×
Мы перезвоним Вам
×
Напишите нам
Популярные услуги
×

Аттестация ИСПДн — обязательна?

Аттестация ИСПДн. О чём говорит законодательство?

Обязательно ли Аттестация ИСПДн? Вопрос необходимости аттестации Оператором персональных данных (ПДн) своей информационной системы обрабатывающей персональные данные (ИСПДн), всегда стоит ребром. Операторы пытаются найти грань финансовой ликвидности мероприятий по защите своей ИСПДн. Если делать все «по максимуму», то цена работ даже для небольшой ИСПДн может составить не один миллион рублей!

Сначала обратимся к законодательству. Ответ на поставленный вопрос содержится в п.6 Приказа № 21 ФСТЭК от 18.02.2012. Согласно которому:

«Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации»

Из написанного выше видим, что Оператору предоставляется выбор. Можноо провести оценку самостоятельно, либо привлечь лицензиата ФСТЭК для проведения оценки (Аттестации). Таким образом мы можем сделать однозначный ответ – Аттестация не обязательна, у Оператора есть выбор!

Отлично, напишем что всё соотвествует! Аттестция ИСПДн нам не нужна.

Не спешите потирать ручки, если у Оператора есть право осуществить самостоятельную оценку, то это не значит, что оценку можно сделать «как попало», по своему усмотрению. В данном случае Оператор не освобожден от необходимости проделать все те же подготовительные работы по защите своей ИСПДн, которые проводятся перед Аттестацией ИСПДн, а именно:

— Обследование объекта и фиксация изначального состояния системы защиты ИСПДн.

— Разработка модели угроз и нарушителя для ИСПДн.

— Классификация ИСПДн, с аргументированным присвоением одного из четырех уровней защищенности (УЗ).

— Разработка технического задания, на проектирование системы защиты ПДн (СЗПДн).

— Разработка подробного Технического проекта на СЗПДн.

— Составление сметы к закупке средств защиты, определенных в техническом проекте.

— Закупка, монтаж, настройка и пуско-наладка средств защиты информации из состава СЗПДн.

— Разработка организационно-распорядительной (ОРД) и технической (ТД) документации на СЗПДн и взаимодействие с ней.

— Обучение персонала, работающего с ПДн и обеспечивающего безопасность ПДн. Итоговая проверка знаний указанного персонала.

Вышеописанный кропотливый процесс — это только часть большой работы, фундамент, прочность которого должна выявить оценка соответствия СЗПДн требованиям законодательства.

После подготовительных работ по защите своей ИСПДн Оператор ПДн должен примерить на себя образ Лицензиата ФСТЭК! Придется выполнить проверку соответствия реализованной СЗПДн требованиям законодательства. По результатам проверки оформляется ряд документов, а именно:

— Программа и методики испытаний ИСПДн.

— Протокола испытаний ИСПДн.

— Заключения по результатам испытаний ИСПДн.

Как видно из перечня выше, «легкой прогулки» не получится. Если цель сделать своими силами, но на совесть, то придется выложиться на все 100%.

По имеющемуся у нас опыту, самостоятельно и качественно провести данные работы могут только те Операторы ПДн, у которых в штате есть персонал, с опытом работ в данной сфере, а таких очень мало.

В итоге, многие делают так как получится и как поняли из документов. И тут начинается «кто в лес, кто по дрова», проблемы начинаются на ранних и ключевых этапах — классификации ИСПДн и разработки модели угроз и нарушителя. Важны все нюансы, описывающие объект информатизации. Персонал, размер информационной системы, качественный и количественный состав ИСПДн, внешние взаимосвязи и т.д. Те характеристики, которые не искушенный первопроходец посчитал незначительными или которые он упустил, коренным образом могут повлиять на конечный результат.

Типовая проблема:

Стоит допустить 1 существенную неточность или интерпретировать тот или ной факт об объекте исходя из своих предположений и в 9 из 10 случаев полученные документы даже близко не отобразят реальной картины на объекте и не будут соответствовать актуальным требованиям нормативной документации.

Но если многие допускают ошибки по случайности, без злого умысла, то нерадивые Операторы, которые решили сэкономить время даже при самостоятельной оценке соответствия, просто скачивают шаблоны этих документов из сети, меняют адрес и наименование объекта и радостно фиксируют успешное начало работ. А дальше проблемы начинают накапливаться как снежный ком:

  • Из-за неправильного построения и просчета модели угроз и классификации ИСПДн формируется некорректное техническое задание на разработку СЗПДн.
  • На основании некорректного ТЗ разрабатывается заведомо неверный технический проект, который либо перегрузит СЗПДн, либо оставит ощутимую «брешь» в обороне.
  • Дальше в закупку идет избыточное количество СЗИ и тратятся впустую немалые средства, а вот нужные СЗИ наоборот упускаются из виду и не закупаются.
  • Сами СЗИ часто даже не монтируются в ИСПДн, а просто хранятся где-то на полке в шкафу. В результате такого отношения, в 90% случаев, документы на купленные СЗИ теряются в течении первого года после произведенных работ, в течении последующего времени нередко теряются и сами СЗИ.
  • С персоналом, естественно, даже не проводятся информационные лекции, не говоря уже о каких-либо тестированиях и проверке знаний в сфере защиты ПДн.
  • Положительные заключение о соответствии данного объекта требованиям законодательства в части защиты ПДн, как вишенка на торте, окончательно фиксирует некомпетентность Оператора в вопросе защиты вверенных ему ПДн.

Итог: потрачена серьезная сумма денег, потрачено огромное количество времени и сил, а результат практически нулевой. Первый запрос от сведущего в вопросе контрагента или регулятора и все нестыковки, ошибки, недоделки всплывут наружу. Контрагент откажется сотрудничать (а то и подаст в суд за недобросовестное исполнение обязательств по ранее заключенному контракту). Регулятор инициирует полноценную проверку, а дальше штрафы и ответственность для руководства ЮЛ.

Как поступить правильно в вопросе защиты ПДн?

Основных варианта три:

  • Самым правильным вариантом будет решение данного вопроса именно своими силами! Для этого в штате должен быть персонал с опытом работ в части обеспечения безопасности ПДн. Это будет максимально быстро, дешево и качественно, естественно, при условии достаточного уровня профессионализма конечных исполнителей.
  • Если есть проблема с кадрами, но все равно очень хочется сделать самим, то есть два варианта. А) Найти такие кадры на рынке труда, это не быстро и действительно квалифицированные кадры стоят дорого. Б) Нужно определить будущую команду, которая будет работать по направлению обеспечения безопасности ПДн. Команда набирается из имеющегося штата. Обычно в команду включается 1 управленец, 2-3 квалифицированных технических специалиста и один юрист. Отправить участников данной команды на курсы повышения квалификации (а лучше курсы профессиональной переподготовки по направлению информационной безопасности). По результату обучения работники Оператора хотя бы в теории будут знать «куда копать». По сравнению с вариантом из предыдущего пункта, данный вариант, конечно же, по всем параметрам менее предпочтительный. Значительно большие сроки. Дополнительные траты на обучение. Ну и качество работ будет однозначно ниже, чем если бы работу делали уже имеющие практический опыт специалисты. Но, это будет сделано своими руками, с возможностью совершенствования и получения опыта Оператором в перспективе.
  • Если вы понимаете, что со своими кадрами вам вариант не подходит, то остается только привлечение на подряд лицензиата ФСТЭК России. А значит оценка соответствия реализованных мер будет проводится в виде Аттестации. Здесь, как правило, вы получите наивысший уровень качества и сроков реализации. Другая сторона — за чужую работу, естественно, нужно будет заплатить. Кстати, о стоимости, если сравнить с наймом новых кадров под задачу, то привлечение лицензиата обойдется дешевле.

Что выбрать Аттестацию ИСПДн или оценку собственными силами?

Допустим, у Оператора есть возможность провести работы как своими силами, так и с привлечением подрядчика. Что выбрать? Давайте рассмотрим основные плюсы и минусы обоих вариантов.

Начнем с оценки соответствия СЗПДн ИСПДн своими силами.

Плюсы:

— Оптимизация финансовых затрат;

— Возможность самостоятельно внести изменения в будущем, при необходимости;

— Повышение квалификации и общей вовлеченности в процесс персонала Оператора ПДн.

Минусы:

— Предвзятое отношение контрагентов и регуляторов к такого рода работам. Все будут изначально считать, что работа либо вовсе не делалась (просто напечаталась бумажка), либо сделана некачественно. Тут, с огромной долей вероятности, придется доказывать обратное уже Оператору ПДн.

— Привязка к исполнителю. Если у Оператора есть кадровая «текучка», это может стать серьезной проблемой.

— При участиях в закупках/тендерах, при наличии требований по защите ПДн, всегда требуют именно наличие Аттестата соответствия. Самостоятельная оценка, как правило, не подходит.

— Сроки реализации нередко растягиваются, так как у исполнителей есть другие обязанности в рамках рабочего процесса Оператора.

Если говорить об Аттестации лицензиатом ФСТЭК.

Плюсы:

— Кратчайшие сроки (естественно, при должном содействии Оператора);

— Высокое качество оказываемых услуг, работы выполняется профессионалами с многолетним опытом в сфере информационной безопасности.

— Аттестат на ИСПДн выдается лицензиатом ФСТЭК. Отсутствие вопросов к Аттестату, как к форме подтверждения соответствия системы защиты ПДн. У контрагентов и регуляторов ни когда не возникает вопросов к такому формату.

— Данные по объекту будут отправлены во ФСТЭК и занесены в закрытый реестр регулятора.

— Единственный вариант для компаний, участвующих в закупках/тендерах, организуемых госзаказчиками и крупными частными компаниями.

— Аттестующая организация всегда остается на связи и помогает оперативно решать вопросы, связанные с аттестованным объектом.

Минусы:

— Финансовые затраты на оплату работ Аттестующей организации

— Персонал Оператора недостаточно погружается в вопрос защиты ПДн (решается организационными методами).

Резюмируем:

Ваше решение – ваш выбор!

Надеюсь благодаря этой статье мы ответили на вопрос, который вас волновал.

На данный момент законодательство позволяет проводить оценку соответствия реализованных мер защиты ПДн силами оператора ПДн. По практике, пользуются этой возможностью единичные компании, из-за отсутствия компетенции у большей части Операторов ПДн.

Если вы все еще сомневаетесь в правильности того или иного решения – позвоните нам, мы проясним все непонятные вопросы и поможем найти решение вашей задачи.

  21.06.2023   |     152-ФЗ