Аттестация ИСПДН

С 2006 года в РФ действует ФЗ №152. Он обязывает юридических и физических лиц (далее — оператор персональных данных), занимающихся сбором, хранением и обработкой персональных данных, предпринимать меры по защите информации и предотвращению несанкционированного доступа к ПДН.

Для этого проводится аттестация ИСПДн по требованиям безопасности информации. Она обязательна для государственных предприятий. Для остальных несет добровольный характер, что регламентировано п. 4 ст. 19 152-ФЗ.

Что такое аттестация ИСПДН

Аттестация – это комплекс организационно-технических мероприятий, оценивающий эффективность принятых мер защиты и их соответствие требованиям нормативных документов в области защиты ПДн.

Аттестация позволяет выявить уязвимости системы, которые могут использоваться для несанкционированного доступа к ПДН (персональным данным). Аттестация необходима для соблюдения требований законодательства в области защиты ПДН.

Когда проходить аттестацию

Согласно приказу ФСТЭК №77 от 2021 г., аттестация ИСПДН проводится:

• для автоматизированных систем (АС): бессрочно;
• для информационных систем (ИС): проверка каждые 2 года, но предоставляемый аттестат бессрочный;
• для муниципальных, государственных платформ: проверка каждые 2 года, но аттестат бессрочный.

Для информационных систем, муниципальных и государственных систем требуется проведение контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года и представление протоколов контроля владельцем объекта информатизации в ФСТЭК России. В случае развития (модернизации) объекта информатизации проводится повторная аттестация ИСПДн.

Аттестация ИСПДн для негосударственных предприятий, которые передают информацию в государственные реестры, также обязательна. Например, для учебных заведений, которые передают информацию о выданных дипломах государственного образца в государственную информационную систему "Федеральный реестр документов об образовании" (ГИС ФРДО).

Аттестация проводится один раз. Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации (ИСПДн). 

Кто проводит аттестацию

Аттестация проводится государственными и негосударственными компаниями, юридическими лицами, с лицензией на проведение проверки. Согласно приказу ФСТЭК №99, такие предприятия получают статус «лицензиата ФСТЭК». К ним предъявляются требования:

• персонал обязан иметь профильное образование (высшее, компьютерные науки и опыт работы в сфере информационной безопасности);
• проводящие проверку лица знают нормативную базу ФСТЭК;
• персонал обязан иметь допуск (заверенный руководителем приказ) на взаимодействие с информационными системами (ИС) для сбора и обработки персональных данных.

Дополнительно аттестацию ИСПДН по требованиям безопасности проводят при получении приказа от ФСТЭК.

Кто несет ответственность за наличие аттестата

Приказом руководителя предприятия или собрания директоров определяется ответственное лицо, в трудовые обязанности которого и входит контроль наличия аттестата.

Но при выявлении нарушений проверяющими государственными органами, ответственность возлагается на руводителя компании. К ответственному работнику применяются только санкции или дисциплинарные взыскания, если он не нарушал ФЗ №152.

Порядок проведения аудита

Методика проведения аттестации ИСПДн регламентирована следующими правовыми актами:

• приказ ФСТЭК №77;
• приказ ФСТЭК №21;
• приказ ФСТЭК №17.

Этапы аудита:

1. Обследование ИС с составлением акта. На этом же этапе проводится разработка моделей потенциальных угроз на несанкционированный доступ к ПДН.
2. Формирование, интеграция модели защиты и подготовка ОРД.
3. Аттестация ИСПДн с формированием технического паспорта. Составляется протокол результатов анализа.

Если оценка эффективности мер защиты информации пройдена и нормативные требования по ФЗ №152 соблюдены, то оператору ПДН выдается аттестат. Срок действия — 3 года или бессрочный, в зависимости от типа используемой системы (информационная, автоматизированная).

Какие документы потребуются при аттестации

Согласно постановления Правительства РФ №1119, для прохождения аттестации персональных данных организации потребуются следующие документы:

1. Технический паспорт на объект информатизации;
2. Акт классификации информационной (автоматизированной) системы, акт категорирования значимого объекта критической информационной инфраструктуры;
3. Модель угроз безопасности информации;
4. Техническое задание на создание (развитие, модернизацию) объекта информатизации и (или) частное техническое задание на создание (развитие, модернизацию) системы защиты информации объекта информатизации;
5. Проектную документацию на систему защиты информации объекта информатизации 
6. Эксплуатационную документацию на систему защиты информации;
7. Организационно-распорядительные документы по защите информации владельца объекта информатизации;
8. Документы, содержащие результаты анализа уязвимостей и приемочных испытаний системы защиты информации.

Перечисленный список документов не является завершенным. Лицензиат обязан учитывать дополнительно положения подзаконных правовых актов. То есть, необходимо учитывать ещё специфику работы оператора, характер его взаимодействия с государственными органами.

Распространенные проблемы при прохождении аттестации

Частые выявляемые проблемы при прохождении аудита:

• персонал не знает нормативов и требований ФСТЭК касательно использования средств по защите персональной пдн;
• представители оператора не знают, какие документы нужны для эксплуатации ИСПДН;
• оператор ошибочно полагает, что интегрированных средств защиты хватает для реализации мер защиты.

При проведении аттестации учитываются и выявляются программные и технические уязвимости ИСПДн.

ПНК обеспечит получение аттестата

Мы специализируемся на проведение аттестации ИСПДН. Клиенту выдается бумажная версия аттестата, являющаяся подтверждением на соответствие ФЗ №152. Срок действия разрешающего документа бессрочный, действует с момента выдачи.

Срок прохождения аттестации определяется индивидуально, зависит от количества согласованных этапов, наличия филиалов организации, структуры используемой информационной системы. В среднем — до 25 рабочих дней.

Дополнительные мы также помогаем с:

• подготовкой к проверке Роскомнадзора (РКН);
• составлением документов ОРД (организационно- распорядительные документы);
• инсталлированием и настройкой систем защиты, консультацией по их использованию персоналом;
• оценкой уровня защищенности.

Работаем как очно, так и в дистанционном режиме. Для получения расширенной информации — оставьте заявку на сайте или свяжитесь по указанным контактам с менеджером нашей компании. Мы являемся лицензиатом ФСТЭК. Сотрудничаем как с организациями, так и индивидуальными предпринимателями.