См. Документы Федеральной службы безопасности Российской Федерации
Утвержден
Руководством 8 Центра ФСБ России
8 августа 2009 года
N 149/7/2/6-1173
ТИПОВОЙ РЕГЛАМЕНТ
ПРОВЕДЕНИЯ В ПРЕДЕЛАХ ПОЛНОМОЧИЙ МЕРОПРИЯТИЙ ПО КОНТРОЛЮ
(НАДЗОРУ) ЗА ВЫПОЛНЕНИЕМ ТРЕБОВАНИЙ, УСТАНОВЛЕННЫХ
ПРАВИТЕЛЬСТВОМ РОССИЙСКОЙ ФЕДЕРАЦИИ, К ОБЕСПЕЧЕНИЮ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
I. Общие положения
1.1. Порядок организации и проведения проверки
1.1.1. Мероприятие по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - проверка) проводится на основании распоряжения или приказа начальника 8 Центра ФСБ России либо лица его замещающего. Проверка может проводиться только должностным лицом или должностными лицами, уполномоченными на проведение проверки, которые указаны в распоряжении или приказе начальника 8 Центра ФСБ России либо лица его замещающего.
1.1.2. В распоряжении или приказе начальника 8 Центра ФСБ России либо лица его замещающего указываются:
1) наименование органа государственного контроля (надзора);
2) фамилии, имена, отчества, должности должностного лица или должностных лиц, уполномоченных на проведение проверки, а также привлекаемых к проведению проверки экспертов, представителей экспертных организаций;
3) наименование юридического лица или фамилия, имя, отчество индивидуального предпринимателя, проверка которых проводится;
4) цели, задачи и предмет проверки;
5) правовые основания проведения проверки;
6) перечень мероприятий по контролю (надзору), необходимых для достижения целей и задач проведения проверки;
7) даты начала и окончания проведения проверки.
1.1.3. Заверенные печатью копии распоряжения или приказа начальника 8 Центра ФСБ России либо лица его замещающего вручаются под роспись должностными лицами 8 Центра ФСБ России, проводящими проверку, руководителю или уполномоченному представителю юридического лица, индивидуальному предпринимателю, его уполномоченному представителю одновременно с предъявлением служебных удостоверений.
1.1.4. По просьбе руководителя или уполномоченного представителя юридического лица, индивидуального предпринимателя, его уполномоченного представителя должностные лица 8 Центра ФСБ России обязаны ознакомить подлежащих проверке лиц с настоящим документом.
1.1.5. Общий срок проведения проверки не может превышать двадцати рабочих дней.
1.1.6. В отношении одного субъекта малого предпринимательства общий срок проведения проверки не может превышать пятьдесят часов для малого предприятия, пятнадцать часов для микропредприятия в год.
1.2. Ограничения при проведении проверки
1.2.1. При проведении проверки должностные лица 8 Центра ФСБ России не вправе:
1) проверять выполнение требований, не относящихся к компетенции ФСБ России;
2) осуществлять плановую или внеплановую проверку в случае отсутствия при ее проведении руководителя или уполномоченного представителя юридического лица, индивидуального предпринимателя, его уполномоченного представителя;
3) требовать представления документов, информации, если они не являются объектами проверки и не относятся к предмету проверки, а также изымать оригиналы документов, относящихся к предмету проверки;
4) распространять информацию, составляющую охраняемую законом тайну и полученную в результате проведения проверок, за исключением случаев, предусмотренных законодательством Российской Федерации;
5) превышать установленные сроки проведения проверки;
6) осуществлять выдачу юридическим лицам, индивидуальным предпринимателям предписаний или предложений о проведении за их счет мероприятий по контролю.
II. Программа проведения работ по контролю (надзору)
за использованием шифровальных (криптографических) средств,
применяемых для обеспечения безопасности персональных
данных в информационных системах персональных данных
┌────┬───────────────────────────────────┬────────────────────┬─────────────────────────────────────────┐ │ N │ Проверяемые требования │ Перечень │ Нормативные правовые акты, требования │ │п/п │ │ представляемых │ которых подлежат проверке │ │ │ │ документов и │ │ │ │ │ справок │ │ ├────┼───────────────────────────────────┼────────────────────┼─────────────────────────────────────────┤ │ 1 │ Организация системы │ Ведомственные │ Федеральный закон от 27 июля 2006 г. │ │ │ организационных мер защиты │документы и приказы │ N 152-ФЗ "О персональных данных"; │ │ │ персональных данных: │ по организации │ Постановление Правительства РФ от │ │ │ - область применения средств │ криптографической │ 17 ноября 2007 г. N 781 "Об утверждении │ │ │ криптографической защиты │ защиты информации. │ Положения об обеспечении безопасности │ │ │ информации (далее - СКЗИ) в │ │ персональных данных при их обработке в │ │ │ информационных системах │ │ информационных системах персональных │ │ │ персональных данных; │ │ данных"; │ │ │- наличие ведомственных документов │ │Постановление Правительства РФ от 6 июля │ │ │ и приказов по организации │ │2008 г. N 512 "Об утверждении требований │ │ │ криптографической защиты │ │ к материальным носителям биометрических │ │ │ информации; │ │ персональных данных и технологиям │ │ │ - выполнение рекомендаций и │ │хранения таких данных вне информационных │ │ │ указаний ФСБ России (при их │ │ систем персональных данных"; │ │ │ наличии) по вопросам организации │ │ Постановление Правительства РФ от │ │ │ связи с использованием │ │29 декабря 2007 г. N 957 "Об утверждении │ │ │ криптосредств. │ │ положений о лицензировании отдельных │ ├────┼───────────────────────────────────┼────────────────────┤ видов деятельности, связанных с │ │ 2 │ Организация системы │ Модель угроз, │ шифровальными (криптографическими) │ │ │ криптографических мер защиты │ разработанная │ средствами"; │ │ │ информации: │ оператором. │ Приказ ФСБ России от 9 февраля 2005 г. │ │ │- наличие модели угроз нарушителя; │ Документы по │ N 66 "Об утверждении Положения о │ │ │ - соответствие модели угроз │ поставке СКЗИ │ разработке, производстве, реализации и │ │ │ исходным данным; │ оператору. │ эксплуатации шифровальных │ │ │ - соответствие требуемого уровня │ │ (криптографических) средств защиты │ │ │ криптографической защиты │ │ информации (Положение ПКЗ-2005) │ │ │ полученной модели нарушителя; │ │ (зарегистрировано в Минюсте РФ │ │ │ соответствие используемых СКЗИ │ │ 3 марта 2005 г., N 6382); │ │ │ полученному уровню │ │Методические рекомендации по обеспечению │ │ │ криптографической защиты; │ │ с помощью криптосредств безопасности │ │ │ - наличие документов по поставке │ │ персональных данных при их обработке в │ │ │ СКЗИ оператору. │ │ информационных системах персональных │ ├────┼───────────────────────────────────┼────────────────────┤ данных с использованием средств │ │ 3 │ Разрешительная и эксплуатационная │ Лицензии и │ автоматизации, N 149/54-144, 2008 г.; │ │ │ документация: │ сертификаты на │ Типовые требования по организации и │ │ │- наличие необходимых лицензий для │ используемые СКЗИ. │ обеспечению функционирования │ │ │ использования СКЗИ в │ Эксплуатационная │ шифровальных (криптографических) │ │ │ информационных системах │ документация на │ средств, предназначенных для защиты │ │ │ персональных данных; │ СКЗИ. │ информации, не содержащей сведений, │ │ │ - наличие сертификатов │ │ составляющих государственную тайну в │ │ │соответствия на используемые СКЗИ; │ │ случае их использования для обеспечения │ │ │ - наличие эксплуатационной │ │ безопасности персональных данных при их │ │ │ документации на СКЗИ (формуляров, │ │ обработке в информационных системах │ │ │ правил работы, руководств │ │ персональных данных, N 149/6/6-622, │ │ │ оператора и т.п.); │ │ 2008 г. │ │ │ - порядок учета СКЗИ, │ │ │ │ │ эксплуатационной и технической │ │ │ │ │ документации к ним; │ │ │ │ │ - выявление несертифицированных │ │ │ │ │ ФСБ России (ФАПСИ) СКЗИ. │ │ │ ├────┼───────────────────────────────────┼────────────────────┤ │ │ 4 │ Требования к обслуживающему │Утвержденные список │ │ │ │ персоналу: │ лиц, допущенных к │ │ │ │ - порядок учета лиц, допущенных к │ работе с СКЗИ. │ │ │ │ работе с СКЗИ, предназначенными │ Документы, │ │ │ │ для обеспечения безопасности │ подтверждающие │ │ │ │ персональных данных в │ функциональные │ │ │ │ информационной системе; │ обязанности │ │ │ │ - наличие функциональных │ сотрудников. │ │ │ │ обязанностей ответственных │ Журнал учета │ │ │ │ пользователей СКЗИ; │ пользователей │ │ │ │ - укомплектованность штатных │ криптосредств. │ │ │ │ должностей личным составом, а │ Документы, │ │ │ │ также достаточность имеющегося │ подтверждающие │ │ │ │ личного состава для решения задач │ прохождение │ │ │ │ по организации криптографической │ обучения │ │ │ │ защиты информации; │ сотрудников. │ │ │ │ - организация процесса обучения │ │ │ │ │ лиц, использующих СКЗИ, │ │ │ │ │ применяемых в информационных │ │ │ │ │системах, правилам работы с ними и │ │ │ │ │ другим нормативным документам по │ │ │ │ │ организации работ (связи) с │ │ │ │ │ использованием СКЗИ. │ │ │ ├────┼───────────────────────────────────┼────────────────────┤ │ │ 5 │ Эксплуатация СКЗИ: │ Акты ввода СКЗИ в │ │ │ │- проверка правильности ввода СКЗИ │ эксплуатацию. │ │ │ │ в эксплуатацию и соответствие │ Журнал │ │ │ │ условий эксплуатации технических │ поэкземплярного │ │ │ │ средств удостоверяющего центра │ учета СКЗИ. │ │ │ │ (при наличии) требованиям │ Журнал учета и │ │ │ │ эксплуатационной документации и │ выдачи носителей с │ │ │ │ сертификатов соответствия; │ ключевой │ │ │ │ - оценка технического состояния │ информацией. │ │ │ │ СКЗИ, соблюдения сроков и полноты │ │ │ │ │ проведения технического │ │ │ │ │ обслуживания, а также проверка │ │ │ │ │соблюдения правил пользования СКЗИ │ │ │ │ │ и порядка обращения с ключевыми │ │ │ │ │ документами к ним. │ │ │ ├────┼───────────────────────────────────┼────────────────────┤ │ │ 6 │ Оценка соответствия применяемых │ Средства СКЗИ. │ │ │ │ СКЗИ: │ Программное │ │ │ │ - соответствие программного │ обеспечение СКЗИ │ │ │ │ обеспечения, реализующего │ (дистрибутив). │ │ │ │ криптографические алгоритмы │ │ │ │ │ используемых СКЗИ, эталонным │ │ │ │ │ версиям, проходивших сертификацию │ │ │ │ │ в ФСБ России; │ │ │ │ │ - проведение (при необходимости) │ │ │ │ │ на местах осуществления проверки │ │ │ │ │ оперативных тематических │ │ │ │ │ исследований используемых СКЗИ. │ │ │ ├────┼───────────────────────────────────┼────────────────────┤ │ │ 7 │ Организационные меры: │ Эксплуатационная │ │ │ │ - выполнения требований по │ документация на │ │ │ │ размещению, специальному │ СКЗИ. │ │ │ │оборудованию, охране и организации │ Помещения │ │ │ │ режима в помещениях, где │ выделенные для │ │ │ │ установлены СКЗИ или хранятся │ установки СКЗИ и │ │ │ │ ключевые документы к ним, а также │ хранения ключевых │ │ │ │ соответствия режима хранения СКЗИ │ документов к ним. │ │ │ │ и ключевой документации │ Инструкция по │ │ │ │ предъявляемым требованиям; │ восстановлению │ │ │ │ - оценка степени обеспечения │ связи в случае │ │ │ │ оператора криптоключами и │ компрометации │ │ │ │ организации их доставки. │ действующих ключей │ │ │ │ - проверка наличия инструкции по │ к СКЗИ. │ │ │ │ восстановлению связи в случае │ │ │ │ │компрометации действующих ключей к │ │ │ │ │ СКЗИ. │ │ │ │ │ - порядок проведения │ │ │ │ │ разбирательств и составления │ │ │ │ │ заключений по фактам нарушения │ │ │ │ │ условий хранения носителей │ │ │ │ │ персональных данных или │ │ │ │ │ использования СКЗИ. │ │ │ └────┴───────────────────────────────────┴────────────────────┴─────────────────────────────────────────┘
При проведении проверки должностные лица 8 Центра ФСБ России вправе допускаться к СКЗИ, техническим средствам, на которых они реализованы, оборудованию комплексов, в помещения, в которых установлены СКЗИ, к средствам технической защиты, предназначенным для хранения, обработки и передачи персональных, и ключевых документов.
III. Порядок оформления результатов проверки
3.1. По результатам проверки должностными лицами 8 Цента ФСБ России, проводящими проверку, составляется акт в двух экземплярах.
3.2. В акте проверки указываются:
1) дата, время и место составления акта;
2) дата и номер распоряжения или приказа, на основании которого проведена проверка;
3) фамилия, имя, отчество и должности должностного лица или должностных лиц, проводивших проверку;
4) объект проверки, а также фамилии, имена, отчества операторов (ответственных пользователей криптосредств), осуществляющих обработку персональных данных, в отношении которых проводится проверка;
5) сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований, об их характере, о лицах, на которых возлагается ответственность за совершение этих нарушений;
6) сведения об ознакомлении или об отказе в ознакомлении с актом оператора, осуществляющего обработку персональных данных, а также лиц, присутствовавших при проведении проверки;
7) дата, время и место проведения проверки;
8) подписи должностного лица или должностных лиц, проводивших проверку.
3.3. К акту проверки могут прилагаться протоколы (заключения) проведенных экспертиз, объяснения должностных лиц, работников, на которых возлагается ответственность за нарушения обязательных требований, и другие документы или их копии, связанные с результатами проверки.
3.4. Акт оформляется непосредственно после завершения проверки в двух экземплярах, один из которых с копиями приложений, вручается оператору, осуществляющему обработку персональных данных, или уполномоченному им лицу под расписку об ознакомлении или отказе в ознакомлении с актом проверки.
3.5. В журнале учета проверок должностными лицами 8 Центра ФСБ России осуществляется запись о проведенной проверке, содержащая сведения о датах начала и окончания проведения проверки, времени ее проведения, правовых основаниях, целях, задачах и предмете проверки, выявленных нарушениях и выданных предписаниях, а также указываются фамилии, имена, отчества и должности должностного лица или должностных лиц, проводящих проверку, его или их подписи (При отсутствии журнала учета проверок в акте проверки делается соответствующая запись).
3.6. Юридическое лицо, индивидуальный предприниматель, проверка которых проводилась, в случае несогласия с фактами, изложенными в акте проверки, а также с выводами и предложениями проверяющих в течение 15 дней со дня получения акта проверки вправе представить письменные возражения по указанному акту в целом или по его отдельным положениям.