Нарушения и недостатки, выявленные в ходе проверок, можно разделить на 4 категории

Скачать 77.3 Kb.

Название	Нарушения и недостатки, выявленные в ходе проверок, можно разделить на 4 категории
Тип	Документы

rykovodstvo.ru > Руководство эксплуатация > Документы

Нарушения и недостатки, выявленные в ходе проверок, можно разделить на 4 категории:

1. Нарушения, связанные с разработкой ведомственных нормативных документов (35%):

- не проведена классификация ИСПДн;

- отсутствуют или требуют доработки модели угроз или нарушителя;

- отсутствует инструкция о порядке действий при компрометации ключей.

2. Нарушения, связанные с порядком эксплуатации СКЗИ (28%):

- использование СКЗИ, не прошедших сертификацию ФСБ России;

- использование СКЗИ с истекшими сроками действия сертификатов;

- использование ключей с истекшими сроками их действия;

- отсутствие формуляров, эксплуатационной и технической документации;

- аппаратные средства, совместно с которыми эксплуатируется СКЗИ, не оборудованы средствами контроля за их вскрытием.

3. Нарушения, связанные с подготовкой и назначением пользователей криптосредств (30%):

- не назначен ответственный пользователь;

- отсутствует список лиц, допущенных к работе с СКЗИ;

- лица, допущенные к работе с СКЗИ, не проходят обучение и не ознакомлены с действующими нормативными и методическими документами;

4. Нарушения, связанные с учетом и хранением СКЗИ и ключевой документации к ним (55%):

- не ведется учет СКЗИ, ключевых документов, эксплуатационной и технической документации;

- хранилища и помещения с СКЗИ не оборудуются приспособлениями для опечатывания, либо личные печати отсутствуют;

- не пронумерованы и не учтены ключи от помещений с СКЗИ.

На основании проведенных в отчетном году проверок можно выделить, как наиболее распространенные, следующие нарушения:
1. Не разработаны модели угроз для ИСПДн, либо разработаны с нарушением существующих требований (п.п.2 п. 1 статьи 18.1 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ).
2. Не представлены документы, подтверждающие прохождение обучения лицами, использующими криптосредства (п. 2.3 «Типовых требовании по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности ПДн при их обработке в ИСПДн» от 21.02.2008 № 149/6/6-622 (далее – «Типовые требования»)).
3. Не ознакомлены под роспись с нормативно-правовыми актами, регламентирующими обработку ПДн, сотрудники, работающие с криптосредствами (п. 2.3 «Типовых требований»).
4. Не определены требуемые уровни защищенности для ИСПДн (п. 8 Постановления Правительства Российской Федерации «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 № 1119).
Не произведен учет используемых криптосредств, эксплуатационной и технической документации (п. 2.3 «Типовых требований»).

К основным причинам возникновения нарушений можно отнести:

низкий уровень ведомственного контроля в организациях – работа по обучению сотрудников низовых подразделений практически не ведется, типовые требования и инструкции не разрабатываются.
нехватка квалифицированных кадров по информационной безопасности – функции администраторов безопасности возлагаются в основном на сотрудников информационно-технических подразделений и подразделений по защите государственной тайны, параллельно выполняющих большой объем обязанностей, не связанных с защитой ПДн и не обладающих достаточным уровнем знаний.
Низкая исполнительская дисциплина отдельных работников в системе защиты ПДн при их обработке в ИСПДн, а также невыполнения ими требований ведомственных руководящих документов, регламентирующих порядок работы с СКЗИ.

По результатам проверок составлены «Акты проверок» и «Справки проведения плановых выездных проверок». Руководителям организаций выданы «Предписания об устранении выявленных нарушений».

В целом нарушения, выявляемые в ходе проверок, устраняются своевременно и в полном объеме.

Общая оценка состояния дел по обеспечению безопасности ПДн при их обработке в ИСПДн в Республике Коми.

Для формирования правильной оценки состояния дел по обеспечению безопасности ПДн в Республике Коми целесообразно разделить организацию системы защиты на два основных направления: техническое (выбор, внедрение и эксплуатация средств защиты) и нормативно-правовое (разработка необходимой документации, инструкций, положений и правил).

Обеспечение операторов средствами защиты осуществляется централизованными поставками от головных организаций, оказывающих услуги по внедрению и дальнейшему сопровождению СКЗИ, либо самостоятельными закупками в соответствии с ведомственными рекомендациями. В этом случае эксплуатация СКЗИ обеспечивается силами штатных сотрудников или сторонними организациями на основании договоров. Большинство операторов организуют систему защиты на базе СКЗИ «VipNet» и «CryptoPro», обеспечивающими достаточный уровень защищенности и не требующими подготовки высококвалифицированных специалистов. Все проверенные организации имеют необходимые протоколы, акты и заключения соответствия установленных СКЗИ требованиям безопасности. Таким образом, можно сделать вывод о том, что с технической точки зрения организация системы защиты операторов ПДн находятся на достаточном уровне.

Разработка необходимой нормативно-правовой базы является более трудоемким процессом, требующим от сотрудников знания и понимания, как технической стороны вопроса, так и действующего законодательства. Вместе с тем, регулярные изменения законодательства требуют постоянной переработки подготовленной оператором документации, что приводит к «устареванию» документов и, как следствие, несоответствие существующему положению дел.

На основании проведенных проверок операторов ПДн Республики Коми, можно сделать вывод, что работа по приведению действующих и создаваемых ИСПДн в соответствие действующему законодательству ведется. Большинство выявленных нарушений (90%) относится к разрабатываемой нормативно-правовой базе.

Перечень документов рекомендуемых к разработке:

Положение о персональных данных – основной документ регламентирующий в рамках отдельной организации требования к получению, обработке персональных данных субъектов ПДн (как сотрудников, так и сторонних субъектов), устанавливает гарантии их защиты, порядок хранения и использования, а также права субъектов ПДн по защите его персональных данных и ответственность работодателя за их охрану и защиту.

Положение о разрешительной системе допуска пользователей к конфиденциальной информации и персональным данным – по должностному или персональному признаку (свои плюсы и минусы), для каждой ИСПДн.

Перечень обрабатываемых персональных данных – для каждой ИСПДн, можно включить в модель угроз.

План мероприятий по защите персональных данных;

Инструкция по обеспечению информационной безопасности при подключении и использовании информационно-вычислительной сети общего пользования – порядок использования, средства защиты и методы их применения, права и обязанности пользования.

Положение о подразделении по защите информации – или определение ответственного по защите ПДн;

Акт классификации информационных систем персональных данных – разрабатывать необязательно, можно включить в модель угроз;

Модель угроз и нарушителя безопасности персональных данных для каждой ИСПДн – разрабатывается в соответствии с методическими документами ФСТЭК и ФСБ, рекомендуется включить раздел про «систему безопасности», нейтрализующую все актуальные угрозы ;

Инструкция пользователя ИСПДн (возможно включить раздел про криптосредства);

Должностная инструкция администратора информационной безопасности ((возможно включить раздел про криптосредства));

Журнал учета обращений субъектов ПДн о выполнении их законных прав;

Документ об ответственности сотрудников за разглашение и несанкционированный доступ к защищаемой информации в автоматизированной информационной системе, а также за неправомерное вмешательство в процессы ее автоматизированной обработки с применением средств вычислительной техники и информационных технологий ((возможно включить раздел про криптосредства));

Инструкция по организации антивирусной защиты;

Инструкция администратора информационной безопасности (возможно включить раздел про криптосредства);

Инструкция по организации парольной защиты;

Инструкция по действиям при компрометации ключей шифрования и ЭЦП;

Инструкция по действиям персонала во внештатных ситуациях при обработке конфиденциальной информации и персональных данных.

Журнал учета СКЗИ

Журнал ознакомления с нормативно-правовой базой.

Примерный план проведение проверки:

Включение оператора в план проверок – публикуется на сайте ФСБ не позднее 31 декабря года предшествующего проверке (фактически план готовится к 1 сентября).
Не позднее 3 рабочих дней до начала проверки в организацию направляется уведомление (с экземпляром распоряжения) о проведении проверки
Проверка начинается с представления комиссии руководству организации, описания процесса проведения проверки и получения разрешения на начало работы.
Непосредственно проверка – ознакомление с документацией, опрос сотрудников, осмотр технических средств и т.д. (без ознакомления с ПДн).
Составление итоговых документов – акт (типовой), справка, предписание.
Доклад результатов руководству организации.
Передача итоговых документов и описание порядка устранения недостатков.
Устранение недостатков и предоставление отчета в УФСБ.

Перечень основных нормативно-правовых актов:

Закон о Персональных данных от 17.06.2006 № 152-ФЗ;
приказ от 13 июня 2001 г. № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных

Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. N 149/6/6-622

Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации.

Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. N 149/54-144;

Постановление от 1 ноября 2012 г. № 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.

Похожие:

	Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека Муниципальное автономное дошкольное образовательное учреждение «Детский сад №14 «Солнышко» сообщает что нарушения, выявленные в ходе...		Таблица штрафных баллов, начисляемых за недостатки, выявленные в... При оценке герметичности защитных сооружений, состояния ограждающих конструкций и защитных устройств
	Управление Росприроднадзора по Республике Марий Эл Ооо "Фирма "Сувенир". Нарушений в ходе проверки не выявлено, по результатам составлен акт. Также завершены 3 внеплановые документарные...		11 человек привлекли к административной ответственности за нарушения... Гпн. Обо всех выявленных в ходе проверок нарушениях проинформированы органы местного самоуправления и территориальные управления...
	Типовые нарушения лицензионных требований, выявленные при осуществлении... Типовые нарушения лицензионных требований, выявленные при осуществлении контроля по заготовке, хранению, переработке и реализации...		Российской федерации департамент научно-технологической политики... Недостатки по качеству изготовления машины и отказы, выявленные при обкатке
	Сигнализации и средств технической укрепленности для оборудования объектов рекомендации Выбор варианта оборудования объекта тс опс и средствами технической укрепленности определяется важностью помещений объекта, видом...		Список предприятий и организаций, участвующих в реализации подготовки к саммиту атэс 2012 года Список предприятий и организаций, участвующих в реализации подготовки к саммиту атэс 2012 года в г. Владивостоке, у которых в ходе...
	Шнуровки зачем они? Сейчас в продаже встречается множество разнообразных игр со шнурками. В целом, их можно разделить на несколько видов		Шнуровки зачем они? Сейчас в продаже встречается множество разнообразных игр со шнурками. В целом, их можно разделить на несколько видов
	Руководство по производству полетов ОАО «Авиакомпания «Сибирь» Условно весь процесс захода на посадку по осп можно разделить на следующие этапы		С. В. Теребуну ул. Степная, 73 Мп гтэ, предприятие по вопросу проверки отдельных вопросов финансово-хозяйственной деятельности и использования имущества, находящегося...
	Новости образования. Дайджест сми Билет в будущее" можно будет назвать. Разделить на три этапа работу", рассказал Путин на встрече с участниками Всероссийского форума...		5. Материальное обеспечение Анализ несчастных случаев показывает, что подавляющее большинство из них являются следствием ряда причин (факторов), которые условно...
	Распоряжение о проверке, акт о выявленных нарушениях, предписание... Перечень образовательных учреждений, получивших в 2015 году предписания об устранении нарушений от Госпожнадзора, в том числе учреждений...		Всю систему работы по развитию у детей фонематических процессов условно... ...

Руководство, инструкция по применению