Что такое ИСПДн
ИСПДн (информационная система персональных данных) — комплекс для обработки персональных данных (ПДн) в электронном виде. ПДн хранят в базах данных (БД) и обрабатывают с помощью программных и технических средств.
В программную часть ИСПДн входит ПО, которое помогает работать с данными. Например, программа для кадрового учета или CRM-система для работы с клиентами. К технической части относят физическое оборудование: серверы, компьютеры, сетевое оборудование и каналы связи.
Если компания обрабатывает ПДн на бумажных или электронных носителях, то ее называют оператором персональных данных.
Бумажные документы не включают в ИСПДн, так как требования к защите данных на разных носителях отличаются (ПП РФ №687).
Что такое аттестация ИСПДн
Аттестация ИСПДн — процедура проверки системы защиты персональных данных. Основная задача — определить соответствие мер защиты ИСПДн действующему законодательству (№152-ФЗ, ПП РФ №1119, Приказ ФСТЭК №21).
Если результат итоговых испытаний положительный, оператор ИСПДн получает аттестат соответствия. Это официальный документ, который подтверждает надежность системы и дает право хранить и обрабатывать ПДн.
Аттестацию могут проводить только компании-лицензиаты ФСТЭК России (ПП РФ №79). Самостоятельно аттестовывать ИСПДн нельзя.
Кому требуется аттестация
Аттестация ИСПДн (и персональных данных) обязательна для государственных информационных систем (ИС), которые хранят персональные данные. Для остальных процедура добровольная. Это значит, что решение о проведении аттестации принимает сама организация. При этом требования к защите будут не такими строгими, как при обязательной аттестации (по приказу ФСТЭК №21 от 13.02.2013 г).
Наличие аттестата соответствия показывает серьезный подход к защите данных. Он также помогает укрепить доверие клиентов и построить надежные отношения с партнерами.
Когда нужно проходить аттестацию
Аттестационные мероприятия нужны в следующих случаях (ПП РФ № 1119):
При запуске новой системы. До начала работы с персональными данными нужно проверить, что механизмы защиты работают правильно.
При изменениях в ИСПДн. Если информационную систему или одну из ее частей обновили, уровень ее защищенности проверяют заново.
При обновлении законов. Когда меняется законодательство, операторы ПДн проходят проверку на соответствие новым правилам.
Какие документы нужны
На этапе подготовки к аттестации формируется пакет технической и организационно-распорядительной документации. Подробнее о разработке ОРД:
Проектная документация:
- модель угроз и нарушителя;
- техническое задание на создание системы защиты;
- технический проект системы защиты;
- спецификация средств защиты информации (СЗИ);
- план внедрения защитных мер;
- акты установки и настройки средств защиты.
Организационная документация:
- политики и регламенты обработки данных;
- должностные инструкции;
- журналы учета работ;
- документ о присвоении уровня защищенности (от УЗ-1 до УЗ-4);
- протоколы обучения персонала.
После внедрения системы защиты оформляется комплект документов по результатам проверок:
Документы планирования:
- программа аттестационных испытаний;
- методики проведения проверок.
Результаты испытаний:
- протоколы проведенных проверок;
- заключения по итогам испытаний;
- аттестат соответствия — выдается при успешном прохождении.
Как проходит аттестация ИСПДн
Этап 1. Подготовка к аттестации
Члены аттестационной комиссии проверяют наличие и корректность существующей ОРД и готовят документы: программу и методику аттестационных испытаний.
Этап 2. Проверка системы
На этом этапе тестируют механизмы защиты: проверяют их работоспособность и надежность. Точечно проверяют:
- правильность настройки текущих средств защиты;
- выполнение требований безопасности;
- эффективность защитных мер — корректность работы СЗИ и соответствие ОРД законодательству (ПП РФ № 1119).
Этап 3. Оформление результатов
На заключительном этапе подводят итоги проверки:
- составляют отчеты о проведенных проверках;
- записывают результаты тестов;
- отмечают найденные недочеты.
Все проверки выполняют в строгом соответствии с требованиями регулятора — ФСТЭК России. Если все требования безопасности ИСПДн соблюдены, организация получает аттестат соответствия.
Типичные проблемы
Проблемы с документацией:
Отсутствие актуальной документации, некорректное оформление технического задания или неправильная классификация информационной системы.
Технические трудности:
Использование несертифицированного программного обеспечения, неправильная настройка СЗИ. Отсутствие технических решений, которые соответствовали бы требованиям безопасности информации.
Нарушение организационных мер:
Недостаточная подготовка персонала, отсутствие регламентов работы с ИСПДн и нарушения в процедурах обработки данных.
Ответственность за аттестацию
Если оператор государственной информационной системы не провел аттестацию информационной системы ПДн, он получает штраф.
В России аттестацию ИСПДн регулирует Федеральный закон № 152 «О персональных данных» и ряд подзаконных актов. Нарушение этих требований считается административным правонарушением.
Административный кодекс (ст. 13.11 КоАП РФ) устанавливает ответственность за несоблюдение правил обработки персональных данных, включая отсутствие мер защиты. Штрафы составляют:
- для должностных лиц — 10-20 тысяч рублей;
- для юридических лиц — 60-100 тысяч рублей.
Для коммерческих организаций нет штрафов за отсутствие официальной аттестации ИСПДн. Однако закон обязывает защищать персональные данные вне зависимости от статуса организации. Сделать это можно тремя способами:
- провести оценку эффективности мер защиты,
- провести внутреннюю проверку,
- пройти добровольную аттестацию.
Несмотря на выбор, компании стараются пройти именно процедуру аттестации. Это понятный и официальный способ подтвердить выполнение требований.
После получения аттестата
Аттестат выдается бессрочно и действует, пока в систему не внесут изменения или система она находится в эксплуатации. Однако это не освобождает оператора от регулярного контроля. Он обязан проверять уровень защиты минимум один раз в два года и фиксировать результаты в отчетах.
Также плановые и внеплановые проверки организовывает ФСТЭК РФ. В ходе них может быть выявлено:
- несоответствие мер защиты ИСПДн требованиям,
- отсутствие требуемой документации,
- нарушение установленных мер безопасности.
Если обнаружены нарушения, ФСТЭК может приостановить действие аттестата и наложить штрафы за несоблюдение требований.
Действие аттестата приостанавливают, если (п.34 Приказа ФСТЭК № 77):
- Система защиты не соответствует критериям, и повышен риск утечки информации.
- Выявленные нарушения не исправлены.
- Отчеты о проверке защиты не предоставлены.
- Были внесены изменения, которые не соответствуют аттестату.
- Владелец сам решил приостановить действие аттестата.
При наличии ошибок организация получает возможность их исправить. Если это не происходит, действие аттестата прекращается (п.40 Приказа ФСТЭК № 77).
Стоимость аттестации
При оценке стоимости аттестационных работ специалисты анализируют техническую сложность системы и необходимый объем защитных мер.
Первым делом оценивается масштаб и сложность ИСПДн. Здесь важно количество рабочих мест, где обрабатываются персональные данные — чем их больше, тем больше точек требуют защиты. Например, для небольшой компании это может быть 1-3 компьютеров отдела кадров, а для крупной организации — сотни рабочих станций.
Уровень защищенности системы — еще один фактор стоимости. Чем выше уровень (от УЗ4 до УЗ1), тем больше средств защиты потребуется внедрить. Также текущее состояние системы может повлиять на затраты:
- Если система новая, защиту можно спроектировать «с нуля».
- В существующей ИСПДн может потребоваться модернизация или полная замена компонентов.
Итоговую цену для каждой организации рассчитывают индивидуально.
Аттестация ИСПДн от УИБ
«Управление информационной безопасности» с 2019 года проводит аттестацию информационных систем персональных данных. Выполняем все этапы под ключ: от разработки документации до проведения итоговых испытаний.
Внедряем системы защиты и проводим аттестацию систем персональных данных с учетом особенностей каждой организации, сохраняя эффективность рабочих процессов.
Компания обладает всеми необходимыми лицензиями ФСТЭК России для проведения аттестационных мероприятий.
Для расчета стоимости аттестации вашей ИСПДн или аттестации персональных данных: 8 (843) 207-17-17, sales@uibcom.ru.
Стоимость определяется после уточнения задач и масштаба инфраструктуры заказчика и предоставляется в коммерческом предложении.
