Обязательно ли Аттестация ИСПДн? Вопрос необходимости аттестации Оператором персональных данных (ПДн) своей информационной системы обрабатывающей персональные данные (ИСПДн), всегда стоит ребром. Операторы пытаются найти грань финансовой ликвидности мероприятий по защите своей ИСПДн. Если делать все «по максимуму», то цена работ даже для небольшой ИСПДн может составить не один миллион рублей!
Сначала обратимся к законодательству. Ответ на поставленный вопрос содержится в п.6 Приказа № 21 ФСТЭК от 18.02.2012. Согласно которому:
«Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации»
Из написанного выше видим, что Оператору предоставляется выбор. Можноо провести оценку самостоятельно, либо привлечь лицензиата ФСТЭК для проведения оценки (Аттестации). Таким образом мы можем сделать однозначный ответ – Аттестация не обязательна, у Оператора есть выбор!
Не спешите потирать ручки, если у Оператора есть право осуществить самостоятельную оценку, то это не значит, что оценку можно сделать «как попало», по своему усмотрению. В данном случае Оператор не освобожден от необходимости проделать все те же подготовительные работы по защите своей ИСПДн, которые проводятся перед Аттестацией ИСПДн, а именно:
– Обследование объекта и фиксация изначального состояния системы защиты ИСПДн.
– Разработка модели угроз и нарушителя для ИСПДн.
– Классификация ИСПДн, с аргументированным присвоением одного из четырех уровней защищенности (УЗ).
– Разработка технического задания, на проектирование системы защиты ПДн (СЗПДн).
– Разработка подробного Технического проекта на СЗПДн.
– Составление сметы к закупке средств защиты, определенных в техническом проекте.
– Закупка, монтаж, настройка и пуско-наладка средств защиты информации из состава СЗПДн.
– Разработка организационно-распорядительной (ОРД) и технической (ТД) документации на СЗПДн и взаимодействие с ней.
– Обучение персонала, работающего с ПДн и обеспечивающего безопасность ПДн. Итоговая проверка знаний указанного персонала.
Вышеописанный кропотливый процесс — это только часть большой работы, фундамент, прочность которого должна выявить оценка соответствия СЗПДн требованиям законодательства.
После подготовительных работ по защите своей ИСПДн Оператор ПДн должен примерить на себя образ Лицензиата ФСТЭК! Придется выполнить проверку соответствия реализованной СЗПДн требованиям законодательства. По результатам проверки оформляется ряд документов, а именно:
– Программа и методики испытаний ИСПДн.
– Протокола испытаний ИСПДн.
– Заключения по результатам испытаний ИСПДн.
Как видно из перечня выше, «легкой прогулки» не получится. Если цель сделать своими силами, но на совесть, то придется выложиться на все 100%.
По имеющемуся у нас опыту, самостоятельно и качественно провести данные работы могут только те Операторы ПДн, у которых в штате есть персонал, с опытом работ в данной сфере, а таких очень мало.
В итоге, многие делают так как получится и как поняли из документов. И тут начинается «кто в лес, кто по дрова», проблемы начинаются на ранних и ключевых этапах – классификации ИСПДн и разработки модели угроз и нарушителя. Важны все нюансы, описывающие объект информатизации. Персонал, размер информационной системы, качественный и количественный состав ИСПДн, внешние взаимосвязи и т.д. Те характеристики, которые не искушенный первопроходец посчитал незначительными или которые он упустил, коренным образом могут повлиять на конечный результат.
Стоит допустить 1 существенную неточность или интерпретировать тот или ной факт об объекте исходя из своих предположений и в 9 из 10 случаев полученные документы даже близко не отобразят реальной картины на объекте и не будут соответствовать актуальным требованиям нормативной документации.
Но если многие допускают ошибки по случайности, без злого умысла, то нерадивые Операторы, которые решили сэкономить время даже при самостоятельной оценке соответствия, просто скачивают шаблоны этих документов из сети, меняют адрес и наименование объекта и радостно фиксируют успешное начало работ. А дальше проблемы начинают накапливаться как снежный ком:
Итог: потрачена серьезная сумма денег, потрачено огромное количество времени и сил, а результат практически нулевой. Первый запрос от сведущего в вопросе контрагента или регулятора и все нестыковки, ошибки, недоделки всплывут наружу. Контрагент откажется сотрудничать (а то и подаст в суд за недобросовестное исполнение обязательств по ранее заключенному контракту). Регулятор инициирует полноценную проверку, а дальше штрафы и ответственность для руководства ЮЛ.
Основных варианта три:
Допустим, у Оператора есть возможность провести работы как своими силами, так и с привлечением подрядчика. Что выбрать? Давайте рассмотрим основные плюсы и минусы обоих вариантов.
Начнем с оценки соответствия СЗПДн ИСПДн своими силами.
Плюсы:
– Оптимизация финансовых затрат;
– Возможность самостоятельно внести изменения в будущем, при необходимости;
– Повышение квалификации и общей вовлеченности в процесс персонала Оператора ПДн.
Минусы:
– Предвзятое отношение контрагентов и регуляторов к такого рода работам. Все будут изначально считать, что работа либо вовсе не делалась (просто напечаталась бумажка), либо сделана некачественно. Тут, с огромной долей вероятности, придется доказывать обратное уже Оператору ПДн.
– Привязка к исполнителю. Если у Оператора есть кадровая «текучка», это может стать серьезной проблемой.
– При участиях в закупках/тендерах, при наличии требований по защите ПДн, всегда требуют именно наличие Аттестата соответствия. Самостоятельная оценка, как правило, не подходит.
– Сроки реализации нередко растягиваются, так как у исполнителей есть другие обязанности в рамках рабочего процесса Оператора.
Если говорить об Аттестации лицензиатом ФСТЭК.
Плюсы:
– Кратчайшие сроки (естественно, при должном содействии Оператора);
– Высокое качество оказываемых услуг, работы выполняется профессионалами с многолетним опытом в сфере информационной безопасности.
– Аттестат на ИСПДн выдается лицензиатом ФСТЭК. Отсутствие вопросов к Аттестату, как к форме подтверждения соответствия системы защиты ПДн. У контрагентов и регуляторов ни когда не возникает вопросов к такому формату.
– Данные по объекту будут отправлены во ФСТЭК и занесены в закрытый реестр регулятора.
– Единственный вариант для компаний, участвующих в закупках/тендерах, организуемых госзаказчиками и крупными частными компаниями.
– Аттестующая организация всегда остается на связи и помогает оперативно решать вопросы, связанные с аттестованным объектом.
Минусы:
– Финансовые затраты на оплату работ Аттестующей организации
– Персонал Оператора недостаточно погружается в вопрос защиты ПДн (решается организационными методами).
Ваше решение – ваш выбор!
Надеюсь благодаря этой статье мы ответили на вопрос, который вас волновал.
На данный момент законодательство позволяет проводить оценку соответствия реализованных мер защиты ПДн силами оператора ПДн. По практике, пользуются этой возможностью единичные компании, из-за отсутствия компетенции у большей части Операторов ПДн.
Если вы все еще сомневаетесь в правильности того или иного решения – позвоните нам, мы проясним все непонятные вопросы и поможем найти решение вашей задачи.