Понятие «аттестация» относится только к государственным информационным системам персональных данных, что накладывает на операторов обязательства по обеспечению их безопасности в соответствии с Требованиями по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными Приказом ФСТЭК России №17 от 11.02.2013 г.
Приказ ФСТЭК России №17 от 11 февраля 2013г.
Основополагающим законом в сфере обеспечения безопасности ПДн является ФЗ № 152, принятый в 2006 году и обязательный для соблюдения всеми структурами, которые им классифицируются как операторы персональных данных. В данную категорию входят как государственные организации и муниципальные органы, так и физические лица либо компании, которые в том или ином виде имеют дело с получением, обработкой, хранением, использованием информации о физических лицах.
Определить степень соответствия утвержденным на законодательном уровне нормативам позволит специальная аттестация по
Зачем проводить аттестацию и что она собой представляет?
Обеспечение защиты персональной информации необходимо каждой организации независимо от формы собственности, направленности и масштабов деятельности. Закон действует для всех, включая госструктуры, медицинские учреждения, страховые фирмы, производственные комплексы, торговые компании и т.д. Чтобы исключить вероятность несанкционированных действий с ПДн без согласия субъектов, оператору необходимо позаботиться о защите информационной системы персональных данных, что, в свою очередь, свидетельствует о необходимости использования специальных технических решений. Они подбираются индивидуально для каждой компании и при условии грамотной разработки интеграции дают возможность минимизировать вероятность случайного или намеренного неправомерного уничтожения, блокировки, распространения, изменения и копирования конфиденциальных сведений.
Аттестация по
- подтверждения защищенности ИСПДн перед внешними и внутренними угрозами;
- засвидетельствования соответствия нормативным требованиям.
Если речь идет о госструктурах или организациях, наделенных их функциями, то они должны проходить проверку в обязательном порядке. В остальных случаях решение о целесообразности процедуры принимает руководство предприятия, а полученный аттестат становится дополнительным аргументом в пользу сотрудничества для потенциальных клиентов и партнеров по бизнесу.
Важно понимать, что положения Федерального закона распространяются на всех без исключения операторов, и в случае их нарушения налагаются крупные штрафы, а сама компания попадает в зону особого контроля. Успешное прохождение аттестации дает уверенность в том, что у проверяющих не возникнет никаких претензий к программно-аппаратному обеспечению безопасности на каждом из рабочих мест.
Как привести информационные системы персональных данных в соответствие с 152-ФЗ?
Для всех организаций действует общий порядок, согласно которому необходимо:
- Тщательно изучить организацию с позиции оценки количества и вида обрабатываемых персональных данных;
- Провести классификацию информационной системы по специальным критериям.
- Выделить ключевые разновидности угроз нарушения конфиденциальности ПДн.
- Составить список требований эффективной защиты сведений.
- Разработать и интегрировать проект СЗПДн.
- Пройти аттестацию на соответствие пунктам
152-ФЗ.
Положительный результат проверки можно гарантировать, если изначально обратиться к экспертам в области оптимизации систем защиты данных, которые сформируют и выполнят поставленные задачи профессионально и быстро. Мы предлагаем комплексный сервис в сфере безопасности ПДн, но есть возможность заказать отдельно услугу аттестации с гарантией своевременности выдачи аттестата и качества проверки.
Особенности классификации ИСПДн
Ключевым моментом обеспечения защиты ИСПДн является установление того, с какими видами систем и данных предприятие имеет дело. Порядок выделения отдельных групп устанавливается приказом ФСТЭК № 17 от 11 февраля 2013 года, согласно которому оператору необходимо создать специальную комиссию. Её члены должны установить:
- уровень значимости информации;
- масштаб информационной системы (федеральный, региональный, объектовый).
После аналитической обработки полученных сведений комиссия принимает решение о присвоении одного из четырех классов ИСПДн, которые варьируются в зависимости от тяжести последствий нарушения параметров безопасности для субъектов ПДн. Класс ИСПДн фиксируется в соответствующем Акте классификации, где также прописываются обоснования решения.
Как проходит аттестация рабочих мест по ФЗ-152
Инициировать проведение проверки можно сразу после интеграции СЗПДн. Закон предусматривает возможность организации испытаний за счет ресурсов оператора, но в таком случае нет возможности получения аттестата, зато есть вероятность недостаточно объективного взгляда на функционирование системы защиты. Разумнее всего обратиться к профессионалам нашего Центра, которые:
- выполнят тщательный анализ технологических процессов сбора, обработки и хранения сведений;
- оценят эффективность противодействия различным видам угроз безопасности;
- проведут аттестационные испытания;
- проверят отсутствие утечек информации на каждом рабочем месте;
- составят Заключение и Протокол испытаний;
- примут решение о выдаче аттестата соответствия нормативным требованиям.
Сотрудничество с нами позволит получить официальное подтверждение безопасности ИСПДн быстро и по умеренной стоимости, в том числе мы готовы выполнить повторную аттестацию при замене оборудования, изменении режима обработки информации или модернизации технологических процессов.