Кто имеет право проводить аттестацию испдн на соответствие требованиям по защите информации

Обновлено: 04.07.2024

Закон о персональных данных нужно соблюдать всем, кто хранит и обрабатывает данные сотрудников и клиентов. В самом законе нет технических требований к программному обеспечению и IT-системам — технические требования устанавливают приказы ФСТЭК. Расскажем, кому и зачем нужны сертификация и аттестация ФСТЭК.

Сертификат и аттестат ФСТЭК

Приказ №21 ФСТЭК России — Федеральной службы по техническому и экспортному контролю, устанавливает технические требования по защите персональных данных. Он определяет, насколько конкретные программы и IT-системы соответствуют 152-ФЗ.

Для подтверждения соответствия у ФСТЭК есть два документа: сертификат и аттестат. Давайте разберемся, чем они отличаются, когда выдаются и кому нужны.

Сертификат ФСТЭК: что это такое и для чего нужен

Возьмем компанию — разработчика программного обеспечения, и представим, что она разработала свой антивирус и хочет продавать его организациям, которые работают с персональными данными. Для этого нужно доказать, что этот антивирус безопасен и соответствует требованиям 152-ФЗ.

В России проверку на соответствие 152-ФЗ проводит ФСТЭК. Чтобы доказать безопасность нового антивируса, компании нужно получить на него сертификат ФСТЭК. Для этого нужно обратиться в представительство службы, после чего начинается долгий и сложный процесс сертификации: программу изучают, тестируют, проверяют на уязвимости и наличие недекларируемых возможностей.

Способы тестирования зависят от того, какой уровень сертификата ФСТЭК России требуется подтвердить. Так, если антивирус будут использовать в системах, где хранят биометрические данные, проверки будут более строгими. А для работы в системах с общедоступными данными, например, ФИО и профессией, требования и тесты мягче.

Зачем нужна сертификация ФСТЭК

Если антивирус пройдет проверку, компания получит на него сертификат ФСТЭК. И разработчик ПО сможет гарантировать, что его антивирус безопасен и соответствует техническим требования ФСТЭК.


Получается, что сертификат соответствия ФСТЭК нужно получать, если вы разрабатываете средства защиты, например антивирусные программы, межсетевые экраны и так далее. То есть он нужен только разработчикам ПО, которые хотят подтвердить безопасность своих программ и предлагать их компаниям для защиты персональных данных.

Кратко: Сертификация ФСТЭК — что это? Это проверка, которая показывает, насколько программа безопасна и соответствует требованиям закона о защите персональных данных. Если вы не разрабатываете программное обеспечение для защиты персональных данных, получать сертификат ФСТЭК вам не нужно. Но вам может быть нужен аттестат.

Кому и зачем нужна аттестация ФСТЭК

Сертификат соответствия по требованиям безопасности информации выдают только на сами средства защиты, например антивирусные системы. Однако кроме средств защиты, ФСТЭК проверяет и IT-системы, в которых хранятся персональные данные: серверы и сети компаний или облачные хранилища. Такая процедура проверки называется не сертификацией, а аттестацией.

Аттестация по требованиям ФСТЭК нужна не всем компаниям. Вы можете не проходить аттестацию, если:

  1. Не храните и не обрабатываете персональные данные. Например, у вас небольшой офлайн-магазин без сотрудников и базы клиентов.
  2. Храните данные, требующие самого низкого, четвертого уровня защищенности. К ним относят общедоступные данные клиентов и сотрудников: ФИО, дата и место рождения, адрес проживания, номер телефона, информация о профессии. Подробнее об уровнях защищенности мы рассказывали в статье Защита персональных данных в облаке: как сделать все по закону 152-ФЗ.

Если вы храните другие персональные данные, например, биометрические — характеризующие биологические и физиологические данные человека и позволяющие по ним установить его личность, то обязаны обеспечивать уже третий уровень защищенности. И систему, в которой вы храните такие данные, нужно аттестовать в органах аттестации ФСТЭК.

Процесс аттестации немного проще, чем процесс сертификации. Для аттестации у ФСТЭК есть четкий порядок и требования, которые нужно соблюсти. Также пройти аттестацию проще, если использовать средства защиты информации с сертификатом ФСТЭК России.


Получается, что для работы любой компании нужен не сертификат, а аттестат ФСТЭК. А сертификаты должны быть у программного обеспечения, которое вы используете, но о сертификации должны позаботиться производители этого ПО.

У облака VK Cloud Solutions (бывш. MCS) есть аттестат безопасности ФСТЭК. В публичном облаке VK можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Практическое руководство по выполнению требований 152-ФЗ

Каждая организация, обрабатывающая персональные данные (далее — Оператор), сталкивается с вопросом приведения своих информационных систем в соответствие с требованиями законодательства. Рассмотрим плюсы и минусы распространенных сценариев поведения Операторов и предложим альтернативный подход.

Отношение Операторов персональных данных к требованиям законодательства разнообразно. Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся. Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям. Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается. Каждый из этих подходов имеет свои недостатки.

Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов. На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным.

При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить. Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью. Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной. Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.

Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам.

Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты. А на этапе технической реализации системы защиты возможно привлечение специализированных организаций.

Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации. Рассмотрим подход подробнее.

Нормативная база

Каждый оператор, приступая к работе, задается вопросом — с чего начать? Определимся с нормативной базой, на которую будем опираться.

Мы рекомендуем начинать с идентификации систем, в которых осуществляется обработка ПДн, и их детального изучения. Дальнейшие действия будут зависеть от того, какая перед нами система.

Разберем порядок действий на отдельно взятой информационной системе.

ГИС или не ГИС

Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет. От этого будет зависеть подход к защите. Как определить, ГИС перед нами или нет, описано в отдельной статье.

Актуальные угрозы ИБ

Уровень защищенности ИСПДн

Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:

  • связанные с наличием недекларированных возможностей в системном программном обеспечении;
  • связанные с наличием недекларированных возможностей в прикладном программном обеспечении;
  • не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.

Рассматриваем каждую угрозу в отдельности. Определяем, к какому максимальному типу они относятся.

Следующим шагом необходимо определить категорию обрабатываемых данных. Существуют следующие категории персональных данных:

  • специальные;
  • биометрические;
  • общедоступные;
  • иные.

В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ.

Необходимо определить объем обрабатываемых ПДн. Здесь возможны 3 вариации:

  • до 100 тысяч;
  • более 100 тысяч;
  • ПДн сотрудников Оператора (без привязки по объему).

На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.

Для Определения УЗ можно воспользоваться специальной таблицей:


Класс ГИС

Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.

Для этого определяются дополнительные к предыдущему разделу показатели:

  1. Масштаб ГИС. Может быть федеральным, региональным и объектовым. Критерии определения зафиксированы в приказе ФСТЭК №17.
  2. Уровень значимости информации — определяется степенью возможного ущерба Оператора от нарушения конфиденциальности, целостности или доступности информации. Имеет три значения по убыванию значимости — УЗ1, УЗ2, УЗ3. Определяется экспертным путем. Критерии определения зафиксированы в приказе ФСТЭК № 17.

На основании уровня значимости и масштаба ИС делается вывод о классе ГИС.

Базовый набор мер

После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС.

Для ИСПДн требования формируются в соответствии с определенным уровнем защищенности на основании № 152-ФЗ, постановления Правительства № 1119, приказа ФСБ РФ № 378 и приказа ФСТЭК № 21.

Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17.

В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС. Назовем его базовый набор мер.

Адаптированный набор мер

Дополненный набор мер

Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ. В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер. На выходе получаем дополненный адаптированный базовый набор мер.

Система защиты информации

В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер. Происходит формирование проекта системы защиты информации.

Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ.

Для ГИС применяются только сертифицированные средства защиты информации.

Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые внедряются в процессы обработки информации. Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации. На этом этапе привлекаются специализированные организации, оказывающие соответствующие услуги. При самостоятельном внедрении ознакомьтесь с типичными ошибками при построении СЗПДН.

Контур-Безопасность: Разработка, внедрение и сопровождение систем защиты ПДн.

Аттестация

После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства.

Для ИСПДн оценка соответствия в форме аттестации не обязательна. Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения. Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций.

Для ГИС оценка соответствия в форме аттестации является обязательной процедурой. Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.

Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации.

Что в итоге

В результате данного подхода получаем систему защиты информации. Как видим, привлечение специализированных организаций происходит только на заключительных этапах. Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно.

Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации.

А что потом?

Система защиты информации внедрена и принята в эксплуатацию. Можно ли успокоиться и забыть о ней? Конечно нет. Мир информационных систем и технологий очень изменчив. Технологии развиваются и совершенствуются, изменяются информационные системы. Возможно, через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны. Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами.

Удачи на пути создания собственной эффективной системы защиты информации.

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

АТТЕСТАЦИОННЫЕ ИСПЫТАНИЯ И АТТЕСТАЦИЯ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ПО ЗАЩИТЕ ИНФОРМАЦИИ

В кейс компании включены следующие наиболее значимые объекты прошедшие аттестацию:

Проведение аттестации объектов информатизации предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации для оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.

КТО ПОДЛЕЖИТ АТТЕСТАЦИИ

ЦЕЛЬ АТТЕСТАЦИИ

Целью аттестации объекта информатизации является подтверждение соответствия его системы защиты информации в реальных условиях эксплуатации требованиям безопасности информации,а также соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.

Государственные информационные системы (ГИС)
Требования определены в приказе ФСТЭК России № 17 от 11.02.2013
Обязательная аттестация

Объекты критической информационной инфраструктуры (ОКИИ)
Требования определены в приказах ФСТЭК России № 235 от 21.12.2017 и № 239 от 25.12.2017
Обязательная аттестация в случаях указанных в приказе

Информационные системы персональных данных (ИСПДн)
Требования определены в приказе ФСТЭК России № 21 от 18.02.2013
Решение принимает владелец ИСПДн

Автоматизированные системы обработки конфиденциальной информации (АС ОКИ)
Требования определены в нормативно-методических документах ФСТЭК России СТР-К и РД АС ФСТЭК России
Обязательная аттестация

Автоматизированные системы управления технологическими процессами (АСУ ТП)
Требования определены в приказе ФСТЭК России № 31 от 14.03.2014
Решение принимает владелец АСУ ТП

Информационные системы общего пользования (ИСОП)
Требования определены в приказе ФСТЭК России № 489
Решение принимает владелец информационной системы

Автоматизированные банковские системы (АБС)
Требования предъявляются в положении ЦБ РФ № 382-П от 09.06.2012 и СТО БР ИББС
Решение принимает владелец ИС

ЗАДАЧИ АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ

Задачей аттестационных испытаний объекта защиты является оценка соответствия системы защиты информации объекта защиты требованиям безопасности информации, выполнение которых позволяет защитить информацию от утечки по техническим каналам, от несанкционированного доступа и от специальных воздействий на нее и ее носители вследствие:

несанкционированного доступа к информации, обрабатываемой на объекте защиты
специальных программных воздействий, нарушающих целостность обрабатываемой на объекте защиты информации и (или) работоспособность средств вычислительной техники или средств защиты информации
хищения технических средств с хранящейся в них информацией или отдельных носителей информации
просмотра видовой информации с экранов дисплеев и других средств отображения информации, входящих в состав основных технических средств и системы, путем непосредственного наблюдения и (или) с помощью оптических средств

ПОРЯДОК ПРОВЕДЕНИЯ АТТЕСТАЦИИ

В настоящее время согласно нормативно-методическим документам определен следующий порядок проведения аттестации:

Подготовка к аттестационным испытаниям заключающаяся в создании системы защиты

Классификация системы, определение требований, разработка модели угроз и модели нарушителя. Разработка технического задания на создание системы защиты
Приобретение , установку и настройку средств защиты
Разработку организационно-распорядительных документов
Ввод в действие системы защиты

Аттестационные испытания

Заключение договора с лицензиатом ФСТЭК России
Разработка программы и методики аттестационных испытаний
Аттестационные испытания
Разработка протокола и заключения по результатам аттестационных испытаний
Оформление Аттестата соответствия

СРОК ДЕЙСТВИЯ АТТЕСТАТА СООТВЕТСТВИЯ

Для Государственных информационных систем прошедших аттестацию – на весь срок эксплуатации информационной системы при неизменности условий эксплуатации, технологического процесса обработки информации, неизменности системы защиты информации.

Для Информационных систем персональных данных прошедших аттестацию - если система аттестована как автоматизированная система, то срок действия аттестата соответствия три года.
Если ИСПДн аттестована как информационная система, то, как правило, повторная аттестация проводится при оценке эффективности реализованных в рамках системы защиты персональных данных мер оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Указанная оценка проводится не реже одного раза в 3 года.

РЕЗУЛЬТАТЫ ПРОВЕДЕНИЯ АТТЕСТАЦИИ

Аттестация информационных систем персональных данных

Обработка и хранение персональных данных физических лиц в рамках коммерческой или некоммерческой деятельности требует соблюдения определенных требований безопасности. Необходимость обеспечивать защиту персональных данных и проходить аттестацию ИСПДн прописана в Федеральном законе №152-ФЗ от 7 июля 2006 года, причем под его действие попадают не только государственные, муниципальные структуры, но также физлица, ИП и юридические лица. В зависимости от типа и класса защищенности системы проверка и получение аттестата могут носить обязательный либо добровольный характер.

Аттестация по требованиям безопасности информации — процедура не дешевая и в большинстве случаев удорожает обеспечение безопасности ИСПДн раза в полтора-два, поэтому многие операторы персональных данных хотели бы обойти данную процедуру.

Аттестация информационных систем персональных данных обязательна только для ГИС.
Приказ ФСТЭК России №17 от 11 февраля 2013г.

Для информационных систем, не являющихся государственными, аттестат соответствия требованиям по безопасности информации не обязателен. Однако, он может понадобиться для подтверждения должного уровня защиты ИСПДн. В этом случае данную процедуру можно провести в добровольном порядке. Проводится аттестация ИСПДн в соответствии с тем же вышеупомянутым Приказом ФСТЭК России № 17.

Сама процедура аттестации проводится организацией, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом в данной организации создается аттестационная комиссия, состоящая из экспертов и специалистов в области информационной безопасности, которая проводит оценку соответствия организационных и технических мер, а также испытания технических и программных средств защиты персональных данных. В результате оценки соответствия выдается Аттестат либо предписание на устранение недостатков системы защиты ИСПДн, поэтому необходимо очень тщательно подойти к процедуре подготовки к аттестации, а лучше поручить подготовку компетентной организации.

Также в целях подтверждения должного уровня защиты персональных данных возможно проведение и аудита соответствия, который проводится компетентными организациями, имеющими лицензию на техническую защиту конфиденциальной информации.

Доверить проведение комплекса мероприятий организационно-технического характера, направленных на анализ результативности мер защиты ПДн, стоит нашему Центру, который с 2012 года является лицензиатом ФСТЭК и имеет опыт разработки и реализации проектов различной сложности. С нами вам удастся получить аттестат ИСПДн установленного образца за короткий промежуток времени, без заоблачных расходов и с гарантией успешного прохождения проверок контролирующих органов.

Правовые обоснования проведения аттестации информационных систем персональных данных

Аттестация систем персональных данных регламентируется целым рядом подзаконных актов, с которыми имеет смысл ознакомиться каждому, кому предстоит подобная процедура:

  1. Приказы ФСТЭК РФ № 21 и 17.
  2. Приказ Федеральной службы безопасности № 378.
  3. Постановление Правительства России № 1119.

В соответствии с ними оператору нужно разработать и внедрить целый пакет организационно-распорядительных документов, которые будут четко прописывать, каким образом будет обеспечиваться работа каждой из подсистем ИСПДн.

Когда и кому необходимо получить аттестат соответствия ИСПДн?

В обязательном порядке документ, свидетельствующий о том, что информационная система ПДн отвечает действующим требованиям ФЗ-152, предстоит получить государственным органам и тем организациям, которые выполняют их функции. Такие ИС нуждаются не только в обеспечении конфиденциальности сведений, но также в предупреждении несанкционированных действий в отношении собранной и хранимой информации, в частности, она должна быть защищена от изменения, удаления, копирования и распространения без согласия субъектов ПДн.

Добровольная аттестация системы защиты персональных данных инициируется, чтобы:

  • избежать конфликтов с проверяющими органами;
  • поддерживать хорошую деловую репутацию и минимизировать вероятность судебных исков за разглашение конфиденциальной информации;
  • подтвердить в глазах партнеров и клиентов статус лидера в выбранной рыночной нише — особенно это актуально для компаний, которые оказывают аутсорсинговые услуги в сфере бухучета, аудита, программного обеспечения и т.д.

Услуга проведения аттестационных испытаний с выдачей протоколов, заключений и аттестата, актуальная также для организаций любой формы собственности и специализации в таких случаях:

  • после окончания срока действия прошлого сертификата (документ выдается на 3 года);
  • при необходимости улучшения информационной защищенности;
  • при подозрении на систематическую утечку сведений и безрезультативность внутренних проверок;
  • после внесения существенных изменений в работе, например, закупки нового компьютерного оборудования, обновлении технологических процессов или значительном расширении базы данных.

Основные этапы проверки

Процедура анализа текущего уровня защиты ПДн достаточно трудоемкая, сложная и требует от исполнителей определенной квалификации и опыта. Её проводят на последнем этапе обеспечения безопасности информационных систем компании. Наш Центр выполняет полный спектр работ, действуя согласно методологии ФСТЭК Российской Федерации, которая предусматривает:

  1. Изучение ИС персональных данных с составлением акта об обследовании, с разработкой модели потенциальных угроз. На данном этапе происходит определение того, насколько эффективны используемые средств защиты ПДн, а затем создается техническое задание на разработку и интеграцию СЗ.
  2. Создание и внедрение проекта системы защиты с обязательной подготовкой ОРД.
  3. Аттестация безопасности ПДн с составлением технического паспорта на исследуемую систему, протокола оценки и заключения по результатам анализа. Если все требования ФЗ-152 соблюдены, то компания получает аттестат, который будет действительным в течение 3 лет.

Право выдавать аттестат соответствия требованиям по защите персональных данных имеют только те компании, которые получили лицензию Федеральной службы по техническому и экспортному контролю. Мы получили разрешительный документ более 8 лет назад и с тех пор помогаем заказчикам оперативно пройти аттестационные испытания и получить подтверждение высокого уровня безопасности ИСПДн. Каждый проект прорабатывается по индивидуальной схеме с учетом результатов предварительного исследования эффективности защиты информационной системы, а результат в виде аттестата предоставляется в оговоренные сроки.

Наш Центр располагает всем необходимым для профессиональной проверки, а именно:

  • аттестованными компьютерами;
  • переговорными комнатами;
  • сотрудниками с не менее чем трехлетним опытом в сфере защиты ПДн, которые постоянно отслеживают изменения в законодательстве, в том числе в области методологии проведения аттестационных испытаний;
  • сертифицированными средствами контроля защищенности различных видов современной вычислительной техники.

Финансовая сторона вопроса

Стоимость аттестации ИСПДн определяется после обсуждения с клиентом всех аспектов сотрудничества и с учетом трудоемкости процесса, которая обусловлена потребностью документировать на каждом этапе выполненные действия и полученные результаты. Основными факторами, влияющими на итоговую сумму, являются:

  • число компьютеров, ноутбуков и прочей вычислительной техники, формирующей систему персональных данных предприятия;
  • специфика используемых технологий обработки информации;
  • класс защищенности и тип ИСПДн;
  • количество необходимых средств обеспечения безопасности конфиденциальных сведений.

При обращении в наш Центр вы можете быть уверенными в том, что цена аттестации информационных систем персональных данных будет обоснованной, а все условия сотрудничества будут четко прописаны в договоре на обслуживание. Точно определить количество и вид необходимых средств помогает предварительное обследование, на основе которого создается технический проект под конкретную компанию.

Естественно, чем масштабней организация, тем большими будут финансовые затраты, но при выборе сервиса под ключ, который мы предлагаем, переплачивать не придется. К тому же, инвестируя денежные активы в безопасность ПДн сейчас, в будущем вы можете избежать штрафов ФСТЭК за несоблюдение нормативов ФЗ-152 и других подзаконных актов, а также создать себе репутацию действительно надежного партнера, который способен защитить информацию от неправомерных действий.

Оценка эффективности может проводиться в формах добровольной аттестации по требованиям безопасности информации в системе сертификации ФСТЭК России, а также в других формах, выбираемых оператором ПДн (например, формах приемо-сдаточных испытаний СЗПДн, совместной оценки комиссией, состоящей из представителей Разработчика и Заказчика СЗПДн, и т. д.).

При проведении оценки эффективности принимаемых мер по обеспечению безопасности ПДн необходимо осуществить оценку соответствия ИСПДн организационно-техническим требованиям по безопасности информации и провести испытания средств и систем защиты ИСПДн на соответствие требованиям по защищенности ПДн от угроз безопасности ПДн.

Важным этапом в процессе проведения оценки эффективности является разработка программы и методики оценки, в которой необходимо отразить:

  • описание объекта оценки;
  • порядок проведения оценки;
  • перечень процедур оценки;
  • требования к содержанию проверок и испытаний;
  • критерии оценки, характеризующей успешное прохождение проверок и испытаний.

Оценка соответствия ИСПДн организационно-техническим требованиям по защите ПДн может осуществляться в следующем порядке:

  • анализ структуры ИСПДн и технологического процесса обработки информации;
  • оценка достаточности разработанных внутренних нормативных актов и соответствия их содержания требованиям по безопасности информации;
  • оценка правильности выбора уровней защищенности ПДн и мер защиты;
  • оценка соответствия состава и структуры программно-технических средств ИСПДн представленной документации;
  • оценка состояния организации работ и выполнения организационно-технических требований по защите информации;
  • оценка достаточности мер физической охраны технических средств информационной системы;
  • оценка уровня подготовки кадров и распределения ответственности персонала.

Испытания ИСПДн на соответствие требованиям по защищенности ПДн от угроз безопасности ПДн могут проводиться в следующей последовательности (в зависимости от состава подсистем и средств защиты):

  • наличие необходимой проектной, рабочей и эксплуатационной документации;
  • оценка соответствия проектной документации состава и структуры программно-технических средств СЗПДн;
  • оценка выполнения требований формуляров СЗИ и СКЗИ, правил эксплуатации СЗИ и СКЗИ и условий действия сертификатов;
  • испытания подсистемы управления доступом;
  • испытания подсистемы регистрации и учета;
  • испытания подсистемы обеспечения целостности;
  • испытания подсистемы антивирусной защиты;
  • испытания подсистемы анализа защищенности;
  • испытания подсистемы обнаружения вторжений;
  • испытания подсистемы межсетевого экранирования;
  • испытания подсистемы защиты каналов связи;
  • испытания защищенности комплекса программно-технических средств ИСПДн в целом, в том числе с использованием сканеров безопасности.

В случае выявления несоответствия ИСПДн установленным требованиям по защите информации необходимо разработать предложения по устранению выявленных недостатков и нарушений по возможности до окончания оценки. При этом могут применяться следующие меры:

  • доработка организационно-распорядительной документации;
  • исключение отдельных средств из состава ИСПДн;
  • внесение дополнительных настроек в СЗПДн и изменение рабочей и эксплуатационной документации;
  • применение дополнительных организационно-технических мер защиты;
  • применение дополнительных сертифицированных средств защиты информации.

По результатам оценки оформляется заключение. К заключению прилагаются протоколы оценки, подтверждающие полученные при оценке результаты и обосновывающие приведенный в заключении вывод.

Протоколы испытаний подписываются экспертами – членами комиссии по оценке, проводившими испытания.

В случаях, когда нарушение безопасности персональных данных, обрабатываемых в ИСПДн, может привести к значительным негативным последствиям для субъектов персональных данных, наша Компания рекомендует проведение добровольной аттестации по требованиям безопасности информации. Проведение аттестации позволит повысить юридическую значимость проводимой оценки эффективности.

Порядок проведения аттестации ИСПДн регламентируется:

В соответствии с указанными нормативными документами организации, проводящие аттестацию объектов информатизации, несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонентов.

В случае проведения добровольной аттестации проводится разработка дополнительных документов, необходимых для выполнения аттестационных испытаний, включающих в себя технический паспорт, матрицу доступа к ресурсам, описание технологических процессов обработки и защиты ПДн. С целью внедрения процедуры контроля за неизменностью аттестованных ИСПДн разрабатывается и утверждается регламент внесения изменений в состав технических и программных средств ИСПДн.

Читайте также: