Аттестация ИСПДн

Что такое ИСПДн

ИСПДн (информационная система персональных данных) — комплекс для обработки персональных данных (ПДн) в электронном виде. ПДн хранят в базах данных (БД) и обрабатывают с помощью программных и технических средств.

В программную часть ИСПДн входит ПО, которое помогает работать с данными. Например, программа для кадрового учета или CRM-система для работы с клиентами. К технической части относят физическое оборудование: серверы, компьютеры, сетевое оборудование и каналы связи.

Если компания обрабатывает ПДн на бумажных или электронных носителях, то ее называют оператором персональных данных.

Бумажные документы не включают в ИСПДн, так как требования к защите данных на разных носителях отличаются (ПП РФ №687).

Что такое аттестация ИСПДн

Аттестация ИСПДн — процедура проверки системы защиты персональных данных. Основная задача — определить соответствие мер защиты ИСПДн действующему законодательству (№152-ФЗ, ПП РФ №1119, Приказ ФСТЭК №21).

Если результат итоговых испытаний положительный, оператор ИСПДн получает аттестат соответствия. Это официальный документ, который подтверждает надежность системы и дает право хранить и обрабатывать ПДн.

Аттестацию могут проводить только компании-лицензиаты ФСТЭК России (ПП РФ №79). Самостоятельно аттестовывать ИСПДн нельзя.

Кому требуется аттестация

Аттестация ИСПДн (и персональных данных) обязательна для государственных информационных систем (ИС), которые хранят персональные данные. Для остальных процедура добровольная. Это значит, что решение о проведении аттестации принимает сама организация. При этом требования к защите будут не такими строгими, как при обязательной аттестации (по приказу ФСТЭК №21 от 13.02.2013 г).

Наличие аттестата соответствия показывает серьезный подход к защите данных. Он также помогает укрепить доверие клиентов и построить надежные отношения с партнерами.

Когда нужно проходить аттестацию

Аттестационные мероприятия нужны в следующих случаях (ПП РФ № 1119):

• При запуске новой системы. До начала работы с персональными данными нужно проверить, что механизмы защиты работают правильно.
• При изменениях в ИСПДн. Если информационную систему или одну из ее частей обновили, уровень ее защищенности проверяют заново.
• При обновлении законов. Когда меняется законодательство, операторы ПДн проходят проверку на соответствие новым правилам.

Какие документы нужны

На этапе подготовки к аттестации формируется пакет технической и организационно-распорядительной документации. Подробнее о разработке ОРД:

Проектная документация:

• модель угроз и нарушителя;
• техническое задание на создание системы защиты;
• технический проект системы защиты;
• спецификация средств защиты информации (СЗИ);
• план внедрения защитных мер;
• акты установки и настройки средств защиты.

Организационная документация:

• политики и регламенты обработки данных;
• должностные инструкции;
• журналы учета работ;
• документ о присвоении уровня защищенности (от УЗ-1 до УЗ-4);
• протоколы обучения персонала.

После внедрения системы защиты оформляется комплект документов по результатам проверок:

Документы планирования:

• программа аттестационных испытаний;
• методики проведения проверок.

Результаты испытаний:

• протоколы проведенных проверок;
• заключения по итогам испытаний;
• аттестат соответствия — выдается при успешном прохождении.

Как проходит аттестация ИСПДн

Этап 1. Подготовка к аттестации

Члены аттестационной комиссии проверяют наличие и корректность существующей ОРД и готовят документы: программу и методику аттестационных испытаний.

Этап 2. Проверка системы

На этом этапе тестируют механизмы защиты: проверяют их работоспособность и надежность. Точечно проверяют:

• правильность настройки текущих средств защиты;
• выполнение требований безопасности;
• эффективность защитных мер — корректность работы СЗИ и соответствие ОРД законодательству (ПП РФ № 1119).

Этап 3. Оформление результатов

На заключительном этапе подводят итоги проверки:

• составляют отчеты о проведенных проверках;
• записывают результаты тестов;
• отмечают найденные недочеты.

Все проверки выполняют в строгом соответствии с требованиями регулятора — ФСТЭК России. Если все требования безопасности ИСПДн соблюдены, организация получает аттестат соответствия.

Типичные проблемы

• Проблемы с документацией:
  Отсутствие актуальной документации, некорректное оформление технического задания или неправильная классификация информационной системы.

• Технические трудности:
  Использование несертифицированного программного обеспечения, неправильная настройка СЗИ. Отсутствие технических решений, которые соответствовали бы требованиям безопасности информации.
• Нарушение организационных мер:
  Недостаточная подготовка персонала, отсутствие регламентов работы с ИСПДн и нарушения в процедурах обработки данных.

Ответственность за аттестацию

Если оператор государственной информационной системы не провел аттестацию информационной системы ПДн, он получает штраф.

В России аттестацию ИСПДн регулирует Федеральный закон № 152 «О персональных данных» и ряд подзаконных актов. Нарушение этих требований считается административным правонарушением.

Административный кодекс (ст. 13.11 КоАП РФ) устанавливает ответственность за несоблюдение правил обработки персональных данных, включая отсутствие мер защиты. Штрафы составляют:

• для должностных лиц — 10-20 тысяч рублей;
• для юридических лиц — 60-100 тысяч рублей.

Для коммерческих организаций нет штрафов за отсутствие официальной аттестации ИСПДн. Однако закон обязывает защищать персональные данные вне зависимости от статуса организации. Сделать это можно тремя способами:

• провести оценку эффективности мер защиты,
• провести внутреннюю проверку,
• пройти добровольную аттестацию.

Несмотря на выбор, компании стараются пройти именно процедуру аттестации. Это понятный и официальный способ подтвердить выполнение требований.

После получения аттестата

Аттестат выдается бессрочно и действует, пока в систему не внесут изменения или система она находится в эксплуатации. Однако это не освобождает оператора от регулярного контроля. Он обязан проверять уровень защиты минимум один раз в два года и фиксировать результаты в отчетах.

Также плановые и внеплановые проверки организовывает ФСТЭК РФ. В ходе них может быть выявлено:

• несоответствие мер защиты ИСПДн требованиям,
• отсутствие требуемой документации,
• нарушение установленных мер безопасности.

Если обнаружены нарушения, ФСТЭК может приостановить действие аттестата и наложить штрафы за несоблюдение требований.

Действие аттестата приостанавливают, если (п.34 Приказа ФСТЭК № 77):

• Система защиты не соответствует критериям, и повышен риск утечки информации.
• Выявленные нарушения не исправлены.
• Отчеты о проверке защиты не предоставлены.
• Были внесены изменения, которые не соответствуют аттестату.
• Владелец сам решил приостановить действие аттестата.

При наличии ошибок организация получает возможность их исправить. Если это не происходит, действие аттестата прекращается (п.40 Приказа ФСТЭК № 77).

Стоимость аттестации

При оценке стоимости аттестационных работ специалисты анализируют техническую сложность системы и необходимый объем защитных мер.

Первым делом оценивается масштаб и сложность ИСПДн. Здесь важно количество рабочих мест, где обрабатываются персональные данные — чем их больше, тем больше точек требуют защиты. Например, для небольшой компании это может быть 1-3 компьютеров отдела кадров, а для крупной организации — сотни рабочих станций.

Уровень защищенности системы — еще один фактор стоимости. Чем выше уровень (от УЗ4 до УЗ1), тем больше средств защиты потребуется внедрить. Также текущее состояние системы может повлиять на затраты:

• Если система новая, защиту можно спроектировать «с нуля».
• В существующей ИСПДн может потребоваться модернизация или полная замена компонентов.

Итоговую цену для каждой организации рассчитывают индивидуально.

Аттестация ИСПДн от УИБ

«Управление информационной безопасности» с 2019 года проводит аттестацию информационных систем персональных данных. Выполняем все этапы под ключ: от разработки документации до проведения итоговых испытаний.

Внедряем системы защиты и проводим аттестацию систем персональных данных с учетом особенностей каждой организации, сохраняя эффективность рабочих процессов.

Компания обладает всеми необходимыми лицензиями ФСТЭК России для проведения аттестационных мероприятий.

Для расчета стоимости аттестации вашей ИСПДн или аттестации персональных данных: 8 800-707-94-97, info@uibcom.ru.