Вопрос: Подлежит ли обязательной Аттестации информационная система персональных данных call-центра? Если да, то куда обращаться и что для этого нужно?
Игорь, Нижний Новгород
Ответ:
В настоящее время процедура аттестации информационных систем персональных данных (ИСПДн) проводится исключительно в отношении Государственных информационных систем (ГИС) в соответсвии с Приказом ФСТЭК России от 11 февраля 2013 года № 17.
Если ИСПДн call-центра не является ГИС, то в соответствии с Федеральным законом №152-ФЗ «О персональных данных» обязательной является процедура оценки эффективности принимаемых мер по обеспечению безопасности персональных данных (п.4 ч.2 ст.19) и при необходимости Аудит соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам (п.4 ч.1 ст.18.1).
В соответствии с Приказом ФСТЭК России от 18 февраля 2013 года №21 процедура Оценки эффективности может быть проведена оператором самостоятельно (при наличии квалифицированных специалистов) или организацией, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Для проведения внешнего Аудита соответсвия также необходимо обращаться к организации, имеющей указанную выше лицензию на ТЗКИ.
Для успешного прохождения Оценки эффективности ИСПДн и Аудита соответсвия нужна соответствующая подготовка в части разработки и внедрения необходимых организационных и технических мер по защите персональных данных.