Аттестация ИСПДн

Что дает Аттестация и зачем её проводят?

На текущий момент аттестация информационной системы персональных данных (далее ИСПДн) является обязательной процедурой абсолютно для всех Операторов персональных данных (организации которые осуществляют сбор, хранение, обработку, передачу персональных данных физических лиц). Если организация ведет работы с персональными данными (далее ПДн), при этом информационная система не аттестована – то это нарушение требований законодательства, которая влечет серьезные административные санкции в отношении юридического лица.

Что бы избежать проблем с законом, необходимо подтвердить соответствие информационной системы требованиям основных нормативно-правовых актов, регламентирующих процесс работы с ПДн, а именно:

1. Постановление Правительства № 1119 от 1 ноября 2012 г.;
2. Постановление Правительства №687 от 15 сентября 2008 г.;
3. Приказ ФСТЭК России №21 от 18 февраля 2013 г.;
4. Приказ ФСБ России №378 от 10 июля 2014 г. ;
5. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК  России 15.02.2008;
6. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утверждена заместителем директора ФСТЭК России 14.02.2008.

После аттестации ИСПДн, оператор может на законных основаниях обрабатывать ПДн. Тип и количество обрабатываемых ПДн определяется уровнем защищенности (УЗ) ИСПДн, который присваивается системе на этапе её обследования.

Кому нужно получать Аттестат соответствия ИСПДн?

Требования по защите ПДн предъявляются к абсолютно всем организациям, не зависимо от формы собственности и организационной структуры. Абсолютно одинаковые требования распространяются как на Индивидуальных предпринимателей, так и государственные предприятия с многотысячным штатом работников.

Если ваша работа связана с обработкой ПДн, Аттестация является обязательной процедурой для обеспечения соответствия вашего бизнес-процесса требованиям законодательства РФ.

Требования к ИСПДн и сроки проведения Аттестации

Процесс проведения Аттестационных испытаний, и выдача Аттестата, при положительном их завершении – лишь вершина айсберга, под названием «обеспечение защиты ПДн».

Если кратко, то весь жизненный процесс можно разделить на несколько основных этапов:

1. Организация, приходит к выводу что она является оператором ПДн, и свою ИСПДн необходимо защищать в соответствии с требованиями законодательства. В большинстве случаев к этому выводу приходят не самостоятельно, а их спускают «сверху». Например, у организации имеется крупный Заказчик, и в рамках выполнения работ по договору для этого Заказчика организация получает доступ к неким ПДн Заказчика и осуществляет с ними работу. В этом случае Заказчик потребует обеспечения безопасности передаваемых ПДн, а подтвердить их безопасность можно лишь предоставив аттестат соответствия на свою ИСПДн.
2. После осознания необходимости защиты и аттестации своей ИСПДн, организация начинает поиск подрядчика, который выполнит данную работу. ВАЖНЫЙ МОМЕНТ! – Выполнить такую работу может только Лицензиат ФСТЭК России, либо аккредитованный ФСТЭК России Аттестующий центр. При всем при этом, не каждый лицензиат ФСТЭК может проводить работы по аттестации, для этого в его лицензии на Техническую защиту конфиденциальной информации (далее лицензия ТЗКИ), должен быть соответствующий пункт – Аттестационные испытания и аттестация на соответствие требованиям по защите информации (если данного пункта в лицензии подрядчика не имеется, то и провести работу он своими силами не сможет).
3. Предположим организация определилась с подрядчиком. Здесь начинается основной процесс, первым и одним из самых важных этапов является этап обследования ИСПДн Заказчика. Именно на этом этапе Исполнитель собирает исходные данные об ИСПДн заказчика, проверяет правильно ли была классифицирована ИСПДн. По результату обследования Исполнитель формирует актуальную Модель угроз и Модель нарушителя для представленной ИСПДн. На основании всех полученных данных формируется Техническое Задание на разработку системы защиты персональных данных (далее СЗПДн), которое утверждается владельцем ИСПДн.
4. После определения исходных данных, Исполнитель приступает к проектированию СЗПДн. Результатом данной работы будет Технический проект на создание СЗПДн. В этом документе исполнитель предлагает варианты решения, обнаруженных на предыдущем этапе, проблем в обеспечении безопасности ПДн. По завершению данного этапа Заказчик уже получает представления о «масштабах бедствия» с конкретными цифрами необходимых финансовых затрат на постройку СЗПДн. Здесь Заказчик решает, либо принимает представленный проект без правок в работу, либо, может усмотреть нецелесообразность внедрения описанной СЗПДн, и совместно с Исполнителем приступить к доработке Технического проекта.
5. После завершения всех проектных работ, наступает этап закупки средств защиты информации (далее СЗИ) и их внедрение в ИСПДн. 

Трудности получения Аттестата соответствия ИСПДн

Как правило трудности у Операторов ПДн начинаются с осознания необходимости приведения своей ИСПДн в соответствие требованиям законодательства. Сразу возникает целая куча вопросов:

— Какой уровень защищенности нужен?

— Как его определить?

— Как защитить ИСПДн и кто это может делать по закону?

— Кто может аттестовать ИСПДн и что для этого нужно?

— Сколько все это стоит?

И целый ворох других вопросов связанных с защитой ПДн.

Самой главной трудностью для Оператора ПДн является разобраться во всех этих вопросах и получить общее понимание о процессе.

Все остальные мероприятия являются уже специфичной работой, которую должен выполнять лицензиат ФСТЭК России, соответственно трудности по этой работе перекладываются на непосредственного исполнителя.

Чем Мы можем Вам помочь?

Если вы являетесь Оператором ПДн или только планируете начать деятельность, связанную с обработкой ПДн, ООО «ЕЦАС» может провести вашу подготовку «под ключ». Начиная с обследования вашей ИСПДн и проектирования системы её защиты, заканчивая её аттестацией и юридической подготовкой ИСПДн к вводу в эксплуатацию.

Большинство работ, которые проводятся в рамках описываемой задачи, подпадают под лицензируемые ФСТЭК России виды деятельности – наша организация имеет все необходимые лицензии (с ними можно ознакомится на соответствующей странице) и огромный опыт в этой сфере.

Зачастую, аналогичные услуги предлагаются обычными юридическими агентствами или другими организациями, предлагающими услуги по консалту. ВАЖНО!!! — не имея соответствующих лицензий, подобные организации оказывают свои услуги либо незаконно (некачественно и, как правило, не дорого), либо с привлечением подрядных организации с соответствующими лицензиями, что, как правило, вполне законно, но при этом очень дорого и долго.

Стоимость

Краеугольный вопрос для всех организаций, столкнувшихся с необходимостью защиты и аттестации своих ИСПДн – сколько это стоит?

И как не странно, правильный ответ на такой вопрос – мы не знаем!

Стоимость проведения работ складывается из целого ряда факторов, основные из них:

— технические характеристики ИСПДн (автоматизированная и/или неавтоматизирвоанная обработка, количество и тип средств обработки (АРМы, сервера, виртуальные и облачные сервисы, и т.д.), используемое ПО для обработки ПДн и т.д.);

— уровень защищенности ИСПДн (определяемых типом угроз ПДн, типом самих ПДн и их количеством);

— тип ИСПДн (объектовая или распределенная) ;

— изначальная защищенность системы;

— наличие организационно–распорядительной и технической документации по эксплуатации ИСПДн;

— наличие средств защиты информации, соответствующих требованиям законодательства.

— прочие факторы…

Только получив эти данные, можно сформировать примерное ценовое предложение на планируемые работы. А финальная сумма будет ясна только после готовности Технического проекта на систему защиты ИСПДн!

По нашему опыту, стоимость работ по защите и аттестации ИСПДн может начинаться от 100 тысяч рублей и уходить далеко за несколько десятков миллионов.

Поэтому, при поиске подрядчика будьте внимательны! Если вам при первом разговоре по телефону называют конкретную стоимость – это повод усомниться в компетентности организации, в которую вы обращаетесь!