Обоснование по законодательству
- Ст. 19 ФЗ-152 — оператор обязан принимать необходимые меры по защите ПДн, включая контроль эффективности применяемых мер.
- Приказ ФСТЭК № 21 — требует проводить оценку соответствия мер защиты уровню безопасности ИСПДн и оформлять результаты документально.
- Приказ ФСБ № 378 — регламентирует порядок применения сертифицированных средств криптографической защиты и контроль их корректного использования.
- ГОСТ Р 57580.1-2017 — устанавливает необходимость регулярной оценки соответствия требованиям ИБ с оформлением отчётов и актов.
Что должно содержаться в отчёте
- Дата и место проведения проверки.
- Состав комиссии или ответственных специалистов.
- Описание проверяемой системы (класс ИСПДн, используемые средства защиты).
- Список проверяемых требований (ФСТЭК, ФСБ, внутренние регламенты).
- Результаты проверки по каждому требованию.
- Перечень выявленных несоответствий и оценка рисков.
- Вывод о соответствии (или несоответствии) системы установленным требованиям.
- Подписи членов комиссии.
Практика проверок
При проверках ФСТЭК и Роскомнадзор часто запрашивают такие отчёты. Если компания не может их предоставить, это трактуется как отсутствие контроля эффективности мер защиты, даже если меры фактически внедрены. В предписаниях обычно указывают на необходимость проведения проверок с оформлением отчётов и актов.
Рекомендации и выводы
Да, отчёт о проверке соответствия требованиям ФСТЭК и ФСБ должен быть. Это ключевой документ, который подтверждает законность обработки ПДн и правильное применение средств защиты. Отчёт нужен не только для регуляторов, но и для самой компании, чтобы выявлять слабые места в защите.
Компания ICTech поможет вашей организации провести внутреннюю проверку соответствия требованиям ФСТЭК и ФСБ и подготовить отчёт по утверждённой форме. Это позволит пройти внешний аудит и проверки регуляторов без замечаний.
