Защита персональных данных, конфиденциальной информации, а также уникальный опыт в области защиты информации, возможность решать нестандартные и масштабные задачи любой сложности.
Заключительный и самый важный этап приведения защиты информационной системы к соответствию требованиям безопасности информации. Включает в себя комплекс организационных и технических мероприятий, направленных на подтверждение соответствия применяемой системы защиты информации объекта информатизации требуемому уровню безопасности при обработке персональных данных.
Результатом аттестационных испытаний является выдача «Аттестата соответствия требованиям по безопасности информации» и иные аттестационные документы.
В силу специфики затрагиваемой темы, считаем необходимым внести ясность в понимание основного вопроса - являются ли аттестационные мероприятия обязательным условием выполнения требований Законодательства в области защиты информации?
Аттестация объектов информатизации может быть как добровольной, так и обязательной.
Добровольные аттестационные испытания проводятся по инициативе Заявителя и осуществляются для установления соответствия системы защиты информации объекта информатизации требованиям безопасности информации.
Обязательная аттестация проводится исключительно в случаях, установленных федеральными законами, актами Президента РФ и Правительства РФ и иными нормативными правовыми актами уполномоченных федеральных органов исполнительной власти. (прим. Приказ ФСТЭК России от 11 февраля 2013 г. № 17. п. 3 «для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия: аттестация информационной системы по требованиям защиты информации»).
Чем регламентирован порядок аттестации
Нормативно- правовое регулирование вопросов, связанных с проведением аттестационных мероприятий информационных систем отражается в совокупности методических документов регуляторов – ФСТЭК и ФСБ России. Большинство из этих документов имеют гриф «ДСП», но есть и те документы, которые находятся в открытом доступе и которые служат первоисточником понимания всей специфики вопроса- это приказы ФСТЭК России № 17 и 21, а так же приказ ФСБ № 378.
Можно ли самостоятельно провести аттестацию
Нет, нельзя. В соответствии с подпунктом 5 пункта 1 главы 2 статьи 12 Федерального закона от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» с целью оказания услуг по защите конфиденциальной информации необходимо получение лицензии на деятельность по технической защите конфиденциальной информации. Порядок лицензирования отражён в Постановлении Правительства РФ от 03.02.2012 № 79 "О лицензировании деятельности по технической защите конфиденциальной информации".
Основные этапы проведения работ
1. Предпроектная стадия, включающая в себя:
- определение перечня персональных данных, подлежащих защите;
- определение основных и вспомогательных технических средств, участвующих в обработке персональных данных;
- определение конфигурации и топологии информационной системы;
- классификация информационной системы персональных данных;
- разработка и выдача аналитического обоснования и частного технического задания на создание системы защиты информации;
- разработка частной модели угроз безопасности персональных данных при их обработке в ИСПДн, в соответствии с регламентирующими документами ФСТЭК и ФСБ России (в том числе Базы данных актуальных угроз безопасности ФСТЭК России https://bdu.fstec.ru).
2. Стадия проектирования, включающая в себя:
- предоставление пояснительной записки технического проекта;
- разработка ведомости технического проекта;
- разработка и предоставление проекта на создание системы защиты информации.
3. Ввод в эксплуатацию средств и систем защиты информации:
- закупка сертифицированных программных и технических средств защиты информации;
- установка и настройка средств защиты информации;
- разработка организационно- распорядительной документации, регламентирующей порядок работы с персональными данными.
4. Контроль эффективности мер и средств защиты персональных данных:
- разработка и согласование программы и методики оценки эффективности;
- оценка эффективности применяемых средств защиты информации в соответствии с согласованной программой и методикой;
- заключение по результатам оценки;
- аттестация ИСПДн.
Выше приведённый перечень работ отражает основные этапы, которые необходимо осуществить при создании системы защиты информации на предприятии. Доверяя эту работу нашим специалистам, Вы получаете рациональный подход к финансовым затратам, необходимым для осуществления мероприятий, индивидуальный подход в части реализации мер по защите информации, полное соответствие требованиям 152 – ФЗ и прохождения любых проверок регуляторов (Роскомнадзор, ФСТЭК и ФСБ России).
В тех случаях, когда Аттестация является обязательным условием для обработки информации, Вы можете прочитать в разделе «Аттестация ГИС»
