Опубликовала вчера ФСТЭК отчет о своей деятельности за прошедший год. В целом ничего сверхестественного. Цепанула только фраза о том, что все нормативные докумены ФСТЭК научно обоснованы и "обязательные требования в сфере деятельности ФСТЭК России определяются на основе проводимого в рамках научно-исследовательских работ анализа развития возможностей иностранных технических разведок, информационных технологий, методов и способов технической защиты информации".
Краткие тезисы по прочтению отчета:
Краткие тезисы по прочтению отчета:
- В предыдущие годы и в 2011 году обращений юридических лиц и индивидуальных предпринимателей по проблемам, связанным с реализацией исполнения и контроля нормативных правовых актов, устанавливающих обязательные требования по вопросам, входящим в компетенцию ФСТЭК России, не поступало. Также не поступало заявлений юридических лиц о признании результатов проверок, проведенных ФСТЭК России в 2011 году, недействительными в связи с грубыми нарушениями требований Федерального закона № 294-ФЗ. На мой взгляд это связано с небольшим числом проверок.
- В отношении юридических лиц было проведено 213 проверок (2010 г. – 230). В соответствии с решением руководства ФСТЭК России за счет повышения эффективности и напряженности деятельности работников ФСТЭК при проведении проверок, повышения качества подготовки к проверкам сокращено среднее время проведения одной проверки.
- ФСТЭК признает, что "уполномочена осуществлять контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных при их обработке только в государственных информационных системах персональных данных".
- ФСТЭК России разработаны все административные регламенты, предусмотренные решениями Правительственной комиссии по проведению административной реформы.
- Стоимость проведения одной проверки с учетом ее обеспечения составила в 2011 году около 57 тысяч рублей (2010 г. – 85 тысяч рублей).
- Данные о штатной численности работников ФСТЭК России, выполняющих функции по контролю, и об укомплектованности штатной численности являются информацией ограниченного доступа. Количество сотрудников надзора/контроля, судя по числу прошедших повышение квалификации, не превышает 3-4 десятков на всю Россию.
- Проверки (плановые и внеплановые) проводятся комиссиями ФСТЭК России, в состав которых входят от 2 до 6 работников Службы в зависимости от объема контрольных мероприятий.
- Среднее время проведения одной проверки составило 7 рабочих дней (2010 г. - 8 рабочих дней).
- В 2011 году, как и в 2010 году, более 98% от общего количества проверок составили выездные проверки, остальные проверки – документарные. В структуре проведенных проверок, как и прежде, большая часть проверок – 98,6% - приходится на плановые проверки.
- В среднем по Российской Федерации на одну проверку, проведенную ФСТЭК России, выявлено 2 нарушения обязательных требований
- Нарушение обязательных требований законодательства – 414 правонарушений (99,8% от общего числа выявленных правонарушений).
- В 2011 г. количество проверок, административных расследований, по итогам проведения которых по фактам выявленных правонарушений возбуждены дела об административных правонарушениях, снизилось на 86% (2011 г. – 1, 2010 г. -7). Общая сумма наложенных административных штрафов по сравнению с 2010 годом уменьшилась на 95%.
- Удельный вес проверок в общем количестве плановых и внеплановых проверок, при которых не выявлены нарушения составил 57,7%.
6 коммент.:
>>ФСТЭК признает, что "уполномочена осуществлять контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных при их обработке только в государственных информационных системах персональных данных".
Т.е. техническую составляющую защиты в ИСПДн в коммерческих организациях не уполномочен проверять никто, так? ;-)
Ну это вытекает из ФЗ-152. ФСТЭК и ФСБ смогут проверять это по решению Правительства или при привлечении их в качестве аккредитованных экспертов со стороны РКН
Что-то не торопяться ФСТЭК и ФСБ в реестр экспертов да и зачем?
Им хватит госов, остальных проверит РКН и частные эксперты, причем пока неизвестно что хуже для оператора:)
ФСТЭК признает, что "уполномочена осуществлять контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных при их обработке только в государственных информационных системах персональных данных".
261-ФЗ, вносящий изменения в 152-ФЗ, так и говорит
РКН проверку соблюдения прав субъектов ПД будет проводить как и раньше, у них другая проблема - сокращают, поэтому и эксперты.
Эксперты не для этого, а для проверки технических мер защиты, вместо ФСТЭК и ФСБ.
Ну пока вроде этих экспертов и не очень прибывает в списке
http://www.rsoc.ru/docstore/doc1138.htm?print=1
Пока то оператору бояться нечего
Отправить комментарий