Извещение ФСБ России от 15.06.2017 о неукоснительном соблюдении операторами персональных данных требований формуляров на СКЗИ
Обращаем внимание на обязательность неукоснительного соблюдения операторами персональных данных требований формуляров на средства криптографической защиты информации (далее — СКЗИ), в частности, на требование, касающееся проведения оценки влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований.
Проведение работ по оценке влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований является обязательным условием действия сертификата на СКЗИ, в соответствии с которым СКЗИ обеспечивает заданный уровень информационной безопасности при выполнении требований эксплуатационной документации согласно формуляру на СКЗИ.
В соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, утвержденным приказом ФСБ России от 09.02.2005 № 66 (далее - Положение ПКЗ-2005), оценка влияния аппаратных, программно- аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований осуществляется разработчиком СКЗИ совместно со специализированной организацией.
Результаты исследований оценки влияния аппаратных, программно- аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований, а также опытные образцы СКЗИ и аппаратные, программно-аппаратные и программные средства, необходимые для штатного функционирования СКЗИ, передаются в ФСБ России для проведения экспертизы, по итогам которой утверждается заключение ФСБ России по результатам оценки влияния.
Применение операторами СКЗИ, не имеющего положительного заключения ФСБ России по результатам оценки влияния аппаратных, программно-аппаратных и программных средств, если такое требование установлено в формуляре на это СКЗИ, приводит к нарушению п. 46 Положения ПКЗ-2005 и влечет за собой административную ответственность операторов персональных данных, предусмотренную ч. 6 ст. 13.12. Кодекса Российской Федерации об административных правонарушениях.