"Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСБ России 08.08.2009 N 149/7/2/6-1173)
Руководством 8 Центра ФСБ России
8 августа 2009 года
N 149/7/2/6-1173
ПРОВЕДЕНИЯ В ПРЕДЕЛАХ ПОЛНОМОЧИЙ МЕРОПРИЯТИЙ ПО КОНТРОЛЮ
(НАДЗОРУ) ЗА ВЫПОЛНЕНИЕМ ТРЕБОВАНИЙ, УСТАНОВЛЕННЫХ
ПРАВИТЕЛЬСТВОМ РОССИЙСКОЙ ФЕДЕРАЦИИ, К ОБЕСПЕЧЕНИЮ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
1.1. Порядок организации и проведения проверки
1.1.1. Мероприятие по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - проверка) проводится на основании распоряжения или приказа начальника 8 Центра ФСБ России либо лица его замещающего. Проверка может проводиться только должностным лицом или должностными лицами, уполномоченными на проведение проверки, которые указаны в распоряжении или приказе начальника 8 Центра ФСБ России либо лица его замещающего.
1.1.2. В распоряжении или приказе начальника 8 Центра ФСБ России либо лица его замещающего указываются:
1) наименование органа государственного контроля (надзора);
2) фамилии, имена, отчества, должности должностного лица или должностных лиц, уполномоченных на проведение проверки, а также привлекаемых к проведению проверки экспертов, представителей экспертных организаций;
3) наименование юридического лица или фамилия, имя, отчество индивидуального предпринимателя, проверка которых проводится;
4) цели, задачи и предмет проверки;
5) правовые основания проведения проверки;
6) перечень мероприятий по контролю (надзору), необходимых для достижения целей и задач проведения проверки;
7) даты начала и окончания проведения проверки.
1.1.3. Заверенные печатью копии распоряжения или приказа начальника 8 Центра ФСБ России либо лица его замещающего вручаются под роспись должностными лицами 8 Центра ФСБ России, проводящими проверку, руководителю или уполномоченному представителю юридического лица, индивидуальному предпринимателю, его уполномоченному представителю одновременно с предъявлением служебных удостоверений.
1.1.4. По просьбе руководителя или уполномоченного представителя юридического лица, индивидуального предпринимателя, его уполномоченного представителя должностные лица 8 Центра ФСБ России обязаны ознакомить подлежащих проверке лиц с настоящим документом.
1.1.5. Общий срок проведения проверки не может превышать двадцати рабочих дней.
1.1.6. В отношении одного субъекта малого предпринимательства общий срок проведения проверки не может превышать пятьдесят часов для малого предприятия, пятнадцать часов для микропредприятия в год.
1.2. Ограничения при проведении проверки
1.2.1. При проведении проверки должностные лица 8 Центра ФСБ России не вправе:
1) проверять выполнение требований, не относящихся к компетенции ФСБ России;
2) осуществлять плановую или внеплановую проверку в случае отсутствия при ее проведении руководителя или уполномоченного представителя юридического лица, индивидуального предпринимателя, его уполномоченного представителя;
3) требовать представления документов, информации, если они не являются объектами проверки и не относятся к предмету проверки, а также изымать оригиналы документов, относящихся к предмету проверки;
4) распространять информацию, составляющую охраняемую законом тайну и полученную в результате проведения проверок, за исключением случаев, предусмотренных законодательством Российской Федерации;
5) превышать установленные сроки проведения проверки;
6) осуществлять выдачу юридическим лицам, индивидуальным предпринимателям предписаний или предложений о проведении за их счет мероприятий по контролю.
II. Программа проведения работ по контролю (надзору)
за использованием шифровальных (криптографических) средств,
применяемых для обеспечения безопасности персональных
данных в информационных системах персональных данных
┌────┬───────────────────────────────────┬────────────────────┬─────────────────────────────────────────┐ │ N │ Проверяемые требования │ Перечень │ Нормативные правовые акты, требования │ │п/п │ │ представляемых │ которых подлежат проверке │ │ │ │ документов и │ │ │ │ │ справок │ │ ├────┼───────────────────────────────────┼────────────────────┼─────────────────────────────────────────┤ │ 1 │ Организация системы │ Ведомственные │ Федеральный закон от 27 июля 2006 г. │ │ │ организационных мер защиты │документы и приказы │ N 152-ФЗ "О персональных данных"; │ │ │ персональных данных: │ по организации │ Постановление Правительства РФ от │ │ │ - область применения средств │ криптографической │ 17 ноября 2007 г. N 781 "Об утверждении │ │ │ криптографической защиты │ защиты информации. │ Положения об обеспечении безопасности │ │ │ информации (далее - СКЗИ) в │ │ персональных данных при их обработке в │ │ │ информационных системах │ │ информационных системах персональных │ │ │ персональных данных; │ │ данных"; │ │ │- наличие ведомственных документов │ │Постановление Правительства РФ от 6 июля │ │ │ и приказов по организации │ │2008 г. N 512 "Об утверждении требований │ │ │ криптографической защиты │ │ к материальным носителям биометрических │ │ │ информации; │ │ персональных данных и технологиям │ │ │ - выполнение рекомендаций и │ │хранения таких данных вне информационных │ │ │ указаний ФСБ России (при их │ │ систем персональных данных"; │ │ │ наличии) по вопросам организации │ │ Постановление Правительства РФ от │ │ │ связи с использованием │ │29 декабря 2007 г. N 957 "Об утверждении │ │ │ криптосредств. │ │ положений о лицензировании отдельных │ ├────┼───────────────────────────────────┼────────────────────┤ видов деятельности, связанных с │ │ 2 │ Организация системы │ Модель угроз, │ шифровальными (криптографическими) │ │ │ криптографических мер защиты │ разработанная │ средствами"; │ │ │ информации: │ оператором. │ Приказ ФСБ России от 9 февраля 2005 г. │ │ │- наличие модели угроз нарушителя; │ Документы по │ N 66 "Об утверждении Положения о │ │ │ - соответствие модели угроз │ поставке СКЗИ │ разработке, производстве, реализации и │ │ │ исходным данным; │ оператору. │ эксплуатации шифровальных │ │ │ - соответствие требуемого уровня │ │ (криптографических) средств защиты │ │ │ криптографической защиты │ │ информации (Положение ПКЗ-2005) │ │ │ полученной модели нарушителя; │ │ (зарегистрировано в Минюсте РФ │ │ │ соответствие используемых СКЗИ │ │ 3 марта 2005 г., N 6382); │ │ │ полученному уровню │ │Методические рекомендации по обеспечению │ │ │ криптографической защиты; │ │ с помощью криптосредств безопасности │ │ │ - наличие документов по поставке │ │ персональных данных при их обработке в │ │ │ СКЗИ оператору. │ │ информационных системах персональных │ ├────┼───────────────────────────────────┼────────────────────┤ данных с использованием средств │ │ 3 │ Разрешительная и эксплуатационная │ Лицензии и │ автоматизации, N 149/54-144, 2008 г.; │ │ │ документация: │ сертификаты на │ Типовые требования по организации и │ │ │- наличие необходимых лицензий для │ используемые СКЗИ. │ обеспечению функционирования │ │ │ использования СКЗИ в │ Эксплуатационная │ шифровальных (криптографических) │ │ │ информационных системах │ документация на │ средств, предназначенных для защиты │ │ │ персональных данных; │ СКЗИ. │ информации, не содержащей сведений, │ │ │ - наличие сертификатов │ │ составляющих государственную тайну в │ │ │соответствия на используемые СКЗИ; │ │ случае их использования для обеспечения │ │ │ - наличие эксплуатационной │ │ безопасности персональных данных при их │ │ │ документации на СКЗИ (формуляров, │ │ обработке в информационных системах │ │ │ правил работы, руководств │ │ персональных данных, N 149/6/6-622, │ │ │ оператора и т.п.); │ │ 2008 г. │ │ │ - порядок учета СКЗИ, │ │ │ │ │ эксплуатационной и технической │ │ │ │ │ документации к ним; │ │ │ │ │ - выявление несертифицированных │ │ │ │ │ ФСБ России (ФАПСИ) СКЗИ. │ │ │ ├────┼───────────────────────────────────┼────────────────────┤ │ │ 4 │ Требования к обслуживающему │Утвержденные список │ │ │ │ персоналу: │ лиц, допущенных к │ │ │ │ - порядок учета лиц, допущенных к │ работе с СКЗИ. │ │ │ │ работе с СКЗИ, предназначенными │ Документы, │ │ │ │ для обеспечения безопасности │ подтверждающие │ │ │ │ персональных данных в │ функциональные │ │ │ │ информационной системе; │ обязанности │ │ │ │ - наличие функциональных │ сотрудников. │ │ │ │ обязанностей ответственных │ Журнал учета │ │ │ │ пользователей СКЗИ; │ пользователей │ │ │ │ - укомплектованность штатных │ криптосредств. │ │ │ │ должностей личным составом, а │ Документы, │ │ │ │ также достаточность имеющегося │ подтверждающие │ │ │ │ личного состава для решения задач │ прохождение │ │ │ │ по организации криптографической │ обучения │ │ │ │ защиты информации; │ сотрудников. │ │ │ │ - организация процесса обучения │ │ │ │ │ лиц, использующих СКЗИ, │ │ │ │ │ применяемых в информационных │ │ │ │ │системах, правилам работы с ними и │ │ │ │ │ другим нормативным документам по │ │ │ │ │ организации работ (связи) с │ │ │ │ │ использованием СКЗИ. │ │ │ ├────┼───────────────────────────────────┼────────────────────┤ │ │ 5 │ Эксплуатация СКЗИ: │ Акты ввода СКЗИ в │ │ │ │- проверка правильности ввода СКЗИ │ эксплуатацию. │ │ │ │ в эксплуатацию и соответствие │ Журнал │ │ │ │ условий эксплуатации технических │ поэкземплярного │ │ │ │ средств удостоверяющего центра │ учета СКЗИ. │ │ │ │ (при наличии) требованиям │ Журнал учета и │ │ │ │ эксплуатационной документации и │ выдачи носителей с │ │ │ │ сертификатов соответствия; │ ключевой │ │ │ │ - оценка технического состояния │ информацией. │ │ │ │ СКЗИ, соблюдения сроков и полноты │ │ │ │ │ проведения технического │ │ │ │ │ обслуживания, а также проверка │ │ │ │ │соблюдения правил пользования СКЗИ │ │ │ │ │ и порядка обращения с ключевыми │ │ │ │ │ документами к ним. │ │ │ ├────┼───────────────────────────────────┼────────────────────┤ │ │ 6 │ Оценка соответствия применяемых │ Средства СКЗИ. │ │ │ │ СКЗИ: │ Программное │ │ │ │ - соответствие программного │ обеспечение СКЗИ │ │ │ │ обеспечения, реализующего │ (дистрибутив). │ │ │ │ криптографические алгоритмы │ │ │ │ │ используемых СКЗИ, эталонным │ │ │ │ │ версиям, проходивших сертификацию │ │ │ │ │ в ФСБ России; │ │ │ │ │ - проведение (при необходимости) │ │ │ │ │ на местах осуществления проверки │ │ │ │ │ оперативных тематических │ │ │ │ │ исследований используемых СКЗИ. │ │ │ ├────┼───────────────────────────────────┼────────────────────┤ │ │ 7 │ Организационные меры: │ Эксплуатационная │ │ │ │ - выполнения требований по │ документация на │ │ │ │ размещению, специальному │ СКЗИ. │ │ │ │оборудованию, охране и организации │ Помещения │ │ │ │ режима в помещениях, где │ выделенные для │ │ │ │ установлены СКЗИ или хранятся │ установки СКЗИ и │ │ │ │ ключевые документы к ним, а также │ хранения ключевых │ │ │ │ соответствия режима хранения СКЗИ │ документов к ним. │ │ │ │ и ключевой документации │ Инструкция по │ │ │ │ предъявляемым требованиям; │ восстановлению │ │ │ │ - оценка степени обеспечения │ связи в случае │ │ │ │ оператора криптоключами и │ компрометации │ │ │ │ организации их доставки. │ действующих ключей │ │ │ │ - проверка наличия инструкции по │ к СКЗИ. │ │ │ │ восстановлению связи в случае │ │ │ │ │компрометации действующих ключей к │ │ │ │ │ СКЗИ. │ │ │ │ │ - порядок проведения │ │ │ │ │ разбирательств и составления │ │ │ │ │ заключений по фактам нарушения │ │ │ │ │ условий хранения носителей │ │ │ │ │ персональных данных или │ │ │ │ │ использования СКЗИ. │ │ │ └────┴───────────────────────────────────┴────────────────────┴─────────────────────────────────────────┘
При проведении проверки должностные лица 8 Центра ФСБ России вправе допускаться к СКЗИ, техническим средствам, на которых они реализованы, оборудованию комплексов, в помещения, в которых установлены СКЗИ, к средствам технической защиты, предназначенным для хранения, обработки и передачи персональных, и ключевых документов.
III. Порядок оформления результатов проверки
3.1. По результатам проверки должностными лицами 8 Цента ФСБ России, проводящими проверку, составляется акт в двух экземплярах.
3.2. В акте проверки указываются:
1) дата, время и место составления акта;
2) дата и номер распоряжения или приказа, на основании которого проведена проверка;
3) фамилия, имя, отчество и должности должностного лица или должностных лиц, проводивших проверку;
4) объект проверки, а также фамилии, имена, отчества операторов (ответственных пользователей криптосредств), осуществляющих обработку персональных данных, в отношении которых проводится проверка;
5) сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований, об их характере, о лицах, на которых возлагается ответственность за совершение этих нарушений;
6) сведения об ознакомлении или об отказе в ознакомлении с актом оператора, осуществляющего обработку персональных данных, а также лиц, присутствовавших при проведении проверки;
7) дата, время и место проведения проверки;
8) подписи должностного лица или должностных лиц, проводивших проверку.
3.3. К акту проверки могут прилагаться протоколы (заключения) проведенных экспертиз, объяснения должностных лиц, работников, на которых возлагается ответственность за нарушения обязательных требований, и другие документы или их копии, связанные с результатами проверки.
3.4. Акт оформляется непосредственно после завершения проверки в двух экземплярах, один из которых с копиями приложений, вручается оператору, осуществляющему обработку персональных данных, или уполномоченному им лицу под расписку об ознакомлении или отказе в ознакомлении с актом проверки.
3.5. В журнале учета проверок должностными лицами 8 Центра ФСБ России осуществляется запись о проведенной проверке, содержащая сведения о датах начала и окончания проведения проверки, времени ее проведения, правовых основаниях, целях, задачах и предмете проверки, выявленных нарушениях и выданных предписаниях, а также указываются фамилии, имена, отчества и должности должностного лица или должностных лиц, проводящих проверку, его или их подписи (При отсутствии журнала учета проверок в акте проверки делается соответствующая запись).
3.6. Юридическое лицо, индивидуальный предприниматель, проверка которых проводилась, в случае несогласия с фактами, изложенными в акте проверки, а также с выводами и предложениями проверяющих в течение 15 дней со дня получения акта проверки вправе представить письменные возражения по указанному акту в целом или по его отдельным положениям.
7. Регламент ФСБ - Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утвержден Руководством 8 Центра ФСБ России 8 августа 2009 года N 149/7/2/6-1173).
ФЗ о страховых пенсиях
ФЗ о пожарной безопасности
ФЗ об ОСАГО
ФЗ об образовании
ФЗ о государственной гражданской службе
ФЗ о государственном оборонном заказе
О защите прав потребителей
ФЗ о противодействии коррупции
ФЗ о рекламе
ФЗ об охране окружающей среды
ФЗ о полиции
ФЗ о бухгалтерском учете
ФЗ о защите конкуренции
ФЗ о лицензировании отдельных видов деятельности
ФЗ об ООО
ФЗ о закупках товаров, работ, услуг отдельными видами юридических лиц
ФЗ о прокуратуре
ФЗ о несостоятельности (банкротстве)
ФЗ о персональных данных
ФЗ о госзакупках
ФЗ об исполнительном производстве
ФЗ о воинской службе
ФЗ о банках и банковской деятельности
Уменьшение неустойки
Проценты по денежному обязательству
Ответственность за неисполнение денежного обязательства
Уклонение от исполнения административного наказания
Расторжение трудового договора по инициативе работодателя
Предоставление субсидий юридическим лицам, индивидуальным предпринимателям, физическим лицам
Управление транспортным средством водителем, находящимся в состоянии опьянения, передача управления транспортным средством лицу, находящемуся в состоянии опьянения
Особенности правового положения казенных учреждений
Общие основания прекращения трудового договора
Порядок рассмотрения сообщения о преступлении
Судебный порядок рассмотрения жалоб
Основания отказа в возбуждении уголовного дела или прекращения уголовного дела
Документы, прилагаемые к исковому заявлению
Изменение основания или предмета иска, изменение размера исковых требований, отказ от иска, признание иска, мировое соглашение
Форма и содержание искового заявления