На фоне неспокойной геополитической обстановки, участившихся кибератак и усиления ИБ-регулирования организации всё чаще сталкиваются с запросами прокуратуры о предоставлении документов, подтверждающих соблюдение требований законодательства в сфере информационной безопасности. В интервью с Верой Скопинцевой, руководителем Службы экспертной поддержки экосистемы приложений «Альфа», мы разобрали ключевые вопросы, связанные с проверками прокуратуры: как к ним подготовиться, какие документы запрашивают и как наша экспертная поддержка может помочь успешно пройти их.
− Здравствуйте, Вера! Спасибо, что нашли время поговорить со мной. В последнее время всё больше организаций сталкиваются с проверками прокуратуры в сфере защиты информации. Скажите, пожалуйста, увеличилось ли количество обращений в вашу службу поддержки от пользователей, нуждающихся в помощи при прохождении этих проверок?
− Здравствуйте! Скажу сразу, несмотря на действующий мораторий на проверки, организациям всё-таки не стоит совсем о них забывать. Контроль со стороны государства усиливается, причём запросы поступают не только от органов прокуратуры, но и от других регуляторов в сфере защиты информации. Если смотреть статистику за последние 2-3 года, то наша служба поддержки сопровождает порядка 50 организаций в год. Это говорит о том, что необходимо всегда быть готовыми к проверкам.
− На ваш взгляд, с чем связан всплеск внимания к информационной безопасности со стороны контролирующих органов?
− На мой взгляд, всплеск внимания к информационной безопасности – это комплексное явление. Влияют и геополитическая ситуация, и рост киберпреступности, и ужесточение законодательства, и осознание организациями важности защиты информации. Контролирующие органы реагируют на все эти факторы одновременно, стремясь обеспечить безопасность критической инфраструктуры и защиту персональных данных граждан. Кроме того, не стоит забывать и о тенденции к цифровизации всех сфер жизни, что также требует постоянного повышения уровня защиты информации.
− Сегодня предлагаю детальнее обсудить тему проверок прокуратуры. Что, по вашему опыту, служит наиболее частым основанием для начала проверки соответствия требованиям информационной безопасности со стороны органов прокуратуры?
− Начну с того, что прокуратура выполняет надзорные функции и реагирует на поступающие сигналы о нарушениях законодательства. По нашему опыту, чаще всего основанием для проверок прокуратуры становятся два основных фактора: жалобы субъектов персональных данных и поручения Генеральной прокуратуры.
Жалобы субъектов чаще всего связаны с нарушением их прав при обработке персональных данных, например, с неправомерным раскрытием информации или отсутствием согласия на обработку их данных.
Поручения Генеральной прокуратуры, как правило, связаны с выявленными в ходе мониторинга нарушениями законодательства или необходимостью проведения масштабных проверок в определённых отраслях. Также очень важную роль играет то, что граждане становятся всё более осведомлёнными в своих правах, и это приводит к увеличению числа обращений в контролирующие органы.
Это означает, что организациям следует уделять особое внимание двум аспектам: во-первых, обеспечивать защиту персональных данных и соблюдать права субъектов, а во-вторых, выполнять требования законодательства и оперативно реагировать на любые изменения в нормативной базе. При этом частота проведения внеплановых контрольных мероприятий не установлена нормативными актами. Основанием для их проведения служат события, наступление которых просто невозможно спрогнозировать.
− Какие организации проверяют чаще всего?
− Если говорить просто, то проверить могут всех. В 2025 году продолжает действовать риск-ориентированный подход, при котором частота проверок зависит от категории риска. Организации с высоким риском будут проверяться чаще, в то время как предприятия с низким риском могут вовсе не подвергаться плановым проверкам.
Проверки прокуратуры самые непредсказуемые. Закон о прокуратуре обязывает извещать проверяемое лицо только не позднее дня начала проверки путём ознакомления с решением о проведении проверки. Обычно запрос приходит в виде официального письма на адрес организации или на электронную почту. Сроки предоставления ответа не фиксированы и могут отличаться, но в прошлом году на большинство запросов отводилось всего два дня.
О плановых проверках можно узнать на сайте proverki.gov.ru в Едином реестре контрольных (надзорных) мероприятий. Его публикует и ведёт Генеральная прокуратура.
− Какие документы прокуратура запрашивает чаще всего при проверках?
− Это прежде всего документы, подтверждающие выполнение требований действующего законодательства: сведения о наличии структурного подразделения или должностного лица, ответственного за защиту информации; о мерах по обеспечению информационной безопасности; о защите персональных данных; о проведении категорирования объектов критической информационной инфраструктуры (КИИ); о создании системы безопасности значимых объектов КИИ и обеспечении её функционирования; о реализации мероприятий по обеспечению безопасности значимых объектов КИИ и многое другое. Прокурор имеет право запрашивать и исследовать все документы, материалы и статистические данные, связанные с деятельностью проверяемых объектов.
− Как Служба экспертной поддержки экосистемы «Альфа» помогает в прохождении проверок?
− Когда пользователи обращаются к нам за помощью, мы в первую очередь просим предоставить нам официальный документ (запрос) из прокуратуры. После этого мы даём обратную связь и указываем, где в наших приложениях можно найти документ, который соответствует требованиям запроса. Так как закон не говорит точно, какие документы должны быть разработаны в организации, важно предоставить сведения, подтверждающие выполнение норм закона.
Наша главная задача – объяснить и показать, какие документы лучше всего выслать прокуратуре в ответ на их запрос. А вот своевременная отправка документов в прокуратуру – это прямая обязанность организации.
Если мы видим, что запрос неправомерный (например, у школы, не являющейся владельцем или оператором государственной информационной системы, требуют документы по её созданию), мы консультируем пользователей, как составить корректный ответ. Нередко такие ситуации возникают из-за типовых рассылок со стороны регулятора. Да, с таким мы тоже иногда встречаемся.
Если всё же возникают вопросы, с которыми ранее не сталкивались, мы с командой всегда изучаем их и думаем, есть ли возможность отразить это в наших продуктах.
Также считаю необходимым отметить, что с 1 января 2025 года у нас действует новая лицензионная политика. Теперь для получения помощи и консультаций по вопросам взаимодействия с прокуратурой (конечно же, в сфере защиты информации) необходимо приобретать пакет поддержки «Лайт».
− Какие самые распространённые ошибки допускают организации при подготовке к проверкам?
− Мне сложно говорить об ошибках, потому что наши пользователи, как правило, проходят проверки без замечаний. На мой взгляд, ключ к успеху – вовремя изучать изменения в законодательстве и регулярно обновлять информацию в АльфаДок, чтобы быстро подготовить и предоставить все необходимые документы. Это критически важно, учитывая сжатые сроки ответа на запросы.
− Раз уж мы заговорили об АльфаДок, расскажите, пожалуйста, какие именно документы можно разработать в приложении?
− Если мы говорим о персональных данных, то, как правило, прокуратура просит предоставить информацию о том, какие меры по выполнению обязанностей, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных», принимает организация (в соответствии с требованиями статьи 18.1 Федерального закона № 152-ФЗ «О персональных данных»). Также обычно запрашивается подтверждение выполнения мер по обеспечению безопасности персональных данных в соответствии с требованиями статьи 19 Федерального закона № 152-ФЗ «О персональных данных».
Так, перечень организационно-распорядительной документации, формируемый в АльфаДок, — это и есть частичка реализации правовых и организационных мер. В приложении можно разработать политику организации в отношении обработки персональных данных и множество иных документов (различные приказы, положения и регламенты), провести оценку вреда, который может быть причинён субъектам персональных данных в случае нарушения требований Федерального закона № 152-ФЗ «О персональных данных». Также в АльфаДок есть функционал, который позволяет проводить мероприятия внутреннего контроля за соблюдением требований законодательства о персональных данных и формировать отчётную документацию. Конечно же, можно разработать модель угроз на каждую информационную систему в соответствии с действующими методическими документами регуляторов. Также можно найти и распечатать различные формы журналов или же вести их в электронном виде. И это только часть организационных мер, которые можно реализовывать при помощи приложения. Но важно понимать, что АльфаДок – это инструмент, и важно использовать его грамотно и систематически.
В рамках выполнения требований Указа Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» и Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (и подзаконных ему документов) в АльфаДок также формируется множество документов: приказ о структурном подразделении, осуществляющем функции по обеспечению информационной безопасности; модель угроз безопасности информации; акт категорирования объекта критической информационной инфраструктуры; сведения о результатах присвоения объекту критической информационной инфраструктуры категории значимости; приказ о комиссии по категорированию объектов критической информационной инфраструктуры; сведения о результатах присвоения объекту критической информационной инфраструктуры категории значимости; сопроводительное письмо во ФСТЭК с результатами категорирования; приказ об ответственном за обеспечение безопасности значимых объектов критической информационной инфраструктуры; ежегодные планы мероприятий; положение об обеспечении безопасности значимых объектов КИИ и многие другие.
− Какие последние изменения в ИБ-законодательстве, на ваш взгляд, наиболее значимы в контексте прокурорских проверок?
− Думаю, самое значимое сейчас — это усиление ответственности за нарушения в сфере защиты персональных данных. Более детально об этом мы говорили во время вебинара, запись которого доступна по ссылке.
− Какие процессы в сфере информационной безопасности лучше всего автоматизировать, чтобы снизить риск нарушений и упростить прохождение проверок?
− Безусловно, самую рутину — подготовку документации.
− Подводя итог, ваши советы для тех, кто стремится минимизировать риски?
− Регулярно следите за законодательной повесткой! Рекомендую также подписаться на профильные новостные каналы, в том числе на наш Telegram-канал «Экосистема Альфа». В нём мы публикуем обзоры изменений ИБ-законодательства и рассказываем о новых возможностях наших приложений, которые упростят вашу работу.
Беседовала Людмила Егорова
