Аттестация ИСПДн по требованиям ФСТЭК России
для полноценного соответствия 152-ФЗ, выполнения требований партнеров
и прохождения проверок регуляторов (Роскомнадзор, ФСТЭК России, ФСБ России) с гарантией качества выполняемых работ по договору.
Цена аттестации ИСПДн составляет до 80 000 рублей за 1 ПК в составе информационной системы персональных данных.
Основными критериями, которые влияют на стоимость работ являются количество серверов и персональных компьютеров в составе системы, количество систем и их назначение.
Защита персональных данных в информационных системах состоит из организационных и технических мероприятий.
Состав средств защиты, который необходимо использовать непосредственно в Вашем случае определяется по результатам предварительного определения уровня защищенности обрабатываемых данных, анализа перечня имеющихся средств защиты и моделирования угроз.
Наши специалисты по проектированию систем защиты персональных данных придерживаются мультивендорного подхода, который обеспечивает обширный рынок решений для решения стоящих задач, больший спектр вторичных сервисов, которые предоставляют производители. Использование продуктов разных вендоров может принести уникальные бизнес-преимущества.
Свяжитесь с нашими специалистами и они сделают предварительные работы и предложат Вам несколько вариантов построения СЗПДн. Предложенные варианты могут отличаться в зависимости от планируемого бюджета, стандартов компании и личных предпочтений исходя из Вашего опыта работы.
Аттестация информационных систем персональных данных – это комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты персональных данных требованиям к обеспечению конфиденциальности, доступности и целостности персональных данных.
Назначением системы защиты персональных данных является обеспечение информационной безопасности персональных данных, обрабатываемых в ИСПДн.
Критериями оценки достижения поставленных целей по созданию системы защиты персональных данных могут являться:
Лицам, нарушившим требования закона о персональных данных, в зависимости от обстоятельств и серьезности нарушения может грозить административная, уголовная ответственность, но также гражданско-правовая и дисциплинарная. Не стоит исключать из рассмотрения репутационные риски.
Аттестацию информационных систем персональных данных могут проводить только компании, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации в части проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации, выданную ФСТЭК России.
Определение перечня структурных подразделений,
процессов обработки;
информационных систем обработки персональных данных.
Определение угроз безопасности ,
уровня защищенности персональных данных,
требований по обеспечению безопасности.
Разработка рабочей и эксплуатационной документации;
Разработка организационно-распорядительных документов;
Макетирование и тестирование;
Закупка технических, программных и программно-технических средств защиты информации;
Установка и настройка средств защиты информации;
Внедрение организационных мер защиты информации;
Анализ уязвимостей ;
Проведение испытаний системы защиты персональных данных.
Оценка соответствия документации;
Обследование;
Проверка СЗИ;
Проверка наличия назначенных работников;
Оценка информированности и уровня знаний;
Оценка соответствия организационных мер;
Оценка соответствия мер по защите от НСД.
Проверка процессов обработки ПДн,
выполнения работниками требований по обработке и защите ПДн,
правильности и полноты выполняемых организационных и технических мероприятий по защите ПДн;
Мониторинг событий информационной безопасности;
Анализ защищенности;
Проверка своевременности внесения изменений в документацию;
Принятие мер по устранению последствий нарушений требований по обеспечению безопасности персональных данных.
ФЗ-152 О персональных данных был принят более 15 лет назад за это время было подготовлено много документов на тему оптимальных подходов к выполнению работ по защите персональных данных.
Наши специалисты участвовали в разработке ряда документов и участвовали в составе экспертов, привлекаемых к проверкам регулятором. Мы рады поделиться накопленным объемом материалов с Вами. Надеемся, что методические рекомендации ПДн будут полезны.
Перечень документов, на основании и в соответствии с которыми оказываются услуги:
Конституция Российской Федерации от 12 декабря 1993 г.;
Трудовой кодекс Российской Федерации от 20 декабря 2001 г. № 197-ФЗ;
Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211«Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения»;
Приказ Роскомнадзора от 15.03.2013 № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных»;
Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
Ответ: В рамках тенденции усиления государственного контроля в области обработки персональных данных практически все размеры штрафов увеличены вдвое.
Примечание: Действующая редакция Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 N 195-ФЗ (ред. от 09.03.2021)
Для обеспечения защиты персональных данных, содержащихся в ИСПДн, реализуются следующие этапы:
При выполнении мероприятий по аттестации мы проводим проверку организационных и технических мероприятий.
Необходимо отметить, что в рамках контроля организационных мероприятий мы проверяем не просто наличие, но и содержание организационно-распорядительных документов (ОРД ИСПДн).
Документация должна отражать процессы в рамках следующих направлений:
Также необходимо подготовить документы, описывающие политику в части обработки персональных данных и защиты ПДн в ИСПДн, а также разрешительную систему доступа.
По завершении аттестационных мероприятий Вы получаете Аттестат соответствия требованиям Приказа ФСТЭК России от 18 февраля 2013 г. N 21
При наличии аттестата соответствия Вы можете осуществить ввод в действие информационной системы персональных данных в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом ГОСТ 34.601.
