С 2006 года в РФ действует ФЗ №152. Он обязывает юридических и физических лиц (далее — оператор персональных данных), занимающихся сбором, хранением и обработкой персональных данных, предпринимать меры по защите информации и предотвращению несанкционированного доступа к ПДН.
Для этого проводится аттестация ИСПДн по требованиям безопасности информации. Она обязательна для государственных предприятий. Для остальных несет добровольный характер, что регламентировано п. 4 ст. 19 152-ФЗ.
Что такое аттестация ИСПДН
Аттестация – это комплекс организационно-технических мероприятий, оценивающий эффективность принятых мер защиты и их соответствие требованиям нормативных документов в области защиты ПДн.
Аттестация позволяет выявить уязвимости системы, которые могут использоваться для несанкционированного доступа к ПДН (персональным данным). Аттестация необходима для соблюдения требований законодательства в области защиты ПДН.
Когда проходить аттестацию
Согласно приказу ФСТЭК №77 от 2021 г., аттестация ИСПДН проводится:
- для автоматизированных систем (АС): бессрочно;
- для информационных систем (ИС): проверка каждые 2 года, но предоставляемый аттестат бессрочный;
- для муниципальных, государственных платформ: проверка каждые 2 года, но аттестат бессрочный.
Для информационных систем, муниципальных и государственных систем требуется проведение контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года и представление протоколов контроля владельцем объекта информатизации в ФСТЭК России. В случае развития (модернизации) объекта информатизации проводится повторная аттестация ИСПДн.
Аттестация ИСПДн для негосударственных предприятий, которые передают информацию в государственные реестры, также обязательна. Например, для учебных заведений, которые передают информацию о выданных дипломах государственного образца в государственную информационную систему "Федеральный реестр документов об образовании" (ГИС ФРДО).
Аттестация проводится один раз. Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации (ИСПДн).
Кто проводит аттестацию
Аттестация проводится государственными и негосударственными компаниями, юридическими лицами, с лицензией на проведение проверки. Согласно приказу ФСТЭК №99, такие предприятия получают статус «лицензиата ФСТЭК». К ним предъявляются требования:
- персонал обязан иметь профильное образование (высшее, компьютерные науки и опыт работы в сфере информационной безопасности);
- проводящие проверку лица знают нормативную базу ФСТЭК;
- персонал обязан иметь допуск (заверенный руководителем приказ) на взаимодействие с информационными системами (ИС) для сбора и обработки персональных данных.
Дополнительно аттестацию ИСПДН по требованиям безопасности проводят при получении приказа от ФСТЭК.
Кто несет ответственность за наличие аттестата
Приказом руководителя предприятия или собрания директоров определяется ответственное лицо, в трудовые обязанности которого и входит контроль наличия аттестата.
Но при выявлении нарушений проверяющими государственными органами, ответственность возлагается на руводителя компании. К ответственному работнику применяются только санкции или дисциплинарные взыскания, если он не нарушал ФЗ №152.
Порядок проведения аудита
Методика проведения аттестации ИСПДн регламентирована следующими правовыми актами:
Этапы аудита:
- Обследование ИС с составлением акта. На этом же этапе проводится разработка моделей потенциальных угроз на несанкционированный доступ к ПДН.
- Формирование, интеграция модели защиты и подготовка ОРД.
- Аттестация ИСПДн с формированием технического паспорта. Составляется протокол результатов анализа.
Если оценка эффективности мер защиты информации пройдена и нормативные требования по ФЗ №152 соблюдены, то оператору ПДН выдается аттестат. Срок действия — 3 года или бессрочный, в зависимости от типа используемой системы (информационная, автоматизированная).
Какие документы потребуются при аттестации
Согласно постановления Правительства РФ №1119, для прохождения аттестации персональных данных организации потребуются следующие документы:
- Технический паспорт на объект информатизации;
- Акт классификации информационной (автоматизированной) системы, акт категорирования значимого объекта критической информационной инфраструктуры;
- Модель угроз безопасности информации;
- Техническое задание на создание (развитие, модернизацию) объекта информатизации и (или) частное техническое задание на создание (развитие, модернизацию) системы защиты информации объекта информатизации;
- Проектную документацию на систему защиты информации объекта информатизации
- Эксплуатационную документацию на систему защиты информации;
- Организационно-распорядительные документы по защите информации владельца объекта информатизации;
- Документы, содержащие результаты анализа уязвимостей и приемочных испытаний системы защиты информации.
Перечисленный список документов не является завершенным. Лицензиат обязан учитывать дополнительно положения подзаконных правовых актов. То есть, необходимо учитывать ещё специфику работы оператора, характер его взаимодействия с государственными органами.
Распространенные проблемы при прохождении аттестации
Частые выявляемые проблемы при прохождении аудита:
- персонал не знает нормативов и требований ФСТЭК касательно использования средств по защите персональной пдн;
- представители оператора не знают, какие документы нужны для эксплуатации ИСПДН;
- оператор ошибочно полагает, что интегрированных средств защиты хватает для реализации мер защиты.
При проведении аттестации учитываются и выявляются программные и технические уязвимости ИСПДн.
ПНК обеспечит получение аттестата
Мы специализируемся на проведение аттестации ИСПДН. Клиенту выдается бумажная версия аттестата, являющаяся подтверждением на соответствие ФЗ №152. Срок действия разрешающего документа бессрочный, действует с момента выдачи.
Срок прохождения аттестации определяется индивидуально, зависит от количества согласованных этапов, наличия филиалов организации, структуры используемой информационной системы. В среднем — до 25 рабочих дней.
Дополнительные мы также помогаем с:
- подготовкой к проверке Роскомнадзора (РКН);
- составлением документов ОРД (организационно- распорядительные документы);
- инсталлированием и настройкой систем защиты, консультацией по их использованию персоналом;
- оценкой уровня защищенности.
Работаем как очно, так и в дистанционном режиме. Для получения расширенной информации — оставьте заявку на сайте или свяжитесь по указанным контактам с менеджером нашей компании. Мы являемся лицензиатом ФСТЭК. Сотрудничаем как с организациями, так и индивидуальными предпринимателями.