Проверка ФСБ по персональным данным что проверяют

Чем руководствуются?

Регулярный контроль со стороны Федеральной Службы Безопасности проводится на основании требований следующих нормативных актов:

и ряд других нормативных документов, но эти основные.

Что проверяют?

Проверяются условия обработки персональных данных с использованием средств криптографической защиты информации. Правовым основанием является Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 года № 378 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности”.

А конкретно?

Если говорить о конкретике, то смотрят, прежде всего, приказ о назначении ответственного сотрудника за эксплуатацию средств криптографической защиты. В этом же приказе можно указать всех сотрудников, являющихся пользователями данных средств. Еще приказ должен утверждать инструкцию ответственного за эксплуатацию средств криптографической защиты информации и инструкцию по обращению со средствами криптографической защиты информации. Кстати сказать, вышеуказанная ответственность сотрудника должна быть также закреплена в его функциональных обязанностях.

А ещё обязательно спросят акты установления уровня защищенности информационных систем персональных данных с целью выявления тех, в которых используются средства криптографии. Как минимум, это бухгалтерия, где передают данные о сотрудниках в Пенсионный фонд, Налоговую службу и в кредитные организации. Стоит отметить, что компьютеры для работы с Единым порталом государственных услуг и прочими подобными ресурсами не интересуют ввиду отсутствия там фактов обработки персональных данных. В процессе изучения актов проверяющими будут интервьюироваться сотрудники, работающие с данными информационными системами. Тут уже важно то, насколько уместно и корректно они будут отвечать на задаваемые им вопросы.

Проверяется журнал учета средств криптографической защиты. Помимо собственных копий данных средств, обязательными для учета являются формуляры, инструкции пользователя и администратора для этих средств. Их нужно обязательно распечатать и также показать при проверке. Не забудьте предоставить акты приема-передачи средств криптографической защиты, так как обычно с этим бывают некоторые проблемы. И, безусловно, необходимы акты установки средств защиты информации на все рабочие станции. Обязательно опечатайте эти рабочие станции. Этот момент тоже на особом счету.

Подготовьте приказ о совокупности возможностей нарушителя информационной безопасности. Смысл данного приказа заключается в обосновании выбора класса защиты СКЗИ: КС2 или КС1.

И самое интересное – это то, что необходимо иметь сигнализацию и сейфы во всех помещениях, где установлены средства криптографической защиты. Что делать с этой нормой – дело индивидуальное: сейф – штука дорогая и громоздкая.

Какие штрафы?

Да, штрафы есть. Это новость плохая. А относительно хорошая новость в том, что они незначительные. Для физического лица обычно разговор идет об одной тысяче рублей. Именно на физическое лицо – ответственного сотрудника накладывается данное взыскание. Почему «относительно хорошая новость»? Если 1000 рублей для ответственного сотрудника не значительный штраф, то есть и более существенные, которые начинаются от 50 000 рублей, которые накладываются другими регуляторами, например, Роскомнадзором. Но это уже тема для другого, не менее занимательного материала.

Надо ли готовиться к проверке?

Непосредственно к самой проверке ФСБ готовиться особого смысла нет. Потому что если не построена комплексная защита персональных данных, то выполнить указанные выше пункты будет весьма проблематично. Мы бы рекомендовали провести полное обследование всей информационной инфраструктуры, оттолкнувшись от которого можно грамотно построить план по защите персональных данных организации. А потом сделать первоначальный акцент на подготовке документов именно к проверке ФСБ. Т.е., одним только комплектом документов грамотно «отбиться», увы, не получится.

Вывод

Проверка обычно проходит достаточно спокойно, при условии полного наличия всех нужных документов и правильно поставленных ответов на задаваемые вопросы.

Мы подготовили для вас комплект документов, которые понадобятся при проверке со стороны ФСБ, ну или просто если вы решите привести в порядок организационно-разрешительную документацию по защите персональных данных на предприятии.

Вы получите следующие шаблоны документов:

  • Приказ об обращении со средствами криптографической защиты
  • Приказ о совокупности возможностей нарушителя криптографической защиты
  • Акт установки уровня защищенности
  • Акт установки средств защиты информации

ПОЛУЧИТЬ ДОКУМЕНТЫ К ПРОВЕРКЕ

Компания ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ» является ведущим системным интегратором ЮФО.

Основные направления деятельности Компании в области информационной безопасности:

  • Обеспечение сетевой безопасности, проведение аудитов информационной безопасности;
  • Обеспечение исполнения требований по защите персональных данных (ФЗ-152), включая Регламент Европейского Союза (GDPR);
  • Разработка комплексных систем защиты информации;
  • Поставка продуктов по информационной безопасности;
  • Полный комплекс работ по соответствию ФЗ-187, безопасность критической информационной инфраструктуры;
  • Организация контроля за утечками информации (DLP решения);
  • Внедрение систем управления событиями и инцидентами безопасности (SIEM решения).

Специалисты компании стремятся разработать наиболее полный механизм построения защиты с учетом всех особенностей каждой защищаемой сети учреждения и для этого изучают опыт всех успешных и неудачных фактов отражения кибератак, происходящих в последнее время.

Если у вас есть сомнения по поводу надежности системы информационной безопасности вашего предприятия или вы считаете, что необходимо провести работы по улучшению существующей системы – обращайтесь!

Я состоял в трудовых отношениях в Управлении Роскомнадзора по Амурской области по адресу: Ленина ул., д. 113, г. Благовещенск, Амурская область, 8 лет. Руководителем Управления с 1 ноября 2016 г. Является Дунаева Виктория Витальевна, назначенная ЦА Роскомнадзора из Управления Роскомнадзора по Иркутской области, пролоббирована из ЦА таким же неадекватным человеком и руководителем Субботиным В. А., типичным «эффективным менеджером», которому вообще в принципе наплевать на всех людей ниже его по заработку и проживанию в других регионов, хотя сам он с Амурской области. Данный руководитель с момента своего назначения принялся разрушать нормальный устоявшийся комфортный рабочий порядок Управления. Не говоря вообще о том, что человек явно эмоционально не устойчив, патологически не доверяющий никому и абсолютно не способный на диалог со своими подчинёнными. Любой разговор с подчинёнными сотрудниками (в том числе и со мною), руководитель сводит к абсолютной наглой, хамской трансляции своих идей и видений как он (то есть сотрудник) должен работать, только как нравиться именно руководителю и только. Любой исходящий документ поступивший на подписание к руководителю, немедленно правиться, исправляется или возвращается на доработку, с последующими комментариями на совещаниях, что мы-сотрудники не умеем работать и правильно делать что-либо, только лишь наш руководитель способен по её мнению правильно работать. Конструктивную, объективную критику этого подхода, обмен опыт с сотрудниками работающими довольно продолжительное время и имеющий опыт контрольно-надзорной деятельности в Управлении (от 15 до 8 и 6 лет стажа) руководитель отказывается слушать и воспринимать, в том числе отказывается прислушиваться, доверять своему заместителю (очень компетентному, тактичному и опытному работнику), которые работает на предприятии вот уже почти 17 лет. Новеллами руководителя также стали: не поощрение 15 минутных перерывов от работы за компьютером, абсолютный запрет выходить на улицу дабы решить работнику особо важные дела по семейным, личным и т.п. Обстоятельствам – лично руководитель останавливал человека и отчитывал его подобно школьному учителю, запрет во время сборов в командировку находиться дома – руководитель лично потребовал присутствовать на рабочем месте до часа отъезда в данную рабочую поездку, не поощрение уходить с работы в 18: 00, а желательно задерживаться до позднего времени лишая таким образом времени проведения людей со своими семьями и т.д. В итоге такого «управления» коллективом, на данный момент сложилась обстановка полного развала Управления Роскомнадзора по Амурской области. Руководитель приблизил к себе несколько особо приближенных лиц, в лице юриста и нескольких человек соседних отделов Управления, дабы санкционировать свои вопиющие дела, унижающие человеческое достоинство, трудовые права работников. Людей в таком положении довели до огромной загруженности работой, с раздачей постоянных отвлекающих поручений через Систему Электронного документооборота (СЭД), руководитель развёл колоссальную систему внутренней бюрократии, завалив работников служебными и докладными записками, а ведь к уменьшению бюрократических проволочек и глупостей нас всегда активно призывают Премьер-министр и Президент РФ. Дунаева Виктория Витальевна также внесла организационные корректировки в структуру Управления, убрав 1 человека из отдела массовых коммуникаций и персональных данных и вывела должность главного специалиста-эксперта за штат, тем самым специально увеличив нагрузку на каждого работника отдела, до этого нагрузка объективно и честно распределялась начальником отдела, всеми уважаемого, на 6 человек. Эти и другие меры руководителя, не дающие спокойно и комфортно работать и выполнять ответственный долг госслужащего, послужили поводом моего увольнения и почти всего отдела массовых коммуникаций и персональных данных (5 человек из 6). Заявление об увольнении подали: Заместитель руководителя Управления, системный администратор Управления, начальник отдела массовых коммуникаций и персональных данных в отпуске с последующем увольнением, главный и ведущий специалист-эксперты, специалист-эксперт. Вновь устроившийся сотрудник нашего отдела, отвечающий всем требованиям госслужащего, руководителем принудительно уволен по личной, субъективной оценке, не соответствующей действительности, путем тотальной нагрузки на человека, который проработал едва 3 месяца. В дальнейшем, в течении 2-3 месяцев уволилось 9 человек, от водителей до инспекторов и заместителя руководителя. Приведенные выше примеры увольняющихся людей предприятия, говорят лишь о том, что назначенный Руководителем Управления Роскомнадзора по Амурской области Дунаева Виктория Витальевна, не соответствует своему положению, ведёт себя крайне не сдержанно и чересчур эмоционально. Позволяет себе отчитывать сотрудников по поводу и без. И конечно несомненно привела Управление Роскомнадзора по Амурской Области к нестабильности, расшатыванию комфортной и нормальной рабочей атмосферы, побегу большого количества людей только лишь из-за 1-го человека, бестолкового руководства Дунаевой Виктории Витальевны. Управление Роскомнадзора по Амурской области и в целом Роскомнадзор в г. Москва и в других субъектах, это насквозь прогнившая контора, только федерального уровня. Не несущая абсолютно никаких функций, кроме постоянного навешивания на себя функций, как-бы оправдывающей своё существование, чтобы не закрыли контору и товарищ Субботин В. А. Не остался без своего БАРСКОГО заработка и статуса. Естественно ни о какой заботе о людях, которые везут огромный пласт работы, нет ни слова. Как и адекватной зарплаты. Вот такая вот это, работа в ФЕДЕРАЛЬНОЙ ГОССТРУКТУРЕ РОСКОМНАДЗОР.

Пишите нам на info@antijob.net Пишите нам на info@antijob.net Нам очень важна ваша поддержка

Что такое контроль и надзор за обработкой персональных данных?

Что такое контроль и надзор за обработкой персональных данных?

согласно ст. 23 Закона N 152-ФЗ, федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи осуществляет контроль и надзор за соответствием обработки персональных данных. Уполномоченный орган со своей стороны рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение. Он имеет право:

1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде;

6) направлять в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, применительно к сфере их деятельности, соответствующие сведения;

7) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

8) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

9) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

10) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

Уполномоченный орган по защите прав субъектов персональных данных обязан:

1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;

2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

з) вести реестр операторов;

4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;

5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;

6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;

7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.

Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.

8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.

Ответственность за нарушение требований Закона N 152-ФЗ предусмотрено ст. 24 Закона N 152-ФЗ. Согласно п.2 ст.24 Закона N 152-ФЗ моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 утверждены требования к защите персональных данных при их обработке Б информационных системах персональных данных» (далее -Требования).

Согласно п.2 Требований безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные так же Законом N 52-ФЗ. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные, или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

Проверка ФСБ по персональным данным что проверяют

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *