Аттестация ИСПДн

ФЗ 152

АТТЕСТАЦИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ФСТЭК РОССИИ

Что такое информационная система персональных данных (ИСПДн)?

ИСПДн – это информационная система, представляющая собой совокупность персональных данных (ПДн), содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Существуют следующие типы ИСПДн:
— специальные;
— биометрические;
— общедоступные;
— иные;
— персональные данные сотрудников.
Существуют следующие виды обработки ПДн в ИСПДн:
— автоматизированная с использованием средств вычислительной техники;
— неавтоматизированная, то есть обработка ПДн осуществляется оператором вручную без использования средств вычислительной техники.

Что такое аттестация?

В соответствии с нормативно-правовыми актами в области защиты информации (положение по аттестации и ГОСТ РО 0043-003-2012) под аттестацией понимается:
«комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации…»

Кому нужна аттестация ИСПДн?

ФЗ-152 «О персональных данных» требует, чтобы каждый оператор (юридические и физические лица, индивидуальные предприниматели) выполнил требования статей 18.1 и 19 закона путем подготовки (защиты) и оценки защищенности (аттестации) компьютерных систем. Под подготовкой понимается реализация системы защиты персональных данных, которая создается на базе целого ряда подсистем защиты: антивирусная подсистема, подсистема обнаружения вторжений, подсистема межсетевого экранирования, подсистема анализа защищенности, криптографическая подсистема, подсистема защиты от несанкционированного доступа и другие подсистемы в зависимости от требуемого уровня защищенности ИСПДн и угроз безопасности.

Какие бывают уровни защищенности ИСПДн?

Существует четыре уровня защищенности:

  • уровень защищенности 4 (УЗ 4) — информационные системы, для которых нарушение безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;
  • уровень защищенности 3 (УЗ 3) — информационные системы, для которых нарушение безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
  • уровень защищенности 2 (УЗ 2) — информационные системы, для которых нарушение безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
  • уровень защищенности 1 (УЗ 1) — информационные системы, для которых нарушение безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.

Важный момент, уровень защищенности зависит не только от типа ИСПДн и угроз безопасности, но и от дополнительных факторов:

  • чьи персональные данные обрабатываются (работников или не работников);
  • количество субъектов ПДн.

Что включает в себя аттестация ИСПДн?

Аттестация ИСПДн включает в себя комплексные аттестационные испытания в реальных условиях ее эксплуатации, по результатам которых оформляются отчетные документы:
— программа и методики аттестационных испытаний ИСПДн;
— заключение по результатам аттестационных испытаний ИСПДн;
— протокол аттестационных испытаний ИСПДн;
— аттестат соответствия ИСПДн.
Примечание: аттестация ИСПДн — это только процедура оценки соответствия (защищенности, эффективности принимаемых мер по обеспечению безопасности персональных данных), которая не включает в себя подготовку к аттестации ИСПДн.

Что нужно сделать перед началом аттестации ИСПДн?

Порядок работ следующий:

  1. Обследование ИСПДн:
    • акт (отчет) об обследовании;
    • модель угроз и нарушителя безопасности персональных данных;
    • акт установления уровня защищенности ПДн;
    • техническое задание на создание системы защиты ИСПДн.
  2. Проектирование системы защиты ИСПДн:
    • технический проект на систему защиты ИСПДн, в составе:
    • ведомость эксплуатационных документов;
    • структурная схема комплекса технических средств;
    • спецификация средств защиты информации;
    • пояснительная записка.
  3. Внедрение системы защиты информации:
    • закупка, установка и настройка средств защиты информации (СрЗИ) и средств криптографической защиты информации (СКЗИ);
    • разработка организационно-распорядительной документации (ОРД) в части защиты ПДн.

По каким требованиям проводится подготовка к аттестации и аттестация ИСПДн?

Подготовка к аттестации и аттестация ИСПДн проводится в соответствии с действующими нормативными документами:

  • Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну (утвержден приказом Федеральной службы по техническому и экспортному контролю от 29.04.2021 №77);
  • Приказ ФСБ России от 10.07.2014 N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
  • Методика оценки угроз безопасности информации (утверждена ФСТЭК России от 05.02.2021 г.);
  • ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
  • ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».

В каком объеме проводится подготовка к аттестации ИСПДн?

В зависимости от готовности ИСПДн подготовка осуществляется ориентировочно в следующем объеме:

  1. Обследование и формирование требований к защите персональных данных в ИСПДн (далее — информационная система, ИС), с учетом ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» и ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования»:
    • установление уровня защищенности информационной системы;
    • определение актуальных угроз безопасности информации и разработка на их основе модели угроз и нарушителя безопасности информации;
    • определение требований к системе защиты информации информационной системы;
    • определение цели и задачи обеспечения защиты информации в информационной системе;
    • определение перечня нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
    • определение перечня объектов защиты информационной системы;
    • определение требований к мерам и средствам защиты информации, применяемым в информационной системе;
    • определение требований к защите информации при информационном взаимодействии с иными информационными системами и информационнотелекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
  2. Разработка системы защиты персональных данных (СЗПДн) ИСПДн в соответствии с техническим заданием на создание СЗПДн ИСПДн с учетом ГОСТ 34.601 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания», ГОСТ Р 51583 и ГОСТ Р 51624. Проектирование СЗПДн ИСПДн в соответствии с техническим заданием на создание СЗПДн ИСПДн:
    • определение типов субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
    • определение методов управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в информационной системе;
    • выбор меры защиты информации, подлежащие реализации в системе защиты информации ИС;
    • определение видов и типов средств защиты информации, обеспечивающие реализацию технических мер защиты информации.
    • определение структуры СЗПДн ИСПДн, включая состав (количество) и места размещения ее элементов;
    • осуществление выбора средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также уровня защищенности ИСПДн;
    • определение параметров настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей ИСПДн, приводящих к возникновению актуальных угроз безопасности информации;
    • определяются меры защиты информации при информационном взаимодействии с иными информационными системами и информационнотелекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
    • разработка эксплуатационной документации на систему защиты информации ИСПДн в соответствии с техническим заданием на создание СЗПДн ИСПДн с учетом ГОСТ 34.601, ГОСТ 34.201 и ГОСТ Р 51624:
    • — описание структуры СЗПДн ИСПДн;
    • — описание состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;
    • — описание правил эксплуатации СЗПДн ИСПДн.
    • макетирование и тестирование СЗПДн ИСПДн:
    • — проверка работоспособности и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами;
    • — проверка выполнения выбранными средствами защиты информации требований к системе защиты информации ИСПДн;
    • — корректировка проектных решений, разработанных при создании информационной системы и (или) СЗПДн ИСПДн;
    • — корректировка проектной и эксплуатационной документации на СЗПДн ИСПДн.
  3. Внедрение СЗПДн ИСПДн в соответствии с проектной и эксплуатационной документацией:
    • установка и настройка средств защиты информации в ИСПДн в соответствии с эксплуатационной документацией на СЗПДн ИСПДн и документацией на средства защиты информации;
    • разработка документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в ИС в ходе ее эксплуатации:
    • определение правил и процедур управления (администрирования) системой защиты информации ИСПДн.
    • определение правил и процедур выявления инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования ИСПДн и (или) к возникновению угроз безопасности информации (далее – инциденты), и реагирования на них;
    • определение правил и процедур управления конфигурацией аттестованной информационной системы и СЗПДн ИСПДн;
    • определение правил и процедур контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в ИСПДн;
    • определение правил и процедур защиты информации при выводе из эксплуатации ИСПДн или после принятия решения об окончании обработки информации.
    • внедрение организационных мер защиты информации:
    • — реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации технических средств и программного обеспечения;
    • — проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий пользователей и администраторов ИС по реализации организационных мер защиты информации;
    • — отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации.
    • проводится анализ уязвимостей и принимаются меры по их устранению, утверждается документ «Акт наличия уязвимостей и принятые меры по их устранения»;
    • проводятся предварительные испытания подсистемы безопасности, утверждается документ «Акт предварительных испытаний подсистемы безопасности»;
    • на стадии ввода в действие СЗПДн ИСПДн осуществляются:
    • опытная эксплуатация СрЗИ и СКЗИ в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации, утверждается документ «Акт опытной эксплуатации подсистемы безопасности».

Сколько стоит аттестация ИСПДн?

Стоимость аттестации ИСПДн зависит от множества критериев:

  • количество компьютеров и серверов, сетевого и коммуникационного оборудования;
  • состав используемого общесистемного и прикладного программного обеспечения, средств защиты информации, типы аппаратных платформ и др.;
  • применяемые технологии и режимы обработки ПДн;
  • территориальное (географическое) расположение ИСПДн;
  • ранее проводилась ли подготовка и аттестация ИСПДн.

Кто может проводить аттестацию ИСПДн?

Аттестацию ИСПДн уровней защищенности УЗ-1, УЗ-2, УЗ-3, УЗ-4 может проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

  • а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
    • а1 — в средствах и системах информатизации;
    • а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
  • б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:
    • г1 — средств и систем информатизации.

Лицензионные требования к лицензиату ФСТЭК России предъявляются постановлением Правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».
Лицензиаты ФСТЭК проходят специальную процедуру лицензирования и далее периодически подтверждают свою компетентность по регламенту ФСТЭК России.

Кто может проводить подготовку к аттестации ИСПДн?

Подготовку к аттестации ИСПДн (проектирование и внедрение системы защиты) имеет право проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

  • а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
    • а1 — в средствах и системах информатизации;
    • а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
  • б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • д) работы и услуги по проектированию в защищенном исполнении:
    • д1 — средств и систем информатизации;
  • е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации:
    • е1 — технических средств защиты информации;
    • е2 — защищенных технических средств обработки информации;
    • е3 — технических средств контроля эффективности мер защиты информации;
    • е4 — программных (программно-технических) средств защиты информации;
    • е5 — защищенных программных (программно-технических) средств обработки информации;
    • е6 — программных (программно-технических) средств контроля эффективности защиты информации.

Если в ИСПДн используются средства криптографической защиты информации, тогда необходимо еще иметь лицензию ФСБ России на работы, связанные с средствами криптографической защиты информации (313 постановление ФСБ России), с открытыми пунктами в лицензии:

  • 2. Разработка защищенных с использованием шифровальных (криптографических) средств информационных систем;
  • 8. Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.
  • 12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.
  • 13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.
  • 17. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных систем.
  • 20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
  • 21. Передача шифровальных (криптографических) средств.
  • 22. Передача защищенных с использованием шифровальных (криптографических) средств информационных систем.

Может ли оператор провести аттестацию ИСПДн самостоятельно?

Не может. В соответствии с постановлением правительства № 79 О лицензировании деятельности по технической защите конфиденциальной информации» работы по технической защите конфиденциальной информации являются лицензируемым видом деятельности, поэтому оператор не может провести аттестацию самостоятельно без привлечения на договорной основе лицензиата ФСТЭК России.

Для привлечения лицензиата ФСТЭК к работам по аттестации ИСПДн необходимо:

  1. Отправить письмо в свободной форме с указанием названия организации и контактных данных для связи на адрес mail@centerbit.ru для уточнения исходных данных по ИСПДн и расчета стоимости работ.
  2. Заключить договор на подготовку и аттестацию ИСПДн.

Кто выдает и как выглядит аттестат соответствия ИСПДн?

Оформляет, утверждает, выдает аттестат соответствия ИСПДн собственнику ИСПДн лицензиат ФСТЭК России, проводивший работы по аттестации, а также отправляет аттестат соответствия ИСПДн в ФСТЭК России для внесения сведений об аттестате соответствия ИСПДн в реестр аттестованных объектов информатизации ФСТЭК России.

Форма аттестата соответствия на ИСПДн установлена нормативными документами СТР-К и Приказом №77 от 29.04.2021 г.

Пример аттестата соответствия ИСПДн, утвержденный лицензиатом ФСТЭК России ООО «ЦБИТ»:

Что дальше после получения аттестата соответствия ИСПДн?

Собственник ИСПДн должен поддерживать уровень защищённости ИСПДн на всем протяжении времени эксплуатации ИСПДн, и через каждые 2 года обязан подтверждать факт защищённости ИСПДн (периодический контроль ИСПДн), обновлять лицензии на установленные средства защиты информации, и отправлять протоколы периодического контроля ИСПДн в ФСТЭК России для продления действия аттестата соответствия ИСПДн С. В случае, если протоколы периодического контроля ИСПДн не предоставляются через каждые два года в ФСТЭК России, тогда ФСТЭК России приостанавливает действие аттестата соответствия ИСПДн.
Делать периодический контроль ИСПДн собственными силами могут не все собственники ИСПДн, т.к. необходима лицензия на техническую защиту конфиденциальной информации, и поэтому привлекают на договорной основе организацию-лицензиата ФСТЭК России, которая имеет право проводить периодический контроль и отправлять протоколы в ФСТЭК России.
В ФСТЭК ведётся реестр аттестованных ИСПДн, в котором отражается статус действия аттестата соответствия ИСПДн.

Кто является регулятором в области аттестации ИСПДн?

Регулятором в области аттестации ИСПДн является Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Сайт: fstec.ru
Адрес: 105066, г. Москва, ул. Старая Басманная, д. 17
Телефон отдела защиты информации: 8 (499) 263-27-75
Требования по безопасности к автоматизированным системам размещены на официальном сайте ведомства: раздел главного меню «Техническая защита информации» -> «Документы» -> «Приказы» (большинство требований находятся в подразделе «Приказы»). Ссылка: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/

РАБОТАЯ С НАМИ ВЫ ПОЛУЧАЕТЕ СЛЕДУЮЩИЕ ВЫГОДЫ:

  1. Гарантируем фиксированную стоимость всех работ без дополнительных затрат.
  2. Проводим аттестацию ИСПДн силами собственного аттестационного центра с гарантиями по договору.
  3. Получаете аттестат соответствия на ИСПДн от лицензиата ФСБ и ФСТЭК России.
  4. Заблаговременно напоминаем Вам о необходимости продления лицензий и проведения периодического контроля ИСПДн.
  5. Получаете скидку 30% на проведение периодического контроля ИСПДн.
  6. Становитесь VIP клиентом и можете воспользоваться другими нашими услугами со скидкой 30%.
  • Скачать коммерческое предложение на подготовку и аттестацию информационной системы персональных данных
Скачать PDF
  • Скачать коммерческое предложение на подготовку и аттестацию информационной системы персональных данных
Скачать PDF

Заказать звонок