Рейтинг нашего независимого портала формируется исходя из уровня компетенции представленных компаний.
Аттестация персональных данных
Аттестация информационных систем персональных данных проводится для проверки защищенности среды, в которой осуществляется обработка персональных данных. Задачи процедуры:
- подтвердить соблюдение действующих требований законодательства;
- выявить слабые места;
- проверить эффективность применяемых средств защиты.
Аттестация охватывает программную, техническую части ИСПДн. Проверке подлежат:
- серверы;
- рабочие станции;
- сетевое оборудование;
- каналы связи;
- программное обеспечение;
- средства защиты информации.
Информационная система персональных данных включает цифровые сервисы, оборудование, внутренние сети, базы хранения сведений. Через ИСПДн компания может работать с кадровой документацией, клиентскими базами, медицинскими картами, финансовой информацией.
Во время эксплуатации существует риск:
- несанкционированного доступа;
- изменения сведений;
- утечки данных;
- удаления информации;
- распространения конфиденциальных материалов;
- нарушения работы цифровой среды.
Для государственных систем процедура считается обязательной. Коммерческая организация принимает решение о проведении самостоятельно. При этом наличие аттестата существенно снижает риски претензий со стороны регуляторов, повышает уровень доверия клиентов, партнеров.
Проводить аттестационные мероприятия могут только компании-лицензиаты ФСТЭК России. Самостоятельно проходить аттестацию ИСПДн нельзя.
Нормативные требования к безопасности ПДн
Проведение аттестации информационных систем персональных данных регулируется несколькими нормативными документами.
Основным считается Федеральный закон №152-ФЗ. Документ определяет правила обработки ПДн, обязанности операторов, требования к защите информации.
Дополнительно применяются:
- Постановление Правительства Российской Федерации №1119;
- Приказы ФСТЭК России №17, №21;
- Приказ Федеральной службы безопасности России №378;
- Приказ Роскомнадзора №140.
Постановление №1119 устанавливает требования к безопасности персональных данных при обработке внутри ИСПДн.
Приказ №17 применяется для государственных платформ. Приказ №21 регулирует защитные меры для коммерческих организаций.
Документ Федеральной службы безопасности России №378 определяет состав организационных, технических мер при использовании криптографической защиты информации.
Приказ Роскомнадзора №140 устанавливает требования к обезличиванию персональных данных.
Во время проверки специалисты оценивают не только наличие защитных решений, но также соответствие документации реальной работе компании.
Когда требуется проведение аттестации
Аттестационные мероприятия необходимы в нескольких случаях. Основное основание — запуск новой ИСПДн.
До начала обработки персональных данных требуется проверить:
- корректность настройки конфиденциальности;
- работоспособность средств безопасности;
- устойчивость к несанкционированному доступу;
- эффективность ограничений доступа;
- надежность хранения информации.
Повторное проведение требуется после модернизации цифровой среды. Проверка необходима при:
- обновлении программного обеспечения;
- замене серверов;
- изменении архитектуры сети;
- внедрении новых сервисов;
- подключении дополнительных рабочих мест;
- изменении способов обработки ПДн.
Отдельное основание связано с изменением законодательства. После обновления нормативных требований оператор персональных данных обязан подтвердить соответствие новым правилам.
Дополнительно контроль проводится для поддержания действующего аттестата. Проверка уровня защищенности должна выполняться минимум один раз в два года с направлением протоколов во ФСТЭК России.
Какие этапы включает аттестация
Аттестация информационных систем персональных данных предполагает комплексную проверку цифровой среды в реальных условиях эксплуатации. Работа включает несколько последовательных этапов.
Анализ исходных сведений
На начальном этапе специалисты изучают структуру ИСПДн, архитектуру сети, способы обработки данных, перечень используемых средств защиты.
Во время исследования выявляются:
- потенциальные угрозы;
- уязвимые участки;
- ошибки настройки;
- риски утечки информации;
- возможные каналы несанкционированного доступа.
Дополнительно проводится оценка текущего уровня защищенности.
Экспертное обследование
Следующий этап включает проверку организационной, технической документации.
Специалисты анализируют:
- политики обработки ПДн;
- внутренние регламенты;
- инструкции для сотрудников;
- модель угроз;
- модель нарушителя;
- эксплуатационные документы на СЗИ.
Эксперты оценивают, насколько фактическая работа ИСПДн соответствует внутренним регламентам компании.
Аттестационные испытания
Далее проводятся комплексные испытания. Проверка выполняется с применением специальной аппаратуры контроля, программных средств анализа защищенности.
Во время испытаний оцениваются:
- устойчивость к внешним атакам;
- эффективность ограничений доступа;
- работа антивирусной защиты;
- безопасность сетевого взаимодействия;
- корректность регистрации событий;
- надежность механизмов хранения данных.
Испытания помогают определить фактический уровень безопасности системы.
Анализ результатов
После завершения тестирования эксперты изучают полученные сведения, фиксируют обнаруженные недостатки, определяют необходимые корректирующие меры.
Организация получает перечень замечаний для устранения при выявлении нарушений.
Подготовка аттестата
Финальный этап включает оформление заключения, подготовку аттестата соответствия. Аттестат подтверждает:
- безопасность ИСПДн;
- соответствие требованиям законодательства;
- возможность законной обработки персональных данных;
- эффективность реализованных мер защиты.
При положительном результате компания получает право работать с ПДн.
Какие сведения потребуются
Для проведения аттестации необходим пакет организационной, технической документации.
Подготавливают сведения:
- приказ о назначении ответственных;
- технический паспорт ИСПДн;
- акт классификации;
- модель угроз;
- модель нарушителя;
- инструкции для сотрудников;
- журналы учета;
- политики обработки ПДн;
- регламенты доступа;
- документы по антивирусной защите.
Дополнительно применяют данные:
- протоколы обучения персонала;
- проектная документация на СЗИ;
- эксплуатационные материалы;
- сертификаты ИСО;
- лицензии;
- внутренние положения компании.
Эксперты оценивают наличие документации, соответствие фактическим процессам внутри организации.
Последствия нарушений требований законов
Несоблюдение правил конфиденциальности персональных данных приведет к серьезным последствиям:
- утечка информации;
- кибератаки;
- финансовые потери;
- штрафы Роскомнадзора;
- приостановка действия аттестата;
- репутационный ущерб.
При выявлении нарушений ФСТЭК России запросит устранение недостатков либо ограничить действие аттестата соответствия.
Дополнительный контроль помогает поддерживать стабильную работу цифровой среды, снижать вероятность инцидентов, обеспечивать безопасность личных сведений.
Дополнительные услуги
Центр предоставляет комплекс дополнительных услуг по направлениям:
- разработка политик обработки ПДн;
- подготовка внутренних регламентов;
- оформление должностных инструкций;
- ведение журналов учета;
- подготовка протоколов обучения персонала по конфиденциальности ПДн;
- разработка модели угроз;
- подготовка модели нарушителя;
- оформление организационно-распорядительной документации;
- составление проектной документации на СЗИ;
- подготовка эксплуатационной документации на средства защиты информации;
- внедрение организационных, технических мер безопасности;
- сопровождение при внедрении СЗИ;
- аудит действующей системы безопасности;
- подготовка документации для сертификации ИСО;
- оформление лицензий;
- сопровождение проверок регуляторов;
- анализ защищенности ИСПДн;
- оценка эффективности защитных механизмов;
- подготовка документов для получения аттестата.
Эксперты помогают:
- привести ИСПДн в соответствие требованиям законодательства;
- устранить замечания;
- подготовить полный комплект сведений для прохождения аттестационных мероприятий.
Работы выполняются с учетом нормативных документов ФСТЭК России, Роскомнадзора, Федеральной службы безопасности России. Направляйте заявки!

Комментарии
Оставьте Ваш комментарий