Если вы занимаетесь обработкой и хранением персональных данных для бизнеса или в некоммерческих целях, то нужно соблюдать определенные требования безопасности. Федеральный закон №152-ФЗ от 7 июля 2006 года обязывает обеспечивать защиту этих данных и проходить аттестацию информационных систем персональных данных (ИСПДн). Это касается не только государственных и муниципальных организаций, но и частных лиц, индивидуальных предпринимателей и компаний.
Важные нюансы
В зависимости от типа и класса системы, проверка и получение аттестата могут быть обязательными или добровольными.
Процедура аттестации – удовольствие не из дешевых. Она может повысить расходы на обеспечение безопасности в полтора-два раза. Поэтому многие операторы данных пытаются избежать этой процедуры.
Важно отметить, что аттестация ИСПДн обязательна только государственных информационных систем персональных данных. Это накладывает на операторов обязанность обеспечить их безопасность в соответствии с требованиями по защите информации, которые утверждены Приказом ФСТЭК России №17 от 11.02.2013 г.
Если ваша информационная система не является государственной, то аттестат соответствия требованиям по безопасности информации не обязателен. Однако его можно получить для подтверждения должного уровня защиты ИСПДн на добровольной основе, согласно Приказу ФСТЭК России №17.
Как проводится аттестация?
Аттестацию проводит организация с лицензией на техническую защиту конфиденциальной информации. Для этого создается аттестационная комиссия из экспертов и специалистов в области информационной безопасности. Они оценивают организационные и технические меры, проводят испытания средств защиты персональных данных. По итогам выдают аттестат или предписание на устранение недостатков, так что подготовку лучше поручить компетентной организации.
Чтобы подтвердить уровень защиты персональных данных, можно провести аудит соответствия. Это делают лицензированные организации, проверяя меры защиты по ГОСТам и методическим документам ФСТЭК и ФСБ, используя сертифицированное оборудование. Они оценивают антивирусное ПО, криптографию, разграничение доступа и другие подсистемы.
Согласно статьям 18.1 и 19 Федерального закона «О персональных данных», операторы обязаны внедрить средства защиты информации и пройти аттестационные испытания. Проверка проводится по нормативам ГОСТ, методическим документам ФСТЭК и ФСБ с использованием сертифицированного оборудования.
Аттестация систем персональных данных регулируется рядом подзаконных актов:
- приказы ФСТЭК РФ №21 и №17;
- приказ ФСБ №378;
- постановление Правительства РФ №1119.
Операторам нужно разработать и внедрить документы, которые прописывают работу каждой подсистемы ИСПДн.
Когда и кому нужен аттестат соответствия ИСПДн?
Аттестат соответствия информационных систем персональных данных обязаны получить государственные органы и организации, выполняющие их функции. Этот документ подтверждает, что их информационная система соответствует требованиям ФЗ-152. Такие системы должны обеспечивать не только конфиденциальность данных, но и защиту от несанкционированного изменения, удаления, копирования и распространения информации.
Добровольная аттестация системы защиты персональных данных может понадобиться, чтобы:
- избежать конфликтов с проверяющими органами;
- поддерживать хорошую деловую репутацию и минимизировать риск судебных исков за разглашение конфиденциальной информации;
- подтвердить статус лидера в глазах партнеров и клиентов, особенно если компания предоставляет аутсорсинговые услуги в сфере бухгалтерии, аудита, программного обеспечения и т.д.
Аттестация с выдачей протоколов, заключений и аттестата может быть актуальна для организаций любой формы собственности и специализации в следующих случаях:
- после окончания срока действия прошлого сертификата (документ выдается на 3 года);
- при необходимости улучшения информационной безопасности;
- при подозрении на утечку данных и безрезультативности внутренних проверок;
- после существенных изменений, таких как закупка нового компьютерного оборудования, обновление технологических процессов или значительное расширение базы данных.
Основные этапы проверки
Процедура анализа текущего уровня защиты персональных данных (ПДн) – дело непростое. Она требует определенной квалификации и опыта и проводится на последнем этапе обеспечения безопасности информационных систем компании. Спектр работ, в соответствии с методологией ФСТЭК РФ, включает:
- Изучение ИС персональных данных. Сначала составляется акт об обследовании, разрабатывается модель потенциальных угроз. На этом этапе оценивается, насколько эффективны текущие средства защиты ПДн, и создается техническое задание для разработки и интеграции средств защиты (СЗ).
- Создание и внедрение системы защиты. Разрабатывается и внедряется проект системы защиты с обязательной подготовкой организационно-распорядительных документов (ОРД).
- Аттестация безопасности ПДн. Составляется технический паспорт на систему, протокол оценки и заключение по результатам анализа. Если все требования ФЗ-152 соблюдены, компания получает аттестат, который действителен в течение трех лет.
Финансовая сторона вопроса
Стоимость аттестации ИСПДн определяется после обсуждения всех аспектов сотрудничества с клиентом. Цена зависит от трудоемкости процесса. Вот основные факторы, влияющие на стоимость:
- количество компьютеров и другой вычислительной техники;
- специфика используемых технологий обработки информации;
- класс защищенности и тип ИСПДн;
- количество необходимых средств обеспечения безопасности.
Важно, чтобы условия сотрудничества были четко прописаны в договоре. Предварительное обследование помогает точно определить необходимое количество и виды средств, на основе чего создается технический проект.
Чем больше организация, тем выше затраты, это нужно понимать. Поэтому может возникнуть вопрос: обязательна ли аттестация ИСПДн? Инвестируя в безопасность ПДн сейчас, вы избежите будущих штрафов за несоблюдение нормативов ФЗ-152 и других актов и создадите репутацию надежного партнера, способного защитить информацию от неправомерных действий.
Есть вопросы по аттестации? Мы ответим на них бесплатно!
Получить консультацию
