Какие нарушения ФСБ выявляет у мастерских
Богданов Андрей Петрович Эксперт
Эксперт по защите информации
Эксперт Навипорта Андрей Богданов продолжает разбирать вопросы, связанные с деятельностью ФСБ при проверках перевозчиков и мастерских. В этот раз речь идет о типичных нарушениях, которые контролирующее ведомство находит во время своих ревизий, а также о том, что делать, если нарушения выявлены у вас.
Автор фото — J-Aleks /Depositphotos.com
Нарушения и недостатки, выявленные в ходе проверок, можно разделить на 5 категорий:
Нарушения, связанные с соблюдением лицензионных требований в области оборота и эксплутации СКЗИ:
- отсутствие аттестованных на соответствие требованиям по информационной безопасности автоматизированных систем;
- отсутствие требуемых специалистов по защите информации;
- отсутствие должностных инструкций специалистов по защите информации;
- отсутствие договор охраны помещений;
- отсутствие адекватных технических средств ограничения доступа в помещения., места осуществления лицензируемых видов деятельности.
2. Нарушения, связанные с разработкой ведомственных нормативных документов и порядком эксплуатации средств криптографической защиты информации:
- использование СКЗИ, не прошедших сертификацию ФСБ России;
- использование СКЗИ с истекшими сроками действия сертификатов;
- использование ключей с истекшими сроками их действия;
- отсутствие формуляров, эксплуатационной и технической документации;
- аппаратные средства, совместно с которыми эксплуатируется СКЗИ, не оборудованы средствами контроля за их вскрытием;
- отсутствует инструкция о порядке действий при компрометации ключей.
3. Нарушения, связанные с подготовкой и назначением пользователей криптосредств:
- не назначен ответственный пользователь;
- отсутствует список лиц, допущенных к работе с СКЗИ;
- лица, допущенные к работе с СКЗИ, не проходят обучение и не ознакомлены с действующими нормативными и методическими документами.
4. Нарушения, связанные с учетом и хранением СКЗИ и ключевой документации к ним:
- не ведется учет СКЗИ, ключевых документов, эксплуатационной и технической документации;
- хранилища и помещения с СКЗИ не оборудуются приспособлениями для опечатывания, либо личные печати отсутствуют;
- не пронумерованы и не учтены ключи от помещений с СКЗИ.
5. Нарушения, связанные с использованием СКЗИ при обработке персональных данных:
- не определен уровень защищенности ПДн в ИСПДн;
- отсутствуют или требуют доработки модели угроз или нарушителя;
- не создана система защиты персональных данных для информационных систем персональных данных;
- не учтены машинные носители персональных данных.
Что делать, если у вас нашли нарушения?
Сразу оговоримся, что речь идет о нарушениях в области оборота и эксплуатации СКЗИ, связанных с организационно-техническим обеспечением лицензионных требований и требований к порядку использования СКЗИ при обработке персональных данных.
Необходимо отметить, при обнаружении указанных нарушений штраф вам гарантирован. В настоящее время размеры штрафов варьируются от 10000,00 руб. до 30000,00 руб.
При обнаружении нарушений вам дается определенное время для их устранения. Для заявителей на лицензию это может быть срок 1-2 недели. Для лицензиатов ФСБ России до 30 календарных дней. Для организаций, использующих СКЗИ, в том числе при обработке персональных данных, срок на устранение замечаний также составляет 30 календарных дней. Нарушение Мастерской правил в области использования СКЗИ, согласно статьям 13.6; 13.12; 13.13; 14.1. КоАП, может повлечь санкции:
— аннулирование лицензии,
— штрафы до 300 тыс. руб. для должностных лиц и организации,
— конфискация средств криптозащиты.
Если в установленный срок мастерская нарушение не устранила, сумма штрафа может быть удвоена, а лицо, в отношении которого вынесено постановление может быть подвергнуто административному аресту сроком до 15-ти суток.
В любом случае, Мастерской устранять нарушение придется.
В итоге, при выявлении серьезных нарушений, мастерская может лишиться права оказывать услуги в области СКЗИ, или ее работа может быть блокирована в системе обмена данными. Кроме того, за осуществление деятельности без лицензии предусматривается уже уголовная ответственность по ст. 171 Уголовного кодекса Российской Федерации.
В целях оказания содействия и помощи мастерским при работе с СКЗИ, и освещения вопросов, связанных с типичными нарушениями, допускаемыми мастерскими при обороте и эксплуатации СКЗИ их предотвращению, 3 ноября в 11:00 НАВИПОРТ проведет бесплатный мастер-класс для руководителей и ответственных сотрудников мастерских, где эксперты портала расскажут и ответят на вопросы по нормативно-правовому регулированию оборота и эксплуатации СКЗИ в мастерских; организационным мероприятиям по обеспечению режима конфиденциальности, в соответствии с лицензионными требованиями ФСБ России; контролю и учету СКЗИ; соблюдению требований законодательства по защите персональных данных при приеме заявлений и передаче карт тахографов.
Богданов Андрей Петрович Эксперт
Эксперт по защите информации
Комментарии