• Проверка фстэк по персональным данным. Все о проверках защиты персональных данных: кто, кого и как? Положительные стороны проведения проверки фстэк

    Приказ ФСТЭК России от 01.03.2017 N 37 "Об утверждении Программы профилактики нарушений обязательных требований, соблюдение которых оценивается при проведении ФСТЭК России мероприятий по контролю в рамках федерального государственного контроля за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации и деятельности по разработке и производству средств защиты конфиденциальной информации, на 2017 год"

    Проведение консультаций с подконтрольными субъектами по разъяснению обязательных требований, содержащихся в нормативных правовых актах, в том числе:

    Формирование у подконтрольных субъектов понимания обязательных требований в области лицензионного контроля, предоставление возможности подконтрольному субъекту качественно подготовиться к проверке, исключение возникновения возможных конфликтов (спорных вопросов) в ходе проверки

    Информирование (консультирование) по телефону

    Еженедельно по вторникам и четвергам с 10.00 до 12.00

    Представители лицензиатов и соискателей лицензий ФСТЭК России

    Начальник 3 отдела 1 управления ФСТЭК России, заместители руководителей, начальники 5 отделов территориальных органов ФСТЭК России

    Информирование (консультирование) в ходе рабочих встреч (совещаний)

    При поступлении обращений о необходимости проведения рабочих встреч (совещаний)

    Начальник (заместитель начальника) 1 управления ФСТЭК России, заместители руководителей территориальных органов ФСТЭК России

    Проведение методических занятий по подготовке лицензиатов ФСТЭК России к плановым проверкам. Разъяснение (доведение информации) о порядке (процедурах, сроках) проведения контрольных мероприятий, правах и обязанностях подконтрольных субъектов, проверяющих должностных лиц ФСТЭК России, порядке обжалования и др.

    Согласно планам деятельности территориальных органов ФСТЭК России на 2017 год

    Лицензиаты ФСТЭК России, включенные в План проведения плановых проверок юридических лиц и индивидуальных предпринимателей по вопросам лицензионного контроля на 2017 год

    Заместители руководителей, начальники 5 отделов территориальных органов ФСТЭК России

    Информирование в ходе VII Конференции "Актуальные вопросы защиты информации" на Форуме "Технологии безопасности", г. Москва

    Февраль 2017 г.

    Лицензиаты и соискатели лицензий ФСТЭК России (их представители)

    План проверок на 2018 - 2019 годы представляет собой список надзорных мероприятий, которые будут проведены в отношении предприятия со стороны государственных органов. О том, что представляет собой реестр проверок, а также где можно узнать о планируемых проверках, расскажем в этой статье.

    Понятие и виды проверок ИП и юридических лиц в 2018 - 2019 годах

    Порядок и все детали проведения проверок содержатся в законе «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» от 26.12.2008 № 294-ФЗ (далее — закон № 294).

    Проверка представляет собой действия, совершаемые госорганами, призванные контролировать предприятие или предпринимателя с целью оценки осуществляемых им деяний, а также качества оказываемых услуг, выполняемых работ на соответствие требованиям, установленным правовыми актами в соответствующей сфере (ст. 2 закона № 294).

    Проверки бывают нескольких видов (ст. 9, 10, 11, 12 закона № 294).

    Первая классификация подразделяет их в зависимости от основания проведения:

    1. На плановые (проводится ревизия на соответствие требованиям к осуществлению предпринимательства, сведениям, содержащимся в уведомлении о начале деятельности).
    2. Внеплановые — по жалобам граждан, информации о нарушениях в СМИ и т. п. В ходе проведения данного вида проверок проводится контроль за соблюдением обязательных требований и выданных предписаний, проведением мероприятий по предотвращению причинения вреда жизни и здоровью людей, животных, растениям, предупреждению возникновения аварийных ситуаций, ликвидации их последствий.

    Вторая классификация проверок подразделяет их по такому критерию, как место деятельности контролера:

    1. Документарная, в ходе которой проверяются документы организации или ее контрагентов.
    2. Выездная, осуществляемая по месту расположения юрлица или ИП, их производственных мощностей.

    Реестр плановых проверок на 2018 - 2019 годы по органам надзора

    В соответствии с нормами, изложенными в п. 6 ст. 9 закона № 294-ФЗ, а также постановлении Правительства РФ от 30.06.2010 № 489, орган надзора план проверок обязан ежегодно согласовывать с органами прокуратуры.

    Проекты планов проверок контролирующих ведомств направляются в прокуратуру не позднее 1 сентября, в свою очередь, последняя обязана рассмотреть их до 1 октября и внести соответствующие предложения и корректировки.

    Впоследствии уже утвержденные планы проверок к концу декабря должны быть размещены на сайтах контролирующих органов, как того требуют чч. 3, 5 ст. 9 закона № 294-ФЗ.

    Обратите внимание! План составляется по всем субъектам предпринимательства, он един для ИП и юрлиц.

    Сводный план проверок на 2018 - 2019 годы

    Порядок создания единого реестра, а также сведения, которые должны найти свое отражение в нем, регламентированы ст. 13.3 закона № 294-ФЗ, Правилах формирования и ведения единого реестра проверок, утв. постановлением Правительства РФ от 28.04.2015 № 415.

    Указанный реестр представляет собой единую информационную систему, оператором которой назначена Генеральная прокуратура РФ.

    На сайте Генпрокуратуры РФ можно найти сводный план проверок юридических лиц на 2018 - 2019 годы. Для этого необходимо перейти по ссылке Сводный план проверок , заполнив соответствующую форму, а именно:

    1. ОГРН предприятия.
    2. Наименование предприятия.
    3. Выбрать из поисковика месяц проверки.
    4. Название контролирующего органа.
    5. Адрес.

    Указанная поисковая форма позволяет получить сведения относительно того, есть ли указанное предприятие в планах проверок на 2018 - 2019 годы, кто и когда будет его проверять или уже проверил:

    1. Номер проводимой проверки.
    2. Информацию о распоряжении руководителя контролирующего органа.
    3. Сведения, содержащиеся в акте проверки.
    4. Результаты контроля.
    5. Меры, принятые при обнаружении нарушений, а именно: выданные предприятию предписания, привлеченные к ответственности лица, приостановленные или аннулированные ранее выданные разрешения, лицензии и пр.

    Как ИП избежать проверок

    Согласно ст. 26.2 закона № 294 субъекты малого предпринимательства, включенные в соответствующий реестр, имеют определенное преимущество: с 01.01.2019 по 31.12.2020 они не включаются в план проверок ИП.

    Обратите внимание! Подобное правило действовало и ранее. Отличием действующих норм является больший список исключений.

    Исключением из этого правила являются:

    • организации, которые подпадают под категории риска, установленные постановлением Правительства РФ от 17.08.2016 № 806;
    • юрлица и предприниматели, работающие в социальной сфере, вид деятельности которых подпадает под перечень, установленный постановлением Правительства РФ от 23.11.2009 № 944;
    • предприниматели и должностные лица организаций, которые были наказаны за грубое нарушение закона, понесли наказание в виде дисквалификации или приостановки деятельности и если с момента проведения проверки прошло менее 3 лет;
    • юрлица и предприниматели, работающие по лицензии;
    • организации, работающие в сфере радиационной безопасности, обеспечения гостайны, аудита, использования атомной энергии, работы с драгкамнями.

    Сводный план проверок на 2018 - 2019 годы представляет собой определенный перечень информации, из которой можно получить сведения о том, когда, кем и какие виды проверок будут проведены в отношении юридического лица или предпринимателя. Ведение указанного реестра возложено на Генеральную прокуратуру РФ. Заполнив определенную форму, на ее сайте можно получить всю необходимую информацию.

    Появились в России.

    1 июля вступили в силу поправки в КоАП РФ, значительно изменившие ситуацию с ответственностью за нарушения требований законодательства о персональных данных. Помимо самих штрафов, изменения коснулись и порядка возбуждения дел об административных правонарушениях. Так как любая организация обрабатывает персональные данные (хотя бы своих работников), эти изменения повлияют на практику работы с такой информацией.

    В этой статье мы систематизируем информацию о проверках в сфере персональных данных, обсудим основные моменты полномочий государственных органов, осуществляющих контроль и надзор в этой сфере, и обратим внимание на действия организаций, которые могут привести к внеплановым контрольным мероприятиям.

    Прежде всего, поговорим об основных органах, которые могут осуществлять контроль и надзор в сфере персональных данных.

    Проверки Роскомнадзора

    Статья 23 федерального закона от 27.07.2006 «О персональных данных» №152-ФЗ выделяет два направления деятельности Роскомнадзора:

    • защита прав субъектов персональных данных;
    • контроль и надзор за соответствием обработки персональных данных требованиям законодательства.

    Для выполнения этих функций указанная статья закона наделяет Роскомнадзор определенными полномочиями. Рассмотрим самые, на наш взгляд, важные из них.

    Роскомнадзор:

    • проверяет сведения, указанные организацией в Уведомлении;
    • может требовать от оператора уничтожения недостоверных или полученных незаконным путем персональных данных;
    • может ограничивать доступ к информации, обрабатываемой с нарушением законодательства;
    • вправе обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять их в суде;
    • наделен полномочиями по привлечению к административной ответственности лиц, виновных в нарушении настоящего Федерального закона;
    • обязан рассматривать жалобы и обращения по вопросам, связанным с обработкой персональных данных, а также принимать по ним решения в пределах своих полномочий.

    На практике основные действия Роскомнадзора в соответствии с федеральным законом «О персональных данных» следующие:

    • работа с обращениями и жалобами граждан;
    • проведение контрольных и надзорных мероприятий;
    • ведение Реестра операторов персональных данных.

    Роскомнадзор рассматривает жалобы по закону от 02.05.2006 №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации». Жалобы могут быть направлены как в письменном виде, так и через специальную форму на сайте Роскомнадзора или портала Госуслуг. Срок рассмотрения обращения - 30 календарных дней, за исключением случаев, установленных в законе.

    Сейчас в Правительстве ждет утверждения проект нового Административного регламента. Но на данный момент Роскомнадзор проводит проверочные мероприятия на основании Административного регламента, утвержденного приказом Министерства связи и массовых коммуникаций РФ № 312 от 14.11.2011 года.

    В рамках деятельности по контролю и надзору за порядком обработки персональных данных Роскомнадзор осуществляет плановые и внеплановые проверки.

    Плановые проверки Роскомнадзора

    Плановые проверки проводятся на основании ежегодного плана, с ним можно ознакомиться на сайтах территориальных управлений Роскомнадзора. План проверок на следующий год обычно размещают на сайтах территориальных управлений в середине декабря текущего года.

    Так как с 1 сентября 2015 года Роскомнадзор не согласовывает планы проверок по персональным данным с Прокуратурой, то на сайте последней в сводном плане проверок по всем органам проверок по данной тематике нет. Соответственно, проверить возможное присутствие вашей организации в плане проверок по персональным данным можно только на сайте вашего территориального управления Роскомнадзора. На сайте управления Роскомнадзора вам необходимо смотреть документ с названием «План деятельности Управления…». Именно в этом документе среди планов мероприятий по другим видам деятельности можно найти план контрольно-надзорных мероприятий за соответствием деятельности операторов персональных данных.

    В действующем Административном регламенте сказано, что о проведении плановой проверки территориальное управление Роскомнадзора обязано уведомить вас не позднее, чем в течение трех рабочих дней до начала ее проведения.

    Предметом проверки Роскомнадзора являются:

    • деятельность по обработке персональных данных;
    • документы, характер информации в которых предполагает или допускает включение в них персональных данных;
    • информационные системы персональных данных.

    Соответственно, Роскомнадзор не проверяет наличие и состояние технической защиты информационных систем персональных данных. Его главная задача - проверка правовых оснований обработки персональных данных. Вопреки расхожему мнению, положения, инструкции, приказы и прочие документы не являются основным объектом проверок. Уполномоченный орган больше интересуют сами персональные данные и соответствие объема этих данных целям обработки.

    В уведомлении о плановой проверке, как правило, написано, что проверяемое лицо должно представить:

    • копию документа о назначении должностного лица или уполномоченного представителя, которое будет представлять интересы юридического лица на проверке;
    • документы, характер информации в которых предполагает или допускает включение в них персональных данных. К таким документам Роскомнадзор обычно относит заявления, анкеты, журналы и пр.;
    • документы, подтверждающие уничтожение персональных данных по достижению цели обработки. К сожалению, не все операторы персональных данных понимают, что в каждом случае обработки персональных данных есть (или должна быть) цель обработки, по достижению которой данные необходимо уничтожить;
    • письменные согласия субъектов персональных данных на обработку их персональных данных;
    • документы, подтверждающие соблюдение требований законодательства РФ при обработке персональных данных, в том числе специальных категорий и биометрических персональных данных;
    • документы, подтверждающие место размещения баз (информационных систем) персональных данных. Это требование появилось, когда в законодательство внесли поправки о локализации персональных данных россиян;
    • документы, подтверждающие ознакомление работников, непосредственно осуществляющих обработку персональных данных, с законодательством и локальными актами оператора по вопросам обработки персональных данных;
    • локальные акты оператора, регламентирующие порядок и условия обработки персональных данных.

    В план проверок включают юридических лиц, которые подали Уведомление об обработке персональных данных в реестр операторов, и тех, кто этого не сделал. То есть могут проверить всех. Срок проведения как плановой, так и внеплановой проверки не может превышать 20 рабочих дней.

    Внеплановые проверки Роскомнадзора

    Внеплановые проверки бывают документарные и выездные. Документарные проводятся в форме запроса Роскомнадзором необходимых документов и предоставления вами этих документов в срок, указанный в запросе. О проведении внеплановой проверки оператор уведомляется не позднее, чем за 24 часа до ее начала любым доступным способом. Обычно это делается по телефону или по факсу.

    Такие проверки могут проводиться по следующим основаниям:

    • если истек срок исполнения оператором ранее выданного предписания об устранении выявленного нарушения. Обычно после плановой проверки Роскомнадзор проводит внеплановую, чтобы выяснить, как устранено нарушение. Такая проверка редко бывает выездной. Она проводится в документарной форме, то есть Роскомнадзор запросит у вас сведения об устранении нарушений, а вы должны предоставить необходимые документы;
    • если в службу или ее территориальные органы поступило обращение от граждан, юридических лиц, индивидуальных предпринимателей, информация от органов государственной власти, органов местного самоуправления, из средств массовой информации. В 2011 году в службу поступило примерно 1500 жалоб. В 2016 году - примерно 33 000;
    • по приказу руководителя Роскомнадзора или руководителя территориального управления.

    Мероприятия систематического наблюдения

    Еще один вид контроля - мероприятия систематического наблюдения. В последние годы это самый популярный вид контроля за порядком обработки персональных данных. Популярность таких мероприятий вызвана тем, что трудозатраты территориальных управлений на их проведение куда меньше плановых проверок, а эффективность намного больше. За небольшой период времени каждое территориальное управление Роскомнадзора может проверить десятки или даже сотни интернет-сайтов. Результаты таких проверок мы видим постоянно на сайте уполномоченного органа, например: https://74.rkn.gov.ru/news/news128102.htm

    Мероприятия систематического наблюдения проводятся на основании приказа руководителя территориального органа и закрепляются в ежегодном плане деятельности территориального управления на следующий год. При этом в плане вы не увидите конкретные адреса сайтов, которые будет проверять Роскомнадзор. В нем будут отражены только категории операторов и месяц проверки. Например: операторы связи - апрель, государственные органы - май, страховые компании - июнь и так далее.

    О том, что проверяют ваш сайт, вы узнаете только тогда, когда вам придет запрос по поводу найденного нарушения. Самым популярным нарушением, выявляемым в ходе мероприятий систематического наблюдения, является отсутствие на сайте документа, определяющего политику оператора в отношении обработки персональных данных, если на сайте выявлен случай сбора персональных данных (например, формы заявки, регистрации или обратной связи с определенным набором запрашиваемых сведений).

    Также Роскомнадзор может запросить правовые основания для размещения чьих-либо персональных данных. Такие запросы уже поступали, например, в образовательные организации, когда на их сайте размещали персональные данные о школьниках и их успехах в олимпиадах. Так что, размещая персональные данные своих работников или иных лиц на сайте, проконтролируйте соблюдение требований закона.

    На что обратить внимание

    Обработка персональных данных - это каждодневная деятельность любого юридического лица. Мы постоянно работаем с данными наших работников и клиентов (пациентов, студентов, покупателей, заявителей, пользователей сайта, заемщиков, страхователей, посетителей зрителей и пр.). Одни и те же данные одного и того же человека мы обрабатываем в разных случаях. И взятое в одном случае согласие - на другой может не распространяться. Соответственно, чтобы предотвратить негативные последствия, мы должны обратить внимание на правовую основу обработки персональных данных в каждом конкретном случае обработки, т. е. понять, есть ли у нас договоры, согласия или даже нормативные акты, которые Роскомнадзор признает при проверке законным основанием для обработки персональных данных. А проверка может возникнуть в любой момент. Например, у вас есть сайт. Вы собираете на нем данные через различные формы. Соответственно, вас могут проверить в ходе мероприятий систематического наблюдения, или в случае, если какой-нибудь посетитель вашего сайта подаст на вас жалобу. Также вами может быть недоволен ваш клиент или работник (бывший тоже может), которые имеют возможность пожаловаться в Роскомнадзор, и тот в свою очередь обязан на такие жалобы реагировать. Так что ваша задача - обеспечить правовую основу для каждого случая обработки.

    Административная ответственность за нарушение законодательства в области персональных данных установлена статьей 13.11 КоАП РФ. Штрафы для юридических лиц за каждое нарушение, установленное статьей 13.11, варьируются от 15 000 до 75 000 рублей.

    Провеки Государственной инспекции труда

    В Трудовом Кодексе РФ 14 глава называется: «Защита персональных данных работника». Государственная инспекция труда проводит контрольно-надзорные мероприятия по поводу выполнения требований всего Трудового кодекса и, соответственно, не может обойти стороной главу 14. На проверках обращают внимание на требование пункта 8 статьи 86: «работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области». Таким образом, проверяют наличие такого документа и факт ознакомления с ним всех работников.

    Административная ответственность за нарушение этих требований предусмотрена статьей 5.27. КоАП - штраф в размере от 30 000 до 50 000 рублей.

    Провеки ФСТЭК и ФСБ

    Статья 19 федерального закона «О персональных данных» устанавливает меры по обеспечению безопасности персональных данных при их обработке.

    В части 3 статьи 19 сказано, что Правительство РФ устанавливает уровни защищенности персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн) и требования к защите персональных данных в ИСПДн. Таким образом, у нас появилось Постановление Правительства №1119 от 01.11.2012, определяющее эти требования.

    В части 4 статьи 19 установлено, что состав и содержание необходимых для выполнения установленных Правительством требований, организационных и технических мер по обеспечению безопасности персональных данных, при их обработке в ИСПДн устанавливают ФСТЭК и ФСБ в рамках их полномочий. Во исполнение этого требования у нас появились:

    • приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
    • приказ ФСБ РФ от 10.07.2014 №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите».

    Фактически между ФСБ И ФСТЭК разделили полномочия в этой сфере, где ФСБ определяет меры по защите ИСПДн, при использовании в них средств криптографической защиты, а ФСТЭК - меры по всем остальным вопросам обеспечения безопасности.

    В части 8 статьи 19 федерального закона «О персональных данных» закреплен важный момент: «Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных».

    Выходит, ФСБ и ФСТЭК могут проверять только организации, эксплуатирующие государственные информационные системы. Для остальных информационных систем контроль в законе не закреплен. Сказано лишь, что ФСТЭК И ФСБ «решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер…, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных…».

    Проверки ФСТЭК и ФСБ могут быть как плановыми, так и внеплановыми.

    В рамках проверок ФСБ обращает внимание на:

    • наличие модели нарушителя и угроз, разработанной с учетом требований ФСБ;
    • организационные меры, установленные в соответствии с приказом ФСБ № 378 (назначение ответственных лиц, локальные акты, порядок допуска работников к ИСПДн, физическую защиту объектов и пр.);
    • наличие средств криптографической защиты информации, порядок их учета и эксплуатации;
    • документацию на средства криптографической защиты информации (лицензии, сертификаты, формуляры и пр.).

    В рамках проверок ФСТЭК обращает внимание на:

    • наличие модели нарушителя и угроз, актов установления уровней защищенности для ИСПДн;
    • наличие средств защиты информации, порядок их учета и эксплуатации;
    • документацию на средства защиты информации (лицензии, сертификаты, формуляры и пр.);
    • организационные меры, установленные в соответствии с приказом ФСТЭК России № 21 (назначение ответственных лиц, локальные акты, порядок допуска работников к ИСПДн, физическую защиту объектов и пр.);
    • материалы аттестационных испытаний (в ГИС).

    За нарушение данных требований установлена ответственность в соответствии со статьей 13.12 КоАП РФ:

    • за использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации - штраф до 25 000 рублей для юридических лиц;
    • за нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации - штраф до 15 000 рублей для юридических лиц.

    Выводы

    После вступления в силу поправок в статью 13.11 КоАП РФ контрольно-надзорная деятельность не изменится кардинально, но из-за существенного увеличения штрафов изменится подход организаций к выполнению требований закона и к подготовке к проверкам. Если раньше организации считали, что проще ничего не делать и можно ждать вероятную проверку и по ее итогам заплатить небольшой штраф (до 10 000 рублей), то теперь компании будут бороться за свои права, а значит, это положительно повлияет на довольно неоднозначную судебную практику по данным вопросам.

    Плановые проверки ФСТЭК проводятся ежегодно, одним из оснований для проверки является проведение внешнеэкономических действий с использованием контролируемой продукции в сфере защиты информации. На сайте ведомства опубликован график проверок ФСТЭК на 2019 год.

    Почему надо проходить проверку ФСТЭК?

    Проверка ФСТЭК дает возможность улучшить качество предоставления услуг в сфере информационной безопасности. Данную процедуру проходят все физические и юридические лица, которые получили лицензию на производство, разработку, эксплуатацию, установку и сервисное обслуживание аппаратуры для технических средств защиты информации. С полным перечнем подлежащих проверке предприятий вас могут ознакомить наши специалисты сайта ФСТЭК Крым, кроме того, мы рады помочь вам в успешном прохождении такой проверки.

    Поиск нарушений в эксплуатации оборудования и ведении документации может проводиться только в присутствии владельца предприятия, директора предприятия, его заместителя или другого уполномоченного должностного лица. В отсутствии хотя бы одного представителя проверка переносится.

    В комплекс мероприятий по проведению плановой проверки ФСТЭК входит:

    • мониторинг конструкторской и методологической документации;
    • сверка отчетности и фактического состояния производства, разработки или эксплуатации средств защиты информации;
    • выявление не сертифицированных средств защиты информации;
    • обнаружение аппаратов для съема или сохранения данных, с просроченным сертификатом;
    • определение угроз для утечки, искажения, распространения и уничтожения конфиденциальных данных;
    • поиск нарушений стандартов и технологических требований по эксплуатации или разработке оборудования для защиты информации;
    • обнаружение угроз со стороны иностранной разведки.

    После проведения проверки комиссия ФСТЭК составляет отчет о проведении проверки и выдает предпринимателю или его представителю результаты проверки, где значится список обнаруженных нарушений. Если в установленный срок все нарушения не будут устранены деятельность предприятия будет приостановлена.

    В случае грубых нарушений, таких как применение для защиты конфиденциальной информации оборудования, которое не прошло аттестацию и сертификацию – юридическое лицо потеряет лицензию на право предоставления услуг в сфере защиты информации, производство или разработку технических средств защиты информации.

    Что дает проверка ФСТЭК?

    Федеральная служба по техническому и экспортному контролю осуществляет работу не только по проведению проверок предприятий, но и по разработке инновационных методов и средств для защиты информации. Успешное прохождение проверки открывает для юридического лица новые возможности.

    Проверка ФСТЭК сопровождается консультациями и повышением требований к производству и разработке технических средств защиты, а также квалификации сотрудников. Постоянное развитие информационных технологий приводит к разработке новых, многофункциональных технических средств и дает право на переподготовку по одной из программ обучения ФСТЭК в любом учебном заведении.

    Положительные стороны проведения проверки ФСТЭК:

    • Заблаговременная публикация плана проверок ФСТЭК с предоставлением возможности ознакомления с критериями проверки и подготовки предприятия;
    • Высокие требования к профессиональным навыкам сотрудников с последующей рекомендацией прохождения курсов переподготовки по новым методикам;
    • Коррекция стандартов производства и разработки программно-технических средств защиты информации и ознакомление с инновационными разработками ФСТЭК;
    • Оценивание правильности работы средств защиты данных на специализированном оборудовании;
    • Консультация по методике изготовления средств технической защиты информации.

    Внеплановые проверки ФСТЭК

    Проверки ФСТЭК 2019 проводятся согласно плану, опубликованному на официальном сайте ведомства. План утвержден директором федеральной службы от 25.10.2016 г. Внеплановые проверки проводятся по заявлению Роскомнадзора и их количество не ограничивается. Причиной для таких событий является:

    • угроза утечки информации, которая содержит в себе государственную тайну;
    • предотвращение подрывной деятельности иностранной разведки;
    • несанкционированное распространение конфиденциальной информации.

    Проведение внеплановой проверки включает в себя приостановление работы предприятия в случае обнаружения одной из вышеперечисленных угроз информационной безопасности. Плановые ФСТЭК проверки на 2017 год таких последствий за собой не влекут и направлены на мониторинг качества предоставления услуг в сфере кибербезопасности.

    Если у вас остались вопросы по поводу проверок ФСТЭК, то на нашем сайте ФСТЭК Крым вы найдете всю интересующую вас информацию. Все про или можно найти в соответствующих материалах. Также вы можете связаться с нами по указанным на нем контактам. Мы рады помочь вам в вопросах лицензирования оказать эффективную помощь в прохождении проверки любого характера.

    Читать еще: