“Проверка ФСТЭК, это не сдача отчётности. Это демонстрация живого процесса, где каждый сотрудник понимает свои действия в рамках защиты информации. Инспектор ищет не идеальные бумаги, а целостность системы — там, где требования закона превращаются в ежедневную рутину без напоминаний.”
Почему проверку нельзя пройти «на бумаге»
Формальное предъявление документов — лишь начало диалога. Для проверяющего подписанный приказ не является доказательством его исполнения. Это констатация намерения. Реальное внимание инспектора сфокусировано на рабочих практиках: как люди взаимодействуют с правилами в своей обычной деятельности.
Например, факт разработки инструкции по парольной защите, это выполнение формального требования. А её исполнение проверяют косвенно: задают вопросы сотрудникам, смотрят, нет ли записанных паролей на видных местах. Просмотр журнала учёта съёмных носителей за несколько месяцев, это проверка на естественность и непрерывность процесса. Пустые строки в рабочие дни или идеальные записи, сделанные единовременно, говорят больше, чем сам факт наличия журнала. Инспектор оценивает системность: почему требуемое действие стало или не стало повседневной нормой.
Критерии, которых нет в официальных методичках
Официальные перечни мер, это база, но реальная оценка строится на ряде повторяющихся неформальных критериев, которые выявляют глубину внедрения системы.
Способность структурировать свои действия
Сотрудника не попросят процитировать пункт инструкции. Чаще моделируют ситуацию: «В общем принтере обнаружен проект договора с конфиденциальными реквизитами. Что вы будете делать?» Ожидается не общая фраза «сообщить», а конкретный алгоритм: изъять документ, определить его гриф и владельца, немедленно передать ответственному лицу, зафиксировать факт в журнале. Если ответ расплывчат, это признак, что правила не стали частью рабочих навыков.
Реакция на созданную провокацию
Проверяющий может оставить на столе в общем помещении документ с грифом или не запереть сейф с ключами от серверной. Дальше идёт наблюдение. Реакция «это не моё» или игно0рирование — прямое указание на сбой в системе внутреннего контроля и отсутствие личной ответственности. Правильное активное действие — признак работающей культуры, а не формального ознакомления.
Фактическое, а не декларативное использование средств
Наличие сертифицированного СКЗИ или системы видеонаблюдения — обязательный минимум. Но инспектор проверит их реальную работу. Он может запросить журналы событий от средства криптографической защиты за последний квартал. Отсутствие записей при массовой работе с защищаемой информацией будет расценено как неиспользование средства. Сейф, который весь день стоит открытым, с точки зрения проверки, это не сейф.
Контекст и непрерывность учёта
Идеально заполненный за последние два дня журнал, это сигнал. Инспектор может сопоставить даты записей с другими корпоративными событиями: получением данных от контрагента, проведением инвентаризации, отчётами. Нестыковка в датах укажет на формальное ведение учёта «под отчёт». Журнал должен отражать реальный рабочий ритм, а не попытку «нагнать» отчётность.
Подготовка людей: от теории к автоматизму
Разовый инструктаж создаёт только иллюзию исполнения. Настоящие навыки формируются через регулярную практику и вовлечённость.
- Ситуационные микро-тесты: Короткие, ежеквартальные опросы для сотрудников разных отделов. Вопрос не «назовите пункт инструкции», а «ваш коллега просит срочно переслать ему базу клиентов личным сообщением. Ваши действия?».
- Внутренние «инспекции»: Назначенный сотрудник из отдела ИБ действует как «тайный покупатель»: оставляет флешки в общем доступе, задаёт провокационные вопросы рядовым сотрудникам. Это выявляет реальный уровень бдительности без стресса внешней проверки.
- Ролевые памятки-чеклисты: Для каждой должности — компактная памятка с 5–7 ключевыми правилами, касающимися именно её работы. Не общая 30-страничная политика, а лист А5 с алгоритмом действий для бухгалтера при обработке ПДн или для инженера при передаче чертежей.
- Разбор реальных инцидентов: Обучение на внутренних происшествиях, даже незначительных. Анализ того, почему произошёл сбой и как его предотвратить, работает эффективнее абстрактных лозунгов.
- Ответственные в подразделениях: В каждом отделе назначается сотрудник, прошедший углублённое обучение. Он становится первым контактным лицом по вопросам ИБ внутри коллектива, контролирует ведение журналов, проводит первичный инструктаж новичков.
Цель — не запугать, а добиться, чтобы правила стали внутренней нормой. Когда сотрудник сам делает замечание коллеге, забывшему заблокировать рабочую станцию, система начинает работать самостоятельно.
Где ищут слабые места: фокус внимания инспектора
Время проверки ограничено, поэтому инспектор концентрируется на зонах с максимальным операционным и репутационным риском.
| Область проверки | Что именно смотрят | Типичные провалы |
|---|---|---|
| Обработка персональных данных | Законность оснований (согласия, договоры), актуальность реестра обработки, безопасность хранения (шифрование, разграничение доступа), ведение журналов учёта и действий с ПДн. | Реестр не обновлялся годами. Согласия собраны с ошибками или отсутствуют. Логи действий с ПДн не ведутся или не анализируются. |
| Защита коммерческой тайны | Наличие реального (а не шаблонного) перечня сведений КТ, факт ознакомления сотрудников, технические и организационные меры ограничения доступа к этим сведениям. | Сотрудники не могут назвать ни одного пункта из перечня КТ, хотя подписывали ознакомление. Документы с грифом «КТ» хранятся в общих папках на файловом сервере. |
| Физическая безопасность | Исправность и постоянное использование средств (сейфы, замки, видеонаблюдение), ведение журналов осмотров, реагирование на срабатывание систем. | Сейфы в бухгалтерии не закрываются в рабочее время. Журналы осмотра территории заполняются раз в месяц задним числом. Камеры неисправны, записи не хранятся. |
| Реакция на инциденты ИБ | Существование понятной сотрудникам процедуры сообщения об инциденте, наличие журнала инцидентов, анализ причин и принятые корректирующие меры. | Журнал инцидентов пуст за несколько лет — что маловероятно. По зафиксированным случаям не видно анализа первопричин, меры не приняты. |
Глубокая проработка этих направлений создаёт основу, которая будет очевидна проверяющему с первых минут взаимодействия.
Документы, которые должны жить, а не пылиться
Документация по ИБ ценна только своей связью с реальными процессами. Шаблон, скачанный из интернета и не адаптированный, приносит больше вреда, создавая разрыв между теорией и практикой.
- Политики и инструкции: В них должны быть ссылки на конкретные используемые средства, имена ответственных, маршруты передачи информации. Не «информация шифруется», а «шифрование выполняется средством КриптоПро CSP по такому-то алгоритму, ключи хранятся на токенах Рутокен в сейфе №3, ответственный — Петров И.И.».
- Журналы учёта: Их главный признак — естественность. Пропуски в рабочие дни, одинаковый «каллиграфический» почерк за разные месяцы, отсутствие связи с другими документами (накладными, актами) — признаки формального подхода.
- Доказательства исполнения: Приказ о назначении ответственного должен быть подкреплён документами о его обучении и аттестации. Акт об утилизации жёстких дисков лучше сопровождать фотографиями процесса или видео с камеры наблюдения.
- Визуальные инструкции в точках использования: Рядом с принтером — краткий алгоритм действий с забытыми распечатками. На двери серверной — напоминание о необходимости запирать дверь. Это работает лучше многостраничных мануалов, которые никто не открывает.
- Журнал актуализации документов ИБ: Часто упускаемый, но критически важный документ. Он фиксирует, почему и когда вносились изменения в политики, отражая развитие системы защиты вместе с изменениями в бизнес-процессах и инфраструктуре.
Ошибки на финишной прямой, которые всё портят
Даже хорошо подготовленная организация может получить серьёзные замечания из-за промахов в самом процессе взаимодействия с проверяющими.
- Отсутствие единого координатора: Когда на запрос инспектора разные сотрудники начинают давать противоречивые ответы или искать документы вразнобой, это создаёт впечатление хаоса и слабого управления.
- Замалчивание проблем: Попытка скрыть известный недостаток или инцидент. Проверяющий почти наверняка выявит это через косвенные признаки или вопросы другим сотрудникам. Открытое признание проблемы с демонстрацией плана её устранения производит лучшее впечатление, чем неуклюжая ложь.
- Незнание собственной документации: Ответственный сотрудник не может быстро найти нужный документ или объяснить, как конкретное требование политики реализовано на практике. Это разрушает доверие ко всей системе.
- Пассивность и ожидание указаний: Сотрудники ведут себя как экзаменуемые, боясь лишний раз пошевелиться. Нужно, наоборот, демонстрировать инициативу: самим предлагать показать журналы, продемонстрировать работу средств защиты, объяснить, как организован тот или иной процесс.
- Сосредоточенность только на технике: Уделять всё внимание серверам и софту, забывая про физическую безопасность помещений или работу с персоналом. Уязвимость в любой из этих сфер ставит под сомнение всю систему.
Проверка ФСТЭК, это стресс-тест не для документов, а для организационной культуры компании в сфере информационной безопасности. Инспектор приходит не для того, чтобы найти повод для наказания, а чтобы оценить, насколько декларируемые меры стали частью рабочего дня. Подготовка к этой проверке — лучший способ привести в порядок не только бумаги, но и реальные процессы, снизив операционные риски.