Проверки Роскомнадзора, ФСБ, ФСТЭК в области защиты персональных данных


Нормативные правовые акты в области персональных данных


Проверка подразумевает под собой контроль соответствия реального состояния проверяемой области с требованиями нормативных документов, регулирующими данную область. В частности, для проверок в области защиты персональных данных (ПДн), перечень нормативных документов будет примерно таким:

  1. Конвенция о защите физических лиц при автоматизированной обработке Персональных данных (28.01.1981 г.).
  2. Директива Европейского Союза № 2002/58/ЕС «О приватности и электронных коммуникациях».
  3. Трудовой кодекс РФ от 30.12.2001 г. № 197-ФЗ - Глава 14 «Защита персональных данных».
  4. ФЗ от 19.12.2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
  5. ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  6. ФЗ от 27.07.2006 г. № 152-ФЗ «О персональных данных».
  7. Указ Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера».
  8. Указ Президента РФ от 30.05.2005 г. № 609 «Об утверждении Положения о Персональных данных государственного гражданского служащего РФ и ведении его личного дела».
  9. Указ Президента РФ от 17.03.2008 № 351 «О мерах по обеспечению ИБ РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена».
  10. Распоряжение Правительства РФ от 10.07.2001 № 366-РП «О подписании Конвенции о защите физических лиц при автоматизированной обработке Персональных данных».
  11. Постановление Правительства РФ от 21.03.2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О ПДн» и принятыми в соответствии с ним НПА, операторами, являющимися государственными или муниципальными органами».
  12. Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн».
  13. Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации».
  14. Постановление Правительства РФ от 4.03.2010 г. N 125 «О перечне ПДн, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина РФ, по которым граждане РФ осуществляют выезд из РФ и въезд в РФ».
  15. Приказ Роскомнадзора РФ от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию ПДн».
  16. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите ПДн при их обработке в ИСПДн».
  17. Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
  18. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по ОБ ПДн при их обработке в ИСПДн».
  19. Приказ ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации. (Положение ПКЗ 200)».
  20. Приказ Роскомнадзора РФ от 30.05.2017 №94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки ПДн и о внесении изменений в ранее представленные сведения».
  21. Приказ ФСБ России от 10.07.2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн (ИСПДн) с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите ПДн для каждого из уровней защищенности».

Уполномоченными проводить проверки в части соблюдения законодательства о ПДн (регуляторами) в РФ являются:


Проверки ИСПДн Рокомнадзором РФ


К проверкам Роскомнадзора относятся плановые проверки, внеплановыми (документарные и выездные), а также мероприятия систематического наблюдения. Срок проведения проверки не может превышать 20 рабочих дней.

Список плановых проверок находится в открытом доступе по адресу: https://rkn.gov.ru/plan-and-reports/

Полномочия Роскомнадзора заключаются в следующем:

Деятельность Роскомнадзора на практике заключается в работе с обращениями и жалобами граждан, проведении контрольных и надзорных мероприятий и ведении Реестра операторов ПДн. Роскомнадзор проверяет:

При проведении плановых проверок запрашиваются следующие документы:

Внеплановые проверки роскомнадзора проводятся в форме запроса необходимых документов и предоставления этих документов в срок, указанный в запросе. О проведении внеплановой проверки оператор уведомляется не позднее, чем за 24 часа до ее начала любым доступным способом.

Основания для внеплановой проверки:




Мероприятия систематического наблюдения проводятся:


Типичными нарушениями в Предписаниях Роскомнадзора являются:



Проверки ИСПДн ФСБ России и ФСТЭК России


Согласно пункту 8 статьи 19 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных" контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности ПДн, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ), и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК), в пределах их полномочий и без права ознакомления с ПДн, обрабатываемыми в ИСПДн.

Кроме того, ФСБ, и ФСТЭК, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых ПДн могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности ПДн, при их обработке в ИСПДн, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся ГИС ПДн, без права ознакомления с ПДн, обрабатываемыми в ИСПДн.

Требования к защите ПДн для каждого из уровней защищенности, список организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн устанавливаются также ФСБ и ФСТЭК:


Проверки ИСПДН ФСБ России


Проверки проводятся на основании:

Проверяются:


Проверки ИСПДн ФСТЭК России


При проведении проверок оценивается выполнение в организации требований нормативных документов:

Следует учесть, что для обеспечения безопасности ПДн при их обработке в ГИС в дополнение к Требованиям (Приказ №17 от 11.02.2013 г.) необходимо руководствоваться Требованиями, в том числе для определения уровня защищенности ПДн, устанавливаемыми постановлением Правительства РФ от 1.11.2012 г. №1119.

Согласно информационному сообщению «О необходимости получения лицензии ФСТЭК России на деятельность по ТЗ конфиденциальной информации в случаях, связанных с обработкой ПДн» от 31.07.2018 г. №240/13/3330, оператору не требуется получать лицензию на деятельность по ТЗКИ при обработке ПДн в ИСПДн для собственных нужд.

Оператору необходимо иметь указанную лицензию при оказании другому оператору услуг по обработке ПДн по его поручению в собственной ИСПДн на основании заключенного между ними договора при наличии в таком договоре хотя бы одной из услуг, предусмотренных в пункте 4 постановления Правительства РФ от 3.02.2012 г. №79: «О лицензировании деятельности по технической защите конфиденциальной информации».


Проверки ИСПДН в ГИС ФСТЭК России


Классификация ГИС


По уровеню значимости информации:

УЗ 1 - если хотя бы для одного из показателей (конфиденциальность, целостность, доступность) определена высокая степень ущерба.

УЗ 2 - если хотя бы для одного из показателей определена средняя степень ущерба и нет ни одного высокого.

УЗ 3 - если для всех показателей определены низкие степени ущерба.

Степень ущерба признается высокой, если в результате нарушения одного из свойств К, Ц, Д возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой, иных областях деятельности ИС и/или оператор (обладатель информации) не могут выполнять свои функции;

Степень ущерба признается средней, если в результате нарушения одного из свойств К, Ц, Д возможны умеренные негативные последствия и (или) ИС и (или) оператор не может выполнять хотя бы одну из своих функций;

Степень ущерба признается низкой, если в результате нарушения одного из свойств К, Ц, Д возможны незначительные негативные последствия и (или) ИС и (или) оператор может выполнять свои функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.


Степень ущерба
Конфиденциальность Целостность Доступность
УЗ 1 В С/Н С/Н
УЗ 2 С С/Н С/Н
УЗ 3 Н Н Н

Уровень значимости информации Масштаб информационной системы
Федеральный Региональный Объектовый
УЗ 1 К1 К1 К1
УЗ 2 К1 К2 К2
УЗ 3 К2 К3 К3

В соответствии с пунктом 27 (Приказ ФСТЭК №17), должно быть обеспечено соответствующее соотношение класса защищенности ГИС с уровнем защищенности ПДн.

Уровень защищенности ПДн определяется на основании категории и количественных показателей персональных данных и типом актуальных угроз информации. Устанавливаются 4 уровня защищенности: - самый низкий – четвертый, самый высокий - первый уровень.

Определение уровня защищенности персональных данных приведено на рисунке:



Угрозы 1-го типа актуальны для ИСПДн, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в системе.

Угрозы 2-го типа актуальны для ИСПДн, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в системе.

Угрозы 3-го типа актуальны для ИСПДн, если для нее актуальны угрозы, не связанные с наличием НДВ в системном и прикладном программном обеспечении системы.



Программа проверки


В случае, если определенный в установленном порядке уровень защищенности ПДн выше, чем установленный класс защищенности ГИС, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Приказа №17.

Кроме того, проверяется выполнение следующих пунктов требований Приказа ФСТЭК России от 11 февраля 2013 г. №17:

Пункт 4:
"Уполномоченное лицо (договором) обязано обеспечивать защиту информации, являющейся государственным информационным ресурсом, в соответствии с настоящими Требованиями."

Пункт 5:
"При обработке в ГИС информации, содержащей ПДн, настоящие Требования применяются наряду с требованиями, утвержденных постановлением Правиьельства РФ №1119 – 2012г."

Пункт 9:
"Для обеспечения ЗИ, оператором назначается структурное подразделение или работник, ответственные за ЗИ."

Пункт 10:
При необходимости привлекаются организации, имеющие лицензию на деятельность по ТЗКИ.

Пункт 11:
Применяются только сертифицированные средства защиты информации.

Пункт 14:
Формирование требований к ЗИ осуществляется обладателем информации (заказчиком) и включает:

Пункт 15.2:
Эксплуатационная документация на систему ЗИ.

Пункт 16.2:
Организационно-распорядительные документы по ЗИ.

Пункт 17:
Проектирование и аттестация должны проводиться разными должностными лицами.

Пункт 17.2:
Программа и методика аттестационных испытаний. Начало обработки информации – после Аттестата и приказа о начале эксплуатации ИС.

Протоколы аттестационных испытаний, Заключение о соответствии ИС требованиям о ЗИ, Аттестат соответствия в случае положительных результатов аттестационных испытаний.

Пункт 17.3:
Допускается аттестация ИС на основе результатов аттестационных испытаний выделенного набора сегментов ИС, реализующих полную технологию обработки информации.

Сегмент считается соответствующим аттестованному сегменту, если для обоих установлены одинаковые классы защищенности, угрозы безопасности информации, реализованы одинаковые проектные решения по информационной системе и ее системе защиты информации.

Пункт 17.4:
Повторная аттестация не может превышать 5 лет, или повышения класса защищенности ИС. При увеличении состава угроз безопасности информации или изменения проектных решений, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.

Пункт 17.5:
Если ИС создается на базе ЦОД, такой ЦОД должен быть аттестован не ниже класса защищенности, установленного для создаваемой ИС.

Пункт 18.1:
Администрирование СЗИ ИС:

Пункт 18.2:
Выявление инцидентов и реагирования на них:

Пункт 18.3:
Поддержание конфигурации ИС в соответствии с эксплуатационной документацией;

Пункт 18.4:
Мониторинг защищенности информации:

Пункт 19:
Архивирование информации, содержащейся в информационной системе; уничтожение данных с машинных носителей информации и (или) уничтожение машинных носителей информации.


Класс защищенности ИС Потенциал нарушителя ст. 25 Средства ЗИ (не ниже) ст. 26 Средства ВТ (не ниже) ст. 26 НДВ средств ЗИ (не ниже) ст. 26 УЗ ПДн ст. 27
1 высокий 4 5 4 1,2,3,4
2 не ниже усиленного базового 5 5 4 2,3,4
3 не ниже базового 6 5 3,4

Документы, используемые для проверки:

Основные недостатки, выявляемые при проверке модели угроз:

Помимо рассматриваемых регуляторов ПДн (Роскомнадзор, ФСБ России, ФСТЭК России) работники государственной инспекции труда могут проверить выполнение пункта 8 статьи 86 главы 14 Трудового Кодекса РФ «Защита ПДн работника», а именно:

«работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки ПДн работников, а также об их правах и обязанностях в этой области».

Административная ответственность за нарушение этих требований предусмотрена статьей 5.27. КоАП — штраф в размере от 30 000 до 50 000 рублей.


Подготовка к проверкам регуляторов в области защиты ПДн


  1. Самое банальное - работа по обеспечению безопасности ПДн должна вестись на постоянной основе.
  2. Ознакомьтесь с графиком осуществления плановых проверок на сайте Управления Роскомнадзора - https://rkn.gov.ru/plan-and-reports/
  3. Посмотрите планы проверок за прошедшие годы, свяжитесь с прошедшими проверку, проконсультируйтесь с ними.
  4. Ознакомьтесь с положениями ФЗ РФ от 26.12.2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля и муниципального контроля» и регламентами регуляторов.
  5. Проанализируйте извещение Регулятора, проверьте упомянутые в нем документы. Обновите уведомление в Роскомнадзор.
  6. Проанализируйте политику в области обработки ПДн. Сделать скриншот с сайта, где она размещена.
  7. Проведите ревизию формуляров, сертификатов соответствия на СрЗИ, проверьте сроки, чтобы они были действующими и надлежащим образом заверенными.
  8. Составьте перечень имеющихся локальных нормативных актов по ЗИ (инструкции, регламенты, приказы, распоряжения).
  9. Актуализируйте организационно-распорядительную документацию (учредительные документы, приказы, положения, инструкции регламентирующие обработку ПДн, должностные инструкции), которые могут быть запрошены в рамках документарной или выездной проверки;
  10. Проверьте выполнение требования законодательства и регулятора в сфере обработки ПДн, за нарушение которых предусмотрена административная ответственность в соответствии со статьей 13.11 КоАП РФ.

Удачи!