Как проверяют компьютеры фсб

Обновлено: 07.07.2024

Спецпроверка технических средств (иначе ее называют спецпроверкой ФСБ) проводится в целях сохранения конфиденциальности информации. Суть данной проверки состоит в том, чтобы удостовериться, что в устройствах нет каких-либо записывающих и подслушивающих устройств, способствующих утечке информации.

Какие тех.средства обязательно должны проходить спецпроверку ФСБ?

Обязательной спецпроверке подлежат устройства, предназначенные для использования на объектах, работающих с гос.тайной (военных учреждений, дипломатических представительствах и иных органах). При этом проводится только в том случае, если у заявителя есть лицензия ФСБ на осуществление работ с использованием сведений гос.тайны.

Также обязательно проводится проверка устройств для использования в выделенных помещениях (помещениях, предназначенных для проведения закрытых мероприятий: совещаний, переговоров и т.д.).

Вы так же можете провести данную процедуру в добровольном порядке, если хотите уберечь себя от утечки информации и быть уверенными, что в Ваших устройствах нет «жучков».

Как проводится спецпроверка ФСБ?

В процессе спецпроверки каждая единица подвергается исследованию, используя контрольно-измерительную аппаратуру, в том числе специализированные технические средства. По окончании процедур каждое устройство маркируется специальными защитными знаками (голографические наклейки «ФСБ РФ») и выдается заключение о прохождении спецпроверки.

Какие документы необходимы, чтобы пройти спецпроверку ФСБ?

Для прохождения проверки необходима только заявка и реквизиты организации, а также технические средства, которые необходимо проверить. В заявке необходимо указать:

• наименование технических средств
• страну использования устройств
• характер использования (основное тех.средство, в составе основного тех.средства…)
• категорию обрабатываемой информации (сведения о степени конфиденциальности)
• категорию выделенного помещения, предназначенного для установки тех.средства

С чего начать?

Позвоните в Центр по сертификации Ростест! Мы подробно расскажем обо всех этапах прохождения спецпроверки ФСБ, поможем заполнить заявку и будем вести работу до момента окончания проверки и доставки оригиналов документов до Вас.

Что проверяет ФСБ по персональным данным? Зачем проверяют нелицензиатов? Чем грозит проверка ФСБ? Такие вопросы нам задают организации, которые не имеют лицензий ФСБ, а лишь занимаются обработкой персональных данных. Сразу ответим: ФСБ интересуют средства криптографической защиты.

Однако здесь кроется масса нюансов: учет и хранение средств шифрования, допуски к СКЗИ, регламент их использования должны проводиться в строгом соответствии с требованиями законодательства.

Регулярный контроль использования шифровальных средств, применяемых для обеспечения безопасности персональных данных (далее ПДн), проводится на основании требований следующих нормативных актов:

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Приказ ФСБ России от 10.07.2014 № 378;
• Инструкция ФАПСИ от 13.06.2001 № 152;
• и ряд других нормативных документов.

План проверок ФСБ на год публикуется на официальном сайте Генеральной прокуратуры РФ. Здесь любая организация по своему ИНН или ОГРН может узнать о предстоящих проверках в текущем году, их длительности и периоде проведения.

Для того чтобы подготовиться к проверке ФСБ, необходимо провести ряд организационных мер, разработать и утвердить документы, связанные с работой с СКЗИ.

Ответы на следующие вопросы помогут систематизировать работу по подготовке к проверке и сосредоточиться на необходимых мерах:

1. Есть ли в организации средства криптографической защиты информации? Есть ли документы на их приобретение, ведется ли учет? Какими документами регламентируется передача СКЗИ в отчуждение и в пользование?
2. Какой отдел на предприятии отвечает за работу с СКЗИ, а именно: составление заключений о возможности эксплуатации СКЗИ, разработку мероприятий по обеспечению функционирования и безопасности применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, поэкземплярный учет используемых СКЗИ, эксплуатационной и технической документации к ним, учет обслуживаемых обладателей конфиденциальной информации, контроль за соблюдением условий использования СКЗИ, расследование и составление заключений по фактам нарушения условий использования СКЗИ, разработку схемы организации криптографической защиты конфиденциальной информации?
3. Какими документами регламентируется создание обозначенного выше отдела, а также какими документами назначаются лица, ответственные за выполнение действий в рамках данного подразделения?
4. Выработан ли регламент учета и хранения СКЗИ?
5. Утверждены ли формы журналов учета СКЗИ? Как они ведутся?
6. Определен ли круг ответственных лиц и ответственность в случае нарушения правил работы с СКЗИ?
7. Каким образом производится хранение и предоставление доступа к СЗКИ?

Все документы должны быть утверждены руководителем либо уполномоченным лицом организации, грифов секретности не требуется, однако документы должны быть предназначены только для сотрудников организации и проверяющих.

Опыт поддержки клиентов в ходе проверок ФСБ позволил нам выделить наиболее типичные блоки, на которые обращает внимание контролирующий орган.

Подготовить документы к проверке ФСБ помогут специалисты «Контур-Безопасность».

Рекомендации по выполнению основных требований ФСБ:

1. Организация системы организационных мер защиты персональных данных

– область применения СКЗИ в информационных системах персональных данных;

– наличие ведомственных документов и приказов по организации криптографической защиты

2. Организация системы криптографических мер защиты информации

– наличие модели угроз нарушителя;

– соответствие модели угроз исходным данным;

– наличие документов по поставке СКЗИ оператору

– модель угроз, разработанная оператором;

– документы по поставке СКЗИ оператору

3. Разрешительная и эксплуатационная документация

– наличие необходимых лицензий для использования СКЗИ в информационных системах персональных данных;

– наличие сертификатов соответствия на используемые СКЗИ;

– наличие эксплуатационной документации на СКЗИ (формуляров, правил работы, руководство оператора и т п.);

– порядок учета СКЗИ, эксплуатационной и технической документации к ним

– лицензии и сертификаты на используемые СКЗИ;

– эксплуатационная документация на СКЗИ

Какие документы имеются в виду:

1) лицензии на ПО,

2) наличие дистрибутивов к этим лицензиям, полученных законным путем,

4. Требования к обслуживающему персоналу

– порядок учета лиц, допущенных к работе с СКЗИ;

– наличие функциональных обязанностей ответственных пользователей СКЗИ;

– укомплектованность штатных должностей личным составом и его достаточность для решения задач по организации криптографической защиты информации;

– организация процесса обучения лиц, использующих СКЗИ

– документы, подтверждающие функциональные обязанности сотрудников;

– журнал учета пользователей криптографических средств;

– документы, подтверждающие прохождение обучения сотрудников

Необходимо иметь следующие документы:

1) инструкция по работе с СКЗИ,

2) назначение внутренними приказами ответственных за работу с СКЗИ

5. Эксплуатация СКЗИ

– проверка правильности ввода в эксплуатацию;

– оценка технического состояния СКЗИ;

– соблюдение сроков и полноты технического обслуживания;

– проверка соблюдения правил пользования СКЗИ и порядка обращения с ключевыми документами к ним

– акты ввода СКЗИ в эксплуатацию;

– журнал поэкземплярного учета СКЗИ;

– журнал учета и выдачи носителей с ключевой информацией

Необходимо разработать следующие документы:

1) акты установки СКЗИ,

2) приказ по утверждению форм журналов учета

6. Организационные меры

– выполнение требований по размещению, специальному оборудованию, охране и организации режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним;

– соответствие режима хранения СКЗИ и ключевой документации предъявляемым требованиям;

– оценка степени обеспечения оператора криптоключами и организация их доставки;

– проверка наличия инструкции по восстановлению связи в случае компрометации действующих ключей к СКЗИ

– эксплуатационная документация на СКЗИ;

– помещения, выделенные для установки СКЗИ и хранения ключевых документов к ним;

1) Выполнение требования Инструкции 152 ФАПСИ. Зависит от конкретных условий, может потребовать монтажа охраны, установки штор на окна, покупки сейфа и пр.

Все перечисленные требования вытекают из Регламента проведения проверок ФСБ. Конкретные действия проводятся согласно Приказу ФАПСИ от 13 июня 2001 года №152.

Выполнение хотя бы части требований существенно поднимет вероятность пройти все регламентные процедуры без штрафа. В целом в требованиях нет избыточности, все действия действительно важны и работают на защиту интересов организации.

Составить модель угроз, разработать инструкции по работе с СКЗИ, создать акты установки СКЗИ помогут специалисты «Контур-Безопасность».

Никита Ярков, руководитель группы лицензирования компании «СКБ Контур», проект «Контур-Безопасность»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Что проверяет ФСБ по персональным данным? Как подготовиться к проверке ФСБ? Чем грозит проверка ФСБ в случае выявления нарушений? Все по сути и без «воды»!

Чем руководствуются?

Регулярный контроль со стороны Федеральной Службы Безопасности проводится на основании требований следующих нормативных актов:

и ряд других нормативных документов, но эти основные.

Что проверяют?

Проверяются условия обработки персональных данных с использованием средств криптографической защиты информации. Правовым основанием является Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 года № 378 г. Москва “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности”.

А конкретно?

Если говорить о конкретике, то смотрят, прежде всего, приказ о назначении ответственного сотрудника за эксплуатацию средств криптографической защиты. В этом же приказе можно указать всех сотрудников, являющихся пользователями данных средств. Еще приказ должен утверждать инструкцию ответственного за эксплуатацию средств криптографической защиты информации и инструкцию по обращению со средствами криптографической защиты информации. Кстати сказать, вышеуказанная ответственность сотрудника должна быть также закреплена в его функциональных обязанностях.

А ещё обязательно спросят акты установления уровня защищенности информационных систем персональных данных с целью выявления тех, в которых используются средства криптографии. Как минимум, это бухгалтерия, где передают данные о сотрудниках в Пенсионный фонд, Налоговую службу и в кредитные организации. Стоит отметить, что компьютеры для работы с Единым порталом государственных услуг и прочими подобными ресурсами не интересуют ввиду отсутствия там фактов обработки персональных данных. В процессе изучения актов проверяющими будут интервьюироваться сотрудники, работающие с данными информационными системами. Тут уже важно то, насколько уместно и корректно они будут отвечать на задаваемые им вопросы.

Проверяется журнал учета средств криптографической защиты. Помимо собственных копий данных средств, обязательными для учета являются формуляры, инструкции пользователя и администратора для этих средств. Их нужно обязательно распечатать и также показать при проверке. Не забудьте предоставить акты приема-передачи средств криптографической защиты, так как обычно с этим бывают некоторые проблемы. И, безусловно, необходимы акты установки средств защиты информации на все рабочие станции. Обязательно опечатайте эти рабочие станции. Этот момент тоже на особом счету.

Подготовьте приказ о совокупности возможностей нарушителя информационной безопасности. Смысл данного приказа заключается в обосновании выбора класса защиты СКЗИ: КС2 или КС1.

И самое интересное – это то, что необходимо иметь сигнализацию и сейфы во всех помещениях, где установлены средства криптографической защиты. Что делать с этой нормой – дело индивидуальное: сейф – штука дорогая и громоздкая.

Какие штрафы?

Да, штрафы есть. Это новость плохая. А относительно хорошая новость в том, что они незначительные. Для физического лица обычно разговор идет об одной тысяче рублей. Именно на физическое лицо – ответственного сотрудника накладывается данное взыскание. Почему «относительно хорошая новость»? Если 1000 рублей для ответственного сотрудника не значительный штраф, то есть и более существенные, которые начинаются от 50 000 рублей, которые накладываются другими регуляторами, например, Роскомнадзором. Но это уже тема для другого, не менее занимательного материала.

Надо ли готовиться к проверке?

Непосредственно к самой проверке ФСБ готовиться особого смысла нет. Потому что если не построена комплексная защита персональных данных, то выполнить указанные выше пункты будет весьма проблематично. Мы бы рекомендовали провести полное обследование всей информационной инфраструктуры, оттолкнувшись от которого можно грамотно построить план по защите персональных данных организации. А потом сделать первоначальный акцент на подготовке документов именно к проверке ФСБ. Т.е., одним только комплектом документов грамотно «отбиться», увы, не получится.

Вывод

Мы подготовили для вас комплект документов, которые понадобятся при проверке со стороны ФСБ, ну или просто если вы решите привести в порядок организационно-разрешительную документацию по защите персональных данных на предприятии.

Вы получите следующие шаблоны документов:

• Приказ об обращении со средствами криптографической защиты
• Приказ о совокупности возможностей нарушителя криптографической защиты
• Акт установки уровня защищенности
• Акт установки средств защиты информации

Компания ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ» является ведущим системным интегратором ЮФО.

Основные направления деятельности Компании в области информационной безопасности:

Специалисты компании стремятся разработать наиболее полный механизм построения защиты с учетом всех особенностей каждой защищаемой сети учреждения и для этого изучают опыт всех успешных и неудачных фактов отражения кибератак, происходящих в последнее время.

Если у вас есть сомнения по поводу надежности системы информационной безопасности вашего предприятия или вы считаете, что необходимо провести работы по улучшению существующей системы – обращайтесь!

Деятельность ФСБ по контролю персональных данных регламентируется:

План проверок ФСБ на год публикуется на сайте Генпрокуратуры РФ. Любая организация, введя в строку свой ИНН или ОГРН может узнать, ждет ли ее проверка, когда она будет проходить и сколько длиться.

В центре внимания проверки по 152-ФЗ

ФСБ осуществляет проверки условий обработки ПДн с использованием криптографической защиты на основании приказа ФСБ РФ № 378 от 10 июля 2014 года «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Ведомство проверяет, есть ли у организации приказ о назначении сотрудника, отвечающего за эксплуатацию средств криптографической защиты (эти функции также должны быть прописаны у него в должностных обязанностях). В документе указываются инструкции, по которым действует работник, и руководство по работе со СКЗИ (средствами криптографической защиты информации).

Сотрудникам службы также необходимо предоставить журнал учета средств криптографической защиты. Проверяется не только журнал в распечатанном виде, но формуляры документов и инструкции, которым должны следовать пользователи и администраторы.

ФСБ проверяет документы, в которых описаны модели нарушителей, так как их основании делается выбор класса защиты средств криптографической защиты информации .

Сотрудникам ФСБ необходимо предоставить акты приема-передачи средств криптографической защиты, акты их установки на рабочие станции (станции необходимо опечатывать).

Все документы должны быть утверждены директором или сотрудником, отвечающим за эксплуатацию средств криптографической защиты.

Стоит отметить, что организации должна установить сейфы и сигнализацию во все помещения, где находятся средства криптографической защиты.

Как наказывают

За нарушение организации облагаются штрафами. Сотрудника, допустившего недочеты, могут оштрафовать на сумму от 1 000 рублей до 2 000 рублей, организация может получить наказание в размере от 10 000 рублей до 15 000 рублей или лишиться средств криптозащиты.

Согласно документу, контроль и надзор осуществляются ФСТЭК и ФСБ путем проведения плановых и внеплановых выездных проверок. Для плановой проверки создается комиссия в составе не менее трех человек. Срок контрольных мероприятий не должен превышать 20 рабочих дней. Для внеплановых мероприятий предусмотрено как минимум два проверяющих, а срок проверки ограничен 10 рабочими днями. Однако в исключительных случаях, например, при расследованиях срок может затянуться, но не более чем на 20 рабочих дней, сказано в проекте.

При этом проверка тех операторов, которые используют информсистемы на правах собственности и аренды, или которым принадлежат эти системы (Минобороны, Служба внешней разведки, ФСО и Главное управление специальных программ Президента), проводится по согласованию с руководителями указанных органов.

Порядок проверок

Согласно проекту постановления, ФСТЭКом и ФСБ при плановых проверках проверяется соблюдение оператором персональных данных требований по обеспечению безопасности ПД при их обработке в ИС, а также требований по использованию средств защиты информации, в том числе средств криптографии. При внеплановых проверках речь идет также о выполнении предписания органа госконтроля и проведении мероприятий по предотвращению негативных последствий, возникших в результате инцидента.

Среди оснований для проведения проверки — истечение трех лет со дня окончания последней плановой проверки. Руководителем органа госконтроля утверждается ежегодный план проверки до 20 декабря, предшествующего году проведения плановых проверок. В него входят наименование контролирующего органа, сведения об операторе ПД, наименование органа, проводящего проверку и квартал ее проведения. О дате проведения плановой проверки оператор ПД уведомляется не менее чем за три рабочих дня до ее начала.

Основаниями для внеплановой проверки, согласно постановлению, являются истечение срока выполнения оператором ПД предписания об устранении нарушения требований по обеспечению безопасности данных, возникновение компьютерного инцидента в ИС персональных данных, повлекшего негативные последствия, приказ контролирующего органа и возникновение угрозы жизни, здоровью граждан, либо угрозы безопасности государства. О внеплановой проверке оператор предупреждается не менее чем за 24 часа до ее начала «любым доступным способом, обеспечивающим возможность подтверждения факта такого уведомления».

Если внеплановая проверка проходит в случае возникновения инцидента или угрозы жизни, здоровью граждан или безопасности государства, она может быть проведена незамедлительно.

Алгоритм проверок

Проверка начинается с предъявления служебного удостоверения должностными лицами и ознакомления руководителя оператора ПД о проведении проверки, а также предъявления ему под расписку копии приказа о проведении проверки. Руководитель обязан предоставить проверяющим доступ к документам, связанным с предметом проверки, а также беспрепятственный доступ на территорию и к ИС персональных данных.

При этом должностные лица не в праве проверять требования, которые не относятся к полномочиям контролирующего органа, требовать представления документов и информации, если они не относятся к предмету проверки, а также изымать оригиналы таких документов, распространять информацию, полученную в результате проведения проверки (государственную, коммерческую, служебную тайну), превышать установленные сроки, а также выдавать оператору ПД предписания или предложения о проведении за их счет мероприятий по контролю.

По результатам проверки оформляется акт. Один экземпляр акта с приложениями вручается руководителю оператора персональных данных. В случае выявления нарушений, проверяющие выдают предписание об устранении выявленного нарушения с указанием срока его устранения. Впоследствии надзорный орган контролирует устранение выявленных нарушений.

Суммы штрафов

Согласно федеральному закону от 24 февраля 2021 г. № 19-ФЗ, административная ответственность по статье 13.11 предусматривает штрафы в зависимости от последствий нарушения. Так, ответственность для юридического лица предусматривает наложение штрафа в размере от 30 тыс. руб. до 6 млн руб., а при повторном нарушении — до 18 млн руб. Такой штраф компания или ИП заплатят, если повторно нарушат обязанность по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения персональных данных, собранных в интернете.

Станет ли госсектор драйвером развития российского рынка BI

Штраф за обработку персональных данных без согласия владельца ПД достигает 500 тыс. руб. Максимальный совокупный штраф для должностного лица составляет 336 тыс. руб., а при повторном нарушении может превышать 1 млн руб. В мае 2021 г. CNews писал, что депутаты «Единой России» хотят в десять раз увеличить штрафы за разглашение персональных данных.

Комментарии экспертов

Как рассказал CNews эксперт RTM Group Евгений Царев, документ в текущей редакции «очень сырой», в нем присутствуют проблемы с терминологией и с описательной частью. «По сути, проведение проверок именно операторов персональных данных — это новая история, и раньше такой тип проверок не выделялся, — рассказывает Царев. — Проверки по обработке персональных данных проводились и раньше, но только государственных органов или лицензиатов в ходе проверки лицензионных требований». При этом он отмечает, что данных поправок недостаточно, «так как необходимы соответствующие регламенты проверок и в них должна быть конкретика».

«С одной стороны, можно только приветствовать упорядочивание деятельности контролирующих и надзорных органов, — рассказал CNews Демьян Раменский, руководитель направления «Хостинг испдн» компании CorpSoft24. — C другой стороны, есть риск увеличения давления на средний и малый бизнес».

Сейчас проверки по персональным данным проводит в основном Роскомнадзор, они направлены на выполнение требований 152-ФЗ, поясняет Раменский. Новое постановление резко увеличит число проверок со стороны ФСТЭК и ФСБ, причем они будут касаться не только организационных, но и технических мер, предусмотренных приказами ФСТЭК №21 и ФСБ №378. Реализация требований ФСТЭК и ФСБ — задача долгая и дорогая, поскольку требует не только закупки дорогостоящих СЗИ/СКЗИ, но и наличия компетентных специалистов по кибербезопасности, чей дефицит сейчас на рынке труда подстегивает рост зарплат, отмечает Раменский. В то же время, принятие данного постановления, безусловно, станет драйвером роста рынка облачных услуг информационной безопасности, считает он.

Что такое единая биометрическая система

В июле 2018 г. CNews писал о том, что в России запущена Единая биометрическая система (ЕБС). Вместе с логином и паролем от Госуслуг ЕБС позволяет гражданам дистанционно получать финансовые услуги. Идентификация пользователя в ЕБС происходит по двум параметрам — голосу и лицу, одновременное использование которых позволяет определить живого человека, а не имитацию его биометрических данных в цифровом канале.

Создание системы инициировано ЦБ совместно с Минцифры, разработчиком и оператором системы является «Ростелеком». Драйвером ее создания стала нацпрограмма «Цифровая экономика», целью которой также является повышение доступности цифровых сервисов для граждан в отдаленных регионах и маломобильного населения.

Случаи утечки персональных данных

В апреле 2020 г. издание РБК сообщало, что в Сеть попали данные граждан, обращавшихся за оформлением займов в микрофинансовых организациях. Данные клиентов были выставлены на продажу в конце марта 2020 г. на специализированном сайте. Речь шла о 12 млн записей с номерами паспортов, телефонами и сведениями об электронных кошельках.

ТАСС в феврале 2021 г сообщал, что за январь-сентябрь 2020 г. в России утекло 96,5 млн записей персональных данных и платежной информации. Около 80% утечек персональных данных при этом происходит из-за внутренних нарушений, а не в результате хакерских атак.

Согласно исследованию Tinkoff Data, более 90% россиян сталкиваются со звонками спамеров и мошенников. Номера телефонов у мошенников появляются, в том числе из-за утечек данных.

Читайте также:

  
• Компьютерная графика как основа современной работы над иллюстрационными оригиналами
  
• Замена разъема питания планшета digma
  
• Cx file explorer как пользоваться
  
• Delphi как создать файл справки
  
• Что такое флоппи дисковод