Проверки ФСБ после получения лицензии: как подготовиться
Порядок действий до и во время проверок
Получение лицензии ФСБ на работу со средствами криптографической защиты информации (СКЗИ) — только первый этап. Настоящие трудности начинаются позже, когда предприятие сталкивается с обязательными проверками со стороны контролирующего органа. Чтобы успешно пройти контроль, необходимо иметь не только оборудование и персонал, но и грамотно оформленные внутренние нормативные документы по использованию СКЗИ в организации.
Проверки проводятся в двух форматах: плановые и внеплановые. И если к первым можно подготовиться заранее, то вторые могут застать организацию врасплох.
Проверки проводятся в двух форматах: плановые и внеплановые. И если к первым можно подготовиться заранее, то вторые могут застать организацию врасплох.
Какие проверки ждут лицензиата ФСБ?
- Плановые проверки проводятся, как правило, один раз в три года. Информация о них заранее публикуется в плане контрольных мероприятий, поэтому организация может подготовиться.
- Внеплановые проверки инициируются по жалобам клиентов, сведениям о нарушениях или выявленным несоответствиям. В этом случае инспекторы приходят без предварительного уведомления.
Таблица: типы проверок и ключевые риски
Вид проверки
Основание проведения
На что обращают внимание
Основные риски при нарушениях
Плановая
Публикуется в ежегодном плане контрольных мероприятий
Документы, журналы учета, приказы, обучение персонала, соответствие помещений
Штрафы за недостоверные или устаревшие документы, предписания об устранении нарушений
Внеплановая
Жалобы клиентов, сведения о нарушениях, результаты анализа ФСБ
Состояние реальной работы: порядок эксплуатации СКЗИ, доступ к помещениям, реакция сотрудников
Высокие штрафы, временная приостановка лицензии ФСБ, в отдельных случаях — её отзыв
Что проверяет ФСБ?
Документы
Помещение
Персонал
- Журналы учета СКЗИ (должны быть оформлены по требованиям Приказа ФСБ № 440);
- Приказы о назначении ответственных за эксплуатацию СКЗИ;
- Инструкции и положения о работе с криптографическими средствами;
- Наличие и актуальность внутренних документов, разработанных на основе Постановления Правительства РФ № 313.
Помещение
- Наличие сейфов и средств хранения носителей;
- Система охраны и ограничение доступа к помещениям, где используются СКЗИ.
Персонал
- Действующие сертификаты и свидетельства об профильном образовании или проф переподготовке;
- Соответствие квалификации требованиям к работам с криптографией.
Как избежать штрафов?
ФСБ активно применяет меры административной ответственности к нарушителям. Суммы штрафов могут достигать сотен тысяч рублей, а в случае грубых нарушений деятельность организации приостанавливается.
Чтобы минимизировать риски:
Чтобы минимизировать риски:
- Подготовьте комплект документов заранее. Все журналы, приказы и инструкции должны быть актуальны и подписаны руководителем;
- Проведите внутренний аудит. Проверяйте сроки аттестации сотрудников, правильность ведения журналов, наличие актов приема-передачи СКЗИ;
- Назначьте ответственного за взаимодействие с ФСБ. Это позволит быстро реагировать на запросы инспекторов и избежать ошибок при предоставлении информации.
Что делать при внеплановой проверке?
Нашим заказчикам, при внеплановой проверке, мы всегда рекомендуем в первую очередь ставить нас в известность об этом факте. Это даст нам больше времени на то, чтобы сориентироваться в ситуации и подготовить конкретные рекомендации. Каждая ситуация уникальна, тем не менее можно дать некий общий алгоритм действий при неожиданном визите инспектора:
- Запросите служебное удостоверение и приказ о проведении проверки;
- Предоставьте только те документы, которые запрошены официально;
- Зафиксируйте все действия инспектора и результаты проверки в акте;
- При выявлении нарушений — составьте план корректирующих мероприятий и уведомьте контролирующий орган.