Аттестация информационных систем персональных данных (ИСПДн)

Что бы избежать проблем с законом, необходимо подтвердить соответствие информационной системы требованиям основных нормативно-правовых актов, регламентирующих процесс работы с ПДн, а именно:

1. Постановление Правительства № 1119 от 1 ноября 2012 г.;
2. Постановление Правительства №687 от 15 сентября 2008 г.;
3. Приказ ФСТЭК России №21 от 18 февраля 2013 г.;
4. Приказ ФСТЭК России №77 от 29 апреля 2021 г.;
5. Приказ ФСБ России №378 от 10 июля 2014 г.;
6. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК  России 15 февраля 2008 г.;
7. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.

После аттестации ИСПДн, оператор может на законных основаниях обрабатывать ПДн. Тип и количество обрабатываемых ПДн определяется уровнем защищенности (УЗ) ИСПДн, который присваивается системе на этапе её обследования.

Кому нужно получать Аттестат соответствия ИСПДн?

Требования по защите ПДн предъявляются к абсолютно всем организациям, не зависимо от формы собственности и организационной структуры. Абсолютно одинаковые требования распространяются как на Индивидуальных предпринимателей, так и государственные предприятия с многотысячным штатом работников.

Если ваша работа связана с обработкой ПДн, Аттестация является обязательной процедурой для обеспечения соответствия вашего бизнес-процесса требованиям законодательства РФ.

Требования к аттестации ИСПДн и сроки проведения Аттестации

Процесс проведения Аттестационных испытаний, и выдача Аттестата, при положительном их завершении – лишь вершина айсберга, под названием «обеспечение защиты ПДн».

Если кратко, то весь жизненный процесс можно разделить на несколько основных этапов:

1. Организация, приходит к выводу что она является оператором ПДн, и свою ИСПДн необходимо защищать в соответствии с требованиями законодательства. В большинстве случаев к этому выводу приходят не самостоятельно, а их спускают «сверху». Например, у организации имеется крупный Заказчик, и в рамках выполнения работ по договору для этого Заказчика организация получает доступ к неким ПДн Заказчика и осуществляет с ними работу. В этом случае Заказчик потребует обеспечения безопасности передаваемых ПДн, а подтвердить их безопасность можно лишь предоставив аттестат соответствия на свою ИСПДн.
2. После осознания необходимости защиты и аттестации своей ИСПДн, организация начинает поиск подрядчика, который выполнит данную работу. ВАЖНЫЙ МОМЕНТ! – Выполнить такую работу может только Лицензиат ФСТЭК России, либо аккредитованный ФСТЭК России Аттестующий центр. При всем при этом, не каждый лицензиат ФСТЭК может проводить работы по аттестации, для этого в его лицензии на Техническую защиту конфиденциальной информации (далее лицензия ТЗКИ), должен быть соответствующий пункт – Аттестационные испытания и аттестация на соответствие требованиям по защите информации (если данного пункта в лицензии подрядчика не имеется, то и провести работу он своими силами не сможет).
3. Предположим организация определилась с подрядчиком. Здесь начинается основной процесс, первым и одним из самых важных этапов является этап обследования ИСПДн Заказчика. Именно на этом этапе Исполнитель собирает исходные данные об ИСПДн заказчика, проверяет правильно ли была классифицирована ИСПДн. По результату обследования Исполнитель формирует актуальную Модель угроз и Модель нарушителя для представленной ИСПДн. На основании всех полученных данных формируется Техническое Задание на разработку системы защиты персональных данных (далее СЗПДн), которое утверждается владельцем ИСПДн.
4. После определения исходных данных, Исполнитель приступает к проектированию СЗПДн. Результатом данной работы будет Технический проект на создание СЗПДн. В этом документе исполнитель предлагает варианты решения, обнаруженных на предыдущем этапе, проблем в обеспечении безопасности ПДн. По завершению данного этапа Заказчик уже получает представления о «масштабах бедствия» с конкретными цифрами необходимых финансовых затрат на постройку СЗПДн. Здесь Заказчик решает, либо принимает представленный проект без правок в работу, либо, может усмотреть нецелесообразность внедрения описанной СЗПДн, и совместно с Исполнителем приступить к доработке Технического проекта.
5. После завершения всех проектных работ, наступает этап закупки средств защиты информации (далее СЗИ) и их внедрение в ИСПДн. После внедрения, как правило, владелец ИСПДн проводит внутреннюю приемку.
6. Параллельно с работами по п.5 проводится разработка организационно-распорядительной документации, которая будет регламентировать обращение с ПДн в рамках ИСПДн, на которую осуществляется разработка и внедрение системы защиты. Именно эта документация будет отвечать на вопросы “кто виноват” и “что делать”. Обычно, к данному вопросу подходят чисто формально, зачастую просто печатая шаблоны документов из интернета, даже не проводя адаптацию под свою систему. При разработке данных документов мы стараемся учесть все нюансы защищаемой ИСПДн и отразить их в документации.
7. Ключевым этапом будет являться непосредственно процедура аттестации ИСПДн. В рамках этого этапа с владельцем ИСПДн будет согласована Программа и методики (ПиМ) проведения аттестационных испытаний. После согласования ПиМ, Исполнитель проводит непосредственные испытания, с оформлением Протокола аттестационных испытаний и выдачей Заключения по результатам испытаний. В случае положительного Заключения владельцу ИСПДн передается Аттестат соответствия на ИСПДн.
8. Заключительным этапом будет отправка Аттестующей организацией отчетных документов в региональное управление ФСТЭК России (регион где находится аттестованный объект – ИСПДн). На основании этих документов регулятор ведет реестр аттестованных объектов. Владельцу ИСПДн стоит помнить, что раз в 2 года, он обязан отчитываться перед ФСТЭК, о проведении периодических контролей системы защиты своей ИСПДн, с предоставлением соответствующей документации в региональное отделение ФСТЭК России.

Трудности получения Аттестата соответствия ИСПДн

Как правило, трудности у Операторов ПДн начинаются с осознания необходимости приведения своей ИСПДн в соответствие требованиям законодательства. Сразу возникает целая куча вопросов:

• Какой уровень защищенности нужен?
• Как его определить?
• Как защитить ИСПДн и кто это может делать по закону?
• Кто может аттестовать ИСПДн и что для этого нужно?
• Сколько все это стоит?

И целый ворох других вопросов связанных с защитой ПДн.

Самой главной трудностью для Оператора ПДн является разобраться во всех этих вопросах и получить общее понимание о процессе.

Все остальные мероприятия являются уже специфичной работой, которую должен выполнять лицензиат ФСТЭК России, соответственно трудности по этой работе перекладываются на непосредственного исполнителя.

Чем Мы можем Вам помочь аттестации ИСПДн по требованиям безопасности информации?

Если вы являетесь Оператором ПДн или только планируете начать деятельность, связанную с обработкой ПДн, ООО «ЕЦАС» может провести вашу подготовку «под ключ». Начиная с обследования вашей ИСПДн и проектирования системы её защиты, заканчивая её аттестацией и юридической подготовкой ИСПДн к вводу в эксплуатацию.

Большинство работ, которые проводятся в рамках описываемой задачи, подпадают под лицензируемые ФСТЭК России виды деятельности – наша организация имеет все необходимые лицензии (с ними можно ознакомится на соответствующей странице) и огромный опыт в этой сфере. Поможем получить аттестацию компьютера для работы с персональными данными.

Зачастую, аналогичные услуги предлагаются обычными юридическими агентствами или другими организациями, предлагающими услуги по консалту. ВАЖНО!!! – не имея соответствующих лицензий, подобные организации оказывают свои услуги либо незаконно (некачественно и, как правило, не дорого), либо с привлечением подрядных организации с соответствующими лицензиями, что, как правило, вполне законно, но при этом очень дорого и долго.

Стоимость

Краеугольный вопрос для всех организаций, столкнувшихся с необходимостью защиты и аттестации своих ИСПДн – сколько это стоит?

И как не странно, правильный ответ на такой вопрос – мы не знаем!

Стоимость проведения работ складывается из целого ряда факторов, основные из них:

• технические характеристики ИСПДн (автоматизированная и/или неавтоматизирвоанная обработка, количество и тип средств обработки (АРМы, сервера, виртуальные и облачные сервисы, и т.д.), используемое ПО для обработки ПДн и т.д.);
• уровень защищенности ИСПДн (определяемых типом угроз ПДн, типом самих ПДн и их количеством);
• тип ИСПДн (объектовая или распределенная) ;
• изначальная защищенность системы;
• наличие организационно–распорядительной и технической документации по эксплуатации ИСПДн;
• наличие средств защиты информации, соответствующих требованиям законодательства.
• прочие факторы…

Только получив эти данные, можно сформировать примерное ценовое предложение на планируемые работы. А финальная сумма будет ясна только после готовности Технического проекта на систему защиты ИСПДн!

По нашему опыту, стоимость работ по защите и аттестации ИСПДн может начинаться от 100 тысяч рублей и уходить далеко за несколько десятков миллионов.

Поэтому, при поиске подрядчика будьте внимательны! Если вам при первом разговоре по телефону называют конкретную стоимость – это повод усомниться в компетентности организации, в которую вы обращаетесь!

Профессиональная аттестация ИСПДн

В эпоху цифровизации, когда данные становятся новым золотом, безопасность информации приобретает особую важность. Защита информационных систем персональных данных (ИСПДн) требует соблюдения строгих требований безопасности. Компания предлагает полный спектр услуг. Аттестация ИСПДн  обеспечит соответствие требованиям безопасности и вы получите аттестат соответствия требованиям по защите информации. В данной статье мы подробно расскажем , как проходит аттестация ИСПДн и о преимуществах сотрудничества с нашей компанией.

Зачем нужна аттестация ИСПДн?

Аттестация информационных систем персональных данных — это процесс оценки соответствия системы требованиям безопасности информации, установленным законодательством. Этот процесс включает проверку всех аспектов защиты данных, от технических мер до организационных процедур. Преимущества аттестации ИСПДн:

• Соответствие законодательству. Аттестация обеспечивает выполнение требований законодательства, что является обязательным для всех организаций, работающих с персональными данными.
• Защита данных. Аттестация информационных систем персональных данных помогает предотвратить утечки и несанкционированный доступ к персональным данным.
• Повышение доверия. Аттестат соответствия требованиям по защите информации демонстрирует клиентам и партнерам серьезный подход компании к безопасности данных.
• Минимизация рисков. Правильная организация защиты информации снижает риски финансовых и репутационных потерь.

Аттестация ИСПДн

Компания ЕЦАС предоставляет комплексные услуги по аттестации ИСПДн, туда включена оценка соответствия ИСПДн требованиям безопасности информации. Наши специалисты проводят детальную проверку всех компонентов системы, выявляют уязвимости и предлагают меры по их устранению. Процесс аттестации ИСПДн включает несколько ключевых этапов:

1.     Подготовительный этап. На первом этапе наши эксперты проводят предварительный анализ системы, чтобы определить текущий уровень защиты. Это включает сбор информации о системе, анализ существующих мер безопасности, разработка плана аттестации.

2.     Оценка соответствия ИСПДн. Далее проводится оценка соответствия ИСПДн требованиям безопасности информации. В рамках этого этапа наши специалисты проверяют технические и организационные меры защиты, оценивают эффективность применяемых методов защиты данных, проводят тестирование системы на уязвимости.

3.     Разработка рекомендаций. По результатам оценки соответствия наши эксперты разрабатывают рекомендации по улучшению системы защиты. Эти рекомендации направлены на устранение выявленных недостатков и повышение уровня безопасности.

4.     Проведение аттестации. После выполнения всех рекомендаций проводится повторная проверка системы. При успешном прохождении всех этапов аттестации компания получает аттестат соответствия требованиям по защите информации.

5.     Поддержка и сопровождение. Мы не только проводим аттестацию, но и предлагаем услуги по поддержке и сопровождению. Это включает регулярные проверки, обновления систем защиты и консультации по вопросам безопасности.

Почему стоит выбрать нашу компанию, чтобы получить аттестат соответствия требованиям по защите информации.?

Компания обладает богатым опытом в области информационной безопасности. Аттестация ИСПДн по требованиям безопасности информации проходит с нами легко. Наши эксперты имеют глубокие знания и опыт в области защиты персональных данных. Если вы хотите обеспечить надежную защиту своих информационных систем и получить аттестат соответствия требованиям безопасности информации, обратитесь к нам в компанию. Мы готовы предложить вам лучшие решения для обеспечения безопасности вашего бизнеса. Не откладывайте защиту данных на потом — свяжитесь с нами уже сегодня и обеспечьте безопасность своих персональных данных с помощью профессионалов компании.