Аттестация информационных систем персональных данных (ИСПДн)

Что такое аттестация ИСПДн

Разработка и внедрение информационных систем (ИС) для обработки персональных данных требует строгого соблюдения законодательства о защите информации. Аттестация является неотъемлемой частью комплексного подхода к обеспечению информационной безопасности организации. Она включает в себя оценку мер, принятых для защиты ПДн от несанкционированного доступа, утери, изменения или распространения.

Аттестация подтверждает, что функционирование системы соответствует законодательно установленным стандартам, регламентирующим обработку и безопасность ПДн.

Законодательные требования

Основной закон, регулирующий сбор, хранение, использование и передачу ПДн граждан России - Федеральный закон от 7 июля 2006 года №152-ФЗ «О персональных данных» (152-ФЗ). Он ставит перед организациями обязанность обеспечить надежную защиту ИСПДн и проводить аудит безопасности, соответствующий установленным правилам и стандартам.

Операторы несут ответственность за соответствие защитных мер ИСПДн стандартам по защите информации с ограниченным доступом, установленными 152-ФЗ и следующими приказами ФСТЭК России:

• от 11.02.2013 г.- № 17 для государственных информационных систем (ГИС), содержащих персональные данные;
• от 11 февраля 2013 г. № 21 - для других ИСПДн.

Эти требования включают необходимость обеспечения уровня безопасности данных в соответствии с установленным классом ИСПДн, осуществление мероприятий по защите данных от несанкционированного доступа, создание условий для предотвращения утечек информации.

Процесс аттестации ИСПДн регламентируется Приказом ФСТЭК от 29 апреля 2021 г. № 77 (Приказ 77).

Что подлежит аттестации

Все операторы ПДн обязаны соблюдать требования, установленные 152-ФЗ, в том числе оценку защищенности информационных систем. В противном случае им грозят значительные штрафы при проверках контролирующих органов. Успешное прохождение процедуры аттестации подтверждает надежность и безопасность программно-аппаратного обеспечения на всех рабочих местах и исключает возможность возникновения претензий со стороны проверяющих.

Аттестация ИСПДн проводится:

• Для государственных и муниципальных информационных систем – в обязательном порядке. Аттестация требуется при запуске новой системы, значительных ее модификациях или смене законодательных требований. Например, обязательно аттестована должна быть ГИС централизованной бухгалтерии регионального министерства (ГИС ЦБ), содержащая персональные данные сотрудников.
• Для ИСПДн организаций, передающих информацию в ГИС – обязательно, поскольку такие ИС должны соответствовать всем стандартам безопасности информации. Например, автоматизированные рабочие места учреждений, подключенные к ГИС ЦБ, которые передают данные о кадровых перемещениях, учете рабочего времени в ГИС ЦБ.
• В остальных случаях юридические лица также должны принимать меры по обеспечению безопасности персональных данных, обрабатываемых в их информационных системах. В этом случае решение о необходимости аттестации принимает руководство организации. Полученный аттестат становится дополнительным доказательством для проверяющих о соответствии уровня защищенности установленным требованиям.

Порядок аттестации

Аттестация ИСПДн является лицензируемым видом деятельности, поэтому должна проводиться специализированными организациями, у которых есть лицензия ФСТЭК на выполнение работ по технической защите информации с ограниченным доступом, в том числе ПДн - лицензиатами ФСТЭК. Владелец ИСПДн привлекает лицензиата ФСТЭК на основе заключенного договора.

Процедура аттестации ИСПДн проходит в том же порядке, что и аттестация других ИС – по Приказу 77. Она предполагает осуществление комплексной проверки информационной системы в реальных условиях эксплуатации, чтобы оценить эффективность принятых мер защиты данных.

Процесс включает ряд этапов:

Анализ исходных данных ИСПДн.

На этом этапе специалисты лицензиата изучают структуру системы, выявляют уязвимости и определяют потенциальные угрозы.

Экспертное обследование ИСПДн и анализ документации на систему защиты информации.

Этап включает проверку соответствия разработанных мер защиты стандартам установленным нормативными и методическими документами.

Проведение комплексных аттестационных испытаний ИСПДн в реальных условиях эксплуатации.

Для этого используется специальная аппаратура контроля и программные средства, которые помогут выявить уязвимости и проверить защищенность от несанкционированного доступа.

Анализ результатов.

Он помогает выявить слабые места в ИСПДн и принять необходимые меры по их устранению.

Оформление и утверждение Заключения и Аттестата соответствия

Это финальный этап работ, подтверждающих безопасность системы.

Итоги аттестации

В результате аттестации ИСПДн организация получает документальное подтверждение соответствия уровня безопасности информации утвержденным стандартам и требованиям.

Аттестат выдается на весь срок эксплуатации при сохранении неизменности условий эксплуатации, технологического процесса обработки информации и системы защиты информации.

Однако, обеспечение безопасности информационных систем – постоянный процесс. Для поддержания надежности и актуальности защиты данных оператору ИСПДн необходимо осуществлять периодический контроль уровня защиты информации на аттестованном объекте. Этот контроль должен осуществляться не реже одного раза в два года с предоставлением протоколов проверки во ФСТЭК.

Преимущества обращения в УЦ ПРОФИ

Аттестация - сложный и многогранный процесс. Для успешного прохождения этой процедуры важно обратиться к профессионалам.

Компания УЦ ПРОФИ обладает значительным опытом в сфере защиты персональных данных и проведения аттестационных работ в качестве органа по аттестации объектов информатизации. Являясь лицензиатом ФСБ и ФСТЭК, мы проводим аттестационные испытания ИСПДн в полном соответствии с требованиями законодательства.

Также мы готовы помочь вашей организации успешно провести все необходимые мероприятия в сфере информационной безопасности, чтобы обеспечить надежную защиту ПДн.