Страницы

Если к вам идёт проверка из ФСБ по ПДн...

Если вы работаете в государственном предприятии, то есть определенная вероятность того, что в одно прекрасное утро к вам на стол попадет распоряжение ФСБ о проведении плановой выездной проверки соблюдения требований к обеспечению безопасности персональных данных (в т.ч. материальных носителей биометрических персональных данных).


На что следует в первую очередь обратить внимание?

Документы

1. Модель угроз. При использовании СКЗИ, модель угроз должна учитывать метод.рекомендации ФСБ;
2. Документы, подтверждающие разработку системы защиты персональных данных, обеспечивающей нейтрализацию актуальных угроз. Т.е. проект на систему защиты ПДн в ИСПДн или хотя бы техническое задание;
3. Аттестат соответствия ИСПДн, протоколы испытаний и заключение о возможности эксплуатации;
4. Документы, подтверждающие обучение лиц, использующих СЗИ/СКЗИ, правилам работы с ними;
5. Журнал учёта средств защиты информации и документации;
6. Технический (аппаратный) журнал;
7. Журнал учёта носителей ПДн;
8. Актуальный приказ о допуске с указанием перечня лиц, допущенных к работе с ПДн в ИСПДн;
9. Приказ о допуске к работе с СКЗИ;
10. Документы, подтверждающие проведение мероприятий по контролю за всем вышеуказанным.

Кроме того лучше подготовить:
1. учредительные документы, устав;
2. должностные инструкции и функциональные обязанности лиц, ответственных за работу СЗИ/СКЗИ;
3. внутренние документы по вопросам обеспечения ИБ;
4. бухгалтерские документы на приобретение СЗИ/СКЗИ;
5. сертификаты на используемые СЗИ/СКЗИ (проверьте срок действия сертификата!), руководства пользователя и администратора СЗИ/СКЗИ. 

Вопросы

Нужно подготовить ответы на возможные вопросы проверяющих:
- Какие проводятся действия по организации безопасности персональных данных при их обработке?
- Применяются ли средства шифрования (СКЗИ)? 
- Соблюдаются ли условия функционирования СКЗИ, указанные в формулярах и руководствах?
- Соответствуют ли помещения, в которых установлены СКЗИ или хранятся ключевые документы, требованиям ФСБ? (читайте док ФАПСИ... там целый раздел этому посвящен)

Нужно так же понимать, что под СКЗИ проверяющие вполне могут иметь ввиду одинокий компьютер с банк-клиентом и КриптоПро, или АРМ для связи с УФК или ПФР.
СКЗИ может так же считаться и eToken с гостовским сертификатом для соединения с защищённым вебсайтом.
Если у вас есть что-нибудь из вышеперечисленного (а у вас есть ;)) - вы должны выполнить весь комплекс требований к защите "спецпомещения", в котором находится ваш АРМ.

К сожалению, проверки ФСБ опираются главным образом на документ десятилетней давности несуществующего ныне ведомства - приказ №152 ФАПСИ. Там много маразма. Например, диск с КриптоПро нужно хранить в надежном хранилище (сейфе), который необходимо опечатать личной печатью. Дубликат ключа от сейфа, в котором лежит диск с КриптоПро, должен хранится в сейфе начальника. После работы свой ключ от сейфа, в котором хранится диск КриптоПро, нужно сдавать под роспись дежурному. 
Кроме того само "спецпомещение", где стоит ноутбук с КриптоПро, должно иметь охранную сигнализацию и решетки на окнах. Двери в спецпомещение с ноутбуком с КриптоПро должны быть постоянно закрыты(!) и открываться только для "санкционированного прохода сотрудников и посетителей" (см. п.55 152-ФАПСИ). Сигнализацию нужно периодически тестировать с отметкой в специальном журнале.... Вообщем, читайте и удивляйтесь :)

Ещё по этой теме:

PS. Будьте внимательны! Вас могут так же проверять и по нормативному документу, утратившему силу еще в ноябре прошлого года ;)

10 комментариев:

  1. Артем, спасибо за статью.

    А может ли к нам прийти проверка если у нас нет СКЗИ?
    Какие документы готовить в таком случае?

    ОтветитьУдалить
    Ответы
    1. ФСБ может прийти с проверкой к любому без предупреждения.
      Они имеют право беспрепятственно входить в любое жилое и нежилое помещение, если у них есть "подозрения в совершении правонарушения".
      Войдя беспрепятственно в офис, они могут найти "нарушение прав и свобод граждан" в виде отсутствия опечатывающего устройства на дверном косяке в помещении, в котором установлен ПК с банкклиентом ДБО, что является нарушением режима безопасности при работе с СКЗИ (КриптоПро).

      Я правда не слышал о таких прецедентах. Но они могут.

      СКЗИ у вас есть. Это хотя бы ДБО. А нужные доки я перечислил выше.

      Удалить
  2. Придерживаюсь мнения что если в собственных ИСПДн Оператора нет передачи ПДн, в модели угроз не выявлена необходимость применения СКЗИ, соответственно в состав СЗПДн не входят СКЗИ, тогда состав документации документации должен быть гораздо меньше.

    Если у нас есть клиент-банк, то должны быть выполнены требования установленные банком (в том числе требования к документации и хранению)


    Но на эту тему мы с тобой в прошлый раз уже спорили.

    ОтветитьУдалить
  3. Подскажите как на сегодняшний день,
    1. Модель угроз. При использовании СКЗИ, модель угроз должна учитывать метод.рекомендации ФСБ;
    4. Документы, подтверждающие обучение лиц, использующих СЗИ/СКЗИ, правилам работы с ними;
    должны выглядеть.

    ОтветитьУдалить
    Ответы
    1. МУ строится по действующей методике ФСТЭК с добавлением угроз для СКЗИ и модели нарушителя ФСБ. Документы по обучению можно разработать самим, ФСБ шаблоны не давала.

      Удалить
    2. С выходом рекомендаций от 31 марта 2015 года №149/7/2/6-432, что то не очень то в голове укладывается как пристыковать к МУ по ФСТЭК 2008 года нарушителя от ФСБ, если оператор использует СКЗИ только для отправки отчетов в гос органы. Не расскажите на примере как это проделать ?

      Удалить
  4. На сайте ФСБ в разделе проверок сказано, что должен быть журнал учета пользователей криптосредств. Какие графы в нем должны быть, не подскажите ?

    ОтветитьУдалить
    Ответы
    1. Шаблоны журналов есть в 152 приказе ФАПСИ (в самом конце)

      Удалить
  5. Если брать во внимание инструкцию фапси 152 и приказ 378 ФСБ. Есть организация, на окнах и дверях на всех стоит сигнализация, первый этаж, в здании есть круглосуточная охрана, используется криптография. Нужно ли в таком случаи ставить еще и решётки? или сигнализации будет достаточно?

    ОтветитьУдалить
    Ответы
    1. Формально нужно, но можно поговорить с местными фсбшниками. Бумаги у них тупые, а люди обычно адекватные.

      Удалить