Что требует закон?
Закон вступил в силу 07.06.2006 г. и требует, чтобы каждый оператор выполнил требования статей 18.1 и 19 закона путем подготовки (защиты) и оценки защищенности (аттестации) компьютерных систем. Под подготовкой понимается реализация системы защиты персональных данных в составе ИСПДн, которая создается на базе целого ряда подсистем защиты: антивирусная подсистема, подсистема обнаружения вторжений, подсистема межсетевого экранирования, подсистема анализа защищенности, криптографическая подсистема, подсистема защиты от несанкционированного доступа и другие подсистемы в зависимости от требуемого уровня защищенности той или иной ИСПДн.
Сначала кажется, что все просто, но, открыв статьи 18.1 и 19, можно лишь сказать, что защищать компьютерные системы нужно, но как именно — непонятно.
В законе сказано, что конкретные требования по защите ИСПДн регламентируются регуляторами в области защиты информации, а это ФСБ и ФСТЭК России. Уровень защищенности ИСПДн определяется в соответствии с постановлением Правительства № 1119, а требования к самим мерам (подсистемам) защиты установлены приказами ФСТЭК России № 17, 21 и ФСБ России № 378.
Также необходимо отметить, что при реализации технических мер защиты, нужно разработать отдельные организационно-распорядительные документы (ОРД), регламентирующие каждое из направлений защиты (антивирусная защита, обнаружение вторжений, межсетевое экранирование, анализ защищенности, криптографическая защита, защита от несанкционированного доступа и др.). Кроме того, необходимы документы, описывающие общие вопросы обработки и защиты персональных данных в ИСПДн (разрешительная система доступа, описание технологического процесса обработки персональных данных и др.).
Как аттестовать ИСПДн?
Порядок аттестации регламентирован уполномоченными регуляторами в области защиты информации — ФСБ и ФСТЭК России. В основном методология аттестации ИСПДн базируется на нормативно-методической документации ФСТЭК России, которая состоит более чем из 30 документов. Но основные документы, на которые стоит опираться, это приказы ФСТЭК № 17 и 21, а также приказ ФСБ № 378. Если ваша организация не является лицензиатом ФСТЭК России, то проводить работы по аттестации нельзя.
Порядок работ по методологии ФСТЭК России выглядит следующим образом:
-
- Обследование информационных систем персональных данных:
- акт (отчет) об обследовании;
- модель угроз безопасности персональных данных (по методике ФСБ и отдельно по ФСТЭК России);
- акт установления уровня защищенности персональных данных;
- техническое задание на создание системы защиты персональных данных.
- Проектирование системы защиты персональных данных:
- технический проект на систему защиты персональных данных, в составе:
- ведомость эксплуатационных документов;
- структурная схема комплекса технических средств;
- спецификация оборудования;
- пояснительная записка.
- Внедрение системы защиты информации:
- поставка, установка и настройка средств защиты информации;
- разработка организационно-распорядительной документации (ОРД) в части защиты персональных данных (около 15 документов).
- Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных:
- технический паспорт на ИСПДн;
- программа и методика оценки;
- протокол оценки;
- заключение по результатам оценки;
- аттестат соответствия (выдает лицензиат ФСТЭК России).
Кто проводит аттестацию ИСПДн?
В соответствии с ФЗ-99 «О лицензировании отдельных видов деятельности» и постановлением правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» аттестацию ИСПДн имеет право проводить только лицензиат ФСТЭК России (лицензия ФСТЭК на техническую защиту конфиденциальной информации) с пунктами «а» и «г».
К лицензиатам ФСТЭК предъявляются особые требования, такие как:
- наличие квалифицированного персонала с образованием в области защиты информации и опытом работы от 3 лет;
- наличие и знание нормативно-методической документации ФСБ и ФСТЭК России;
- наличие и умение работать с дорогостоящим контрольно-измерительным оборудованием;
- наличие средств контроля защищенности в компьютерных системах (сканеры безопасности, сертифицированные ФСТЭК России);
- наличие аттестованных компьютеров и переговорной комнаты.
Лицензиаты ФСТЭК проходят специальную процедуру лицензирования и далее периодически подтверждают свою компетентность по регламенту ФСТЭК России.
Может ли аттестацию ИСПДн провести оператор самостоятельно?
Не может. Работы по технической защите конфиденциальной информации являются лицензируемым видом деятельности, и аттестация, относящаяся к технической защите, не исключение. Это прямо установлено постановлением правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации». Поэтому оператор не может провести аттестацию самостоятельно, без привлечения на договорной основе лицензиата ФСТЭК России.
Для привлечения лицензиата ФСТЭК к работам по аттестации ИСПДн необходимо:
- Заполнить анкету по сбору исходных данных, необходимых для оценки стоимости и сроков работ по аттестации (скачать анкету можно по ссылке).
- Отправить анкету для просчета стоимости работ лицензиату ФСТЭК России (например, в отдел аттестации ООО «ЦБИС»: att@ciss.su, не обязательно находящегося в вашем регионе, так как лицензиаты имеют право работать на территории всей России.
- Заключить договор на аттестацию ИСПДн, сверив состав работ по договору с правильной методологией (см выше «как аттестовать ИСПДн»).
Скачать коммерческое предложение на аттестацию ИСПДн
СКАЧАТЬ PDF
Какие документы необходимы для аттестации ИСПДн?
Для того, чтобы аттестовать ИСПДн, в первую очередь необходима следующая документация по 19 статье закона и постановлению правительства № 1119:
№ |
Наименование документа |
Пункт НПА |
1. |
Акт (отчет) об обследовании |
152-ФЗ: Статья 19 часть 1, 2, 4 |
2. |
Акт установления уровня защищенности |
152-ФЗ: Статья 19 часть 1, 2, 4 |
3. |
Техническое задание на систему защиты персональных данных |
152-ФЗ: Статья 19 часть 1, 2, 4 |
4. |
Модель угроз по методике ФСБ и отдельно по ФСТЭК |
152-ФЗ: Статья 19 часть 2 пункт 1 |
5. |
Технический проект на систему защиты персональных данных |
152-ФЗ: Статья 19 часть 1, 2, 4 |
6. |
Акты установки средств защиты персональных данных |
152-ФЗ: Статья 19 часть 1, 2, 4 |
7. |
Формуляры и сертификаты ФСТЭК России на средства защиты персональных данных |
152-ФЗ: Статья 19 часть 2 пункт 3) |
8. |
Организационно-распорядительная документация по защите ИСПДн (около 15 документов) |
152-ФЗ: Статья 19 часть 1, 2, 4 |
9. |
Программа и методика оценки эффективности принимаемых мер по обеспечению безопасности персональных данных |
152-ФЗ: Статья 19 часть 2 пункт 4) |
10. |
Протокол оценки эффективности принимаемых мер по обеспечению безопасности персональных данных |
152-ФЗ: Статья 19 часть 2 пункт 4) |
11. |
Заключение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных |
152-ФЗ: Статья 19 часть 2 пункт 4) |
12. |
Аттестат от лицензиата ФСТЭК или декларация соответствия |
152-ФЗ: Статья 19 часть 2 пункт 4) |
13. |
Положение об учете машинных носителей персональных данных с приложением:
- журнал учета машинных носителей,
- акты установки (ввода в эксплуатацию) носителя(ей) (при наличии),
- акты уничтожения носителей (при наличии),
- акты восстановления носителя(ей) персональных данных (при наличии),
- акты приема-передачи носителя(ей) персональных данных (при наличии)
|
152-ФЗ: Статья 19 часть 2 пункт 5) |
14. |
Положение о выявлении, ликвидации и предотвращении инцидентов безопасности персональных данных с приложением:
- журнал учета инцидентов,
- акты выявления инцидентов (при наличии),
- акты устранения инцидентов (при наличии)
|
152-ФЗ: Статья 19 часть 2 пункт 6) |
15. |
Положение о резервном копировании и восстановлении персональных данных с приложением:
- журнал учета резервирования персональных данных,
- акты восстановления персональных данных (при наличии).
|
152-ФЗ: Статья 19 часть 2 пункт 7) |
16. |
Разрешительная система доступа |
152-ФЗ: Статья 19 часть 2 пункт 8) |
17. |
Раздел о правилах доступа к персональным данным в инструкцию пользователя |
152-ФЗ: Статья 19 часть 2 пункт 8) |
18. |
Раздел о правилах доступа к персональным данным в инструкцию системного администратора |
152-ФЗ: Статья 19 часть 2 пункт 8) |
19. |
Раздел о правилах доступа к персональным данным в инструкцию администратора информационной безопасности |
152-ФЗ: Статья 19 часть 2 пункт 8) |
20. |
Положение о внутреннем контроле обработки и защиты персональных данных с приложением:
- план внутреннего контроля,
- акт внутреннего контроля
|
152-ФЗ: Статья 19 часть 2 пункт 9) |
21. |
Положение о режиме обеспечения безопасности помещений с ИСПДн с приложением:
- акт установления границы контролируемой зоны,
- перечень помещений с ИСПДн,
- журнал учета доступа в помещения с ИСПДн (в случае отсутствия СКУД)
|
ПП 1119: пункт 13 подпункт а) |
22. |
Положение об обеспечении сохранности и учета носителей персональных данных, работа с которыми осуществляется без использования средств автоматизации, с приложением:
- акты уничтожения носителей персональных данных (при наличии),
- акты восстановления носителей персональных данных (при наличии),
- акты приема-передачи носителей персональных данных (при наличии)
|
ПП 1119: пункт 13 подпункт б) |
23. |
Перечень сотрудников, имеющих доступ к персональным данным |
ПП 1119: пункт 13 подпункт в) |
24. |
Приказ о назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе (для 3 уровня защищенности) |
ПП 1119: пункт 14 |
Внимание: указанный выше перечень документов не является достаточным для аттестации ИСПДн, так как дополнительно нужно учитывать требования других подзаконных нормативно-правовых актов в области защиты персональных данных.
Аттестация ИСПДн: камни преткновения
Со следующими проблемами сталкиваются большинство операторов при реализации технических мер защиты персональных данных (при аттестации ИСПДн):
- Не знают, какие средства защиты информации нужно применять и как трактовать требование закона о необходимости применения средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия. В итоге применяют несертифицированные средства защиты, надеясь на авось.
- Не знают, что работы по аттестации имеют право проводить только специальные организации — лицензиаты ФСТЭК России с определенными пунктами в лицензии (пункты «а» и «г»). И проводят работы по аттестации самостоятельно, тем самым нарушая закон.
- Не знают, какие конкретно организационно-распорядительные документы необходимо разработать для аттестации ИСПДн, в том числе, ввиду незнания подзаконных нормативно-правовых актов в области обеспечения безопасности персональных данных.
- Не знают методологию выполнения работ, так как не являются лицензиатами ФСТЭК России и не имеют доступ к нормативно-методической базе ФСТЭК России. В связи с этим не представляют, какие отчетные документы обязательно должны быть разработаны для аттестации ИСПДн и по результатам ее выполнения.
- Думают, что применение штатных функций защиты операционной системы и лицензионного антивируса достаточно для реализации мер защиты персональных данных, даже не подозревая, что для информационной системы самого низкого уровня (класса) защищенности требуется реализовать более 7 (семи) подсистем безопасности: антивирусная подсистема, подсистема межсетевого экранирования, подсистема анализа защищённости, криптографическая подсистема, подсистема защиты от несанкционированного доступа, подсистема защиты среды виртуализации и другие подсистемы в зависимости от модели угроз и нарушителя.
Лайфхак по правильной аттестации ИСПДн
Чтобы правильно аттестовать ИСПДн, необходимо учесть следующее:
- Помимо организационно-распорядительной документации, которую нужно разработать для выполнения требований статьи 19 закона, также необходимо разработать дополнительные документы в соответствии с подзаконными нормативно-правовыми актами в области обеспечения безопасности персональных данных (см перечень ниже).
- Для коммерческих организаций не обязательно применение именно сертифицированных в ФСБ и ФСТЭК России средств защиты информации, но обязательна их оценка соответствия требованиям безопасности информации с документальным подтверждением оценки (программа и методика оценки, протокол оценки, заключение, декларация соответствия). На практике часто бывает, что приобрести сертифицированные средства защиты проще (менее трудоемко), легитимнее и менее рисково, чем делать оценку не сертифицированных средств защиты.
- Разрабатывать модель угроз по методологи ФСБ России и применять средства криптографической защиты необходимо, только если защищаемая информация (персональные данные) выходит за пределы контролируемой зоны, т.е. передается через небезопасную среду, такую как интернет.
- В обязательном порядке необходимо разрабатывать технический проект на систему защиты персональных данных, в котором отражаются результаты выбора базовых мер защиты, их адаптации, уточнения и дополнения в соответствии с методологией ФСТЭК России.
- Если какие-то меры защиты применить к ИСПДн невозможно, ввиду, например, отсутствия на рынке средств защиты информации для данной архитектуры ИСПДн, экономической нецелесообразности и др., то нельзя просто исключать неподходящие меры, а следует написать обоснование и выбрать компенсирующие меры. Все указанное отражается в техническом проекте на систему защиты персональных данных, чтобы доказать легитимность выбора.
Подзаконные нормативно-правовые акты по аттестации ИСПДн
Чтобы аттестовать ИСПДн полноценно, необходимо также учитывать требования следующих подзаконных нормативно-правовых актов в области обеспечения безопасности персональных данных:
Аттестация ИСПДн: цена вопроса
Трудоемкость аттестации ИСПДн достаточно велика ввиду многоэтапности и необходимости документирования каждого этапа работы. Также стоит сказать, что методология аттестации одинакова для ИСПДн любого масштаба, даже для ИСПДн, состоящей из одного компьютера.
Стоимость аттестации зависит от количества объектов вычислительной техники, входящих в состав ИСПДн, технологий обработки и уровня (класса) защищенности, который требуется обеспечить.
Само собой, чем ИСПДн масштабнее, тем аттестация будет дороже. Итоговая стоимость включает стоимость услуг и средств защиты, необходимых для реализации системы защиты.
Для небольшой ИСПДн, состоящей из 1 сервера и примерно 10 рабочих станций, стоимость составит около 300 тысяч за услуги под ключ и около 300 тысяч за средства защиты. Для более крупных ИСПДн, состоящих из 10 серверов и примерно 100 рабочих станций, стоимость составит около 1,5 млн. за услуги под ключ и около 1,5 — 2 млн. за средства защиты.
Аттестация ИСПДн, как правило, выделяется в отдельный проект подготовки по требованиям 152-ФЗ с отдельным бюджетом. Набор необходимых средств защиты определяется по результатам предпроектного обследования и разработки самого технического проекта на систему защиты персональных данных. Работы по аттестации проводятся на договорной основе между заказчиком работ и лицензиатом ФСТЭК России.
Что предлагаем мы?
Мы предлагаем вам аттестацию ИСПДн по требованиям ФСТЭК России для полноценного соответствия 152-ФЗ и прохождения проверок регуляторов (Роскомнадзор, ФСБ и ФСТЭК России) с гарантиями по договору.
Как выглядит аттестат на ИСПДн?
Вот так: