, проводящего проверку, о мерах, принятых в целях устранения нарушений. Невыполнение в установленный срок законного предписания влечет за собой административную ответственность по ч. 2 ст. 19.5 КоАП РФ.
Данная статья будет дополняться по мере поступления вопросов и пожеланий пользователей форума.