Проверка фстэк по персональным данным. Все о проверках защиты персональных данных: кто, кого и как? «Надзорные каникулы» для малышей продлили

Появились в России.

1 июля вступили в силу поправки в КоАП РФ, значительно изменившие ситуацию с ответственностью за нарушения требований законодательства о персональных данных. Помимо самих штрафов, изменения коснулись и порядка возбуждения дел об административных правонарушениях. Так как любая организация обрабатывает персональные данные (хотя бы своих работников), эти изменения повлияют на практику работы с такой информацией.

В этой статье мы систематизируем информацию о проверках в сфере персональных данных, обсудим основные моменты полномочий государственных органов, осуществляющих контроль и надзор в этой сфере, и обратим внимание на действия организаций, которые могут привести к внеплановым контрольным мероприятиям.

Прежде всего, поговорим об основных органах, которые могут осуществлять контроль и надзор в сфере персональных данных.

Проверки Роскомнадзора

Статья 23 федерального закона от 27.07.2006 «О персональных данных» №152-ФЗ выделяет два направления деятельности Роскомнадзора:

  • защита прав субъектов персональных данных;
  • контроль и надзор за соответствием обработки персональных данных требованиям законодательства.

Для выполнения этих функций указанная статья закона наделяет Роскомнадзор определенными полномочиями. Рассмотрим самые, на наш взгляд, важные из них.

Роскомнадзор:

  • проверяет сведения, указанные организацией в Уведомлении;
  • может требовать от оператора уничтожения недостоверных или полученных незаконным путем персональных данных;
  • может ограничивать доступ к информации, обрабатываемой с нарушением законодательства;
  • вправе обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять их в суде;
  • наделен полномочиями по привлечению к административной ответственности лиц, виновных в нарушении настоящего Федерального закона;
  • обязан рассматривать жалобы и обращения по вопросам, связанным с обработкой персональных данных, а также принимать по ним решения в пределах своих полномочий.

На практике основные действия Роскомнадзора в соответствии с федеральным законом «О персональных данных» следующие:

  • работа с обращениями и жалобами граждан;
  • проведение контрольных и надзорных мероприятий;
  • ведение Реестра операторов персональных данных.

Роскомнадзор рассматривает жалобы по закону от 02.05.2006 №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации». Жалобы могут быть направлены как в письменном виде, так и через специальную форму на сайте Роскомнадзора или портала Госуслуг. Срок рассмотрения обращения - 30 календарных дней, за исключением случаев, установленных в законе.

Сейчас в Правительстве ждет утверждения проект нового Административного регламента. Но на данный момент Роскомнадзор проводит проверочные мероприятия на основании Административного регламента, утвержденного приказом Министерства связи и массовых коммуникаций РФ № 312 от 14.11.2011 года.

В рамках деятельности по контролю и надзору за порядком обработки персональных данных Роскомнадзор осуществляет плановые и внеплановые проверки.

Плановые проверки Роскомнадзора

Плановые проверки проводятся на основании ежегодного плана, с ним можно ознакомиться на сайтах территориальных управлений Роскомнадзора. План проверок на следующий год обычно размещают на сайтах территориальных управлений в середине декабря текущего года.

Так как с 1 сентября 2015 года Роскомнадзор не согласовывает планы проверок по персональным данным с Прокуратурой, то на сайте последней в сводном плане проверок по всем органам проверок по данной тематике нет. Соответственно, проверить возможное присутствие вашей организации в плане проверок по персональным данным можно только на сайте вашего территориального управления Роскомнадзора. На сайте управления Роскомнадзора вам необходимо смотреть документ с названием «План деятельности Управления…». Именно в этом документе среди планов мероприятий по другим видам деятельности можно найти план контрольно-надзорных мероприятий за соответствием деятельности операторов персональных данных.

В действующем Административном регламенте сказано, что о проведении плановой проверки территориальное управление Роскомнадзора обязано уведомить вас не позднее, чем в течение трех рабочих дней до начала ее проведения.

Предметом проверки Роскомнадзора являются:

  • деятельность по обработке персональных данных;
  • документы, характер информации в которых предполагает или допускает включение в них персональных данных;
  • информационные системы персональных данных.

Соответственно, Роскомнадзор не проверяет наличие и состояние технической защиты информационных систем персональных данных. Его главная задача - проверка правовых оснований обработки персональных данных. Вопреки расхожему мнению, положения, инструкции, приказы и прочие документы не являются основным объектом проверок. Уполномоченный орган больше интересуют сами персональные данные и соответствие объема этих данных целям обработки.

В уведомлении о плановой проверке, как правило, написано, что проверяемое лицо должно представить:

  • копию документа о назначении должностного лица или уполномоченного представителя, которое будет представлять интересы юридического лица на проверке;
  • документы, характер информации в которых предполагает или допускает включение в них персональных данных. К таким документам Роскомнадзор обычно относит заявления, анкеты, журналы и пр.;
  • документы, подтверждающие уничтожение персональных данных по достижению цели обработки. К сожалению, не все операторы персональных данных понимают, что в каждом случае обработки персональных данных есть (или должна быть) цель обработки, по достижению которой данные необходимо уничтожить;
  • письменные согласия субъектов персональных данных на обработку их персональных данных;
  • документы, подтверждающие соблюдение требований законодательства РФ при обработке персональных данных, в том числе специальных категорий и биометрических персональных данных;
  • документы, подтверждающие место размещения баз (информационных систем) персональных данных. Это требование появилось, когда в законодательство внесли поправки о локализации персональных данных россиян;
  • документы, подтверждающие ознакомление работников, непосредственно осуществляющих обработку персональных данных, с законодательством и локальными актами оператора по вопросам обработки персональных данных;
  • локальные акты оператора, регламентирующие порядок и условия обработки персональных данных.

В план проверок включают юридических лиц, которые подали Уведомление об обработке персональных данных в реестр операторов, и тех, кто этого не сделал. То есть могут проверить всех. Срок проведения как плановой, так и внеплановой проверки не может превышать 20 рабочих дней.

Внеплановые проверки Роскомнадзора

Внеплановые проверки бывают документарные и выездные. Документарные проводятся в форме запроса Роскомнадзором необходимых документов и предоставления вами этих документов в срок, указанный в запросе. О проведении внеплановой проверки оператор уведомляется не позднее, чем за 24 часа до ее начала любым доступным способом. Обычно это делается по телефону или по факсу.

Такие проверки могут проводиться по следующим основаниям:

  • если истек срок исполнения оператором ранее выданного предписания об устранении выявленного нарушения. Обычно после плановой проверки Роскомнадзор проводит внеплановую, чтобы выяснить, как устранено нарушение. Такая проверка редко бывает выездной. Она проводится в документарной форме, то есть Роскомнадзор запросит у вас сведения об устранении нарушений, а вы должны предоставить необходимые документы;
  • если в службу или ее территориальные органы поступило обращение от граждан, юридических лиц, индивидуальных предпринимателей, информация от органов государственной власти, органов местного самоуправления, из средств массовой информации. В 2011 году в службу поступило примерно 1500 жалоб. В 2016 году - примерно 33 000;
  • по приказу руководителя Роскомнадзора или руководителя территориального управления.

Мероприятия систематического наблюдения

Еще один вид контроля - мероприятия систематического наблюдения. В последние годы это самый популярный вид контроля за порядком обработки персональных данных. Популярность таких мероприятий вызвана тем, что трудозатраты территориальных управлений на их проведение куда меньше плановых проверок, а эффективность намного больше. За небольшой период времени каждое территориальное управление Роскомнадзора может проверить десятки или даже сотни интернет-сайтов. Результаты таких проверок мы видим постоянно на сайте уполномоченного органа, например: https://74.rkn.gov.ru/news/news128102.htm

Мероприятия систематического наблюдения проводятся на основании приказа руководителя территориального органа и закрепляются в ежегодном плане деятельности территориального управления на следующий год. При этом в плане вы не увидите конкретные адреса сайтов, которые будет проверять Роскомнадзор. В нем будут отражены только категории операторов и месяц проверки. Например: операторы связи - апрель, государственные органы - май, страховые компании - июнь и так далее.

О том, что проверяют ваш сайт, вы узнаете только тогда, когда вам придет запрос по поводу найденного нарушения. Самым популярным нарушением, выявляемым в ходе мероприятий систематического наблюдения, является отсутствие на сайте документа, определяющего политику оператора в отношении обработки персональных данных, если на сайте выявлен случай сбора персональных данных (например, формы заявки, регистрации или обратной связи с определенным набором запрашиваемых сведений).

Также Роскомнадзор может запросить правовые основания для размещения чьих-либо персональных данных. Такие запросы уже поступали, например, в образовательные организации, когда на их сайте размещали персональные данные о школьниках и их успехах в олимпиадах. Так что, размещая персональные данные своих работников или иных лиц на сайте, проконтролируйте соблюдение требований закона.

На что обратить внимание

Обработка персональных данных - это каждодневная деятельность любого юридического лица. Мы постоянно работаем с данными наших работников и клиентов (пациентов, студентов, покупателей, заявителей, пользователей сайта, заемщиков, страхователей, посетителей зрителей и пр.). Одни и те же данные одного и того же человека мы обрабатываем в разных случаях. И взятое в одном случае согласие - на другой может не распространяться. Соответственно, чтобы предотвратить негативные последствия, мы должны обратить внимание на правовую основу обработки персональных данных в каждом конкретном случае обработки, т. е. понять, есть ли у нас договоры, согласия или даже нормативные акты, которые Роскомнадзор признает при проверке законным основанием для обработки персональных данных. А проверка может возникнуть в любой момент. Например, у вас есть сайт. Вы собираете на нем данные через различные формы. Соответственно, вас могут проверить в ходе мероприятий систематического наблюдения, или в случае, если какой-нибудь посетитель вашего сайта подаст на вас жалобу. Также вами может быть недоволен ваш клиент или работник (бывший тоже может), которые имеют возможность пожаловаться в Роскомнадзор, и тот в свою очередь обязан на такие жалобы реагировать. Так что ваша задача - обеспечить правовую основу для каждого случая обработки.

Административная ответственность за нарушение законодательства в области персональных данных установлена статьей 13.11 КоАП РФ. Штрафы для юридических лиц за каждое нарушение, установленное статьей 13.11, варьируются от 15 000 до 75 000 рублей.

Провеки Государственной инспекции труда

В Трудовом Кодексе РФ 14 глава называется: «Защита персональных данных работника». Государственная инспекция труда проводит контрольно-надзорные мероприятия по поводу выполнения требований всего Трудового кодекса и, соответственно, не может обойти стороной главу 14. На проверках обращают внимание на требование пункта 8 статьи 86: «работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области». Таким образом, проверяют наличие такого документа и факт ознакомления с ним всех работников.

Административная ответственность за нарушение этих требований предусмотрена статьей 5.27. КоАП - штраф в размере от 30 000 до 50 000 рублей.

Провеки ФСТЭК и ФСБ

Статья 19 федерального закона «О персональных данных» устанавливает меры по обеспечению безопасности персональных данных при их обработке.

В части 3 статьи 19 сказано, что Правительство РФ устанавливает уровни защищенности персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн) и требования к защите персональных данных в ИСПДн. Таким образом, у нас появилось Постановление Правительства №1119 от 01.11.2012, определяющее эти требования.

В части 4 статьи 19 установлено, что состав и содержание необходимых для выполнения установленных Правительством требований, организационных и технических мер по обеспечению безопасности персональных данных, при их обработке в ИСПДн устанавливают ФСТЭК и ФСБ в рамках их полномочий. Во исполнение этого требования у нас появились:

  • приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • приказ ФСБ РФ от 10.07.2014 №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите».

Фактически между ФСБ И ФСТЭК разделили полномочия в этой сфере, где ФСБ определяет меры по защите ИСПДн, при использовании в них средств криптографической защиты, а ФСТЭК - меры по всем остальным вопросам обеспечения безопасности.

В части 8 статьи 19 федерального закона «О персональных данных» закреплен важный момент: «Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных».

Выходит, ФСБ и ФСТЭК могут проверять только организации, эксплуатирующие государственные информационные системы. Для остальных информационных систем контроль в законе не закреплен. Сказано лишь, что ФСТЭК И ФСБ «решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер…, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных…».

Проверки ФСТЭК и ФСБ могут быть как плановыми, так и внеплановыми.

В рамках проверок ФСБ обращает внимание на:

  • наличие модели нарушителя и угроз, разработанной с учетом требований ФСБ;
  • организационные меры, установленные в соответствии с приказом ФСБ № 378 (назначение ответственных лиц, локальные акты, порядок допуска работников к ИСПДн, физическую защиту объектов и пр.);
  • наличие средств криптографической защиты информации, порядок их учета и эксплуатации;
  • документацию на средства криптографической защиты информации (лицензии, сертификаты, формуляры и пр.).

В рамках проверок ФСТЭК обращает внимание на:

  • наличие модели нарушителя и угроз, актов установления уровней защищенности для ИСПДн;
  • наличие средств защиты информации, порядок их учета и эксплуатации;
  • документацию на средства защиты информации (лицензии, сертификаты, формуляры и пр.);
  • организационные меры, установленные в соответствии с приказом ФСТЭК России № 21 (назначение ответственных лиц, локальные акты, порядок допуска работников к ИСПДн, физическую защиту объектов и пр.);
  • материалы аттестационных испытаний (в ГИС).

За нарушение данных требований установлена ответственность в соответствии со статьей 13.12 КоАП РФ:

  • за использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации - штраф до 25 000 рублей для юридических лиц;
  • за нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации - штраф до 15 000 рублей для юридических лиц.

Выводы

После вступления в силу поправок в статью 13.11 КоАП РФ контрольно-надзорная деятельность не изменится кардинально, но из-за существенного увеличения штрафов изменится подход организаций к выполнению требований закона и к подготовке к проверкам. Если раньше организации считали, что проще ничего не делать и можно ждать вероятную проверку и по ее итогам заплатить небольшой штраф (до 10 000 рублей), то теперь компании будут бороться за свои права, а значит, это положительно повлияет на довольно неоднозначную судебную практику по данным вопросам.

Приказ Федеральной службы по техническому и экспортному контролю от 1 марта 2017 г. № 37 “Об утверждении Программы профилактики нарушений обязательных требований, соблюдение которых оценивается при проведении ФСТЭК России мероприятий по контролю в рамках федерального государственного контроля за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации и деятельности по разработке и производству средств защиты конфиденциальной информации, на 2017 год”

Во исполнение пункта 45 плана мероприятий («дорожной карты») по совершенствованию контрольно-надзорной деятельности в Российской Федерации на 2016 - 2017 годы, утвержденного распоряжением Правительства Российской Федерации от 1 апреля 2016 г. № 559-р, приказываю:

3. Контроль за исполнением настоящего приказа возложить на заместителя директора ФСТЭК России А.В. Куца.

Программа
профилактики нарушений обязательных требований, соблюдение которых оценивается при проведении ФСТЭК России мероприятий по контролю в рамках федерального государственного контроля за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации и деятельности по разработке и производству средств защиты конфиденциальной информации, на 2017 год

I. Общие положения

1. Программа профилактики нарушений обязательных требований, соблюдение которых оценивается при проведении ФСТЭК России мероприятий по контролю в рамках федерального государственного контроля за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации и деятельности по разработке и производству средств защиты конфиденциальной информации, на 2017 год (далее - Программа) разработана в соответствии с Методическими рекомендациями по подготовке и проведению профилактических мероприятий, направленных на предупреждение нарушений обязательных требований, одобренными подкомиссией по совершенствованию контрольно-надзорных функций федеральных органов исполнительной власти при Правительственной комиссии по проведению административной реформы (пункта 3 раздела IV протокола заседания подкомиссии от 20 января 2017 г. № 1).

2. Программа разработана в целях реализации положений:

Федерального закона от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»;

плана мероприятий («дорожной карты») по совершенствованию контрольно-надзорной деятельности в Российской Федерации на 2016 - 2017 годы, утвержденного распоряжением Правительства Российской Федерации от 1 апреля 2016 г. № 559-р;

основных направлений разработки и внедрения системы оценки результативности и эффективности контрольно-надзорной деятельности, утвержденных распоряжением Правительства Российской Федерации от 17 мая 2016 г. № 934-р.

3. Для целей настоящей Программы используются следующие основные понятия:

1) «профилактическое мероприятие» - совокупность мер правового, организационного, информационного и иного характера, проводимых ФСТЭК России и (или) ее территориальными органами в целях предупреждения возможного нарушения обязательных требований юридическими лицами и индивидуальными предпринимателями, имеющими лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации (далее - подконтрольные субъекты), направленное на снижение рисков причинения ущерба охраняемым законом ценностям и отвечающее следующим признакам:

реализация ФСТЭК России в отношении конкретных подконтрольных субъектов (объектов);

отсутствие неблагоприятных последствий (взыскание ущерба, выдача предписаний, привлечение к ответственности) для подконтрольных субъектов, в отношении которых они реализуются;

направленность на выявление конкретных причин и факторов несоблюдения обязательных требований;

отсутствие организационной связи с контрольно-надзорными мероприятиями;

2) «обязательные требования» - требования к деятельности подконтрольных субъектов, используемым ими производственным объектам, к их персоналу, а также проводимым подконтрольными субъектами работам (оказываемым услугам), имеющие обязательный характер и установленные федеральными законами, указами Президента Российской Федерации, постановлениями и распоряжениями Правительства Российской Федерации, нормативными правовыми актами и нормативными документами ФСТЭК России, а также иными нормативными документами (далее - акты, содержащие обязательные требования);

3) «охраняемые законом ценности» - обеспечение установленного порядка осуществления государственного управления, безопасность государства, свобода экономической деятельности;

4) «подконтрольная сфера» - состояние охраняемых законом ценностей в соответствующей сфере регулирования;

5) «подконтрольные объекты» - помещения, здания, технические средства, оборудование, иные объекты, которые предполагается использовать или которые используются подконтрольными субъектами при выполнении работ и (или) оказании услуг при осуществлении указанных лицензируемых видов деятельности.

4. ФСТЭК России осуществляет профилактические мероприятия с учетом требования законодательства Российской Федерации в области защиты государственной тайны и иной охраняемой законом тайны.

II. Цели, задачи и принципы проведения профилактических мероприятий

5. Целями проведения профилактических мероприятий являются:

повышение прозрачности деятельности ФСТЭК России при осуществлении государственного контроля;

снижение административных и финансовых издержек ФСТЭК России и подконтрольных субъектов по сравнению с ведением контрольно-надзорной деятельности исключительно путем проведения контрольно-надзорных мероприятий;

предупреждение нарушения подконтрольными субъектами обязательных требований, включая устранение причин, факторов и условий, способствующих возможному нарушению обязательных требований;

мотивация к добросовестному поведению и, как следствие, снижение уровня ущерба охраняемым законом ценностям;

разъяснение подконтрольным субъектам обязательных требований.

6. Проведение ФСТЭК России и (или) ее территориальными органами профилактических мероприятий направлено на решение следующих задач:

формирование единого понимания обязательных требований в соответствующей сфере у всех участников контрольной деятельности;

инвентаризация состава и особенностей подконтрольных субъектов (объектов) и оценка состояния подконтрольной сферы;

выявление причин, факторов и условий, способствующих нарушению обязательных требований, определение способов устранения или снижения рисков их возникновения;

7. Профилактические мероприятия в ФСТЭК России планируются и осуществляются на основе соблюдения следующих базовых принципов:

принцип понятности - представление информации об обязательных требованиях в простой, понятной, исчерпывающей форме: описание, пояснение, приведение примеров самих обязательных требований, указание нормативных правовых актов их содержащих и административных последствий за нарушение обязательных требований и др.;

принцип информационной открытости - доступность для подконтрольных субъектов сведений об организации и осуществлении профилактических мероприятий (в том числе за счет использования информационно-телекоммуникационных технологий), за исключением информации, которая содержит сведения, составляющие государственную тайну и иную охраняемую законом тайну;

принцип вовлеченности - обеспечение включения подконтрольных субъектов посредством различных каналов и инструментов обратной связи в процесс взаимодействия с ФСТЭК России по поводу предмета профилактических мероприятий, их качества и результативности;

принцип полноты охвата - включение в программу профилактических мероприятий максимального числа подконтрольных субъектов;

принцип обязательности - обязательное проведение профилактических мероприятий всеми контрольно-надзорными органами по всем видам контроля (надзора);

принцип актуальности - регулярный анализ и обновление программы профилактических мероприятий, использование актуальных достижений науки и технологий при их проведении;

принцип релевантности - выбор набора видов и форм профилактических мероприятий, учитывающий особенности подконтрольных субъектов (специфика вида деятельности, размер организации, наиболее удобный способ коммуникации и др.) и объектов;

принцип периодичности - обеспечение регулярности проведения профилактических мероприятий.

III. Краткий анализ текущего состояния подконтрольной сферы

8. По состоянию на 1 февраля 2017 г. количество подконтрольных субъектов составляет 2350, количество предоставленных им лицензий ФСТЭК России на деятельность по технической защите конфиденциальной информации составляет 1970, на деятельность по разработке и производству средств защиты конфиденциальной информации - 990.

Ежегодно плановым проверкам, проводимым в рамках федерального государственного контроля за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации и деятельности по разработке и производству средств защиты конфиденциальной информации, подвергается 25-30 подконтрольных субъектов (около 1%).

За 2014-2016 годы количество лицензионных проверок, проведенных ФСТЭК России, в ходе которых были выявлены нарушения, не превышает 10-15 %. Количество проверок, по результатам которых по фактам выявленных нарушений на лицензиатов наложены административные наказания, составляет 3-5%.

Обращений, заявлений граждан, в том числе индивидуальных предпринимателей, юридических лиц, информации от органов государственной власти, органов местного самоуправления, средств массовой информации о фактах грубых нарушений лицензиатом лицензионных требований в ФСТЭК России не поступало.

Случаев проведения ФСТЭК России лицензионных проверок, результаты которых были признаны недействительными, а также проверок, проведенных с нарушением требований законодательства Российской Федерации, по результатам выявления которых к должностным лицам ФСТЭК России применены меры дисциплинарного и административного наказания, не отмечено.

IV. Описание текущих и ожидаемых тенденций, которые могут оказать воздействие на состояние подконтрольной сферы

9. В 2017 году с учетом проведенных ФСТЭК России мероприятий по совершенствованию контрольно-надзорной деятельности, в том числе издания приказа ФСТЭК России от 21 декабря 2016 г. № 195 «О внесении изменений в административные регламенты Федеральной службы по техническому и экспортному контролю по исполнению государственных функций по контролю за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации и деятельности по разработке и производству средств защиты конфиденциальной информации» (зарегистрирован в Минюсте России 19 января 2017 г., регистрационный № 45297), а также детальной регламентации вопросов подготовки, проведения контрольных мероприятий и оформления их результатов с использованием государственной информационной системы Единый реестр проверок ожидается повышение уровня информированности подконтрольных субъектов по вопросам подготовки и прохождения проверок.

V. Механизм оценки эффективности и результативности профилактических мероприятий

10. Основным механизмом оценки эффективности и результативности профилактических мероприятий является оценка удовлетворенности подконтрольных субъектов качеством мероприятий, которая осуществляется методами социологических исследований. Ключевыми направлениями социологических исследований являются:

информированность подконтрольных субъектов об обязательных требованиях, о принятых и готовящихся изменениях в системе обязательных требований, о порядке проведения проверок, правах подконтрольного субъекта в ходе проверки и др.;

понятность обязательных требований, обеспечивающая их однозначное толкование подконтрольными субъектами и ФСТЭК России;

вовлечение подконтрольных субъектов в регулярное взаимодействие с ФСТЭК России.

VI. Перечень уполномоченных лиц, ответственных за организацию и проведение профилактических мероприятий в ФСТЭК России и ее территориальных органах

11. Уполномоченными лицами, ответственными за организацию и проведение профилактических мероприятий в ФСТЭК России и ее территориальных органах, являются:

заместитель директора ФСТЭК России Куц Анатолий Владимирович, тел. 9-499-261-82-90;

начальник 1 управления ФСТЭК России Мартинец Николай Михайлович, тел. 8-499-261-35-43;

заместитель руководителя Управления ФСТЭК России по Центральному федеральному округу Литвиненко Владимир Анатольевич, 8-495-334-16-81;

заместитель руководителя Управления ФСТЭК России по Северо-Западному федеральному округу Шакин Дмитрий Николаевич, 8-812-571-16-77;

заместитель руководителя Управления ФСТЭК России по Южному и Северо-Кавказскому федеральным округам Минников Юрий Тимофеевич, 8-863-200-75-23;

заместитель руководителя Управления ФСТЭК России по Приволжскому федеральному округу Подсеваткин Сергей Викторович, 8-831-412-23-02;

заместитель руководителя Управления ФСТЭК России по Уральскому федеральному округу Мельников Валерий Геннадьевич, 8-343-372-18-55;

заместитель руководителя Управления ФСТЭК России по Сибирскому федеральному округу Масленкин Сергей Владимирович, 8-383-203-54-02;

заместитель руководителя Управления ФСТЭК России по Дальневосточному федеральному округу Хабибулин Ринад Гаптылхакович.

VII. Ссылка на официальный сайт ФСТЭК России в сети «Интернет», на котором должна содержаться информация о текущих результатах профилактической работы, готовящихся и состоявшихся профилактических мероприятиях, а также размещаться Программа

12. Официальный сайт ФСТЭК России в сети «Интернет»: http://fstec.ru.

III. План-график профилактических мероприятий, проводимых ФСТЭК России в 2017 году (в рамках федерального государственного контроля за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации и деятельности по разработке и производству средств защиты конфиденциальной информации)

№ п/п Вид (форма) профилактического мероприятия Периодичность проведения (или срок) Подконтрольные субъекты (объекты) Ожидаемые результаты Ответственный
1 2 3 4 5 6
1 Актуализация размещенных на официальном сайте ФСТЭК России в сети «Интернет» перечней нормативных правовых актов и их отдельных частей (положений), содержащих обязательные требования, соблюдение которых оценивается при проведении мероприятий по контролю в рамках указанных видов федерального государственного контроля По мере издания новых нормативных правовых актов или внесения изменений в действующие Юридические лица и индивидуальные предприниматели, имеющие лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации и (или) по разработке и производству средств защиты конфиденциальной информации (далее - лицензиаты ФСТЭК России) Своевременное информирование подконтрольных субъектов об изменении обязательных требований
2 Размещение на официальном сайте ФСТЭК России в сети «Интернет» плана проведения плановых проверок юридических лиц и индивидуальных предпринимателей по вопросам лицензионного контроля на 2018 г. Декабрь 2017 г. Лицензиаты ФСТЭК России Своевременное информирование подконтрольных субъектов о планируемых проверках Начальник 1 управления, начальник 3 отдела 1 управления ФСТЭК России
3 Проведение консультаций с подконтрольными субъектами по разъяснению обязательных требований, содержащихся в нормативных правовых актах, в том числе: Формирование у подконтрольных субъектов понимания обязательных требований в области лицензионного контроля, предоставление возможности подконтрольному субъекту качественно подготовиться к проверке, исключение возникновения возможных конфликтов (спорных вопросов) в ходе проверки
информирование (консультирование) по телефону еженедельно по вторникам и четвергам с 10.00 до 12.00 представители лицен-зиатов и соискателей лицензий ФСТЭК России начальник 3 отдела 1 управления ФСТЭК России, заместители руководителей, начальники 5 отделов территориальных органов ФСТЭК России
информирование (консультирование) в ходе рабочих встреч (совещаний) при поступлении обращений о необходимости проведения рабочих встреч (совещаний) начальник (заместитель начальника) 1 управления ФСТЭК России, заместители руководителей территориальных органов ФСТЭК России
проведение методических занятий по подготовке лицензиатов ФСТЭК России к плановым проверкам. Разъяснение (доведение информации) о порядке (процедурах, сроках) проведения контрольных мероприятий, правах и обязанностях подконтрольных субъектов, проверяющих должностных лиц ФСТЭК России, порядке обжалования и др. согласно планам деятельности территориальных органов ФСТЭК России на 2017 год лицензиаты ФСТЭК России, включенные в План проведения плановых проверок юридических лиц и индивидуальных предпринимателей по вопросам лицензионного контроля на 2017 год заместители руководителей, начальники 5 отделов территориальных органов ФСТЭК России
информирование в ходе VII Конференции «Актуальные вопросы защиты информации» на Форуме «Технологии безопасности», г. Москва февраль 2017 г. лицензиаты и соискатели лицензий ФСТЭК России (их представители) заместитель директора ФСТЭК России, начальник 3 отдела 1 управления ФСТЭК России
4 Актуализация на основе практики правоприменения административных регламентов ФСТЭК России по оказанию государственных услуг и исполнению государственных функций: Поддержание административных регламентов ФСТЭК России в области лицензионного контроля в актуальном состоянии Начальник 1 управления, начальник 3 отдела 1 управления ФСТЭК России
Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 12 июля 2012 г. № 83; май 2017 г.
Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по разработке и производству средств защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 12 июля 2012 г.; май 2017 г.
Административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по контролю за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 20 июля 2012 г. № 89; июнь 2017 г.
Административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по контролю за соблюдением лицензионных требований при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом ФСТЭК России от 20 июля 2012 г. № 90 июнь 2017 г.
5 Обобщение и анализ практики осуществления ФСТЭК России федерального государственного контроля за соблюдением юридическими лицами и индивидуальными предпринимателями, имеющими лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации, по разработке и производству средств защиты конфиденциальной информации, законодательства Российской Федерации, лицензионных требований: выделение наиболее часто встречающихся случаев нарушений обязательных требований (типовых нарушений), подготовка рекомендаций, при необходимости, в отношении мер, которые должны приниматься подконтрольными субъектами в целях недопущения таких нарушений; публикация на официальном сайте ФСТЭК России в сети «Интернет» статистической информации о количестве проведенных контрольных мероприятий, количестве подконтрольных субъектов, привлеченных к административной ответственности (с указанием основных правонарушений по видам), а также перечня наиболее часто встречающихся нарушений обязательных требований Один раз в квартал Лицензиаты и соискатели лицензий ФСТЭК России Обобщение и анализ правоприменительной практики с целью устранения проблем, избыточности, дублирования в работе ФСТЭК России и ее территориальных органов
6 Выдача предостережения о недопустимости нарушения обязательных требований При поступлении соответствующих обращений и заявлений Лицензиаты ФСТЭК России Принятие подконтрольным субъектом мер по обеспечению соблюдения обязательных требований и представление в ФСТЭК России уведомления об этом в установленный в таком предостережении срок Начальник 1 управления, начальник 3 отдела 1 управления ФСТЭК России, заместители руководителей, начальники 5 отделов территориальных органов ФСТЭК России
7 Определение потребности в повышении квалификации государственных гражданских служащих ФСТЭК России и ее территориальных органов До 10 февраля 2018 г. Формирование у государственных гражданских служащих ФСТЭК России и ее территориальных органов четкого и однозначного понимания их прав и обязанностей, а также подлежащих контролю обязательных требований Начальник Отдела государственной службы и кадров, начальник 1 управления, начальник 3 отдела 1 управления ФСТЭК России, заместители руководителей, начальники 5 отделов территориальных органов ФСТЭК России
Методическое обеспечение профессиональной служебной деятельности государственных гражданских служащих ФСТЭК России и ее территориальных органов постоянно
8 Проведение мониторинга выполнения мероприятий Программы До 1 февраля 2018 г. Оценка эффективности и результативности проведенных профилактических мероприятий
9 Разработка проекта программы на 2018 год и проекта приказа об утверждении программы До 15 февраля 2018 г. Начальник 1 управления, начальник 3 отдела 1 управления ФСТЭК России, заместители руководителей, начальники 5 отделов территориальных органов ФСТЭК России
10 Подготовка доклада об итогах профилактической работы за 2017 год До 1 марта 2018 г. Начальник 1 управления, начальник 3 отдела 1 управления ФСТЭК России, заместители руководителей, начальники 5 отделов территориальных органов ФСТЭК России

Обзор документа

Разработана Программа профилактики нарушений обязательных требований, соблюдение которых оценивается при проведении ФСТЭК России мероприятий по контролю в рамках проверок за соблюдением лицензионных требований при ведении деятельности по технической защите конфиденциальной информации и деятельности по разработке и производству средств защиты конфиденциальной информации, на 2017 г.

Определены цели, задачи и принципы мероприятий. Закреплен механизм оценки их эффективности и результативности.

Составлен детальный план-график мероприятий.

План проверок на 2018 - 2019 годы представляет собой список надзорных мероприятий, которые будут проведены в отношении предприятия со стороны государственных органов. О том, что представляет собой реестр проверок, а также где можно узнать о планируемых проверках, расскажем в этой статье.

Понятие и виды проверок ИП и юридических лиц в 2018 - 2019 годах

Порядок и все детали проведения проверок содержатся в законе «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» от 26.12.2008 № 294-ФЗ (далее — закон № 294).

Проверка представляет собой действия, совершаемые госорганами, призванные контролировать предприятие или предпринимателя с целью оценки осуществляемых им деяний, а также качества оказываемых услуг, выполняемых работ на соответствие требованиям, установленным правовыми актами в соответствующей сфере (ст. 2 закона № 294).

Проверки бывают нескольких видов (ст. 9, 10, 11, 12 закона № 294).

Первая классификация подразделяет их в зависимости от основания проведения:

  1. На плановые (проводится ревизия на соответствие требованиям к осуществлению предпринимательства, сведениям, содержащимся в уведомлении о начале деятельности).
  2. Внеплановые — по жалобам граждан, информации о нарушениях в СМИ и т. п. В ходе проведения данного вида проверок проводится контроль за соблюдением обязательных требований и выданных предписаний, проведением мероприятий по предотвращению причинения вреда жизни и здоровью людей, животных, растениям, предупреждению возникновения аварийных ситуаций, ликвидации их последствий.

Вторая классификация проверок подразделяет их по такому критерию, как место деятельности контролера:

  1. Документарная, в ходе которой проверяются документы организации или ее контрагентов.
  2. Выездная, осуществляемая по месту расположения юрлица или ИП, их производственных мощностей.

Реестр плановых проверок на 2018 - 2019 годы по органам надзора

В соответствии с нормами, изложенными в п. 6 ст. 9 закона № 294-ФЗ, а также постановлении Правительства РФ от 30.06.2010 № 489, орган надзора план проверок обязан ежегодно согласовывать с органами прокуратуры.

Проекты планов проверок контролирующих ведомств направляются в прокуратуру не позднее 1 сентября, в свою очередь, последняя обязана рассмотреть их до 1 октября и внести соответствующие предложения и корректировки.

Впоследствии уже утвержденные планы проверок к концу декабря должны быть размещены на сайтах контролирующих органов, как того требуют чч. 3, 5 ст. 9 закона № 294-ФЗ.

Обратите внимание! План составляется по всем субъектам предпринимательства, он един для ИП и юрлиц.

Сводный план проверок на 2018 - 2019 годы

Порядок создания единого реестра, а также сведения, которые должны найти свое отражение в нем, регламентированы ст. 13.3 закона № 294-ФЗ, Правилах формирования и ведения единого реестра проверок, утв. постановлением Правительства РФ от 28.04.2015 № 415.

Указанный реестр представляет собой единую информационную систему, оператором которой назначена Генеральная прокуратура РФ.

На сайте Генпрокуратуры РФ можно найти сводный план проверок юридических лиц на 2018 - 2019 годы. Для этого необходимо перейти по ссылке Сводный план проверок , заполнив соответствующую форму, а именно:

  1. ОГРН предприятия.
  2. Наименование предприятия.
  3. Выбрать из поисковика месяц проверки.
  4. Название контролирующего органа.
  5. Адрес.

Указанная поисковая форма позволяет получить сведения относительно того, есть ли указанное предприятие в планах проверок на 2018 - 2019 годы, кто и когда будет его проверять или уже проверил:

  1. Номер проводимой проверки.
  2. Информацию о распоряжении руководителя контролирующего органа.
  3. Сведения, содержащиеся в акте проверки.
  4. Результаты контроля.
  5. Меры, принятые при обнаружении нарушений, а именно: выданные предприятию предписания, привлеченные к ответственности лица, приостановленные или аннулированные ранее выданные разрешения, лицензии и пр.

Как ИП избежать проверок

Согласно ст. 26.2 закона № 294 субъекты малого предпринимательства, включенные в соответствующий реестр, имеют определенное преимущество: с 01.01.2019 по 31.12.2020 они не включаются в план проверок ИП.

Обратите внимание! Подобное правило действовало и ранее. Отличием действующих норм является больший список исключений.

Исключением из этого правила являются:

  • организации, которые подпадают под категории риска, установленные постановлением Правительства РФ от 17.08.2016 № 806;
  • юрлица и предприниматели, работающие в социальной сфере, вид деятельности которых подпадает под перечень, установленный постановлением Правительства РФ от 23.11.2009 № 944;
  • предприниматели и должностные лица организаций, которые были наказаны за грубое нарушение закона, понесли наказание в виде дисквалификации или приостановки деятельности и если с момента проведения проверки прошло менее 3 лет;
  • юрлица и предприниматели, работающие по лицензии;
  • организации, работающие в сфере радиационной безопасности, обеспечения гостайны, аудита, использования атомной энергии, работы с драгкамнями.

Сводный план проверок на 2018 - 2019 годы представляет собой определенный перечень информации, из которой можно получить сведения о том, когда, кем и какие виды проверок будут проведены в отношении юридического лица или предпринимателя. Ведение указанного реестра возложено на Генеральную прокуратуру РФ. Заполнив определенную форму, на ее сайте можно получить всю необходимую информацию.

Плановые проверки ФСТЭК проводятся ежегодно, одним из оснований для проверки является проведение внешнеэкономических действий с использованием контролируемой продукции в сфере защиты информации. На сайте ведомства опубликован график проверок ФСТЭК на 2019 год.

Почему надо проходить проверку ФСТЭК?

Проверка ФСТЭК дает возможность улучшить качество предоставления услуг в сфере информационной безопасности. Данную процедуру проходят все физические и юридические лица, которые получили лицензию на производство, разработку, эксплуатацию, установку и сервисное обслуживание аппаратуры для технических средств защиты информации. С полным перечнем подлежащих проверке предприятий вас могут ознакомить наши специалисты сайта ФСТЭК Крым, кроме того, мы рады помочь вам в успешном прохождении такой проверки.

Поиск нарушений в эксплуатации оборудования и ведении документации может проводиться только в присутствии владельца предприятия, директора предприятия, его заместителя или другого уполномоченного должностного лица. В отсутствии хотя бы одного представителя проверка переносится.

В комплекс мероприятий по проведению плановой проверки ФСТЭК входит:

  • мониторинг конструкторской и методологической документации;
  • сверка отчетности и фактического состояния производства, разработки или эксплуатации средств защиты информации;
  • выявление не сертифицированных средств защиты информации;
  • обнаружение аппаратов для съема или сохранения данных, с просроченным сертификатом;
  • определение угроз для утечки, искажения, распространения и уничтожения конфиденциальных данных;
  • поиск нарушений стандартов и технологических требований по эксплуатации или разработке оборудования для защиты информации;
  • обнаружение угроз со стороны иностранной разведки.

После проведения проверки комиссия ФСТЭК составляет отчет о проведении проверки и выдает предпринимателю или его представителю результаты проверки, где значится список обнаруженных нарушений. Если в установленный срок все нарушения не будут устранены деятельность предприятия будет приостановлена.

В случае грубых нарушений, таких как применение для защиты конфиденциальной информации оборудования, которое не прошло аттестацию и сертификацию – юридическое лицо потеряет лицензию на право предоставления услуг в сфере защиты информации, производство или разработку технических средств защиты информации.

Что дает проверка ФСТЭК?

Федеральная служба по техническому и экспортному контролю осуществляет работу не только по проведению проверок предприятий, но и по разработке инновационных методов и средств для защиты информации. Успешное прохождение проверки открывает для юридического лица новые возможности.

Проверка ФСТЭК сопровождается консультациями и повышением требований к производству и разработке технических средств защиты, а также квалификации сотрудников. Постоянное развитие информационных технологий приводит к разработке новых, многофункциональных технических средств и дает право на переподготовку по одной из программ обучения ФСТЭК в любом учебном заведении.

Положительные стороны проведения проверки ФСТЭК:

  • Заблаговременная публикация плана проверок ФСТЭК с предоставлением возможности ознакомления с критериями проверки и подготовки предприятия;
  • Высокие требования к профессиональным навыкам сотрудников с последующей рекомендацией прохождения курсов переподготовки по новым методикам;
  • Коррекция стандартов производства и разработки программно-технических средств защиты информации и ознакомление с инновационными разработками ФСТЭК;
  • Оценивание правильности работы средств защиты данных на специализированном оборудовании;
  • Консультация по методике изготовления средств технической защиты информации.

Внеплановые проверки ФСТЭК

Проверки ФСТЭК 2019 проводятся согласно плану, опубликованному на официальном сайте ведомства. План утвержден директором федеральной службы от 25.10.2016 г. Внеплановые проверки проводятся по заявлению Роскомнадзора и их количество не ограничивается. Причиной для таких событий является:

  • угроза утечки информации, которая содержит в себе государственную тайну;
  • предотвращение подрывной деятельности иностранной разведки;
  • несанкционированное распространение конфиденциальной информации.

Проведение внеплановой проверки включает в себя приостановление работы предприятия в случае обнаружения одной из вышеперечисленных угроз информационной безопасности. Плановые ФСТЭК проверки на 2017 год таких последствий за собой не влекут и направлены на мониторинг качества предоставления услуг в сфере кибербезопасности.

Если у вас остались вопросы по поводу проверок ФСТЭК, то на нашем сайте ФСТЭК Крым вы найдете всю интересующую вас информацию. Все про или можно найти в соответствующих материалах. Также вы можете связаться с нами по указанным на нем контактам. Мы рады помочь вам в вопросах лицензирования оказать эффективную помощь в прохождении проверки любого характера.

Похожие статьи