Если к вам идёт проверка из ФСБ по ПДн...

Если к вам идёт проверка из ФСБ по ПДн...
Если вы работаете в государственном предприятии, то есть определенная вероятность того, что в одно прекрасное утро к вам на стол попадет распоряжение ФСБ о проведении плановой выездной проверки соблюдения требований к обеспечению безопасности персональных данных (в т.ч. материальных носителей биометрических персональных данных).


На что следует в первую очередь обратить внимание?
name='more'>

Документы

1. Модель угроз. При использовании СКЗИ, модель угроз должна учитывать метод.рекомендации ФСБ;
2. Документы, подтверждающие разработку системы защиты персональных данных, обеспечивающей нейтрализацию актуальных угроз. Т.е. проект на систему защиты ПДн в ИСПДн или хотя бы техническое задание;
3. Аттестат соответствия ИСПДн, протоколы испытаний и заключение о возможности эксплуатации;
4. Документы, подтверждающие обучение лиц, использующих СЗИ/СКЗИ, правилам работы с ними;
5. Журнал учёта средств защиты информации и документации;
6. Технический (аппаратный) журнал;
7. Журнал учёта носителей ПДн;
8. Актуальный приказ о допуске с указанием перечня лиц, допущенных к работе с ПДн в ИСПДн;
9. Приказ о допуске к работе с СКЗИ;
10. Документы, подтверждающие проведение мероприятий по контролю за всем вышеуказанным.

Кроме того лучше подготовить:
1. учредительные документы, устав;
2. должностные инструкции и функциональные обязанности лиц, ответственных за работу СЗИ/СКЗИ;
3. внутренние документы по вопросам обеспечения ИБ;
4. бухгалтерские документы на приобретение СЗИ/СКЗИ;
5. сертификаты на используемые СЗИ/СКЗИ (проверьте срок действия сертификата!), руководства пользователя и администратора СЗИ/СКЗИ. 

Вопросы

Нужно подготовить ответы на возможные вопросы проверяющих:
- Какие проводятся действия по организации безопасности персональных данных при их обработке?
- Применяются ли средства шифрования (СКЗИ)? 
- Соблюдаются ли условия функционирования СКЗИ, указанные в формулярах и руководствах?
- Соответствуют ли помещения, в которых установлены СКЗИ или хранятся ключевые документы, требованиям ФСБ? (читайте док ФАПСИ... там целый раздел этому посвящен)

Нужно так же понимать, что под СКЗИ проверяющие вполне могут иметь ввиду одинокий компьютер с банк-клиентом и КриптоПро, или АРМ для связи с УФК или ПФР.
СКЗИ может так же считаться и eToken с гостовским сертификатом для соединения с защищённым вебсайтом.
Если у вас есть что-нибудь из вышеперечисленного (а у вас есть ;)) - вы должны выполнить весь комплекс требований к защите "спецпомещения", в котором находится ваш АРМ.

К сожалению, проверки ФСБ опираются главным образом на документ десятилетней давности несуществующего ныне ведомства - приказ №152 ФАПСИ. Там много маразма. Например, диск с КриптоПро нужно хранить в надежном хранилище (сейфе), который необходимо опечатать личной печатью. Дубликат ключа от сейфа, в котором лежит диск с КриптоПро, должен хранится в сейфе начальника. После работы свой ключ от сейфа, в котором хранится диск КриптоПро, нужно сдавать под роспись дежурному. 
Кроме того само "спецпомещение", где стоит ноутбук с КриптоПро, должно иметь охранную сигнализацию и решетки на окнах. Двери в спецпомещение с ноутбуком с КриптоПро должны быть постоянно закрыты(!) и открываться только для "санкционированного прохода сотрудников и посетителей" (см. п.55 152-ФАПСИ). Сигнализацию нужно периодически тестировать с отметкой в специальном журнале.... Вообщем, читайте и удивляйтесь :)

Ещё по этой теме:

PS. Будьте внимательны! Вас могут так же проверять и по нормативному документу, утратившему силу еще в ноябре прошлого года ;)

Alt text

Артем Агеев

root@itsec.pro:~#