Аттестация по 152-ФЗ

Основополагающим законом в сфере обеспечения безопасности ПДн является ФЗ № 152, принятый в 2006 году и обязательный для соблюдения всеми структурами, которые им классифицируются как операторы персональных данных. В данную категорию входят как государственные организации и муниципальные органы, так и физические лица либо компании, которые в том или ином виде имеют дело с получением, обработкой, хранением, использованием информации о физических лицах.

Определить степень соответствия утвержденным на законодательном уровне нормативам позволит специальная аттестация по 152-ФЗ, проводить которую имеет право ФСТЭК либо его лицензиат. Наш Центр безопасности персональных данных имеет соответствующий разрешительный документ, выданный в 2012 году, поэтому может выдавать аттестаты государственного образца, срок действия которых составляет 3 года. Доверьтесь нашим специалистам, чтобы получить объективную оценку эффективности действующих систем защиты быстро и по разумной цене. Мы нацелены на долгосрочное партнерство, поэтому качественно выполняем поставленные задачи и учитываем мельчайшие нюансы. Также мы готовы взять на себя приведение ИСПДн в соответствие с актуальными правовыми нормативами.

Зачем проводить аттестацию и что она собой представляет?

Обеспечение защиты персональной информации необходимо каждой организации независимо от формы собственности, направленности и масштабов деятельности. Закон действует для всех, включая госструктуры, медицинские учреждения, страховые фирмы, производственные комплексы, торговые компании и т.д. Чтобы исключить вероятность несанкционированных действий с ПДн без согласия субъектов, оператору необходимо позаботиться о защите информационной системы персональных данных, что, в свою очередь, свидетельствует о необходимости использования специальных технических решений. Они подбираются индивидуально для каждой компании и при условии грамотной разработки интеграции дают возможность минимизировать вероятность случайного или намеренного неправомерного уничтожения, блокировки, распространения, изменения и копирования конфиденциальных сведений.

Аттестация по 152-ФЗ проводится на последнем этапе внедрения системы безопасности с целью:

• подтверждения защищенности ИСПДн перед внешними и внутренними угрозами;
• засвидетельствования соответствия нормативным требованиям.

Если речь идет о госструктурах или организациях, наделенных их функциями, то они должны проходить проверку в обязательном порядке. В остальных случаях решение о целесообразности процедуры принимает руководство предприятия, а полученный аттестат становится дополнительным аргументом в пользу сотрудничества для потенциальных клиентов и партнеров по бизнесу.

Важно понимать, что положения Федерального закона распространяются на всех без исключения операторов, и в случае их нарушения налагаются крупные штрафы, а сама компания попадает в зону особого контроля. Успешное прохождение аттестации дает уверенность в том, что у проверяющих не возникнет никаких претензий к программно-аппаратному обеспечению безопасности на каждом из рабочих мест.

Как привести информационные системы персональных данных в соответствие с 152-ФЗ?

Для всех организаций действует общий порядок, согласно которому необходимо:

1. Тщательно изучить организацию с позиции оценки количества и вида обрабатываемых персональных данных;
2. Провести классификацию информационной системы по специальным критериям.
3. Выделить ключевые разновидности угроз нарушения конфиденциальности ПДн.
4. Составить список требований эффективной защиты сведений.
5. Разработать и интегрировать проект СЗПДн.
6. Пройти аттестацию на соответствие пунктам 152-ФЗ.

Положительный результат проверки можно гарантировать, если изначально обратиться к экспертам в области оптимизации систем защиты данных, которые сформируют и выполнят поставленные задачи профессионально и быстро. Мы предлагаем комплексный сервис в сфере безопасности ПДн, но есть возможность заказать отдельно услугу аттестации с гарантией своевременности выдачи аттестата и качества проверки.

Особенности классификации ИСПДн

Ключевым моментом обеспечения защиты ИСПДн является установление того, с какими видами систем и данных предприятие имеет дело. Порядок выделения отдельных групп устанавливается приказом ФСТЭК № 17 от 11 февраля 2013 года, согласно которому оператору необходимо создать специальную комиссию. Её члены должны установить:

• уровень значимости информации;
• масштаб информационной системы (федеральный, региональный, объектовый).

После аналитической обработки полученных сведений комиссия принимает решение о присвоении одного из четырех классов ИСПДн, которые варьируются в зависимости от тяжести последствий нарушения параметров безопасности для субъектов ПДн. Класс ИСПДн фиксируется в соответствующем Акте классификации, где также прописываются обоснования решения.

Как проходит аттестация рабочих мест по ФЗ-152

Инициировать проведение проверки можно сразу после интеграции СЗПДн. Закон предусматривает возможность организации испытаний за счет ресурсов оператора, но в таком случае нет возможности получения аттестата, зато есть вероятность недостаточно объективного взгляда на функционирование системы защиты. Разумнее всего обратиться к профессионалам нашего Центра, которые:

• выполнят тщательный анализ технологических процессов сбора, обработки и хранения сведений;
• оценят эффективность противодействия различным видам угроз безопасности;
• проведут аттестационные испытания;
• проверят отсутствие утечек информации на каждом рабочем месте;
• составят Заключение и Протокол испытаний;
• примут решение о выдаче аттестата соответствия нормативным требованиям.

Сотрудничество с нами позволит получить официальное подтверждение безопасности ИСПДн быстро и по умеренной стоимости, в том числе мы готовы выполнить повторную аттестацию при замене оборудования, изменении режима обработки информации или модернизации технологических процессов.