Аттестация информационных систем персональных данных (ИСПДн)

Что бы избежать проблем с законом, необходимо подтвердить соответствие информационной системы требованиям основных нормативно-правовых актов, регламентирующих процесс работы с ПДн, а именно:

1. Постановление Правительства № 1119 от 1 ноября 2012 г.;
2. Постановление Правительства №687 от 15 сентября 2008 г.;
3. Приказ ФСТЭК России №21 от 18 февраля 2013 г.;
4. Приказ ФСТЭК России №77 от 29 апреля 2021 г.;
5. Приказ ФСБ России №378 от 10 июля 2014 г.;
6. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК  России 15 февраля 2008 г.;
7. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.

После аттестации ИСПДн, оператор может на законных основаниях обрабатывать ПДн. Тип и количество обрабатываемых ПДн определяется уровнем защищенности (УЗ) ИСПДн, который присваивается системе на этапе её обследования.

Кому нужно получать Аттестат соответствия ИСПДн?

Требования по защите ПДн предъявляются к абсолютно всем организациям, не зависимо от формы собственности и организационной структуры. Абсолютно одинаковые требования распространяются как на Индивидуальных предпринимателей, так и государственные предприятия с многотысячным штатом работников.

Если ваша работа связана с обработкой ПДн, Аттестация является обязательной процедурой для обеспечения соответствия вашего бизнес-процесса требованиям законодательства РФ.

Требования к аттестации ИСПДн и сроки проведения Аттестации

Процесс проведения Аттестационных испытаний, и выдача Аттестата, при положительном их завершении – лишь вершина айсберга, под названием «обеспечение защиты ПДн».

Если кратко, то весь жизненный процесс можно разделить на несколько основных этапов:

1. Организация, приходит к выводу что она является оператором ПДн, и свою ИСПДн необходимо защищать в соответствии с требованиями законодательства. В большинстве случаев к этому выводу приходят не самостоятельно, а их спускают «сверху». Например, у организации имеется крупный Заказчик, и в рамках выполнения работ по договору для этого Заказчика организация получает доступ к неким ПДн Заказчика и осуществляет с ними работу. В этом случае Заказчик потребует обеспечения безопасности передаваемых ПДн, а подтвердить их безопасность можно лишь предоставив аттестат соответствия на свою ИСПДн.
2. После осознания необходимости защиты и аттестации своей ИСПДн, организация начинает поиск подрядчика, который выполнит данную работу. ВАЖНЫЙ МОМЕНТ! – Выполнить такую работу может только Лицензиат ФСТЭК России, либо аккредитованный ФСТЭК России Аттестующий центр. При всем при этом, не каждый лицензиат ФСТЭК может проводить работы по аттестации, для этого в его лицензии на Техническую защиту конфиденциальной информации (далее лицензия ТЗКИ), должен быть соответствующий пункт – Аттестационные испытания и аттестация на соответствие требованиям по защите информации (если данного пункта в лицензии подрядчика не имеется, то и провести работу он своими силами не сможет).
3. Предположим организация определилась с подрядчиком. Здесь начинается основной процесс, первым и одним из самых важных этапов является этап обследования ИСПДн Заказчика. Именно на этом этапе Исполнитель собирает исходные данные об ИСПДн заказчика, проверяет правильно ли была классифицирована ИСПДн. По результату обследования Исполнитель формирует актуальную Модель угроз и Модель нарушителя для представленной ИСПДн. На основании всех полученных данных формируется Техническое Задание на разработку системы защиты персональных данных (далее СЗПДн), которое утверждается владельцем ИСПДн.
4. После определения исходных данных, Исполнитель приступает к проектированию СЗПДн. Результатом данной работы будет Технический проект на создание СЗПДн. В этом документе исполнитель предлагает варианты решения, обнаруженных на предыдущем этапе, проблем в обеспечении безопасности ПДн. По завершению данного этапа Заказчик уже получает представления о «масштабах бедствия» с конкретными цифрами необходимых финансовых затрат на постройку СЗПДн. Здесь Заказчик решает, либо принимает представленный проект без правок в работу, либо, может усмотреть нецелесообразность внедрения описанной СЗПДн, и совместно с Исполнителем приступить к доработке Технического проекта.
5. После завершения всех проектных работ, наступает этап закупки средств защиты информации (далее СЗИ) и их внедрение в ИСПДн. После внедрения, как правило, владелец ИСПДн проводит внутреннюю приемку.
6. Параллельно с работами по п.5 проводится разработка организационно-распорядительной документации, которая будет регламентировать обращение с ПДн в рамках ИСПДн, на которую осуществляется разработка и внедрение системы защиты. Именно эта документация будет отвечать на вопросы “кто виноват” и “что делать”. Обычно, к данному вопросу подходят чисто формально, зачастую просто печатая шаблоны документов из интернета, даже не проводя адаптацию под свою систему. При разработке данных документов мы стараемся учесть все нюансы защищаемой ИСПДн и отразить их в документации.
7. Ключевым этапом будет являться непосредственно процедура аттестации ИСПДн. В рамках этого этапа с владельцем ИСПДн будет согласована Программа и методики (ПиМ) проведения аттестационных испытаний. После согласования ПиМ, Исполнитель проводит непосредственные испытания, с оформлением Протокола аттестационных испытаний и выдачей Заключения по результатам испытаний. В случае положительного Заключения владельцу ИСПДн передается Аттестат соответствия на ИСПДн.
8. Заключительным этапом будет отправка Аттестующей организацией отчетных документов в региональное управление ФСТЭК России (регион где находится аттестованный объект – ИСПДн). На основании этих документов регулятор ведет реестр аттестованных объектов. Владельцу ИСПДн стоит помнить, что раз в 2 года, он обязан отчитываться перед ФСТЭК, о проведении периодических контролей системы защиты своей ИСПДн, с предоставлением соответствующей документации в региональное отделение ФСТЭК России.

Трудности получения Аттестата соответствия ИСПДн

Как правило, трудности у Операторов ПДн начинаются с осознания необходимости приведения своей ИСПДн в соответствие требованиям законодательства. Сразу возникает целая куча вопросов:

• Какой уровень защищенности нужен?
• Как его определить?
• Как защитить ИСПДн и кто это может делать по закону?
• Кто может аттестовать ИСПДн и что для этого нужно?
• Сколько все это стоит?

И целый ворох других вопросов связанных с защитой ПДн.

Самой главной трудностью для Оператора ПДн является разобраться во всех этих вопросах и получить общее понимание о процессе.

Все остальные мероприятия являются уже специфичной работой, которую должен выполнять лицензиат ФСТЭК России, соответственно трудности по этой работе перекладываются на непосредственного исполнителя.

Чем Мы можем Вам помочь аттестации ИСПДн по требованиям безопасности информации?

Если вы являетесь Оператором ПДн или только планируете начать деятельность, связанную с обработкой ПДн, ООО «ЕЦАС» может провести вашу подготовку «под ключ». Начиная с обследования вашей ИСПДн и проектирования системы её защиты, заканчивая её аттестацией и юридической подготовкой ИСПДн к вводу в эксплуатацию.

Большинство работ, которые проводятся в рамках описываемой задачи, подпадают под лицензируемые ФСТЭК России виды деятельности – наша организация имеет все необходимые лицензии (с ними можно ознакомится на соответствующей странице) и огромный опыт в этой сфере. Поможем получить аттестацию компьютера для работы с персональными данными.

Зачастую, аналогичные услуги предлагаются обычными юридическими агентствами или другими организациями, предлагающими услуги по консалту. ВАЖНО!!! – не имея соответствующих лицензий, подобные организации оказывают свои услуги либо незаконно (некачественно и, как правило, не дорого), либо с привлечением подрядных организации с соответствующими лицензиями, что, как правило, вполне законно, но при этом очень дорого и долго.

Стоимость

Краеугольный вопрос для всех организаций, столкнувшихся с необходимостью защиты и аттестации своих ИСПДн – сколько это стоит?

И как не странно, правильный ответ на такой вопрос – мы не знаем!

Стоимость проведения работ складывается из целого ряда факторов, основные из них:

• технические характеристики ИСПДн (автоматизированная и/или неавтоматизирвоанная обработка, количество и тип средств обработки (АРМы, сервера, виртуальные и облачные сервисы, и т.д.), используемое ПО для обработки ПДн и т.д.);
• уровень защищенности ИСПДн (определяемых типом угроз ПДн, типом самих ПДн и их количеством);
• тип ИСПДн (объектовая или распределенная) ;
• изначальная защищенность системы;
• наличие организационно–распорядительной и технической документации по эксплуатации ИСПДн;
• наличие средств защиты информации, соответствующих требованиям законодательства.
• прочие факторы…

Только получив эти данные, можно сформировать примерное ценовое предложение на планируемые работы. А финальная сумма будет ясна только после готовности Технического проекта на систему защиты ИСПДн!

По нашему опыту, стоимость работ по защите и аттестации ИСПДн может начинаться от 100 тысяч рублей и уходить далеко за несколько десятков миллионов.

Поэтому, при поиске подрядчика будьте внимательны! Если вам при первом разговоре по телефону называют конкретную стоимость – это повод усомниться в компетентности организации, в которую вы обращаетесь!