Оценка соответствия ИСПДн требованиям безопасности информации – декларирование или добровольное подтверждение соответствия?

Джабраил Матиев 
Руководитель направления защиты персональных данных по коммерческой части компании ReignVox

Проблема защиты персональных данных на протяжении последнего года по праву стала одной из наиважнейших. Такое положение дел определялось не только прикладной необходимостью защиты ПДн операторами, но и существующими требованиями отечественного законодательства и их изменениями. Так, например, к началу 2010 года мы пришли с четким пониманием того, что стандартная схема проекта по защите персональных данных является четырехчастной, то есть реализация проекта происходит в четыре этапа: этап обследования ИСПДн, этап проектирования СЗПДн, этап её внедрения и этап оценки соответствия ИСПДн требованиям безопасности информации (т.н. «аттестация»).

Аттестован «по собственному желанию»

Но уже в феврале 2010 года ситуация несколько изменилась: Приказ ФСТЭК № 58, принятый 05.02.2010 исключил обязательность аттестации ИСПДн, сделав допустимым её проведение по собственному усмотрению каждого оператора в отдельности. Данное событие повлекло за собой массу вопросов среди операторов ПДн, касающихся принципиальной необходимости проведения аттестации и различий между аттестацией и декларированием соответствия. Более того, многие сочли саму процедуру проведения оценки соответствия законодательно упраздненной. Данная позиция, безусловно, является ошибочной, так как упомянутый выше Приказ № 58 вовсе не отменяет необходимости подтверждать соответствие проведенных работ по построению СЗПДн требованиям регуляторов и законодательства. Об этом же говорит ряд законодательных актов более высокого уровня, нежели Приказ ФСТЭК № 58, в частности – постановление Правительства РФ № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке и ИСПДн» и 184-ФЗ «О техническом регулировании». В соответствии с ними операторы, во-первых, должны провести оценку соответствия ИСПДн с внедренными в неё средствами защиты, а во-вторых, быть готовыми к тому, что её результаты будут подвергаться повторной оценке со стороны Регуляторов. Таким образом, популярный среди операторов вопрос о том проводить ли этап оценки соответствия имеет однозначно положительный ответ. Вариативность допустима лишь в выборе форматов подтверждения соответствия проведенных работ требованиям отечественного законодательства, техническим регламентам и стандартам. На сегодняшний день существует две формы подтверждения соответствия: «аттестация» и «добровольная оценка соответствия», которая осуществляется по инициативе оператора ПДн в соответствии со статьей 21 Федерального Закона РФ «О техническом регулировании» № 184-ФЗ (от 27 декабря 2002 года).

Аттестация или добровольная оценка соответствия?

Неоспоримыми преимуществами «аттестации» являются, во-первых, максимальное обеспечение соответствия СЗПДн и соответствующей документации в части защиты ПДн требованиям Регуляторов, во-вторых – комплексный подход к проверке защищаемого объекта информатизации в реальных условиях эксплуатации, позволяющий оценить соответствие применяемого комплекса мер и средств защиты требуемому уровню ИБ. Но, принимая решение в пользу «аттестации» следует помнить и о том, что в этом случае оператору потребуется максимально подробно указать состав комплекса технических средств (вплоть до заводских номеров, моделей, сертификатов и т.д.), схему размещения в помещениях, перечень используемых программных средств и т.п. Более того, следует учитывать и о то, что при выдаче «Аттестата соответствия» состояние СЗПДн будет зафиксировано строго на момент проведения оценки и все последующие изменения, обновления (необходимость которых обуславливается постоянным изменением IT инфраструктуры) потребуют дополнительной экспертизы. Нарушение же установленных правил может повлечь приостановку действия (а в некоторых случаях и аннулирование) самого «Аттестата соответствия», сопровождающееся соответствующей административной ответственностью.

Для проведения «добровольной оценки соответствия» предварительно необходимо разработать «стандарт организации», который может представлять собой «Технические Условия» (ТУ), содержащие требования к ИСПДн, её созданию, контролю, приемке и т.д. И только на основании ТУ оператор ПДн может самостоятельно сформировать доказательственные материалы для подтверждения соответствия ИСПДн требованиям ТУ. В пользу проведения «добровольной оценки соответствия» говорит, в первую очередь, гибкая система внесения изменений и обновлений в ИСПДн без привлечения к процессу внесения изменений в «Стандарт Организации» сторонних компаний при условии наличия в штате сотрудников с необходимым уровнем квалификации.

Выбор между аттестацией и добровольной оценкой соответствия для каждого конкретного оператора ПДн остается индивидуальным решением. В обоих случаях оператор ПДн легитимно подтверждает соответствие СЗПДн требованиям безопасности информации. По большому счету, решая какое из двух направлений выбрать, оператор ПДн определяет конкретную методику, ряд задач, которые потребуется реализовать, а конечный результат (за исключением дальнейшей мобильности к внесению изменений) идентичен.

О компании

ReignVox – Российская компания, специализирующаяся на инновационных проектах и разработках в области ИТ и обеспечении их информационной безопасности. Цель создания компании - оказание услуг по обеспечению защиты ПДн в соответствии с требованиями закона «О персональных данных» ФЗ-152 от 27.07.2006 г. и построению комплексных систем защиты информации.

ReignVox - член Межрегиональной общественной организации «Ассоциация защиты информации» (МОО «АЗИ»), ассоциированный член «Инфокоммуникационного союза» (Infocommunication Union), а также член Ассоциации Региональных Банков. Компания обладает необходимыми лицензиями ФСТЭК России и ФСБ РФ для проведения комплекса работ по технической защите информации, в том числе с применением средств криптографической защиты.

Наиболее значимыми, из успешно реализованных компанией проектов по защите ПДн, являются отраслевой проект по защите персональных данных операторов сотовой связи, проекты для телекоммуникационных компаний (ОАО «ВымпелКом», ОАО «МегаФон»), крупных коммерческих банков (ОАО «НОТА-Банк», Внешэкономбанк, ЗАО АКБ «ЦентроКредит» и др.), Научно-исследовательского института ревматологии РАМН, компании Zepter International, группы компаний HeadHunter и др.