Аттестация системы защиты персональных данных

Содержание
  1. Сертификация систем защиты персональных данных, сертификация СЗИ, аттестация и сертификат соответствия ФСТЭК
  2. Сертификация средств защиты персональных данных по 152-ФЗ
  3. Сертификат соответствия ФСТЭК
  4. Аттестация систем персональных данных
  5. Сертификация и аттестация ФСТЭК: разбираемся, что нужно компаниям по 152-ФЗ
  6. Сертификат и аттестат ФСТЭК
  7. Сертификат ФСТЭК: что это такое и для чего нужен
  8. Зачем нужна сертификация ФСТЭК
  9. Кому и зачем нужна аттестация ФСТЭК
  10. Зачем нужна сертификация ФСТЭК и аттестация ФСТЭК
  11. Аттестация ИСПДн – аттестат соответствия информационных систем персональных данных по требованиям безопасности
  12. Правовые обоснования проведения аттестации информационных систем персональных данных
  13. Когда и кому необходимо получить аттестат соответствия ИСПДн?
  14. Основные этапы проверки
  15. Финансовая сторона вопроса
  16. Аттестация ИСПДн в компании – ООО
  17. Как аттестовать ИСПДн?
  18. Кто проводит аттестацию ИСПДн?
  19. Может ли аттестацию ИСПДн провести оператор самостоятельно?
  20. Какие документы необходимы для аттестации ИСПДн?
  21. Аттестация ИСПДн: камни преткновения
  22. Лайфхак по правильной аттестации ИСПДн
  23. Подзаконные нормативно-правовые акты по аттестации ИСПДн
  24. Аттестация ИСПДн: цена вопроса
  25. Что предлагаем мы?
  26. Ооо анк – инфраструктура открытых ключей – аттестация объектов обработки конфиденциальной информации (персональных данных)
  27. При подготовке объектов заказчика к обработке защищаемой информации:
  28. При подготовке внутренних организационно-распорядительных документов предприятия:
  29. При проведении аттестационных испытаний объектов заказчика на соответствие требованиям безопасности информации с выдачей Аттестата соответствия
  30. Все работы выполняются в соответствии законодательством и нормативными документами:

Сертификация систем защиты персональных данных, сертификация СЗИ, аттестация и сертификат соответствия ФСТЭК

Аттестация системы защиты персональных данных

Вопрос сертификации защиты персональных данных на уровне ФСТЭК и ФСБ РФ не имеет однозначного решения: контролирующие органы ориентируются во многом на собственное видение безопасности.

В целом, систему защиты информации (СЗИ) представляют как совокупность организационных мер и программно-технических средств.

Целью СЗИ является предотвращение или серьезное затруднение несанкционированного доступа.

С организационной точки зрения допускается деление деление рисков на недопустимые и допустимые – но оно условно, зависит от многих факторов: размеров компании, ее известности, способов обработки персональных данных, репутации, политики взаимодействия с клиентами. Наиболее сильным риск является для организаций, которые поддерживают сайты с персональными данными либо формами для их регистрации, проводят массированные е-mail рассылки, ведут агрессивные рекламные кампании.

Обеспечение сохранности данных для различных предприятий зависят от масштабов работы, финансовых и производственных возможностей, а также от количества сведений, нуждающихся в охране. Определение рисков и мер защиты должно базироваться на принципах достаточности и разумности.

Сертификация на соответствие защиты персональных данных представляет собой совокупность действий, нацеленных на подтверждение основных и дополнительных параметров услуг, систем или продуктов требованиям выработанных актов и стандартов.

Учитывая то, что безопасность относится к разряду социализированных областей, завязана на человеческий фактор и информационные технологии, она не может быть всеобъемлющей.

Утечка или утрата персональных данных автоматически признается виной оператора связи.

Департамент защиты персональных данных системы сертификации Росконтроля проводит мониторинг всех российских организаций, независимо от формы собственности, являющихся операторами связи, предъявляя к ним ряд требований по организации адекватной защиты.

Сертификация средств защиты персональных данных по 152-ФЗ

Российские требования предусматривают необходимость проверки встроенных в программные продукты средств защиты информации, организацию различных технических и организационно-распорядительных мероприятий по обеспечению безопасности. Федеральный закон дает определение, какая информация попадает под определение персональных данных, назначает ответственных по их защите, проведению классификации.

Все юридические лица и индивидуальные предприниматели, обрабатывающие персональные данные в процессе деятельности, обязаны пройти сертификацию по 152-ФЗ по трем этапам:

  1. Подготовить уникальный портфель документов, включающий акты, приказы, инструкции и т.д.
  2. Опубликовать документ – политику, с описанием способов работы с персональных данных.
  3. Подать уведомление в Роскомнадзор.

Все программное обеспечение, осуществляющее защиту ПД, обязательно к согласованию и сертификации на уровнях главных регуляторов — Федеральной службы безопасности и Федеральной службы по техническому и экспортному контролю.

Порядок работ по методике, утвержденной ФСТЭК, выглядит так:

  1. Проводится обследование информационной системы персональных данных (ИСПДн).
  2. Проектируется система защиты.
  3. Внедряется система, защищающая информацию.
  4. Оценивается эффективность всех предпринятых шагов, по результатам которых принимается решение о соответствии.

Стоимость сертификации в соответствии с 152-ФЗ складывается из:

  1. Наличия подключения к сети Интернет.
  2. Количества компьютеров.
  3. Наличия сервера или общей сети.
  4. Техподдержки.
  5. Юридического сопровождения.

Работы по сертификации выделяются в отдельный проект с отдельным бюджетом. Необходимая «золотая середина» средств защиты рассчитывается после предпроектного обследования и написания техпроекта. Для клиентов существуют готовые типовые решения, оптимизированные под разного рода потребности, и не требующие значительных финансовых затрат.

Сертификат соответствия ФСТЭК

Система сертификации персональных данных ФСТЭК России отвечает за некриптографическую защиту информации, препятствуя несанкционированному доступу к ней или «слитию» ее по техническим каналам связи.

Служба организует сертификацию и контролирует «верхний уровень». Все остальные работы ложатся на лицензиаров в лице лабораторий-испытателей ПО и экспертных организаций.

Клиент самостоятельно выбирает лабораторию, а ФСТЭК создает экспертную комиссию.

Процесс сертификации программ обработки персональных данных ФСТЭК осуществляется сходных образом, с привлечением института заявителей.

Взаимодействуя с лабораториями и экспертами, они сравнивают продаваемые версии продукта с сертифицированным образцом-эталоном.

В среднем время аттестации ИСПДн занимает от полугода или больше, все зависит от ее уровня и категорийности – чем выше степень, тем больше требований к безопасности предъявляется.

Сертификация программных продуктов в соответствии с законом «О персональных данных» ставит своей целью контроль над информацией, обеспечивающей национальную безопасность. Поэтому все программное обеспечение, поставляемое на рынок и используемое в построении ключевых зон информационной структуры, должно соответствовать жестким требованиям.

Уже готовые сертификаты для работы с персональными данными имеют семейство операционных систем Linux, сетевое оборудование от IT-корпорации Cisco, реляционная СУБД Sybase ASE, продукция 1С.

Аттестация систем персональных данных

Проведение аттестации информационных систем персональных данных – дорогое удовольствие, поэтому часть операторов ПДн старается всеми силами избежать этой процедуры.

Она является обязательной для государственных ИСПДн, накладывая на операторов ряд обязательств. Для негосударственных предприятий аттестат требуется в случае подтверждения должного уровня защиты, поэтому процедура может проходит в добровольном порядке.

Соответствующая документация получается в территориальном отделении ФСТЭКа.

Процедура производится лицензированными на проведение технической защиты организациями. Аттестационная комиссия состоит из специалистов информационной безопасности и экспертов.

В ее задачу входит проведение оценки соответствия всех мер, технических и организационных, с последующими испытаниями всех программных и технических средств, направленных на защиту ПДн. По результатам оценки выдается либо аттестат, либо предписание с перечнем обязательных к устранению недостатков.

В целях экономии времени и средств, подготовку к аттестации лучше доверить имеющим опыт аналогичной работы организациям.

Аттестация многоэтапна и требует строжайшего документирования, при этом ее методология одинакова как для компьютера, так и для рабочих места по защите персональных данных. Зато по факту получается полноценная система защиты информации. Следование алгоритму сертификации, все операторы ПДн принимают участие в выработке максимальной защиты ИС.

После введения системы защиты в эксплуатацию, не стоит забывать об изменчивости технологий. Спустя некоторое время могут возникнуть новые угрозы и риски, поэтому для поддержания работоспособности и защищенности информации рекомендуется устраивать аудит информационной безопасности ежегодно.

Источник: https://integrus.ru/blog/it-decisions/sertifikatsiya-sistem-zashhity-personalnyh-dannyh.html

Сертификация и аттестация ФСТЭК: разбираемся, что нужно компаниям по 152-ФЗ

Аттестация системы защиты персональных данных
Закон о персональных данных нужно соблюдать всем, кто хранит и обрабатывает данные сотрудников и клиентов.

В самом законе нет технических требований к программному обеспечению и IT-системам — технические требования устанавливают приказы ФСТЭК. Расскажем, кому и зачем нужны сертификация и аттестация ФСТЭК.

Сертификат и аттестат ФСТЭК

Приказ №21 ФСТЭК России — Федеральной службы по техническому и экспортному контролю, устанавливает технические требования по защите персональных данных. Он определяет, насколько конкретные программы и IT-системы соответствуют 152-ФЗ.

Для подтверждения соответствия у ФСТЭК есть два документа: сертификат и аттестат. Давайте разберемся, чем они отличаются, когда выдаются и кому нужны.

Сертификат ФСТЭК: что это такое и для чего нужен

Возьмем компанию — разработчика программного обеспечения, и представим, что она разработала свой антивирус и хочет продавать его организациям, которые работают с персональными данными. Для этого нужно доказать, что этот антивирус безопасен и соответствует требованиям 152-ФЗ.

В России проверку на соответствие 152-ФЗ проводит ФСТЭК. Чтобы доказать безопасность нового антивируса, компании нужно получить на него сертификат ФСТЭК. Для этого нужно обратиться в представительство службы, после чего начинается долгий и сложный процесс сертификации: программу изучают, тестируют, проверяют на уязвимости и наличие недекларируемых возможностей.

Способы тестирования зависят от того, какой уровень сертификата ФСТЭК России требуется подтвердить. Так, если антивирус будут использовать в системах, где хранят биометрические данные, проверки будут более строгими. А для работы в системах с общедоступными данными, например, ФИО и профессией, требования и тесты мягче.

Зачем нужна сертификация ФСТЭК

Если антивирус пройдет проверку, компания получит на него сертификат ФСТЭК. И разработчик ПО сможет гарантировать, что его антивирус безопасен и соответствует техническим требования ФСТЭК.

Так выглядит сертификат ФСТЭК

Получается, что сертификат соответствия ФСТЭК нужно получать, если вы разрабатываете средства защиты, например антивирусные программы, межсетевые экраны и так далее. То есть он нужен только разработчикам ПО, которые хотят подтвердить безопасность своих программ и предлагать их компаниям для защиты персональных данных.

На сайте ФСТЭК есть реестр, в который включены все сертифицированные системы защиты. Любой может зайти и проверить, прошла ли программа сертификацию. Например, сертификат ФСТЭК есть у антивируса от «Лаборатории Касперского».

Кратко: Сертификация ФСТЭК — что это? Это проверка, которая показывает, насколько программа безопасна и соответствует требованиям закона о защите персональных данных. Если вы не разрабатываете программное обеспечение для защиты персональных данных, получать сертификат ФСТЭК вам не нужно. Но вам может быть нужен аттестат.

Кому и зачем нужна аттестация ФСТЭК

Сертификат соответствия по требованиям безопасности информации выдают только на сами средства защиты, например антивирусные системы.

Однако кроме средств защиты, ФСТЭК проверяет и IT-системы, в которых хранятся персональные данные: серверы и сети компаний или облачные хранилища. Такая процедура проверки называется не сертификацией, а аттестацией.

Аттестация по требованиям ФСТЭК нужна не всем компаниям. Вы можете не проходить аттестацию, если:

  • Не храните и не обрабатываете персональные данные. Например, у вас небольшой офлайн-магазин без сотрудников и базы клиентов.
  • Храните данные, требующие самого низкого, четвертого уровня защищенности. К ним относят общедоступные данные клиентов и сотрудников: ФИО, дата и место рождения, адрес проживания, номер телефона, информация о профессии. Подробнее об уровнях защищенности мы рассказывали в статье Защита персональных данных в облаке: как сделать все по закону 152-ФЗ.

Если вы храните другие персональные данные, например, биометрические — характеризующие биологические и физиологические данные человека и позволяющие по ним установить его личность, то обязаны обеспечивать уже третий уровень защищенности. И систему, в которой вы храните такие данные, нужно аттестовать в органах аттестации ФСТЭК.

Процесс аттестации немного проще, чем процесс сертификации. Для аттестации у ФСТЭК есть четкий порядок и требования, которые нужно соблюсти. Также пройти аттестацию проще, если использовать средства защиты информации с сертификатом ФСТЭК России.

Так выглядит аттестат ФСТЭК

Получается, что для работы любой компании нужен не сертификат, а аттестат ФСТЭК. А сертификаты должны быть у программного обеспечения, которое вы используете, но о сертификации должны позаботиться производители этого ПО.

У облака Mail.ru Cloud Solutions есть аттестат безопасности ФСТЭК. Это значит, что если вы храните здесь персональные данные, то соблюдаете 152-ФЗ. Кроме того, мы помогаем компаниям пройти аттестацию информационных систем и инфраструктуры, построенной на базе нашего облака.

Зачем нужна сертификация ФСТЭК и аттестация ФСТЭК

Сертификат соответствия ФСТЭК России для таких средств защиты, как антивирусные программы или межсетевые экраны, подтверждает, что это средство защиты можно использовать в системах для хранения персональных данных.

Аттестат ФСТЭК нужен компании, которая хранит персональные данные. Он подтверждает, что IT-система достаточно защищена и соответствует 152-ФЗ.

Елена Шпрингер

Источник: https://mcs.mail.ru/blog/sertifikaciya-i-attestaciya-fstek

Читать по теме:Защита персональных данных в облаке: как сделать все по закону 152-ФЗСоблюдение законов о персональных данныхКибербезопасность в B2B: как бизнесу защититься от хакеров

Источник: https://zen.yandex.ru/media/mcs/sertifikaciia-i-attestaciia-fstek-razbiraemsia-chto-nujno-kompaniiam-po-152fz-5ec82661f1bac763f41359a2

Аттестация ИСПДн – аттестат соответствия информационных систем персональных данных по требованиям безопасности

Аттестация системы защиты персональных данных

Обработка и хранение персональных данных физических лиц в рамках коммерческой или некоммерческой деятельности требует соблюдения определенных требований безопасности.

Необходимость обеспечивать защиту персональных данных и проходить аттестацию ИСПДн прописана в Федеральном законе №152-ФЗ от 7 июля 2006 года, причем под его действие попадают не только государственные, муниципальные структуры, но также физлица, ИП и юридические лица.

В зависимости от типа и класса защищенности системы проверка и получение аттестата могут носить обязательный либо добровольный характер.

Аттестация по требованиям безопасности информации — процедура не дешевая и в большинстве случаев удорожает обеспечение безопасности ИСПДн раза в полтора-два, поэтому многие операторы персональных данных хотели бы обойти данную процедуру.

Сразу отметим, что понятие «аттестация ИСПДн» относится только к государственным информационным системам персональных данных, что накладывает на операторов обязательства по обеспечению их безопасности в соответствии с Требованиями по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными Приказом ФСТЭК России №17 от 11.02.2013 г.

Аттестация информационных систем персональных данных обязательна только для ГИС.
Приказ ФСТЭК России №17 от 11 февраля 2013г.

Для информационных систем, не являющихся государственными, аттестат соответствия требованиям по безопасности информации не обязателен. Однако, он может понадобиться для доказывания должного уровня защиты ИСПДн. В этом случае данную процедуру можно провести в добровольном порядке. Проводится аттестация ИСПДн в соответствии в соответствии с тем же вышеупомянутым Приказом ФСТЭК России № 17.

Сама процедура аттестации проводится организацией, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации.

При этом в данной организации создается аттестационная комиссия, состоящая из экспертов и специалистов в области информационной безопасности, которая проводит оценку соответствия организационных и технических мер, а также испытания технических и программных средств защиты персональных данных.

В результате оценки соответствия выдается Аттестат либо предписание на устранение недостатков системы защиты ИСПДн, поэтому необходимо очень тщательно подойти к процедуре подготовки к аттестации, а лучше поручить подготовку компетентной организации.

Также в целях доказывания должного уровня защиты персональных данных возможно проведение и аудита соответствия, который проводится компетентными организациями, имеющими лицензию на техническую защиту конфиденциальной информации.

Об аудите соответствия обработки персональных данных

Правовые обоснования проведения аттестации информационных систем персональных данных

Как указано в статьях 18.1 и 19 действующего Федерального закона «О персональных данных», от оператора требуется подготовить и интегрировать программно-аппаратные средства защиты информации, а также пройти аттестационные испытания.

Проверка выполняется согласно нормативам ГОСТов, методологической документации ФСТЭК и ФСБ с помощью особого контрольного оборудования, сертифицированных средств измерения и отслеживания эффективности СЗПДн. Экспертам надлежит оценить различные подсистемы, включая антивирусное ПО, криптографическую безопасность, разграничение доступа и т.д.

Количество инспектируемых компонентов ИСПДн определяется установленным для данного предприятия уровнем защищенности информации.

Аттестация систем персональных данных регламентируется целым рядом подзаконных актов, с которыми имеет смысл ознакомиться каждому, кому предстоит подобная процедура:

  1. Приказы ФСТЭК РФ № 21 и 17.
  2. Приказ Федеральной службы безопасности № 378.
  3. Постановление Правительства России № 1119.

В соответствии с ними оператору нужно разработать и внедрить целый пакет организационно-распорядительных документов, которые будут четко прописывать, каким образом будет обеспечиваться работа каждой из подсистем ИСПДн.

Когда и кому необходимо получить аттестат соответствия ИСПДн?

В обязательном порядке документ, свидетельствующий о том, что информационная система ПДн отвечает действующим требованиям ФЗ-152, предстоит получить государственным органам и тем организациям, которые выполняют их функции.

Такие ИС нуждаются не только в обеспечении конфиденциальности сведений, но также в предупреждении несанкционированных действий в отношении собранной и хранимой информации, в частности, она должна быть защищена от изменения, удаления, копирования и распространения без согласия субъектов ПДн.

Добровольная аттестация системы защиты персональных данных инициируется, чтобы:

  • избежать конфликтов с проверяющими органами;
  • поддерживать хорошую деловую репутацию и минимизировать вероятность судебных исков за разглашение конфиденциальной информации;
  • подтвердить в глазах партнеров и клиентов статус лидера в выбранной рыночной нише — особенно это актуально для компаний, которые оказывают аутсорсинговые услуги в сфере бухучета, аудита, программного обеспечения и т.д.

Услуга проведения аттестационных испытаний с выдачей протоколов, заключений и аттестата, актуальная также для организаций любой формы собственности и специализации в таких случаях:

  • после окончания срока действия прошлого сертификата (документ выдается на 3 года);
  • при необходимости улучшения информационной защищенности;
  • при подозрении на систематическую утечку сведений и безрезультативность внутренних проверок;
  • после внесения существенных изменений в работе, например, закупки нового компьютерного оборудования, обновлении технологических процессов или значительном расширении базы данных.

Основные этапы проверки

Процедура анализа текущего уровня защиты ПДн достаточно трудоемкая, сложная и требует от исполнителей определенной квалификации и опыта. Её проводят на последнем этапе обеспечения безопасности информационных систем компании. Наш Центр выполняет полный спектр работ, действуя согласно методологии ФСТЭК Российской Федерации, которая предусматривает:

  1. Изучение ИС персональных данных с составлением акта об обследовании, с разработкой модели потенциальных угроз. На данном этапе происходит определение того, насколько эффективны используемые средств защиты ПДн, а затем создается техническое задание на разработку и интеграцию СЗ.
  2. Создание и внедрение проекта системы защиты с обязательной подготовкой ОРД.
  3. Аттестация безопасности ПДн с составлением технического паспорта на исследуемую систему, протокола оценки и заключения по результатам анализа. Если все требования ФЗ-152 соблюдены, то компания получает аттестат, который будет действительным в течение 3 лет.

Финансовая сторона вопроса

Стоимость аттестации ИСПДн определяется после обсуждения с клиентом всех аспектов сотрудничества и с учетом трудоемкости процесса, которая обусловлена потребностью документировать на каждом этапе выполненные действия и полученные результаты. Основными факторами, влияющими на итоговую сумму, являются:

  • число компьютеров, ноутбуков и прочей вычислительной техники, формирующей систему персональных данных предприятия;
  • специфика используемых технологий обработки информации;
  • класс защищенности и тип ИСПДн;
  • количество необходимых средств обеспечения безопасности конфиденциальных сведений.

При обращении в наш Центр вы можете быть уверенными в том, что цена аттестации информационных систем персональных данных будет обоснованной, а все условия сотрудничества будут четко прописаны в договоре на обслуживание. Точно определить количество и вид необходимых средств помогает предварительное обследование, на основе которого создается технический проект под конкретную компанию.

Естественно, чем масштабней организация, тем большими будут финансовые затраты, но при выборе сервиса под ключ, который мы предлагаем, переплачивать не придется.

К тому же, инвестируя денежные активы в безопасность ПДн сейчас, в будущем вы можете избежать штрафов ФСТЭК за несоблюдение нормативов ФЗ-152 и других подзаконных актов, а также создать себе репутацию действительно надежного партнера, который способен защитить информацию от неправомерных действий.

Источник: https://data-sec.ru/personal-data/attestation/

Аттестация ИСПДн в компании – ООО

Аттестация системы защиты персональных данных

Закон вступил в силу 07.06.2006 г. и требует, чтобы каждый оператор выполнил требования статей 18.1 и 19 закона путем подготовки (защиты) и оценки защищенности (аттестации) компьютерных систем.

Под подготовкой понимается реализация системы защиты персональных данных в составе ИСПДн, которая создается на базе целого ряда подсистем защиты: антивирусная подсистема, подсистема обнаружения вторжений, подсистема межсетевого экранирования, подсистема анализа защищенности, криптографическая подсистема, подсистема защиты от несанкционированного доступа и другие подсистемы в зависимости от требуемого уровня защищенности той или иной ИСПДн.

Сначала кажется, что все просто, но, открыв статьи 18.1 и 19, можно лишь сказать, что защищать компьютерные системы нужно, но как именно — непонятно.

В законе сказано, что конкретные требования по защите ИСПДн регламентируются регуляторами в области защиты информации, а это ФСБ и ФСТЭК России. Уровень защищенности ИСПДн определяется в соответствии с постановлением Правительства № 1119, а требования к самим мерам (подсистемам) защиты установлены приказами ФСТЭК России № 17, 21 и ФСБ России № 378.

Также необходимо отметить, что при реализации технических мер защиты, нужно разработать отдельные организационно-распорядительные документы (ОРД), регламентирующие каждое из направлений защиты (антивирусная защита, обнаружение вторжений, межсетевое экранирование, анализ защищенности, криптографическая защита, защита от несанкционированного доступа и др.). Кроме того, необходимы документы, описывающие общие вопросы обработки и защиты персональных данных в ИСПДн (разрешительная система доступа, описание технологического процесса обработки персональных данных и др.).

Как аттестовать ИСПДн?

Порядок аттестации регламентирован уполномоченными регуляторами в области защиты информации — ФСБ и ФСТЭК России.

В основном методология аттестации ИСПДн базируется на нормативно-методической документации ФСТЭК России, которая состоит более чем из 30 документов.

Но основные документы, на которые стоит опираться, это приказы ФСТЭК № 17 и 21, а также приказ ФСБ № 378. Если ваша организация не является лицензиатом ФСТЭК России, то проводить работы по аттестации нельзя.

Порядок работ по методологии ФСТЭК России выглядит следующим образом:

Кто проводит аттестацию ИСПДн?

В соответствии с ФЗ-99 «О лицензировании отдельных видов деятельности» и постановлением правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» аттестацию ИСПДн имеет право проводить только лицензиат ФСТЭК России (лицензия ФСТЭК на техническую защиту конфиденциальной информации) с пунктами «а» и «г».

К лицензиатам ФСТЭК предъявляются особые требования, такие как:

Лицензиаты ФСТЭК проходят специальную процедуру лицензирования и далее периодически подтверждают свою компетентность по регламенту ФСТЭК России.

Может ли аттестацию ИСПДн провести оператор самостоятельно?

Не может. Работы по технической защите конфиденциальной информации являются лицензируемым видом деятельности, и аттестация, относящаяся к технической защите, не исключение.

Это прямо установлено постановлением правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».

Поэтому оператор не может провести аттестацию самостоятельно, без привлечения на договорной основе лицензиата ФСТЭК России.

Для привлечения лицензиата ФСТЭК к работам по аттестации ИСПДн необходимо:

  1. Заполнить анкету по сбору исходных данных, необходимых для оценки стоимости и сроков работ по аттестации (скачать анкету можно по ссылке).
  2. Отправить анкету для просчета стоимости работ лицензиату ФСТЭК России (например, в отдел аттестации ООО «ЦБИС»: att@ciss.su, не обязательно находящегося в вашем регионе, так как лицензиаты имеют право работать на территории всей России.
  3. Заключить договор на аттестацию ИСПДн, сверив состав работ по договору с правильной методологией (см выше «как аттестовать ИСПДн»).

Скачать коммерческое предложение на аттестацию ИСПДн

СКАЧАТЬ PDF

Какие документы необходимы для аттестации ИСПДн?

Для того, чтобы аттестовать ИСПДн, в первую очередь необходима следующая документация по 19 статье закона и постановлению правительства № 1119:

Внимание: указанный выше перечень документов не является достаточным для аттестации ИСПДн, так как дополнительно нужно учитывать требования других подзаконных нормативно-правовых актов в области защиты персональных данных.

Аттестация ИСПДн: камни преткновения

Со следующими проблемами сталкиваются большинство операторов при реализации технических мер защиты персональных данных (при аттестации ИСПДн): 

  1. Не знают, какие средства защиты информации нужно применять и как трактовать требование закона о необходимости применения средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия. В итоге применяют несертифицированные средства защиты, надеясь на авось.
  2. Не знают, что работы по аттестации имеют право проводить только специальные организации — лицензиаты ФСТЭК России с определенными пунктами в лицензии (пункты «а» и «г»). И проводят работы по аттестации самостоятельно, тем самым нарушая закон.
  3. Не знают, какие конкретно организационно-распорядительные документы необходимо разработать для аттестации ИСПДн, в том числе, ввиду незнания подзаконных нормативно-правовых актов в области обеспечения безопасности персональных данных.
  4. Не знают методологию выполнения работ, так как не являются лицензиатами ФСТЭК России и не имеют доступ к нормативно-методической базе ФСТЭК России. В связи с этим не представляют, какие отчетные документы обязательно должны быть разработаны для аттестации ИСПДн и по результатам ее выполнения.
  5. Думают, что применение штатных функций защиты операционной системы и лицензионного антивируса достаточно для реализации мер защиты персональных данных, даже не подозревая, что для информационной системы самого низкого уровня (класса) защищенности требуется реализовать более 7 (семи) подсистем безопасности: антивирусная подсистема, подсистема межсетевого экранирования, подсистема анализа защищённости, криптографическая подсистема, подсистема защиты от несанкционированного доступа, подсистема защиты среды виртуализации и другие подсистемы в зависимости от модели угроз и нарушителя. 

Лайфхак по правильной аттестации ИСПДн

Чтобы правильно аттестовать ИСПДн, необходимо учесть следующее:

  1. Помимо организационно-распорядительной документации, которую нужно разработать для выполнения требований статьи 19 закона, также необходимо разработать дополнительные документы в соответствии с подзаконными нормативно-правовыми актами в области обеспечения безопасности персональных данных (см перечень ниже).
  2. Для коммерческих организаций не обязательно применение именно сертифицированных в ФСБ и ФСТЭК России средств защиты информации, но обязательна их оценка соответствия требованиям безопасности информации с документальным подтверждением оценки (программа и методика оценки, протокол оценки, заключение, декларация соответствия). На практике часто бывает, что приобрести сертифицированные средства защиты проще (менее трудоемко), легитимнее и менее рисково, чем делать оценку не сертифицированных средств защиты.
  3. Разрабатывать модель угроз по методологи ФСБ России и применять средства криптографической защиты необходимо, только если защищаемая информация (персональные данные) выходит за пределы контролируемой зоны, т.е. передается через небезопасную среду, такую как интернет.
  4. В обязательном порядке необходимо разрабатывать технический проект на систему защиты персональных данных, в котором отражаются результаты выбора базовых мер защиты, их адаптации, уточнения и дополнения в соответствии с методологией ФСТЭК России.
  5. Если какие-то меры защиты применить к ИСПДн невозможно, ввиду, например, отсутствия на рынке средств защиты информации для данной архитектуры ИСПДн, экономической нецелесообразности и др., то нельзя просто исключать неподходящие меры, а следует написать обоснование и выбрать компенсирующие меры. Все указанное отражается в техническом проекте на систему защиты персональных данных, чтобы доказать легитимность выбора.

Подзаконные нормативно-правовые акты по аттестации ИСПДн

Чтобы аттестовать ИСПДн полноценно, необходимо также учитывать требования следующих подзаконных нормативно-правовых актов в области обеспечения безопасности персональных данных:

Аттестация ИСПДн: цена вопроса

Трудоемкость аттестации ИСПДн достаточно велика ввиду многоэтапности и необходимости документирования каждого этапа работы. Также стоит сказать, что методология аттестации одинакова для ИСПДн любого масштаба, даже для ИСПДн, состоящей из одного компьютера.

Стоимость аттестации зависит от количества объектов вычислительной техники, входящих в состав ИСПДн, технологий обработки и уровня (класса) защищенности, который требуется обеспечить.
Само собой, чем ИСПДн масштабнее, тем аттестация будет дороже. Итоговая стоимость включает стоимость услуг и средств защиты, необходимых для реализации системы защиты.

Для небольшой ИСПДн, состоящей из 1 сервера и примерно 10 рабочих станций, стоимость составит около 300 тысяч за услуги под ключ и около 300 тысяч за средства защиты. Для более крупных ИСПДн, состоящих из 10 серверов и примерно 100 рабочих станций, стоимость составит около 1,5 млн. за услуги под ключ и около 1,5 — 2 млн. за средства защиты.

Аттестация ИСПДн, как правило, выделяется в отдельный проект подготовки по требованиям 152-ФЗ с отдельным бюджетом. Набор необходимых средств защиты определяется по результатам предпроектного обследования и разработки самого технического проекта на систему защиты персональных данных. Работы по аттестации проводятся на договорной основе между заказчиком работ и лицензиатом ФСТЭК России.

Что предлагаем мы?

Мы предлагаем вам аттестацию ИСПДн по требованиям ФСТЭК России для полноценного соответствия 152-ФЗ и прохождения проверок регуляторов (Роскомнадзор, ФСБ и ФСТЭК России) с гарантиями по договору.

Источник: https://xn--90ao1ar.xn--p1ai/attestatsiya_fstek/attestatsiya-ispdn/

Ооо анк – инфраструктура открытых ключей – аттестация объектов обработки конфиденциальной информации (персональных данных)

Аттестация системы защиты персональных данных

ЗАО «АНК» оказывает услуги заинтересованным предприятиям и организациям, в том числе и государственным, по защите информации ограниченного  доступа (не содержащей сведений, отнесенных к государственной тайне), персональных данных при обработке в автоматизированных / информационных (АИС) системах.

При подготовке объектов заказчика к обработке защищаемой информации:

  • определение информационных ресурсов, содержащих  защищаемую информацию на основе анализа информационных потоков, циркулирующих в технических средствах АИС;
  • определение категории обрабатываемой информации, класса защищенности АИС и режима разграничения прав доступа пользователей к защищаемым информационным ресурсам;
  • разработка модели угроз безопасности информации, обрабатываемой в АИС с определением источников актуальных угроз, уязвимостей защиты информации;
  • разработка требований по обеспечению безопасности информации при ее обработке и на их основе проектирование комплексной системы защиты информации;
  • поставка продуктов, реализующих необходимый уровень защиты информации,  внедрение в АИС решений (механизмов) по безопасности информации;

При подготовке внутренних организационно-распорядительных документов предприятия:

  • разработка проектов документов (регламентов, положений, инструкций, журналов учета), определяющих:
  • порядок организации работ по обеспечению безопасности информации (ОБИ);
  • обязанности должностных лиц, эксплуатирующих АИС, в части ОБИ;
  • порядок контроля полноты и эффективности мер ОБИ;
  • порядок обучения администраторов средств защиты информации, обучения (инструктажа) пользователей;
  • порядок обновления общесистемного и прикладного программного обеспечения АИС;
  • меры по предотвращению возможных негативных последствий нарушений безопасности информации;
  • порядок охраны и допуска лиц в помещения, в которых ведется обработка защищаемой информации;
  • порядок резервирования  и восстановления информации, хранения и выдачи носителей зарезервированной информации;

При проведении аттестационных испытаний объектов заказчика на соответствие требованиям безопасности информации с выдачей Аттестата соответствия

Состав предлагаемых к выполнению работ и сроки их выполнения, в соответствии с пожеланиями заказчика, могут быть определены индивидуально.

Все работы выполняются в соответствии законодательством и нормативными документами:

ЗАО «АНК» имеет все необходимые лицензии и сертификаты для выполнения перечисленных работ.

Оценочная спецификация и стоимость работ, выполняемых  при оказании данных услуг, представлены в таблице:

№  Наименование работы Цена (руб.)
 1

Предварительное ознакомление с объектм информатизации (ОИ), анализ исходных данных об ОИ:

  • сбор исходных данных о составе и объеме защищаемой информации (ЗИ) в системе;
  • исследование условий обработки ЗИ;
  • изучение конфигурации и топологии автоматизированной (информационной) системы (АИС), применяемых методов и средств защиты;
  • предварительная классификация АИС;
от 5 000
 2 Разработка разрешительной системы доступа пользователей к обрабатываемой ЗИ от 5 000
 3 Разработка актуальной модели угроз безопасности информации, в соответствии с документами ФСТЭК и ФСБ России от 20 000
 4 Создание подсистемы защиты информации:
  • разработка Технического задания, проектирование подсистемы защиты информации;
  • поставка, установка и конфигурация средств обеспечения информационной безопасности*;
  • ввод в действие АИС в защищенном исполнении;

от 25 000

от 10 000

 5 Разработка проектов внутренних организационно-распорядительных и учетно-контрольных документов; от 15 000
 6 Аттестация АИС, включая защищаемые помещения, в которых размещены программно-технические средства:
  • разработка и согласование с «Программы-методики аттестационных испытаний на соответствие требованиям по безопасности информации»;
  • проведение аттестационных испытаний в соответствии с «Программой-методикой»;
  • подготовка протокола по результатам аттестационных испытаний;
  • подготовка Заключения по результатам аттестационных испытаний;
  • оформление и выдача «Аттестата соответствия информационной системы требованиям по безопасности информации»;
от 20 000

Значение оценки стоимости выполняемых работ указано для случая, при котором АИС построена на базе автономного (-ых) компьютеров. Зависит от объема и функциональной сложности программно-технического комплекса.

*Спецификация и стоимость поставляемых средств защиты, а так же работ по их установке и настройке  может быть определена на основании проектных решений по подсистеме защиты.

Время выполнения работ может составить:

  • по поставке, установке: не более 1 месяца
  • по подготовке и аттестации автоматизированной (информационной) системы: не более 1 месяца

Отдельные виды работ могут выполняться одновременно. 

Вы можете задать любые интересующие вас вопросы прямо с сайта. Спросите сейчас!

Источник: https://ank-pki.ru/index.php/attestpersdan

Все о законе
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: