Федеральная служба по техническому и экспортному контролю (ФСТЭК) является важным государственным регулятором в сфере информационной безопасности в России. От того, насколько хорошо компании следуют требованиям ФСТЭК, зависит защищенность конфиденциальных данных миллионов россиян.
Что представляет собой ФСТЭК
ФСТЭК была образована в 2004 году на базе прежней Гостехкомиссии. Это федеральный орган исполнительной власти, находящийся в подчинении Минобороны России. ФСТЭК занимается вопросами технической защиты информации, противодействия иностранным техническим разведкам, а также экспортным контролем.
Основные функции ФСТЭК:
- Контроль защиты данных в критически важных информационных системах
- Противодействие техническим разведкам на территории РФ
- Контроль экспорта товаров двойного назначения
- Выдача лицензий на технические средства защиты информации
Таким образом, от деятельности ФСТЭК напрямую зависит информационная безопасность государства.
Требования ФСТЭК к защите информации
ФСТЭК - это важнейший орган, устанавливающий технические нормы и правила по защите конфиденциальных данных. Основополагающий документ - приказ ФСТЭК No 21, где прописаны подробные требования к программам и IT-системам, используемым для работы с персональными данными и гостайной.
Компании и госорганы обязаны выполнять требования ФСТЭК к защите информации. Иначе они не получат лицензию на деятельность или будут оштрафованы.
Чтобы соответствовать требованиям ФСТЭК, нужно:
- Внедрить систему технической защиты персональных данных
- Обучить сотрудников правилам информационной безопасности
- Организовать контроль служебного трафика и доступа в сеть
Организациями, которые проходят такой контроль безопасности могут быть коммерческие компании, госорганы, банки, медучреждения и другие.
Как получить лицензию ФСТЭК
Чтобы официально работать с конфиденциальной информацией, нужно получить лицензию ФСТЭК. Это подтвердит, что ваши системы защиты прошли проверку ФСТЭК и соответствуют необходимым нормам.
Существует 2 вида лицензий ФСТЭК:
- На техническую защиту конфиденциальной информации
- На разработку и производство средств защиты
Первый тип лицензии нужен практически любой компании, которая работает с персональными данными. А второй тип - только разработчикам специальных программных и аппаратных комплексов защиты.
Процесс лицензирования ФСТЭК включает:
- Подача заявки и пакета документов
- Анализ документации на соответствие нормам
- Выездная проверка объекта лицензирования
- Принятие решения о выдаче лицензии
Получить лицензию ФСТЭК непросто. Нужно четко следовать всем правилам и требованиям. Например, сертификат ФСТЭК должен быть у средств защиты информации, чтобы ее можно было легально использовать при работе с персональными данными.
Технические средства, сертифицированные ФСТЭК
Обязательным требованием для получения лицензии ФСТЭК является использование сертифицированных ФСТЭК средств защиты информации. Это могут быть межсетевые экраны, системы обнаружения вторжений, СКЗИ (средства криптографической защиты информации) и другие комплексы безопасности.
Надпись "Сертифицировано ФСТЭК" подтверждает, что данное средство прошло независимое тестирование в авторизованных лабораториях и соответствует требованиям по защите информации. Наличие сертификата значительно упрощает прохождение лицензирования ФСТЭК.
Аттестация объектов информатизации
Помимо лицензирования отдельных видов деятельности, ФСТЭК - это орган, отвечающий за аттестацию объектов информатизации. Это комплексная проверка защищенности информационных систем и вычислительных комплексов на предмет их соответствия требованиям безопасности.
В отличие от лицензирования, проходить аттестацию ФСТЭК должны практически все компании и организации, которые хранят и обрабатывают конфиденциальные данные. Аттестат ФСТЭК подтверждает достаточный уровень защиты.
Обучение сотрудников правилам ИБ
Наряду с техническими аспектами, требования ФСТЭК затрагивают и организационные моменты обеспечения безопасности информации. Одно из таких требований – регулярное обучение сотрудников основам ИБ.
Программа обучения должна включать:
- Изучение российского законодательства по защите информации
- Разбор типовых угроз и уязвимостей
- Порядок работы с конфиденциальными данными
- Действия при инцидентах ИБ
Такое обучение позволяет минимизировать человеческий фактор и избежать утечек данных из-за незнания или халатности.
Реестр лицензий и сертификатов ФСТЭК
ФСТЭК ведет открытый реестр всех выданных лицензий и сертификатов. Это нужно для удобства проверки контрагентов и партнеров.
Реестр ФСТЭК включает:
- Перечень лицензиатов с указанием сроков и видов лицензий
- Реестр сертифицированных ФСТЭК средств защиты с их описанием
- Реестр аттестованных объектов информатизации
Любой желающий может убедиться, что его контрагент имеет необходимые лицензии ФСТЭК или использует сертифицированные технические средства защиты данных.
Особенности лицензирования облачных сервисов
В последнее время многие компании переходят на облачные технологии для хранения и обработки данных. Однако при использовании облачных сервисов также действуют требования ФСТЭК по защите информации.
Чтобы хранить персональные данные или гостайну в облаке, провайдер облачных услуг должен иметь:
- Лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации
- Аттестат соответствия требованиям безопасности информации
- Сертифицированные средства защиты информации
При разработке гибридных облачных решений рекомендуется привлекать специалистов для ускорения прохождения всех необходимых процедур.
Типовые нарушения требований ФСТЭК
Несмотря на то, что требования ФСТЭК обязательны для выполнения, на практике нередки случаи их нарушения. Это может быть связано как с незнанием нормативной базы, так и с умышленным нарушением.
Распространенные нарушения включают:
- Отсутствие парольной политики и учета доступа пользователей
- Хранение персональных данных на незащищенных ресурсах
- Использование несертифицированных средств защиты информации
Такие нарушения влекут за собой штрафные санкции для организаций и индивидуальных предпринимателей.
Процедура внеплановых проверок ФСТЭК
Помимо периодических плановых проверок соблюдения требований безопасности информации, ФСТЭК имеет право инициировать внеплановые выездные проверки.
Основаниями для внеплановой проверки могут быть:
- Жалобы и заявления граждан о нарушениях их прав при обработке ПДн
- Информация от госорганов и СМИ о возможных нарушениях
- Истечение срока исполнения ранее выданного предписания
По результатам внеплановой проверки компания может лишиться лицензии ФСТЭК или получить внушительный штраф.
Ответственность за несоблюдение требований ФСТЭК
ФСТЭК наделена широкими полномочиями по привлечению организаций и должностных лиц к ответственности. Меры воздействия включают:
- Предупреждения и предписания об устранении нарушений
- Штрафы для организаций и ИП
- Дисквалификация должностных лиц
- Приостановка или аннулирование лицензии
Таким образом, ФСТЭК обладает всеми полномочиями, чтобы обеспечить исполнение установленных требований в сфере защиты информации.
Сертификация отечественного ПО на соответствие требованиям ФСТЭК
Российские разработчики программного обеспечения также должны подтверждать соответствие своих продуктов требованиям ФСТЭК к защите информации.
Процедура добровольной сертификации включает:
- Анализ исходного кода и технической документации на предмет наличия уязвимостей
- Тестирование ПО в сертифицированных лабораториях
- Проверку организационных мер защиты информации разработчика
По результатам выдается сертификат соответствия требованиям по безопасности информации. Это повышает конкурентоспособность продукта на IT-рынке.
Защита информации при удаленной работе сотрудников
В период пандемии COVID-19 многие сотрудники стали работать удаленно. Однако это создает дополнительные риски для безопасности данных.
Чтобы обеспечить защиту информации при удаленной работе, ФСТЭК рекомендует:
- Использовать защищенные каналы VPN соединения
- Применять средства криптографической защиты данных
- Ограничивать доступ и права удаленных пользователей
Кроме того, сотрудники должны соблюдать правила работы с конфиденциальными данными вне офиса.
Международное сотрудничество ФСТЭК с зарубежными регуляторами
Для гармонизации подходов к обеспечению информационной безопасности ФСТЭК активно сотрудничает с зарубежными регуляторами, такими как:
- Управление по связям с общественностью Министерства национальной безопасности КНР
- Национальное агентство по информационной безопасности Италии
- Федеральное управление по информационной безопасности Германии
Такое взаимодействие позволяет оперативно реагировать на новые киберугрозы и вырабатывать эффективные подходы противодействия.
