Прямые и косвенные проверки надзорных органов ИТ-инфраструктуры бизнеса

 ДМИТРИЙ АНДРИЕНКО, работает в ОАО «Иркутскпечать», начальник отдела автоматизации, andrienco.dmitry@gmail.com

Прямые и косвенные проверки
надзорных органов ИТ-инфраструктуры бизнеса

Чем больше бизнес, тем сильнее внимание государственных надзорных органов, контролирующих бизнес в соблюдении требований норм, описанных в законодательных документах, часть которых напрямую регулирует деятельность ИТ-службы компании. Давайте рассмотрим, какие бывают проверки и с чем можно столкнуться

Исполнительная власть через сеть различных ведомств, распространенных по всей стране, следит за исполнением правовых норм и выполняет требования действующих законодательных актов на своей подведомственной территории.

Сотрудники таких ведомств формируют план ежегодных проверок, в который включают компании со своей подведомственной территории. До даты Х надзорный орган заранее высылает почтой проверяемой компании уведомления, чтоназначена проверка, иногда такие уведомления не доходят, и проверка получается внезапной.

Но при ряде проверок уведомления не высылаются, например, при обыске или выемке документов сотрудниками правоохранительных органов. Поводом для внеплановой проверки может быть письменное заявление гражданина нанарушения в компании, отправленное в прокуратуру или напрямую в надзорный орган. Также внезапные проверки могут быть спровоцированы коррумпированными чиновниками, стремящимися получить деньги вымогательством, или понаводке конкурентов.

В свою очередь, проверки бывают камеральными и выездными. Первый тип подразумевает, что сотрудники проверяемой компании привезут в офис надзорного органа необходимые документы, которые обычно описываются вуведомлении о проверке. Выездные проверки подра-зумевают приезд сотрудников надзорного органа, на основании процессуальных законодательных норм выполнения проверки порядок и специфика зависят от надзорного органа.

Иногда планы проверок надзорный орган выкладывает на свой сайт, например, когда я работал в страховой компании, юристы обнаружили такой план на сайте Роскомнадзора, который хотел проверить компании на соответствие закону озащите персональных данных. Такая оперативность позволила выполнить большой объем подготовительных работ, результат – успешное прохождение проверки. Конечно, я не предлагаю постоянно следить за сайтами надзорных органов, но, если в ИТ-службе есть проблемы в какой-то области, не мешало бы и поглядывать, чтобы подготовиться и устранить проблемы или хотя бы минимизировать потери.

Типы проверок

Проверки могут проводить различные, не связанные между собой напрямую надзорные органы, которые выполняют требования того или иного законодательного акта.

Проверка может быть косвенной, когда надзорный орган захватывает лишь некоторую часть работы ИТ-службы наряду с работой других подразделений компании. Бывают проверки прямые, когда проверяется только работа ИТ-службы.

Далее в статье будут описаны известные мне проверки, отдельное внимание в развернутом виде уделю проверкам, с которыми сталкивался лично.

Типы проверок:

• Аттестация рабочих мест, проводится Роспотребнадзором [1], для ИТ-службы это косвенная проверка, проверяют рабочее место, но для ИТ-службы интерес вызывает проверка мониторов и системных блоков на силу электромагнитного поля, а также оргтехники на шум.
• Проверка защиты персональных данных, проводится Роскомнадзором [2], для ИТ-службы это косвенная проверка, поскольку проверяются еще и картотека отдела кадров и способы использования и хранения документов, по части ИТ проверяются защита передачи данных, защита сети, пароли пользователей.
• Проверка информационной безопасности, проводится ФСТЭК/ФСБ [3, 4], прямая проверка для ИТ-службы, в отличие от Роскомнадзора больше концентрируются на техни-ческой стороне. В некоторых случаях обращают внимание надокументы.
• Управление «К» МВД России [5], проверяет, в том числе, легальность программного обеспечения, для ИТ-службы это прямая проверка.
• Отдел по борьбе с экономическими преступлениями (ОБЭП) [6], косвенная проверка для ИТ-службы, желательно подумать о дополнительных скрытых источниках резервного копирования, ибо сотрудники данного органа иногда теряют данные с изъятых серверов и рабочих компьютеров. Также могут «попутно» проверить легальность установленного программного обеспечения.
• Росфинмониторинг [7], косвенная проверка для ИТ-службы, проверяют интеграцию в информационную систему модуля проверки списков террористов, который при реализации товара или услуги террористам выведет уведомление продавцу или оператору информационной системы.

Личный опыт и советы

Опишу личный опыт прохождения проверок надзорных органов в разных организациях, проблемы, которые были выявлены на этапе подготовки к проверкам и по результатам самих проверок.

Известие о проверке Роскомнадзора нашей компании было получено ИТ-отделом от юристов, которые, в свою очередь, узнали эту информацию от юристов одного из партнера. Письменное уведомление по почте от надзорного органа мы еще не получали, так как проверка была назначена через два месяца, а уведомление приходит обычно за 14 дней.

На сайте Роскомнадзора в плане проверок на год [8] для нашего региона была указана выездная проверка, но не только в нашей области, но и в филиале в соседней республике, два территориальных ведомства действовали сообща.

Цель проверки – соответствие компании Федеральному закону от 27.07.2006 N152-ФЗ «О персональных данных». Закон на тот момент (приблизительно три года назад) был недавно утвержден Думой и являлся «сырым». Надзорный орган четко не разъяснял, какие документы нужно предоставить и как подготовить инфраструктуру предприятия.

Дополнительную информацию о проверках Роскомнадзора можно почитать в [9].

За основу нами был взят пакет документов партнера, который им, в свою очередь, разработала аутсорсинговая компания в сфере информационной безопасности, документы были переработаны под нашу организацию, а самые сложные документы об описании моделей угроз были заказаны нами у той же организации по рекомендации нашего партнера.

Также отделом были проведены мероприятия по приведению ИТ-инфраструктуры в соответствие с требованиями 152-ФЗ:

• всем пользователям сгенерирован уникальный сложный пароль и дана инструкция о необходимости хранить пароль только в голове;
• проведены работы по усилению VPN-соединения между филиалами организации;
• закуплены коммуникационные шкафы для удаленных подразделений.

Начавшаяся проверка длилась 20 дней, в ходе нее сотрудники Роспортребнадзора проверяли документы, обходили офисные помещения и даже ездили на нашем служебном транспорте в одно из удаленных подразделений в области. Какговорилось выше, техническую сторону специалисты Роспортребнадзора не проверяют, да и сами являются юристами по образованию.

Во время проверки Роспотребнадзора аттестации рабочих мест мною не было уделено должного внимания. А зря! Я слышал, что намечается проверка, но каких-то конкретных действий не предпринимал.

Сотрудники выездной проверки привезли с собой разнообразные устройства для измерения показателей, в том числе измерители электромагнитных излучений, которыми сняли показания выборочно на десяти рабочих местах с мониторов и системных блоков. По результатам проверки выявилось превышение допустимых показателей, что было отражено в акте проверки рабочих мест с указанием расположения проблемной техники и ее серийных номеров и моделей. Роспотребнадзор устанавливает предельно допустимые значения для излучения СанПиН 2.2.2/2.4.1340-03 [10].

Таблица 1. Предельно допустимые нормы ЭМП

Источником проблем на нескольких рабочих местах оказались неправильно организованные розетки электропитания в виде длинного перемотанного удлинителя, а также включения в смежную розетку микроволновки на одном рабочем месте.

Также проверяющие производят выборочные измерения шума от оргтехники, и один из моих копиров оказался чрезмерно «шумным». Надзорный орган записал серийный номер устройства и его модель, далее выдал письменное предписание об устранении нарушения. Проблему устранял сервис-инженер аутсорсинговой компании. Дополнительную информацию о проверках Роспотребнадзора можно посмотреть в [11].

Еще один неприятный момент произошел у нас в компании совсем недавно: во время новой проверки Роспотребнадзора инспектор обнаружила картридж в мусорном баке – картриджи не должны выбрасываться в общие мусорки [12], аутилизироваться компаниями, имеющими соответствующую лицензию, Роспотребнадзору же предъявляется договор, заключенный с такой компанией. Обычно подразумевается, что картриджи, признанные негодными заправляющей организацией (обычно подавляющее количество компаний не заправляет картриджи самостоятельно), остаются там же и утилизируются, но тут, видимо, некоторые картриджи оказались сломанными, и системный администратор моего отдела выкинул их в мусорку, что и заметил инспектор. За подобные вещи подразумевается несимволический штраф!

Последняя проверка из моего личного опыта – это проверка Федеральной службы по финансовому мониторингу. Цель данного надзорного органа – противодействие легализации (отмыванию) доходов, полученных преступным путем, ифинансированию терроризма.

Каждая компания, в которой совершаются платежи на сумму выше одного миллиона рублей, обязана зарегистрироваться в Росфинмониторинге. Любая такая финансовая операция должна фиксироваться и передаваться в течение двух недель в Росфинмониторинг через систему защищенного документооборота.

Выездная проверка осуществляет контроль модуля проверки списка террористов, интегрированного в информационную систему, по сути, ИТ-служба компании должна самостоятельно написать данный модуль, а Росфинмониторинг предоставляет только базу данных в формате dbf, которую можно скачать с сайта в закрытом разделе, доступ к которому есть у всех организаций, находящихся на учете в Росфинмониторинге.

Специалист надзорного органа в ходе проверки получает доступ к информационной системе, далее в документы реализации вводит контрагента террориста (это может быть организация, в том числе в списке присутствует знаменитая Аль-Каида), система должна сообщить, что данный контрагент является террористом.

Моя информационная система выдала нужное уведомление, и проверка ИТ-службы прошла успешно. Для каждой организации специфика может отличаться. Моя ИС – это отраслевая конфигурация 1С, соединяющая в себе бухгалтерский истраховой учет, а документ реализации – это Отчет агента, в процедуру проведения которого интегрирована проверка.

***

Как мы увидели, существует множество надзорных органов, которые проверяют ИТ-службу компании напрямую или косвенно. Размеры компании влияют на интенсивность проверок и разнообразие надзорных органов, включающих организацию в свои планы проверок.

Своевременное выявление проблем ИТ-службы, связанных с действующим законодательством, в том числе с использованием внешних аудитов, позволит организации избежать штрафов, а сотрудникам ИТ-отдела уголовного наказания иштрафов от руководства.

1. Сайт Роспотребнадзора – http://www.rospotrebnadzor.ru.
2. Сайт Роскомнадзора – http://rkn.gov.ru.
3. Сайт ФСТЭК – http://fstec.ru.
4. Сайт ФСБ – http://www.fsb.ru.
5. Информация об управлении «К» на сайте МВД РФ – http://mvd.ru/mvd/structure1/Upravlenija/Upravlenie_K_MVD_Rossii.
6. Информация об ОБЭП на сайте МВД РФ – http://mvd.ru/mvd/structure1/Glavnie_upravlenija/Glavnoe_upravlenie_jekonomicheskoj_bezop.
7. Сайт Федеральной службы по финансовому мониторингу – http://www.fedsfm.ru.
8. План проверок Роскомнадзора – http://rkn.gov.ru/plan-and-reports.
9. Статья «Снова о защите персональных данных, или Готовимся к проверке Роскомнадзора» – http://habrahabr.ru/post/169527.
10. СанПин 2.2.2/2.4.1340-03 «Гигиенические требования к персональным электронно-вычислительным машинам и организации работы» – http://www.tehbez.ru/Docum/DocumShow_DocumID_395.
11. Статья «Электромагнитные поля на рабочем месте» – http://habrahabr.ru/post/140431.
12. СанПиН 2.1.7.1322-03 «Гигиенические требования к размещению и обезвреживанию отходов производства и потребления» – http://www.tehbez.ru/Docum/DocumShow_DocumID_500.html.

Комментарии могут оставлять только зарегистрированные пользователи