Проверка Федеральной службы по техническому и экспортному контролю (ФСТЭК России) — это серьезное испытание для любой организации, являющейся субъектом КИИ. В отличие от других регуляторов, ФСТЭК глубоко погружается в технические детали, проверяя не только наличие бумаг, но и реальные настройки оборудования. Плановые проверки проводятся не чаще одного раза в 3 года, но внеплановые могут случиться в любой момент — например, после инцидента или по поручению правительства. Подготовка к проверке ФСТЭК — это комплексный аудит системы защиты, призванный устранить несоответствия до прихода инспекторов.
Процедура проверки регламентирована Приказом ФСТЭК. Инспекторы имеют право знакомиться с документами, осматривать объекты информатизации, проводить инструментальную проверку (сканирование) сетей и запрашивать устные и письменные пояснения. Основная цель проверки — убедиться, что требования Приказов № 235, 239 и 127 выполняются в полном объеме, а значимые объекты КИИ защищены реально, а не фиктивно.
Документарная проверка: что будут смотреть?
Первым делом проверяется «бумажная безопасность».
К приходу инспектора должны быть готовы и актуализированы:
- Акты категорирования. Обоснование присвоения (или неприсвоения) категорий значимости.
- Модели угроз и нарушителя. Документы должны быть не типовыми, а адаптированными под конкретную инфраструктуру и актуальные векторы атак.
- Техническое задание и Технический проект. Документация на создание системы защиты информации (СЗИ).
- Организационно-распорядительная документация (ОРД). Приказы о назначении ответственных, инструкции администраторов и пользователей, регламенты реагирования на инциденты, журналы учета.
- Документы на СЗИ. Формуляры, сертификаты соответствия ФСТЭК, лицензии на ПО.
Техническая (инструментальная) проверка
Инспекторы могут проверить соответствие настроек средств защиты требованиям документации.
Типичные точки контроля:
- Настройки межсетевых экранов. Правила фильтрации трафика, блокировка неиспользуемых портов.
- Парольная политика. Сложность паролей, периодичность смены, блокировка учетных записей.
- Обновления. Установлены ли последние патчи безопасности операционных систем и ПО.
- Антивирусная защита. Актуальность баз сигнатур и покрытие всех узлов сети.
- Резервное копирование. Наличие и работоспособность системы бэкапов (могут попросить продемонстрировать восстановление).
Типичные нарушения и последствия
Чаще всего ФСТЭК выявляет:
- Отсутствие аттестации или акта приемки системы защиты.
- Использование несертифицированных средств защиты (или с истекшим сертификатом).
- Формальное категорирование (занижение категории).
- Отсутствие взаимодействия с ГосСОПКА.
По итогам проверки составляется Акт и выдается Предписание об устранении нарушений. В случае грубых нарушений может быть составлен протокол об административном правонарушении, а материалы могут быть переданы в прокуратуру.
Мы проводим предпроверочный аудит («Mock Audit»), имитирующий действия инспекторов ФСТЭК. Мы находим уязвимости в документах и настройках, помогаем их устранить и готовим персонал к общению с проверяющими, чтобы минимизировать стресс и риски штрафов.
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов