Необходимость в атестации пк по для работы с перс данными

Содержание
  1. Сертификация систем защиты персональных данных, сертификация СЗИ, аттестация и сертификат соответствия ФСТЭК
  2. Сертификация средств защиты персональных данных по 152-ФЗ
  3. Сертификат соответствия ФСТЭК
  4. Аттестация систем персональных данных
  5. Сертификация и аттестация ФСТЭК: разбираемся, что нужно компаниям по 152-ФЗ
  6. Сертификат и аттестат ФСТЭК
  7. Сертификат ФСТЭК: что это такое и для чего нужен
  8. Зачем нужна сертификация ФСТЭК
  9. Кому и зачем нужна аттестация ФСТЭК
  10. Зачем нужна сертификация ФСТЭК и аттестация ФСТЭК
  11. Выполнение требований 152-ФЗ, инструкция
  12. Нормативная база
  13. Гис или не гис
  14. Актуальные угрозы ИБ
  15. Уровень защищенности ИСПДн
  16. Класс ГИС
  17. Базовый набор мер
  18. Адаптированный набор мер
  19. Дополненный набор мер
  20. Система защиты информации
  21. Аттестация
  22. Что в итоге
  23. А что потом?
  24. Аттестация ИСПДн – аттестат соответствия информационных систем персональных данных по требованиям безопасности
  25. Правовые обоснования проведения аттестации информационных систем персональных данных
  26. Когда и кому необходимо получить аттестат соответствия ИСПДн?
  27. Основные этапы проверки
  28. Финансовая сторона вопроса
  29. Аттестация ИСПДн в компании – ООО
  30. Как аттестовать ИСПДн?
  31. Кто проводит аттестацию ИСПДн?
  32. Может ли аттестацию ИСПДн провести оператор самостоятельно?
  33. Какие документы необходимы для аттестации ИСПДн?
  34. Аттестация ИСПДн: камни преткновения
  35. Лайфхак по правильной аттестации ИСПДн
  36. Подзаконные нормативно-правовые акты по аттестации ИСПДн
  37. Аттестация ИСПДн: цена вопроса
  38. Что предлагаем мы?

Сертификация систем защиты персональных данных, сертификация СЗИ, аттестация и сертификат соответствия ФСТЭК

Необходимость в атестации пк по для работы с перс данными

Вопрос сертификации защиты персональных данных на уровне ФСТЭК и ФСБ РФ не имеет однозначного решения: контролирующие органы ориентируются во многом на собственное видение безопасности.

В целом, систему защиты информации (СЗИ) представляют как совокупность организационных мер и программно-технических средств.

Целью СЗИ является предотвращение или серьезное затруднение несанкционированного доступа.

С организационной точки зрения допускается деление деление рисков на недопустимые и допустимые – но оно условно, зависит от многих факторов: размеров компании, ее известности, способов обработки персональных данных, репутации, политики взаимодействия с клиентами. Наиболее сильным риск является для организаций, которые поддерживают сайты с персональными данными либо формами для их регистрации, проводят массированные е-mail рассылки, ведут агрессивные рекламные кампании.

Обеспечение сохранности данных для различных предприятий зависят от масштабов работы, финансовых и производственных возможностей, а также от количества сведений, нуждающихся в охране. Определение рисков и мер защиты должно базироваться на принципах достаточности и разумности.

Сертификация на соответствие защиты персональных данных представляет собой совокупность действий, нацеленных на подтверждение основных и дополнительных параметров услуг, систем или продуктов требованиям выработанных актов и стандартов.

Учитывая то, что безопасность относится к разряду социализированных областей, завязана на человеческий фактор и информационные технологии, она не может быть всеобъемлющей.

Утечка или утрата персональных данных автоматически признается виной оператора связи.

Департамент защиты персональных данных системы сертификации Росконтроля проводит мониторинг всех российских организаций, независимо от формы собственности, являющихся операторами связи, предъявляя к ним ряд требований по организации адекватной защиты.

Сертификация средств защиты персональных данных по 152-ФЗ

Российские требования предусматривают необходимость проверки встроенных в программные продукты средств защиты информации, организацию различных технических и организационно-распорядительных мероприятий по обеспечению безопасности. Федеральный закон дает определение, какая информация попадает под определение персональных данных, назначает ответственных по их защите, проведению классификации.

Все юридические лица и индивидуальные предприниматели, обрабатывающие персональные данные в процессе деятельности, обязаны пройти сертификацию по 152-ФЗ по трем этапам:

  1. Подготовить уникальный портфель документов, включающий акты, приказы, инструкции и т.д.
  2. Опубликовать документ – политику, с описанием способов работы с персональных данных.
  3. Подать уведомление в Роскомнадзор.

Все программное обеспечение, осуществляющее защиту ПД, обязательно к согласованию и сертификации на уровнях главных регуляторов – Федеральной службы безопасности и Федеральной службы по техническому и экспортному контролю.

Порядок работ по методике, утвержденной ФСТЭК, выглядит так:

  1. Проводится обследование информационной системы персональных данных (ИСПДн).
  2. Проектируется система защиты.
  3. Внедряется система, защищающая информацию.
  4. Оценивается эффективность всех предпринятых шагов, по результатам которых принимается решение о соответствии.

Стоимость сертификации в соответствии с 152-ФЗ складывается из:

  1. Наличия подключения к сети Интернет.
  2. Количества компьютеров.
  3. Наличия сервера или общей сети.
  4. Техподдержки.
  5. Юридического сопровождения.

Работы по сертификации выделяются в отдельный проект с отдельным бюджетом. Необходимая «золотая середина» средств защиты рассчитывается после предпроектного обследования и написания техпроекта. Для клиентов существуют готовые типовые решения, оптимизированные под разного рода потребности, и не требующие значительных финансовых затрат.

Сертификат соответствия ФСТЭК

Система сертификации персональных данных ФСТЭК России отвечает за некриптографическую защиту информации, препятствуя несанкционированному доступу к ней или «слитию» ее по техническим каналам связи.

Служба организует сертификацию и контролирует «верхний уровень». Все остальные работы ложатся на лицензиаров в лице лабораторий-испытателей ПО и экспертных организаций.

Клиент самостоятельно выбирает лабораторию, а ФСТЭК создает экспертную комиссию.

Процесс сертификации программ обработки персональных данных ФСТЭК осуществляется сходных образом, с привлечением института заявителей.

Взаимодействуя с лабораториями и экспертами, они сравнивают продаваемые версии продукта с сертифицированным образцом-эталоном.

В среднем время аттестации ИСПДн занимает от полугода или больше, все зависит от ее уровня и категорийности – чем выше степень, тем больше требований к безопасности предъявляется.

Сертификация программных продуктов в соответствии с законом «О персональных данных» ставит своей целью контроль над информацией, обеспечивающей национальную безопасность. Поэтому все программное обеспечение, поставляемое на рынок и используемое в построении ключевых зон информационной структуры, должно соответствовать жестким требованиям.

Уже готовые сертификаты для работы с персональными данными имеют семейство операционных систем Linux, сетевое оборудование от IT-корпорации Cisco, реляционная СУБД Sybase ASE, продукция 1С.

Аттестация систем персональных данных

Проведение аттестации информационных систем персональных данных – дорогое удовольствие, поэтому часть операторов ПДн старается всеми силами избежать этой процедуры.

Она является обязательной для государственных ИСПДн, накладывая на операторов ряд обязательств. Для негосударственных предприятий аттестат требуется в случае подтверждения должного уровня защиты, поэтому процедура может проходит в добровольном порядке.

Соответствующая документация получается в территориальном отделении ФСТЭКа.

Процедура производится лицензированными на проведение технической защиты организациями. Аттестационная комиссия состоит из специалистов информационной безопасности и экспертов.

В ее задачу входит проведение оценки соответствия всех мер, технических и организационных, с последующими испытаниями всех программных и технических средств, направленных на защиту ПДн. По результатам оценки выдается либо аттестат, либо предписание с перечнем обязательных к устранению недостатков.

В целях экономии времени и средств, подготовку к аттестации лучше доверить имеющим опыт аналогичной работы организациям.

Аттестация многоэтапна и требует строжайшего документирования, при этом ее методология одинакова как для компьютера, так и для рабочих места по защите персональных данных. Зато по факту получается полноценная система защиты информации. Следование алгоритму сертификации, все операторы ПДн принимают участие в выработке максимальной защиты ИС.

После введения системы защиты в эксплуатацию, не стоит забывать об изменчивости технологий. Спустя некоторое время могут возникнуть новые угрозы и риски, поэтому для поддержания работоспособности и защищенности информации рекомендуется устраивать аудит информационной безопасности ежегодно.

Источник: https://integrus.ru/blog/it-decisions/sertifikatsiya-sistem-zashhity-personalnyh-dannyh.html

Сертификация и аттестация ФСТЭК: разбираемся, что нужно компаниям по 152-ФЗ

Необходимость в атестации пк по для работы с перс данными
Закон о персональных данных нужно соблюдать всем, кто хранит и обрабатывает данные сотрудников и клиентов.

В самом законе нет технических требований к программному обеспечению и IT-системам — технические требования устанавливают приказы ФСТЭК. Расскажем, кому и зачем нужны сертификация и аттестация ФСТЭК.

Сертификат и аттестат ФСТЭК

Приказ №21 ФСТЭК России — Федеральной службы по техническому и экспортному контролю, устанавливает технические требования по защите персональных данных. Он определяет, насколько конкретные программы и IT-системы соответствуют 152-ФЗ.

Для подтверждения соответствия у ФСТЭК есть два документа: сертификат и аттестат. Давайте разберемся, чем они отличаются, когда выдаются и кому нужны.

Сертификат ФСТЭК: что это такое и для чего нужен

Возьмем компанию — разработчика программного обеспечения, и представим, что она разработала свой антивирус и хочет продавать его организациям, которые работают с персональными данными. Для этого нужно доказать, что этот антивирус безопасен и соответствует требованиям 152-ФЗ.

В России проверку на соответствие 152-ФЗ проводит ФСТЭК. Чтобы доказать безопасность нового антивируса, компании нужно получить на него сертификат ФСТЭК. Для этого нужно обратиться в представительство службы, после чего начинается долгий и сложный процесс сертификации: программу изучают, тестируют, проверяют на уязвимости и наличие недекларируемых возможностей.

Способы тестирования зависят от того, какой уровень сертификата ФСТЭК России требуется подтвердить. Так, если антивирус будут использовать в системах, где хранят биометрические данные, проверки будут более строгими. А для работы в системах с общедоступными данными, например, ФИО и профессией, требования и тесты мягче.

Зачем нужна сертификация ФСТЭК

Если антивирус пройдет проверку, компания получит на него сертификат ФСТЭК. И разработчик ПО сможет гарантировать, что его антивирус безопасен и соответствует техническим требования ФСТЭК.

Так выглядит сертификат ФСТЭК

Получается, что сертификат соответствия ФСТЭК нужно получать, если вы разрабатываете средства защиты, например антивирусные программы, межсетевые экраны и так далее. То есть он нужен только разработчикам ПО, которые хотят подтвердить безопасность своих программ и предлагать их компаниям для защиты персональных данных.

На сайте ФСТЭК есть реестр, в который включены все сертифицированные системы защиты. Любой может зайти и проверить, прошла ли программа сертификацию. Например, сертификат ФСТЭК есть у антивируса от «Лаборатории Касперского».

Кратко: Сертификация ФСТЭК — что это? Это проверка, которая показывает, насколько программа безопасна и соответствует требованиям закона о защите персональных данных. Если вы не разрабатываете программное обеспечение для защиты персональных данных, получать сертификат ФСТЭК вам не нужно. Но вам может быть нужен аттестат.

Кому и зачем нужна аттестация ФСТЭК

Сертификат соответствия по требованиям безопасности информации выдают только на сами средства защиты, например антивирусные системы.

Однако кроме средств защиты, ФСТЭК проверяет и IT-системы, в которых хранятся персональные данные: серверы и сети компаний или облачные хранилища. Такая процедура проверки называется не сертификацией, а аттестацией.

Аттестация по требованиям ФСТЭК нужна не всем компаниям. Вы можете не проходить аттестацию, если:

  • Не храните и не обрабатываете персональные данные. Например, у вас небольшой офлайн-магазин без сотрудников и базы клиентов.
  • Храните данные, требующие самого низкого, четвертого уровня защищенности. К ним относят общедоступные данные клиентов и сотрудников: ФИО, дата и место рождения, адрес проживания, номер телефона, информация о профессии. Подробнее об уровнях защищенности мы рассказывали в статье Защита персональных данных в облаке: как сделать все по закону 152-ФЗ.

Если вы храните другие персональные данные, например, биометрические — характеризующие биологические и физиологические данные человека и позволяющие по ним установить его личность, то обязаны обеспечивать уже третий уровень защищенности. И систему, в которой вы храните такие данные, нужно аттестовать в органах аттестации ФСТЭК.

Процесс аттестации немного проще, чем процесс сертификации. Для аттестации у ФСТЭК есть четкий порядок и требования, которые нужно соблюсти. Также пройти аттестацию проще, если использовать средства защиты информации с сертификатом ФСТЭК России.

Так выглядит аттестат ФСТЭК

Получается, что для работы любой компании нужен не сертификат, а аттестат ФСТЭК. А сертификаты должны быть у программного обеспечения, которое вы используете, но о сертификации должны позаботиться производители этого ПО.

У облака Mail.ru Cloud Solutions есть аттестат безопасности ФСТЭК. Это значит, что если вы храните здесь персональные данные, то соблюдаете 152-ФЗ. Кроме того, мы помогаем компаниям пройти аттестацию информационных систем и инфраструктуры, построенной на базе нашего облака.

Зачем нужна сертификация ФСТЭК и аттестация ФСТЭК

Сертификат соответствия ФСТЭК России для таких средств защиты, как антивирусные программы или межсетевые экраны, подтверждает, что это средство защиты можно использовать в системах для хранения персональных данных.

Аттестат ФСТЭК нужен компании, которая хранит персональные данные. Он подтверждает, что IT-система достаточно защищена и соответствует 152-ФЗ.

Елена Шпрингер

Источник: https://mcs.mail.ru/blog/sertifikaciya-i-attestaciya-fstek

Читать по теме:Защита персональных данных в облаке: как сделать все по закону 152-ФЗСоблюдение законов о персональных данныхКибербезопасность в B2B: как бизнесу защититься от хакеров

Источник: https://zen.yandex.ru/media/mcs/sertifikaciia-i-attestaciia-fstek-razbiraemsia-chto-nujno-kompaniiam-po-152fz-5ec82661f1bac763f41359a2

Выполнение требований 152-ФЗ, инструкция

Необходимость в атестации пк по для работы с перс данными

Отношение Операторов персональных данных к требованиям законодательства разнообразно. Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся.

Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям. Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается.

Каждый из этих подходов имеет свои недостатки.

Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов. На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным.

При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить. Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью.

Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной.

Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.

Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам.

Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты. А на этапе технической реализации системы защиты возможно привлечение специализированных организаций.

Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации. Рассмотрим подход подробнее.

Нормативная база

Каждый оператор, приступая к работе, задается вопросом — с чего начать? Определимся с нормативной базой, на которую будем опираться.

Мы рекомендуем начинать с идентификации систем, в которых осуществляется обработка ПДн, и их детального изучения. Дальнейшие действия будут зависеть от того, какая перед нами система.

Разберем порядок действий на отдельно взятой информационной системе.

Гис или не гис

Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет. От этого будет зависеть подход к защите. Как определить, ГИС перед нами или нет, описано в отдельной статье.

Рекомендации для систем обработки ПДн далее по тексту будем называть «для ИСПДн», рекомендации для государственных систем — «для ГИС».

Актуальные угрозы ИБ

Необходимо определить, какие угрозы ИБ актуальны для рассматриваемой информационной системы. Определение актуальных угроз производится в соответствии с «Методикой определения актуальных угроз безопасности персональных данных». В общем случае алгоритм выглядит так:

  1. По совокупности ответов на ряд первичных вопросов делается вывод об исходной защищенности информационной системы.
  2. Формируется перечень рассматриваемых угроз на основании «Базовой модели угроз безопасности персональных данных» и Банка данных угроз безопасности информации (см. выше). Для каждой угрозы экспертным путем определяется вероятность реализации.
  3. На основании вероятности реализации и уровня исходной защищенности определяется коэффициент реализуемости для каждой угрозы.
  4. Для каждой угрозы экспертным путем определяется показатель опасности для ИС и Оператора.
  5. На основании показателей реализуемости и опасности делается вывод об актуальности для каждой угрозы. Формируется перечень актуальных угроз.

Уровень защищенности ИСПДн

Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:

  • связанные с наличием недекларированных возможностей в системном программном обеспечении;
  • связанные с наличием недекларированных возможностей в прикладном программном обеспечении;
  • не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.

Рассматриваем каждую угрозу в отдельности. Определяем, к какому максимальному типу они относятся.

Следующим шагом необходимо определить категорию обрабатываемых данных. Существуют следующие категории персональных данных:

  • специальные;
  • биометрические;
  • общедоступные;
  • иные.

В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ.

Необходимо определить объем обрабатываемых ПДн. Здесь возможны 3 вариации:

  • до 100 тысяч;
  • более 100 тысяч;
  • ПДн сотрудников Оператора (без привязки по объему).

На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.

Для Определения УЗ можно воспользоваться специальной таблицей:

Класс ГИС

Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.

Для этого определяются дополнительные к предыдущему разделу показатели:

  1. Масштаб ГИС. Может быть федеральным, региональным и объектовым. Критерии определения зафиксированы в приказе ФСТЭК №17.
  2. Уровень значимости информации — определяется степенью возможного ущерба Оператора от нарушения конфиденциальности, целостности или доступности информации. Имеет три значения по убыванию значимости — УЗ1, УЗ2, УЗ3. Определяется экспертным путем. Критерии определения зафиксированы в приказе ФСТЭК № 17.

На основании уровня значимости и масштаба ИС делается вывод о классе ГИС.

Базовый набор мер

После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС.

Для ИСПДн требования формируются в соответствии с определенным уровнем защищенности на основании № 152-ФЗ, постановления Правительства № 1119, приказа ФСБ РФ № 378 и приказа ФСТЭК № 21.

Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17.

В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС. Назовем его базовый набор мер.

Адаптированный набор мер

Следующим шагом является анализ полученного базового набора мер и его актуализация. То есть удаление из него всех мер, несвойственных рассматриваемой информационной системе. Например, удаляем меру «Защита беспроводных сетей», если беспроводные технологии в ИС не применяются. В итоге  получаем адаптированный базовый набор мер.

Дополненный набор мер

Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ. В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер. На выходе получаем дополненный адаптированный базовый набор мер.

Система защиты информации

В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер. Происходит формирование проекта системы защиты информации.

Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ.

Для ГИС применяются только сертифицированные средства защиты информации.

Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые  внедряются в процессы обработки информации.

Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации. На этом этапе привлекаются специализированные организации, оказывающие соответствующие услуги.

При самостоятельном внедрении ознакомьтесь с типичными ошибками при построении СЗПДН.

Контур-Безопасность: Разработка, внедрение и сопровождение систем защиты ПДн.

Заказать услугу

Аттестация

После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства.

Для ИСПДн оценка соответствия в форме аттестации не обязательна. Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения. Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций.

Для ГИС оценка соответствия в форме аттестации является обязательной процедурой. Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.

Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации.

Заказать услугу

Что в итоге

В результате данного подхода получаем систему защиты информации. Как видим,  привлечение специализированных организаций происходит только на заключительных этапах. Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно.

Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации.

А что потом?

Система защиты информации внедрена и принята в эксплуатацию. Можно ли успокоиться и забыть о ней? Конечно нет. Мир информационных систем и технологий очень изменчив. Технологии развиваются и совершенствуются, изменяются информационные системы.

 Возможно,   через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны.

Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами.  

Удачи на пути создания собственной эффективной системы защиты информации.

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Источник: https://kontur.ru/articles/1763

Аттестация ИСПДн – аттестат соответствия информационных систем персональных данных по требованиям безопасности

Необходимость в атестации пк по для работы с перс данными

Обработка и хранение персональных данных физических лиц в рамках коммерческой или некоммерческой деятельности требует соблюдения определенных требований безопасности.

Необходимость обеспечивать защиту персональных данных и проходить аттестацию ИСПДн прописана в Федеральном законе №152-ФЗ от 7 июля 2006 года, причем под его действие попадают не только государственные, муниципальные структуры, но также физлица, ИП и юридические лица.

В зависимости от типа и класса защищенности системы проверка и получение аттестата могут носить обязательный либо добровольный характер.

Аттестация по требованиям безопасности информации — процедура не дешевая и в большинстве случаев удорожает обеспечение безопасности ИСПДн раза в полтора-два, поэтому многие операторы персональных данных хотели бы обойти данную процедуру.

Сразу отметим, что понятие «аттестация ИСПДн» относится только к государственным информационным системам персональных данных, что накладывает на операторов обязательства по обеспечению их безопасности в соответствии с Требованиями по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными Приказом ФСТЭК России №17 от 11.02.2013 г.

Аттестация информационных систем персональных данных обязательна только для ГИС.
Приказ ФСТЭК России №17 от 11 февраля 2013г.

Для информационных систем, не являющихся государственными, аттестат соответствия требованиям по безопасности информации не обязателен. Однако, он может понадобиться для доказывания должного уровня защиты ИСПДн. В этом случае данную процедуру можно провести в добровольном порядке. Проводится аттестация ИСПДн в соответствии в соответствии с тем же вышеупомянутым Приказом ФСТЭК России № 17.

Сама процедура аттестации проводится организацией, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации.

При этом в данной организации создается аттестационная комиссия, состоящая из экспертов и специалистов в области информационной безопасности, которая проводит оценку соответствия организационных и технических мер, а также испытания технических и программных средств защиты персональных данных.

В результате оценки соответствия выдается Аттестат либо предписание на устранение недостатков системы защиты ИСПДн, поэтому необходимо очень тщательно подойти к процедуре подготовки к аттестации, а лучше поручить подготовку компетентной организации.

Также в целях доказывания должного уровня защиты персональных данных возможно проведение и аудита соответствия, который проводится компетентными организациями, имеющими лицензию на техническую защиту конфиденциальной информации.

Об аудите соответствия обработки персональных данных

Правовые обоснования проведения аттестации информационных систем персональных данных

Как указано в статьях 18.1 и 19 действующего Федерального закона «О персональных данных», от оператора требуется подготовить и интегрировать программно-аппаратные средства защиты информации, а также пройти аттестационные испытания.

Проверка выполняется согласно нормативам ГОСТов, методологической документации ФСТЭК и ФСБ с помощью особого контрольного оборудования, сертифицированных средств измерения и отслеживания эффективности СЗПДн. Экспертам надлежит оценить различные подсистемы, включая антивирусное ПО, криптографическую безопасность, разграничение доступа и т.д.

Количество инспектируемых компонентов ИСПДн определяется установленным для данного предприятия уровнем защищенности информации.

Аттестация систем персональных данных регламентируется целым рядом подзаконных актов, с которыми имеет смысл ознакомиться каждому, кому предстоит подобная процедура:

  1. Приказы ФСТЭК РФ № 21 и 17.
  2. Приказ Федеральной службы безопасности № 378.
  3. Постановление Правительства России № 1119.

В соответствии с ними оператору нужно разработать и внедрить целый пакет организационно-распорядительных документов, которые будут четко прописывать, каким образом будет обеспечиваться работа каждой из подсистем ИСПДн.

Когда и кому необходимо получить аттестат соответствия ИСПДн?

В обязательном порядке документ, свидетельствующий о том, что информационная система ПДн отвечает действующим требованиям ФЗ-152, предстоит получить государственным органам и тем организациям, которые выполняют их функции.

Такие ИС нуждаются не только в обеспечении конфиденциальности сведений, но также в предупреждении несанкционированных действий в отношении собранной и хранимой информации, в частности, она должна быть защищена от изменения, удаления, копирования и распространения без согласия субъектов ПДн.

Добровольная аттестация системы защиты персональных данных инициируется, чтобы:

  • избежать конфликтов с проверяющими органами;
  • поддерживать хорошую деловую репутацию и минимизировать вероятность судебных исков за разглашение конфиденциальной информации;
  • подтвердить в глазах партнеров и клиентов статус лидера в выбранной рыночной нише — особенно это актуально для компаний, которые оказывают аутсорсинговые услуги в сфере бухучета, аудита, программного обеспечения и т.д.

Услуга проведения аттестационных испытаний с выдачей протоколов, заключений и аттестата, актуальная также для организаций любой формы собственности и специализации в таких случаях:

  • после окончания срока действия прошлого сертификата (документ выдается на 3 года);
  • при необходимости улучшения информационной защищенности;
  • при подозрении на систематическую утечку сведений и безрезультативность внутренних проверок;
  • после внесения существенных изменений в работе, например, закупки нового компьютерного оборудования, обновлении технологических процессов или значительном расширении базы данных.

Основные этапы проверки

Процедура анализа текущего уровня защиты ПДн достаточно трудоемкая, сложная и требует от исполнителей определенной квалификации и опыта. Её проводят на последнем этапе обеспечения безопасности информационных систем компании. Наш Центр выполняет полный спектр работ, действуя согласно методологии ФСТЭК Российской Федерации, которая предусматривает:

  1. Изучение ИС персональных данных с составлением акта об обследовании, с разработкой модели потенциальных угроз. На данном этапе происходит определение того, насколько эффективны используемые средств защиты ПДн, а затем создается техническое задание на разработку и интеграцию СЗ.
  2. Создание и внедрение проекта системы защиты с обязательной подготовкой ОРД.
  3. Аттестация безопасности ПДн с составлением технического паспорта на исследуемую систему, протокола оценки и заключения по результатам анализа. Если все требования ФЗ-152 соблюдены, то компания получает аттестат, который будет действительным в течение 3 лет.

Финансовая сторона вопроса

Стоимость аттестации ИСПДн определяется после обсуждения с клиентом всех аспектов сотрудничества и с учетом трудоемкости процесса, которая обусловлена потребностью документировать на каждом этапе выполненные действия и полученные результаты. Основными факторами, влияющими на итоговую сумму, являются:

  • число компьютеров, ноутбуков и прочей вычислительной техники, формирующей систему персональных данных предприятия;
  • специфика используемых технологий обработки информации;
  • класс защищенности и тип ИСПДн;
  • количество необходимых средств обеспечения безопасности конфиденциальных сведений.

При обращении в наш Центр вы можете быть уверенными в том, что цена аттестации информационных систем персональных данных будет обоснованной, а все условия сотрудничества будут четко прописаны в договоре на обслуживание. Точно определить количество и вид необходимых средств помогает предварительное обследование, на основе которого создается технический проект под конкретную компанию.

Естественно, чем масштабней организация, тем большими будут финансовые затраты, но при выборе сервиса под ключ, который мы предлагаем, переплачивать не придется.

К тому же, инвестируя денежные активы в безопасность ПДн сейчас, в будущем вы можете избежать штрафов ФСТЭК за несоблюдение нормативов ФЗ-152 и других подзаконных актов, а также создать себе репутацию действительно надежного партнера, который способен защитить информацию от неправомерных действий.

Источник: https://data-sec.ru/personal-data/attestation/

Аттестация ИСПДн в компании – ООО

Необходимость в атестации пк по для работы с перс данными

Закон вступил в силу 07.06.2006 г. и требует, чтобы каждый оператор выполнил требования статей 18.1 и 19 закона путем подготовки (защиты) и оценки защищенности (аттестации) компьютерных систем.

Под подготовкой понимается реализация системы защиты персональных данных в составе ИСПДн, которая создается на базе целого ряда подсистем защиты: антивирусная подсистема, подсистема обнаружения вторжений, подсистема межсетевого экранирования, подсистема анализа защищенности, криптографическая подсистема, подсистема защиты от несанкционированного доступа и другие подсистемы в зависимости от требуемого уровня защищенности той или иной ИСПДн.

Сначала кажется, что все просто, но, открыв статьи 18.1 и 19, можно лишь сказать, что защищать компьютерные системы нужно, но как именно — непонятно.

В законе сказано, что конкретные требования по защите ИСПДн регламентируются регуляторами в области защиты информации, а это ФСБ и ФСТЭК России. Уровень защищенности ИСПДн определяется в соответствии с постановлением Правительства № 1119, а требования к самим мерам (подсистемам) защиты установлены приказами ФСТЭК России № 17, 21 и ФСБ России № 378.

Также необходимо отметить, что при реализации технических мер защиты, нужно разработать отдельные организационно-распорядительные документы (ОРД), регламентирующие каждое из направлений защиты (антивирусная защита, обнаружение вторжений, межсетевое экранирование, анализ защищенности, криптографическая защита, защита от несанкционированного доступа и др.). Кроме того, необходимы документы, описывающие общие вопросы обработки и защиты персональных данных в ИСПДн (разрешительная система доступа, описание технологического процесса обработки персональных данных и др.).

Как аттестовать ИСПДн?

Порядок аттестации регламентирован уполномоченными регуляторами в области защиты информации — ФСБ и ФСТЭК России.

В основном методология аттестации ИСПДн базируется на нормативно-методической документации ФСТЭК России, которая состоит более чем из 30 документов.

Но основные документы, на которые стоит опираться, это приказы ФСТЭК № 17 и 21, а также приказ ФСБ № 378. Если ваша организация не является лицензиатом ФСТЭК России, то проводить работы по аттестации нельзя.

Порядок работ по методологии ФСТЭК России выглядит следующим образом:

Кто проводит аттестацию ИСПДн?

В соответствии с ФЗ-99 «О лицензировании отдельных видов деятельности» и постановлением правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» аттестацию ИСПДн имеет право проводить только лицензиат ФСТЭК России (лицензия ФСТЭК на техническую защиту конфиденциальной информации) с пунктами «а» и «г».

К лицензиатам ФСТЭК предъявляются особые требования, такие как:

Лицензиаты ФСТЭК проходят специальную процедуру лицензирования и далее периодически подтверждают свою компетентность по регламенту ФСТЭК России.

Может ли аттестацию ИСПДн провести оператор самостоятельно?

Не может. Работы по технической защите конфиденциальной информации являются лицензируемым видом деятельности, и аттестация, относящаяся к технической защите, не исключение.

Это прямо установлено постановлением правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».

Поэтому оператор не может провести аттестацию самостоятельно, без привлечения на договорной основе лицензиата ФСТЭК России.

Для привлечения лицензиата ФСТЭК к работам по аттестации ИСПДн необходимо:

  1. Заполнить анкету по сбору исходных данных, необходимых для оценки стоимости и сроков работ по аттестации (скачать анкету можно по ссылке).
  2. Отправить анкету для просчета стоимости работ лицензиату ФСТЭК России (например, в отдел аттестации ООО «ЦБИС»: att@ciss.su, не обязательно находящегося в вашем регионе, так как лицензиаты имеют право работать на территории всей России.
  3. Заключить договор на аттестацию ИСПДн, сверив состав работ по договору с правильной методологией (см выше «как аттестовать ИСПДн»).

Скачать коммерческое предложение на аттестацию ИСПДн

СКАЧАТЬ PDF

Какие документы необходимы для аттестации ИСПДн?

Для того, чтобы аттестовать ИСПДн, в первую очередь необходима следующая документация по 19 статье закона и постановлению правительства № 1119:

Внимание: указанный выше перечень документов не является достаточным для аттестации ИСПДн, так как дополнительно нужно учитывать требования других подзаконных нормативно-правовых актов в области защиты персональных данных.

Аттестация ИСПДн: камни преткновения

Со следующими проблемами сталкиваются большинство операторов при реализации технических мер защиты персональных данных (при аттестации ИСПДн): 

  1. Не знают, какие средства защиты информации нужно применять и как трактовать требование закона о необходимости применения средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия. В итоге применяют несертифицированные средства защиты, надеясь на авось.
  2. Не знают, что работы по аттестации имеют право проводить только специальные организации — лицензиаты ФСТЭК России с определенными пунктами в лицензии (пункты «а» и «г»). И проводят работы по аттестации самостоятельно, тем самым нарушая закон.
  3. Не знают, какие конкретно организационно-распорядительные документы необходимо разработать для аттестации ИСПДн, в том числе, ввиду незнания подзаконных нормативно-правовых актов в области обеспечения безопасности персональных данных.
  4. Не знают методологию выполнения работ, так как не являются лицензиатами ФСТЭК России и не имеют доступ к нормативно-методической базе ФСТЭК России. В связи с этим не представляют, какие отчетные документы обязательно должны быть разработаны для аттестации ИСПДн и по результатам ее выполнения.
  5. Думают, что применение штатных функций защиты операционной системы и лицензионного антивируса достаточно для реализации мер защиты персональных данных, даже не подозревая, что для информационной системы самого низкого уровня (класса) защищенности требуется реализовать более 7 (семи) подсистем безопасности: антивирусная подсистема, подсистема межсетевого экранирования, подсистема анализа защищённости, криптографическая подсистема, подсистема защиты от несанкционированного доступа, подсистема защиты среды виртуализации и другие подсистемы в зависимости от модели угроз и нарушителя. 

Лайфхак по правильной аттестации ИСПДн

Чтобы правильно аттестовать ИСПДн, необходимо учесть следующее:

  1. Помимо организационно-распорядительной документации, которую нужно разработать для выполнения требований статьи 19 закона, также необходимо разработать дополнительные документы в соответствии с подзаконными нормативно-правовыми актами в области обеспечения безопасности персональных данных (см перечень ниже).
  2. Для коммерческих организаций не обязательно применение именно сертифицированных в ФСБ и ФСТЭК России средств защиты информации, но обязательна их оценка соответствия требованиям безопасности информации с документальным подтверждением оценки (программа и методика оценки, протокол оценки, заключение, декларация соответствия). На практике часто бывает, что приобрести сертифицированные средства защиты проще (менее трудоемко), легитимнее и менее рисково, чем делать оценку не сертифицированных средств защиты.
  3. Разрабатывать модель угроз по методологи ФСБ России и применять средства криптографической защиты необходимо, только если защищаемая информация (персональные данные) выходит за пределы контролируемой зоны, т.е. передается через небезопасную среду, такую как интернет.
  4. В обязательном порядке необходимо разрабатывать технический проект на систему защиты персональных данных, в котором отражаются результаты выбора базовых мер защиты, их адаптации, уточнения и дополнения в соответствии с методологией ФСТЭК России.
  5. Если какие-то меры защиты применить к ИСПДн невозможно, ввиду, например, отсутствия на рынке средств защиты информации для данной архитектуры ИСПДн, экономической нецелесообразности и др., то нельзя просто исключать неподходящие меры, а следует написать обоснование и выбрать компенсирующие меры. Все указанное отражается в техническом проекте на систему защиты персональных данных, чтобы доказать легитимность выбора.

Подзаконные нормативно-правовые акты по аттестации ИСПДн

Чтобы аттестовать ИСПДн полноценно, необходимо также учитывать требования следующих подзаконных нормативно-правовых актов в области обеспечения безопасности персональных данных:

Аттестация ИСПДн: цена вопроса

Трудоемкость аттестации ИСПДн достаточно велика ввиду многоэтапности и необходимости документирования каждого этапа работы. Также стоит сказать, что методология аттестации одинакова для ИСПДн любого масштаба, даже для ИСПДн, состоящей из одного компьютера.

Стоимость аттестации зависит от количества объектов вычислительной техники, входящих в состав ИСПДн, технологий обработки и уровня (класса) защищенности, который требуется обеспечить.
Само собой, чем ИСПДн масштабнее, тем аттестация будет дороже. Итоговая стоимость включает стоимость услуг и средств защиты, необходимых для реализации системы защиты.

Для небольшой ИСПДн, состоящей из 1 сервера и примерно 10 рабочих станций, стоимость составит около 300 тысяч за услуги под ключ и около 300 тысяч за средства защиты. Для более крупных ИСПДн, состоящих из 10 серверов и примерно 100 рабочих станций, стоимость составит около 1,5 млн. за услуги под ключ и около 1,5 — 2 млн. за средства защиты.

Аттестация ИСПДн, как правило, выделяется в отдельный проект подготовки по требованиям 152-ФЗ с отдельным бюджетом. Набор необходимых средств защиты определяется по результатам предпроектного обследования и разработки самого технического проекта на систему защиты персональных данных. Работы по аттестации проводятся на договорной основе между заказчиком работ и лицензиатом ФСТЭК России.

Что предлагаем мы?

Мы предлагаем вам аттестацию ИСПДн по требованиям ФСТЭК России для полноценного соответствия 152-ФЗ и прохождения проверок регуляторов (Роскомнадзор, ФСБ и ФСТЭК России) с гарантиями по договору.

Источник: https://xn--90ao1ar.xn--p1ai/attestatsiya_fstek/attestatsiya-ispdn/

Ваш юрист
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: