Проверки по защите персональных данных: Роскомнадзор, ФСБ, ФСТЭК
От 1% до 3% – составит размер оборотных штрафов на компании за утечку персональных данных, ПДн. В сентябре 2023 года выйдет соответствующий законопроект. Смягчающим обстоятельством может стать соблюдение требований по защите ПДн по результатам соответствующей проверки.
Мораторий на плановые проверки бизнеса действует до конца 2023 года, согласно Постановлению Правительства от 10.03.2023 № 336. Тем не менее, проверить могут и внепланово – об этом поговорим далее – поэтому следует подготовиться заранее.
Соблюдение требований по защите персональных данных контролируют 3 госоргана: Роскомнадзор, ФСТЭК и ФСБ. Рассмотрим особенности проверок, типовые ошибки и рекомендации по подготовке для каждого.
Проверки Роскомнадзора
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, Роскомнадзор – регулятор в сфере защиты ПДн.
Предмет контроля:
- документы, характер информации в которых предполагает или допускает включение в них ПДн;
- информационные системы ПДн;
- деятельность по обработке ПДн.
Виды и особенности проверок
Документарные проверки
Роскомнадзор запрашивает список документов, копии которых необходимо предоставить в территориальный орган Роскомнадзора.
Выездные проверки:
В организацию приезжают представители Роскомнадзора и проводят проверку на предмет соответствия требованиям 152-ФЗ.
Мероприятия систематического наблюдения
Удаленный контроль за выполнением требований законодательства операторами ПДн.
Плановые проверки
– Проводятся раз в 3 года, в соответствии с 294-ФЗ.
– Проводятся как в отношении операторов, включенных в Реестр, так и не включенных, но осуществляющих обработку ПДн.
– О плановых проверках Роскомнадзор предупреждает заранее – не позднее, чем за 3 рабочих дня.
Внеплановые проверки
– Чаще всего проводятся:
а) на основании выявленных нарушений в действиях оператора;
б) в случае поступления жалобы на действия оператора;
в) по результатам мероприятий систематического наблюдения.
– О внеплановых проверках Роскомнадзор предупреждает не менее чем за 24 часа до начала проверки.
– В случае причинения вреда жизни и здоровью граждан оператор не предупреждается о начале внеплановой проверки.
По условиям моратория, о котором упоминалось выше, Роскомнадзор может внепланово проверить оператора ПДн:
- если установлен факт распространения обрабатываемых ПДн в Интернете;
- по предписанию прокуратуры;
- в рамках профилактического визита.
Порядок подготовки к проверке Роскомнадзора
1. Назначить лиц, ответственных за организацию обработки и за обеспечение безопасности ПДн.
2. Провести внутренний аудит в целях анализа процессов обработки ПДн в ОМСУ.
3. Разработать и утвердить необходимую документацию по защите ПДн.
4. Ознакомить всех сотрудников, осуществляющих обработку ПДН и имеющих доступ к обрабатываемым ПДн, под роспись – с локальными актами по защите ПДн.
5. Подать уведомление о намерении осуществлять обработку ПДн в Роскомнадзор.
6. Определить места нахождения баз данных ПДн граждан РФ.
7. Завести и поддерживать в актуальном состоянии журналы.
8. Вести план внутренних проверок режима обработки и защиты ПДн.
9. Обратить внимание на особенности разработки согласий для категорий субъектов, чьи ПДн обрабатываются.
Перечень наиболее часто встречающихся замечаний от Роскомнадзора
- Неопубликование Оператором документа, определяющего Политику в отношении обработки ПДн.
Рекомендации: выкладывайте Политику в отношении обработки на сайт, в том числе, если используется сбор ПДН через онлайн-формы.
- Отсутствие уведомления об обработке ПДн / представление в уполномоченный орган уведомления об обработке ПДн, содержащего неполные или недостоверные сведения / непредставление сведений об изменении информации
Рекомендации: вовремя актуализируйте уведомление об обработке ПДн, отправляйте информационное письмо в Роскомнадзор.
- Отсутствие условий соблюдения конфиденциальности ПДн в договорах с третьими лицами, а также требований к защите обрабатываемых ПДн.
Рекомендации: в договоре должно быть прописано, с какой целью передаются ПДн другой организации, какие действия она будет совершать с ними, обязанность организации обеспечивать конфиденциальность и безопасность полученных ПДн (ч.3. ст.6 152-ФЗ)
- Отсутствие у оператора места хранения ПДн, перечня лиц, осуществляющих обработку ПДн, либо имеющих к ним доступ
Рекомендации: обеспечьте раздельное хранение документов, содержащих ПДн разных физических лиц; обеспечьте контролируемый доступ в помещения, в которых обрабатываются ПДн. В конце рабочего дня документы с ПДн должны быть убраны в запираемые шкафы, сейфы
- Невыполнение требований по обучению и ознакомлению сотрудников с порядком обработки, хранения ПДн и ответственностью за нарушение требований законодательства при обработке ПДн
Рекомендации: соберите подписи сотрудников, которые работают с ПДн, под Политикой, Положением, инструкциями, подписать обязательство о соблюдении конфиденциальности, согласие на обработку их ПДн.
Проверки ФСБ
Федеральная служба безопасности, ФСБ – регулятор в сфере обеспечения информационной безопасности.
Предмет контроля:
- организационные меры защиты информации
- криптографические меры защиты информации
- разрешительная и эксплуатационная документация на средства криптографической защиты информации, СКЗИ
- требования к персоналу, допущенному к работе с СКЗИ
- эксплуатация СКЗИ
- оценка соответствия применяемых СКЗИ
Виды и особенности проверок
Плановая проверка
Проводится согласно «Плану проведения плановых проверок юридических лиц и индивидуальных предпринимателей».
Основания для проведения внеплановой проверки
- истечение срока исполнения Оператором ранее выданного предписания об устранении выявленных нарушений требований к обеспечению безопасности информации
- поступление обращений и заявлений граждан, юридических лиц, информации от органов госвласти, ОМСУ, из СМИ о фактах возникновения угрозы причинения вреда жизни, здоровью граждан, безопасности государства
- распоряжение начальника органа безопасности о проведении проверки, изданное в соответствии с поручениями Президента/Правительства РФ
Подготовка к проверкам ФСБ
Требования по технической защите информации
Проверяемые требования | Что предоставляется |
Организационные меры защиты информации | – Приказ о назначении ответственного пользователя СКЗИ – Инструкция ответственного пользователя СКЗИ |
Криптографические меры защиты информации | – Модель угроз на каждую ИС – Документы на поставку СКЗИ организации |
Разрешительная и эксплуатационная документация на СКЗИ | – Лицензия на СКЗИ – Сертификаты соответствия на СКЗИ – Формуляры на СКЗИ |
Требования к персоналу, допущенному к работе с СКЗИ | – Перечень сотрудников, допущенных к работе с СКЗИ – Инструкция пользователей СКЗИ |
Эксплуатация СКЗИ | – Журнал поэкземплярного учета СКЗИ – Лицевые счета пользователей СКЗИ – Акты установки СКЗИ |
Оценка соответствия применяемых СКЗИ | – СКЗИ – Дистрибутивы на СКЗИ |
Типовые нарушения при проверках ФСБ России
- Отсутствие необходимых журналов
- Журналы есть, но не ведутся
- Отсутствие, либо утеря эталонных дистрибутивов СКЗИ, документации, формуляров
- Некорректно разработанная модель угроз и действий нарушителя
- Использование СКЗИ более низкого класса, чем необходимо
- Недостаточные меры по физической защите носителей ключевой информации
- Недостаточные меры по физической защите помещений
Проверки ФСТЭК
Федеральная служба по техническому и экспортному контролю, ФСТЭК – регулятор в сфере обеспечения технической защиты информации.
Предмет контроля:
- соблюдение обязательных требований в области технической защиты информации, в том числе ПДн при их автоматизированной обработке в информационных системах
- эксплуатационные документы и материалы аттестационных испытаний объектов информатизации
- техническая и иная документация по созданию системы защиты информации в государственных информационных системах
- планирующие и отчетные документы о деятельности по технической защите информации, в том числе материалы о результатах контроля эффективности принимаемых мер и СЗИ
Подготовка к проверкам ФСТЭК России
Требования по технической защите информации
Требования | Что предоставляется |
Соблюдение обязательных требований в области технической защиты информации, в том числе ПДн при их автоматизированной обработке в информационных системах (ГИС/ИСПДн) | – Приказ о назначении ответственных за обеспечение безопасности информации – Инструкция ответственного за обеспечение безопасности информации – Модели угроз на каждую ИС – Акты классификации ИС – Сертифицированные СЗИ |
Эксплуатационные документы и материалы аттестационных испытаний объектов информатизации | – Сертификаты, формуляры на СЗИ – Лицензии на СЗИ – Аттестационная документация – Технический паспорт ИС – Журнал учета СЗИ |
Техническая и иная документация по созданию системы защиты информации в ГИС | – Техническое задание на создание системы защиты – Регламент применения технических мер по защите информации |
Требования к персоналу, допущенному к работе с СКЗИ | – Договор/контракт на создание системы защиты информации – Материалы о результатах контроля эффективности |
Типовые нарушения
- Отсутствие СЗИ
- Средства защиты есть, но не используются и/или некорректно настроены
- Использование несертифицированных СЗИ, либо с истекшим сроком действия сертификата соответствия
- Отсутствие, либо утеря эталонных дистрибутивов СЗИ, документации, формуляров
- Низкий уровень знаний ответственных за обеспечение безопасности информации в сфере информационной безопасности
- Не проводятся мероприятия, прописанные в утвержденной документации по защите информации
- Некорректно разработана модель угроз и модель нарушителя
- ГИС не аттестована
- Недостаточная физическая защита технических средств
Об ответственности за несоблюдение требований законодательства в сфере защиты персональных данных писали тут.
Обо всех обновлениях ФЗ-152 “О персональных данных” – тут.
Подробнее об аттестации информационных систем, о которой упоминали выше – здесь.
Если остались вопросы по теме персональных данных и их защите – напишите нам сюда.