Что требует закон?

Закон вступил в силу 07.06.2006 г. и требует, чтобы каждый оператор выполнил требования статей 18.1 и 19 закона путем подготовки (защиты) и оценки защищенности (аттестации) компьютерных систем. Под подготовкой понимается реализация системы защиты персональных данных в составе ИСПДн, которая создается на базе целого ряда подсистем защиты: антивирусная подсистема, подсистема обнаружения вторжений, подсистема межсетевого экранирования, подсистема анализа защищенности, криптографическая подсистема, подсистема защиты от несанкционированного доступа и другие подсистемы в зависимости от требуемого уровня защищенности той или иной ИСПДн.

Сначала кажется, что все просто, но, открыв статьи 18.1 и 19, можно лишь сказать, что защищать компьютерные системы нужно, но как именно — непонятно.

В законе сказано, что конкретные требования по защите ИСПДн регламентируются регуляторами в области защиты информации, а это ФСБ и ФСТЭК России. Уровень защищенности ИСПДн определяется в соответствии с постановлением Правительства № 1119, а требования к самим мерам (подсистемам) защиты установлены приказами ФСТЭК России № 17, 21 и ФСБ России № 378.

Также необходимо отметить, что при реализации технических мер защиты, нужно разработать отдельные организационно-распорядительные документы (ОРД), регламентирующие каждое из направлений защиты (антивирусная защита, обнаружение вторжений, межсетевое экранирование, анализ защищенности, криптографическая защита, защита от несанкционированного доступа и др.). Кроме того, необходимы документы, описывающие общие вопросы обработки и защиты персональных данных в ИСПДн (разрешительная система доступа, описание технологического процесса обработки персональных данных и др.).

Как аттестовать ИСПДн?

Порядок аттестации регламентирован уполномоченными регуляторами в области защиты информации — ФСБ и ФСТЭК России. В основном методология аттестации ИСПДн базируется на нормативно-методической документации ФСТЭК России, которая состоит более чем из 30 документов. Но основные документы, на которые стоит опираться, это приказы ФСТЭК № 17 и 21, а также приказ ФСБ № 378. Если ваша организация не является лицензиатом ФСТЭК России, то проводить работы по аттестации нельзя.

Порядок работ по методологии ФСТЭК России выглядит следующим образом:

Кто проводит аттестацию ИСПДн?

В соответствии с ФЗ-99 «О лицензировании отдельных видов деятельности» и постановлением правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» аттестацию ИСПДн имеет право проводить только лицензиат ФСТЭК России (лицензия ФСТЭК на техническую защиту конфиденциальной информации) с пунктами «а» и «г».

К лицензиатам ФСТЭК предъявляются особые требования, такие как:

Лицензиаты ФСТЭК проходят специальную процедуру лицензирования и далее периодически подтверждают свою компетентность по регламенту ФСТЭК России.

Может ли аттестацию ИСПДн провести оператор самостоятельно?

Не может. Работы по технической защите конфиденциальной информации являются лицензируемым видом деятельности, и аттестация, относящаяся к технической защите, не исключение. Это прямо установлено постановлением правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации». Поэтому оператор не может провести аттестацию самостоятельно, без привлечения на договорной основе лицензиата ФСТЭК России.

Для привлечения лицензиата ФСТЭК к работам по аттестации ИСПДн необходимо:

  1. Заполнить анкету по сбору исходных данных, необходимых для оценки стоимости и сроков работ по аттестации (скачать анкету можно по ссылке).
  2. Отправить анкету для просчета стоимости работ лицензиату ФСТЭК России (например, в отдел аттестации ООО «ЦБИС»: att@ciss.su, не обязательно находящегося в вашем регионе, так как лицензиаты имеют право работать на территории всей России.
  3. Заключить договор на аттестацию ИСПДн, сверив состав работ по договору с правильной методологией (см выше «как аттестовать ИСПДн»).
Скачать коммерческое предложение на аттестацию ИСПДн
СКАЧАТЬ PDF

Какие документы необходимы для аттестации ИСПДн?

Для того, чтобы аттестовать ИСПДн, в первую очередь необходима следующая документация по 19 статье закона и постановлению правительства № 1119:

Внимание: указанный выше перечень документов не является достаточным для аттестации ИСПДн, так как дополнительно нужно учитывать требования других подзаконных нормативно-правовых актов в области защиты персональных данных.

Аттестация ИСПДн: камни преткновения

Со следующими проблемами сталкиваются большинство операторов при реализации технических мер защиты персональных данных (при аттестации ИСПДн): 

Лайфхак по правильной аттестации ИСПДн

Чтобы правильно аттестовать ИСПДн, необходимо учесть следующее:

Подзаконные нормативно-правовые акты по аттестации ИСПДн

Чтобы аттестовать ИСПДн полноценно, необходимо также учитывать требования следующих подзаконных нормативно-правовых актов в области обеспечения безопасности персональных данных:

Аттестация ИСПДн: цена вопроса

Трудоемкость аттестации ИСПДн достаточно велика ввиду многоэтапности и необходимости документирования каждого этапа работы. Также стоит сказать, что методология аттестации одинакова для ИСПДн любого масштаба, даже для ИСПДн, состоящей из одного компьютера.

Стоимость аттестации зависит от количества объектов вычислительной техники, входящих в состав ИСПДн, технологий обработки и уровня (класса) защищенности, который требуется обеспечить.
Само собой, чем ИСПДн масштабнее, тем аттестация будет дороже. Итоговая стоимость включает стоимость услуг и средств защиты, необходимых для реализации системы защиты.

Для небольшой ИСПДн, состоящей из 1 сервера и примерно 10 рабочих станций, стоимость составит около 300 тысяч за услуги под ключ и около 300 тысяч за средства защиты. Для более крупных ИСПДн, состоящих из 10 серверов и примерно 100 рабочих станций, стоимость составит около 1,5 млн. за услуги под ключ и около 1,5 — 2 млн. за средства защиты.

Аттестация ИСПДн, как правило, выделяется в отдельный проект подготовки по требованиям 152-ФЗ с отдельным бюджетом. Набор необходимых средств защиты определяется по результатам предпроектного обследования и разработки самого технического проекта на систему защиты персональных данных. Работы по аттестации проводятся на договорной основе между заказчиком работ и лицензиатом ФСТЭК России.

Что предлагаем мы?

Мы предлагаем вам аттестацию ИСПДн по требованиям ФСТЭК России для полноценного соответствия 152-ФЗ и прохождения проверок регуляторов (Роскомнадзор, ФСБ и ФСТЭК России) с гарантиями по договору.

Заказать обратный звонок и получить полное понимание за 10 минут
ЗАКАЗАТЬ ОБРАТНЫЙ ЗВОНОК

Как выглядит аттестат на ИСПДн?

Вот так:

Аттестация ИСПДн