19.07.2012 09:48
Новости.
Просмотров всего: 4503; сегодня: 2.

Причина нарушений – недисциплинированность отдельных работников

Проверки регуляторов – ни для кого не новость. О деятельности Роскомнадзора мы пишем достаточно много, поэтому сегодня речь пойдет о статистике проверок другого регулятора – ФСБ России.

Операторы персональных данных уже давно привыкли к тому, что с проверкой выполнения требований, предъявляемых к обработке персональных данных, к ним могут прийти сотрудники Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора). О результатах, проводимых этим ведомством контрольно-надзорных мероприятий, на страницах журнала мы писали не один раз. Что же касается проверок двух других регуляторов – Федеральной службы безопасности Российской Федерации (ФСБ России) и Федеральной службы по техническому и экспортному контролю (ФСТЭК России) – об этом пока говорят очень мало. В какие же организации могут прийти с проверкой, например, сотрудники ФСБ России? Каковы основные нарушения, которые выявляются ими в ходе контрольно-надзорных мероприятий? И от чего же в конечном итоге зависит реализованный уровень защищенности информационных систем?

«В соответствии с частью 8 статьи 19 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» ФСБ России осуществляет контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных при обработке персональных данных в Государственных информационных системах персональных данных в пределах своих полномочий. Причем, без права ознакомления с персональными данными, обрабатываемыми в этих информационных системах персональных данных.

В 2011 году органами ФСБ России осуществлялись проверки операторов государственных информационных систем персональных данных (далее - ИСПДн) из разных сфер деятельности: подразделения Федеральной налоговой службы, Федеральной службы судебных приставов, Федеральной миграционной службы, Федеральной таможенной службы, Пенсионного фонда Российской Федерации, Федеральной службы по труду и занятости, учреждения здравоохранения, образовательные учреждения, районные администрации и организации других сфер деятельности.

Итого в 2011 году проверками было охвачено 1,8% операторов, зарегистрированных в реестре Роскомнадзора, как обрабатывающие персональные данные с использованием шифровальных (криптографических) средств. В отличие от предыдущего отчетного периода уменьшилось количество операторов, неправильно подавших уведомления об обработке персональных данных (далее – ПДн) в части использования шифровальных (криптографических) средств для их защиты в ИСПДн, что связано с более тщательным изучением операторами Федерального закона от 27 июля 2006 года № 52-ФЗ «О персональных данных».

Также во исполнение поручения Председателя Правительства Российской Федерации сотрудниками ФСБ России совместно с другими регулирующими органами (Роскомнадзор и ФСТЭК России) проведена внеплановая выездная проверка Пенсионного фонда Российской Федерации.

По результатам проверок делались выводы, что эксплуатация шифровальных (криптографических) средств, используемых для обеспечения безопасности ПДн при их обработке в ИСПДн, осуществляется с отступлением от требований руководящих документов.

Взаимодействие с Федеральной службой безопасности Российской Федерации (ФСБ России) и Федеральной службой по техническому и экспортному контролю (ФСТЭК России) в 2011 году осуществлялось Уполномоченным органом в форме проведения совместных проверок в рамках осуществления государственного контроля (надзора) за соблюдением обязательных требований законодательства Российской Федерации в области персональных данных.

Данное взаимодействие включало в себя как вопросы организации и проведения совместных проверок, так и их планирование на будущий период.

Инициатива Уполномоченного органа о планировании плановых проверок совместно с органами ФСБ России и ФСТЭК России в 2012 году было направлено на снижение административной нагрузки на операторов, осуществляющих обработку персональных данных.

Решения о проведении совместных проверок в 2012 году были приняты органами ФСБ России по 23 субъектам Российской Федерации, органами ФСТЭК России - по 9 субъектам.

Практика проведения тремя регуляторами совместных проверок берет свое начало с 2009 года и за это время было проведено 17 подобных проверок.

Отчет о деятельности Уполномоченного органа по защите

прав субъектов персональных данных за 2011 год

Нарушения и недостатки, выявленные в ходе проверок, можно разделить на 4 категории:

1. Нарушения, связанные с разработкой ведомственных нормативных документов:

- не проведена классификация ИСПДн;

- отсутствуют или требуют доработки модели угроз или нарушителя;

- отсутствует инструкция о порядке действий при компрометации ключей.

2. Нарушения, связанные с порядком эксплуатации средств криптографической защиты информации (далее - СКЗИ):

- использование СКЗИ, не прошедших сертификацию ФСБ России;

- использование СКЗИ с истекшими сроками действия сертификатов;

- использование ключей с истекшими сроками их действия;

- отсутствие формуляров, эксплуатационной и технической документации;

- аппаратные средства, совместно с которыми эксплуатируется СКЗИ, не оборудованы средствами контроля за их вскрытием.

3. Нарушения, связанные с подготовкой и назначением пользователей криптосредств:

- не назначен ответственный пользователь;

- отсутствует список лиц, допущенных к работе с СКЗИ;

- лица, допущенные к работе с СКЗИ, не проходят обучение и не ознакомлены с действующими нормативными и методическими документами.

4. Нарушения, связанные с учетом и хранением СКЗИ и ключевой документации к ним:

- не ведется учет СКЗИ, ключевых документов, эксплуатационной и технической документации;

- хранилища и помещения с СКЗИ не оборудуются приспособлениями для опечатывания, либо личные печати отсутствуют;

- не пронумерованы и не учтены ключи от помещений с СКЗИ.

Обнаруженные нарушения и недостатки явились следствием низкой исполнительской дисциплины отдельных работников в системе защиты ПДн при их обработке в ИСПДн, а также невыполнения ими требований ведомственных руководящих документов, регламентирующих порядок работы с СКЗИ…

Полную версию материала читайте в №6 (47) журнала «Персональные данные»


Ньюсмейкер: Информационно-аналитический журнал Персональные данные — 95 публикаций
Поделиться:

Интересно:

К 90-летию Студии военных художников имени М.Б. Грекова
29.11.2024 14:56 Аналитика
К 90-летию Студии военных художников имени М.Б. Грекова
29 ноября 1934 года в Москве была организована изомастерская самодеятельного красноармейского искусства. Идея ее создания принадлежала первому советскому художнику-баталисту Митрофану Борисовичу Грекову (1882-1934). Донской казак, получивший академическое художественное образование, учившийся...
Исчезнувшие города Руси в легендах и сказаниях
29.11.2024 12:12 Аналитика
Исчезнувшие города Руси в легендах и сказаниях
Города, как и всё на земле, не вечны: они разрушаются, перестраиваются, гибнут во время стихийных бедствий и вражеских нашествий, переносятся на новые места, приобретают новый облик. Но есть в народных сказаниях сообщения о таинственном исчезновении городов или части городов: города или храмы...
Установлено, когда и почему маршал Василевский сменил фамилию
29.11.2024 11:09 Аналитика
Установлено, когда и почему маршал Василевский сменил фамилию
В журнале Костромской духовной семинарии "Ипатьевский вестник" вышла статья, посвященная маршалу Александру Василевскому. Ее автор - ректор Костромской духовной семинарии священник Георгий Андрианов - сумел установить дату изменения фамилии будущего полководца с Васильевского на Василевского. ...
«Выберу.ру»: рейтинг лучших комбо-вкладов в ноябре 2024 года
28.11.2024 19:25 Аналитика
«Выберу.ру»: рейтинг лучших комбо-вкладов в ноябре 2024 года
«Выберу.ру» впервые составил рейтинг банков с максимально доходными для клиентов сберегательными инструментами — вклад плюс инвестиционный продукт (Программа долгосрочных сбережений — ПДС, Накопительное страхование жизни — НСЖ). В ходе исследования эксперты «Выберу.ру» сравнили параметры...
Москва войдет в национальный туристический маршрут «Золотое кольцо»
28.11.2024 16:35 Новости
Москва войдет в национальный туристический маршрут «Золотое кольцо»
Москва и Московская, Владимирская, Ивановская, Костромская, Ярославская области заключили соглашение о сотрудничестве по развитию национального туристского маршрута «Золотое кольцо». Документ подписали в Суздале в рамках Всероссийского ЭКГ-форума (ЭКГ — экология...