Выступление представителя Управления ФСБ России по Ярославской области на Межрегиональном совещание директоров территориальных ФОМС Центрального Федерального округа (12-13 сентября 2019 г. г. Ярославль), который выделил особенности и результаты государственных проверок поднадзорных организаций в части эксплуатации средств криптографической защиты информации (далее – СКЗИ), используемых для защиты персональных данных (далее – ПДн).
При проверках ФСБ России грубыми нарушениями считаются следующие:
- Для защиты передаваемых по каналам связи ПДн используются не сертифицированные ФСБ России СКЗИ или сертифицированные, но с сертификатами с истекшими сроками действия;
- Не определены уровни защищенности ИСПДн и классы защиты СКЗИ по приказу ФСБ России от 14.07.2014 г. №378.
Извещение о проверке направляется со стороны ФСБ России за 3 (три) дня до самой проверки, т.к. почти внезапная проверка является более эффективной.
В последнее время наблюдается тенденция сокращения операторами персональных данных финансовых расходов и кадровых ресурсов по информационной безопасности для защиты ПДн. Поэтому регулятором были внесены соответствующие изменения в подходы к проверкам. Если раньше при проверках в ответ на выявленные и зафиксированные в предписании нарушения со стороны проверяемой организации звучали жалобы на то, что на устранение нарушений нет денег и что в лучшем случае они будут заложены в бюджет на следующий год, то теперь же ситуация кардинально изменилась - отсутствие денег больше не повод для не исправления выявленных нарушений. На устранение выявленных нарушений ФСБ России в настоящее время дает три месяца стандартно, в исключительных случаях - шесть месяцев. За не исправление нарушений вовремя положены штрафы. Приостановка деятельности формально также возможна, но регулятором не практикуется.
Перечень типовых нарушений, выявляемых ФСБ России в ходе проверок:
- Входные двери в помещения, в которых хранятся СКЗИ, а также металлические хранилища, в которых хранятся носители ключевой информации, не оборудованы устройствами для опечатывания;
- Дубликаты ключей от хранилищ сотрудников органа криптографической защиты не хранятся у руководителя органа или начальника организации;
- Журналы СКЗИ ведутся длительное время и в нескольких томах. Больше двух томов заводить не рекомендуется. Если записей много, то лучше завести новый журнал, сдав старый в архив, т.к. иначе неудобно как вести такие большие журналы, так и проверять их;
- Часто уже неиспользуемые СКЗИ (старое оборудование, дистрибутивы, формуляры, сертификаты, техническая документация) копятся и не уничтожаются, и потом зачастую очень сложно найти их и предъявить регулятору во время проверки. Так, например, если в организации КриптоПро CSP 3.6 выведен уже из эксплуатации, а используется КриптоПро CSP 4.0, не следует копить старые версии, лучше их уничтожить;
- Не организован поэкземплярный учет по серийным номерам машинных носителей информации, используемых для хранения и обработки ПДн. В основном это жесткие диски автоматизированных рабочих мест;
- В лучшем случае ведется журнал учета СКЗИ, но отсутствуют или не зарегистрированы сопроводительные письма, акты ввода в эксплуатацию, акты вывода из эксплуатации, акты уничтожения;
- Не планируются и не проводятся мероприятия по контролю обеспечения безопасности ПДн (по постановлению Правительства Российской Федерации от 01.11.2012 г. №1119) это нужно делать не реже одного раза в три года).
Источник: П. Луцик О типовых нарушениях, выявляемых ФСБ России при проверках операторов персональных данных SecurityLab.ru (16.09.2019)