Аттестация персональных данных

Аттестация персональных данных (ПДн) представляет собой обязательную либо добровольную процедуру, направленную на подтверждение уровня безопасности информационных процессов. Оценивается организация обработки ПДн внутри компании, способ реализации мер защиты.

В рамках информатизации бизнеса растёт значение контроля за тем, как используется информация о физическом лице. Любая организация (включая предприятие в городе Москва или ином городе России) обязана учитывать требования законодательства. Проверяется соответствие установленным нормам, закреплённым в Федеральном законе №152-ФЗ.

Процедура затрагивает не только программный контур. Проверяется компьютерный сегмент, сетевые решения, технический объект, задействованный в работе с данными.

Дополнительно учитываются внутренние процессы. Анализируется:

порядок работы сотрудников с системой;
какие ограничения действуют;
как организована защита при доступе к личным сведениям.

Это усиливает контроль на практике.

Суть проверки систем обработки ПДн

Аттестация информационных систем персональных данных (ИСПДн) рассматривается как комплексная оценка защищенности среды, где осуществляется обработка сведений о субъектах. Задача — подтвердить соответствие установленным нормативам.

В состав проверки входят следующие направления:

анализ архитектуры ИСПДн;
оценка угроз, связанных с несанкционированным доступом;
проверка корректности внедрённых средств защиты;
контроль работы программных компонентов;
тестирование технических решений.

Фокус направлен на оценку реакции системы на попытки нарушения безопасности. Для выявления уязвимостей применяются специализированные инструменты, методы анализа.

Аттестация необходима в следующих ситуациях:

запуск новой информационной системы;
модернизация программного либо аппаратного уровня;
изменение нормативной базы;
внедрение новых процессов обработки.

Для государственных структур проведение процедуры обязательно. Коммерческая компания принимает решение самостоятельно, однако наличие аттестата существенно снижает риски.

Проводить такие работы имеют право только лицензированные организации, получившие разрешение ФСТЭК России. Самостоятельная сертификация не допускается.

Проверка ИСПДн внутри компании

Аттестация информационных систем персональных данных организации направлена на анализ всей среды, где осуществляется обработка сведений.

В рамках процедуры оцениваются:

серверное оборудование, на котором размещена система;
компьютер, используемый для доступа к ПДн;
сетевые соединения, включая внутренние сегменты;
средства защиты информации, внедрённые на предприятии;
регламенты, регулирующие работу сотрудников.

Каждый объект проходит отдельную проверку. Эксперты оценивают соответствие фактического состояния установленным требованиям. Особое значение имеет корректность разграничения прав доступа.

Контролю подлежат следующие аспекты:

кто имеет право работать с данными;
каким образом осуществляется доступ;
какие меры применяются для предотвращения утечек;
как фиксируются действия пользователей.

Также анализируется уровень автоматизации процессов. При высокой степени информатизации возрастает значение технических средств контроля.

Проверяется наличие защитных механизмов, их эффективность в реальных условиях эксплуатации. Это позволяет выявить уязвимости до возникновения инцидентов.

Нормативные требования к защите ПДн

Сфера обработки персональных данных регулируется рядом документов. Требования закреплены на законодательном уровне, что делает их обязательными для исполнения.

Ключевые нормативные акты РФ:

ФЗ №152-ФЗ — определяет порядок обработки ПДн;
Постановление Правительства №1119 — устанавливает требования к защите;
приказ ФСТЭК №17 — регулирует государственный сегмент;
приказ ФСТЭК №21 — применяется для коммерческих систем;
приказ ФСБ №378 — описывает использование криптографических средств;
приказ Роскомнадзора №140 — вводит правила обезличивания информации.

Каждый документ содержит конкретный комплекс технических и организационных мер. При проведении аттестации эксперты сопоставляют реализованные решения с установленными нормами.

Требования включают:

ограничение доступа к данным;
применение средств защиты информации;
регистрация событий безопасности;
контроль действий пользователей;
защита каналов передачи данных.

Отдельное внимание уделяется категории обрабатываемых сведений. Чем выше уровень угроз, тем более строгие меры необходимо применять.

Несоблюдение требований может привести к санкциям со стороны надзорных органов. В частности, ФСТЭК вправе приостановить действие аттестата при выявлении нарушений.

Нормативная база регулярно обновляется, поэтому предприятие обязано отслеживать изменения, чтобы сохранять соответствие установленным стандартам.

Проверка рабочих мест и вычислительной техники

Аттестация системы и компьютеров для работы с персональными данными охватывает весь компьютерный контур, задействованный в обработке информации. Проверке подлежит каждое рабочее место, где сотрудник может лично взаимодействовать с ПДн.

Эксперты анализируют следующие элементы:

персональный компьютер, подключённый к ИСПДн;
операционные системы, используемые для обработки;
установленные средства защиты информации;
антивирусные решения, системы контроля доступа;
сетевые настройки, влияющие на безопасность.

Анализ охватывает конфигурацию оборудования. Даже корректно настроенная система может иметь уязвимость при ошибках на уровне отдельного устройства.

Проверяются параметры:

наличие обновлений программного обеспечения;
корректность настроек безопасности;
разграничение прав пользователей;
защита от внешних носителей.

В рамках процедуры проводится испытание устойчивости к несанкционированным действиям. Дополнительно оценивается порядок эксплуатации техники.

Этапы проведения аттестационных мероприятий

Порядок процедуры включает последовательные действия.:

анализ исходных данных — изучение структуры системы, определение угроз;
обследование объекта — проверка технического состояния, анализ документации;
оценка реализованных мер защиты — сопоставление с нормативными требованиями;
проведение испытаний — проверка устойчивости к атакам;
анализ результатов — выявление несоответствий;
подготовка заключения.

На первом этапе эксперты изучают особенности функционирования системы. Учитываются все процессы, связанные с обработкой сведений.

Далее проводится детальное обследование. Проверяется, насколько корректно реализовано обеспечение безопасности. Испытание проводится в условиях, приближённых к реальной эксплуатации.

В процессе проверки применяются:

программные средства контроля;
аппаратные комплексы анализа;
методы моделирования угроз.

Каждое действие фиксируется. Формируется документ, отражающий результаты проверки.

Проведение процедуры требует участия экспертов с лицензией ФСТЭК. Только такие организации имеют право проводить аттестацию.

Документирование результатов и получение аттестата

Результаты проверки оформляются в виде официальных документов, подтверждающих соответствие системы установленным требованиям. Итогом становится аттестат соответствия.

В состав итоговой документации входят:

протоколы испытаний;
акты проверки;
заключение экспертов;
перечень выявленных замечаний;
рекомендации по устранению нарушений.

При положительном результате организация получает аттестат. Документ подтверждает, что информационный объект соответствует требованиям безопасности.

Если выявлены несоответствия, оформляется перечень нарушений. До их устранения сертификация не завершается.

Дополнительно проверяется наличие организационной документации:

приказ о назначении ответственных лиц;
модель угроз;
регламенты работы с ПДн;
журналы учёта действий пользователей;
инструкции по защите информации.

Эксперты оценивают наличие документации, ее актуальность. Несоответствие фактической работы установленным правилам рассматривается как нарушение.

После получения аттестата предприятие обязано поддерживать уровень защиты. Контроль проводится регулярно, не реже одного раза в два года.

Несоблюдение требований может привести к следующим последствиям:

штрафные санкции со стороны надзорных органов;
приостановка действия аттестата;
утечка данных;
снижение доверия со стороны клиентов.

Регулярная оценка состояния системы помогает поддерживать безопасность на требуемом уровне и своевременно устранять выявленные риски. Оставьте заявку. Менеджер центра расскажет подробнее о процесса оформления документации.

Добрый день! Подскажите, что делать, если выяснится в ходе работы, что каких-то документов не хватает?

Здравствуйте! До старта основных мероприятий выполняется предварительная проверка, которая позволяет определить состав необходимой документации. Уже на этом этапе выявляются недостающие позиции. При необходимости осуществляется разработка документов с учетом действующих требований и особенностей ИСПДн. Такой подход исключает задержки при дальнейшем проведении аттестации.

Здравствуйте. Как узнать, нужно нашему предприятию проходить процедуру аттестации или нет?

Здравствуйте! Обязательность процедуры зависит от категории системы и уровня защищенности. Аттестация требуется для государственных, муниципальных информационных систем, а также для объектов с высоким уровнем защищенности, где выполняется обработка специальных категорий ПДн, включая биометрические либо медицинские сведения. В остальных случаях решение принимает организация, исходя из требований регуляторов или партнеров. Для точного определения проводится анализ системы, после чего формируется обоснование необходимости проведения работ.