Аттестация персональных данных

Аттестация обработки персональных данных – комплекс проверочных мероприятий, при успешном прохождении которых организация получает Аттестат соответствия. Юридическим и физическим лицам для законной работы необходима аттестация. Персональные данные (ПДн) обрабатываются при помощи информационных систем (ИСПДн). Так что аттестация ПДн чаще именуется аттестацией ИСПДн.

Как происходит аттестация системы персональных данных?

Аттестацию ИСПДн может проводить только компания, имеющая лицензию ФСТЭК на осуществление деятельности по технической защите информации. Нужно выбрать надежную организацию-лицензиата из любого региона России. После чего связаться со специалистами фирмы и отправить им анкету, на основании которой будет просчитана стоимость работ. Потом уже заключается договор на аттестацию.

Лицензиат ФСТЭК проводит оценку соответствия ИСПДн организационно-техническим нормам. Проверка проходит по следующим пунктам:

• изучается структура ИСПДн и методы обработки ПДн;
• проверяется разработанная документация;
• оценивается, верно ли определен класс ИСПДн;
• проверяются программно-технические средства ИСПДн;
• оценивается уровень физической охраны;
• оценивается подготовленность персонала и распределение нагрузки.

Кроме того, лицензирующая организация проводит испытания ИСПДн на предмет защищенности от внешних угроз. Проверка включает в себя:

• проверку документации;
• проверку правильности использования средств защиты информации (СЗИ);
• испытания подсистем:
  • управления,
  • регистрации и учета,
  • антивирусной охран,
  • охраны каналов связи,
  • выявления вторжений,
  • анализа защищенности.

После проверки составляется заключение, к нему прилагают протоколы оценки. Если было решено, что ИСПДн не соответствует нормам, разрабатываются предложения по доработке недочетов. Аттестат выдается сроком до 3 лет, в течение этого времени компания обязана сохранять неизменными условия обработки защищаемых ПДн.

Как подготовиться к аттестации?

Начинать подготовку к аттестации следует заранее, желательно, на этапе закупки оборудования и обустройства помещений. Что следует сделать:

• составить список ПДн,
• определить контролируемую зону и расположение ИСПДн относительно ее границ,
• определить предполагаемые СЗИ и их расположение,
• определить класс ИСПДн,
• разработать и установить ИСПДн,
• выявить возможные угрозы,
• проанализировать и оценить результативность мер по защите ПДн,
• разработать политику взаимодействия работников с ПДн,
• изучить 152-ФЗ и другие нормативные акты,
• разработать организационно-распорядительную организацию.

Разработка документации регламентирована 152-ФЗ. Кроме того, подзаконные нормативные акты указывают на необходимость разработки дополнительных документов.

Важно знать, что моделирование возможных угроз необходимо только в том случае, если ПДн будут передаваться за пределами контролируемой зоны, например, через интернет.

Сертифицированное оборудование не является обязательным требованием для коммерческих организаций. Но оборудование требуется оценивать на соответствие нормам информационной безопасности. Зачастую бывает, что закупить сертифицированное оборудование проще и быстрее, чем проводить оценку.

Классы ИСПДн.

При подготовке к аттестации важно правильно определить класс ИСПДн. Для этого изначально нужно установить категорию ПДн:

• категория 4 – общедоступные ПДн;
• категория 3 – ПДн, по которым можно опознать человека;
• категория 2 – ПДн, по которым можно опознать человека и узнать о нем дополнительные сведения;
• категория 1 – ПДн, содержащие религиозные и политические убеждения, национальность, расу, медицинские сведения.

Помимо категории защищаемых ПДн нужно точно знать количество обрабатываемых сведений. В зависимости от количества субъектов, сведения которых обрабатывает ИСПДн, выделяются 3 объема ПДн:

• 3 – менее 1000,
• 2 – от 1000 до 100000,
• 1 – более 100000.

Зная категорию и объем ПДн, можно установить класс ИСПДн. Всего существует 4 класса:

• 1 класс: нарушение безопасности ПДн может нанести существенный урон субъектам ПДн. Сюда относятся ПДн 1 категории любого объема, а также ПДн 2 категории 1 объема.
• 2 класс: нарушение безопасности ПДн может нанести чувствительный урон субъектам ПДн. Сюда относятся ПДн 3 категории 1 объема, также ПДн 2 категории 2 объема.
• 3 класс: нарушение безопасности ПДн может нанести незначительный урон субъектам ПДн. Сюда относятся ПДн 3 категории 3 и 2 объема, а также ПДн 2 категории 3 объема.
• 4 класс: нарушение безопасности ПДн не нанесет урон субъектам ПДн. Сюда относятся ПДн 4 категории любого объема.

Для каждого класса ИСПДн существуют свои требования по информационной безопасности. Так, для ИСПДн 1 класса применяются СЗИ не ниже 4 класса; для ИСПДн 2 класса – СЗИ не ниже 5 класса; для ИСПДН 3 и 4 класса – СЗИ не ниже 6 класса.

Аттестация ИСПДн – трудоемкий процесс даже для небольшой ИСПДн. Соответственно, чем крупнее система, тем сложнее и дороже будет процедура. Центр безопасности информационных систем предлагает провести аттестацию ИСПДн с гарантиями полного соответствия 152-ФЗ.