Методика проведения аттестации информационной системы по требованиям защиты персональных данных
В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
Методика проведения аттестации информационной системы по требованиям защиты персональных данных
Данная статья посвящена описанию методики проведения аттестации ИС по требованиям защиты ПДн, позволяющей определить порядок выполнения требований законодательства и обеспечения безопасности ПДн, получить профессиональную поддержку со стороны квалифицированных специалистов и своевременно обеспечить выполнение установленных законом требований.
Роман Васильев
ведущий специалист по защите информации
отдела аттестационных работ
Нижегородского НТЦ ФГУП "НПП "Гамма"
Требование по проведению аттестации ИСПДн в настоящий момент в действующем законодательстве явно нигде не прописано. ФСТЭК и ФСБ уполномочены проводить мероприятия по контролю/надзору за выполнением требований по технической защите персональных данных. Поэтому проект защиты ПДн разумно завершить неким "аудиторским заключением" о достаточности принятых мер.
Однако самостоятельно проведенный аудит не дает гарантии того, что у проверяющих органов не возникнет вопросов. Преимущество аттестации в том, что аттестат, выданный организацией-лицензиатом ФСТЭК и ФСБ, дает гарантию соответствия требованиям по защите ПДн.
Легитимность аттестации можно обосновать тем, что
в настоящий момент не установлен технический регламент по
защите информации ограниченного доступа, что позволяет
руководствоваться п. 2. ст. 46 закона № 184-ФЗ
"О техническом регулировании": "До дня вступления в силу
соответствующих технических регламентов обязательная
оценка соответствия осуществляется в соответствии
с правилами и процедурами, установленными нормативными
правовыми актами РФ и нормативными документами
федеральных органов исполнительной власти, принятыми
до дня вступления в силу настоящего Федерального закона".
А процедуры аттестации и сертификации как раз и являются
такими "нормативными правилами и процедурами".
Кроме того, вместо аудита оператор может провести аттестацию своей ИСПДн добровольно, с тем чтобы иметь гарантированный документ для проверяющих органов.
Общие сведения об аттестации информационной системы по требованиям защиты персональных данных
Целью аттестационных испытаний является проверка соответствия требованиям по защите персональных данных объекта информатизации.
Проведение аттестационных испытаний объекта информатизации предусматривает:
- изучение порядка организации и обеспечения доступа к объекту информатизации и проверку выполнения организационных требований на объекте информатизации;
- анализ и оценку исходных данных и документации по защите персональных данных, обрабатываемой основными техническими средствами и системами (ОТСС);
- проверку соответствия представленных исходных данных и документации реальным условиям размещения ОТСС; l проверку средств защиты информации;
- проверку выполнения требований и рекомендаций по защите информации от несанкционированного доступа;
- проверку уровня подготовки кадров и распределение ответственности персонала;
- подготовку отчетной документации – протоколов испытаний и заключения по результатам аттестационных испытаний с выводами комиссии о соответствии объекта информатизации требованиям по защите персональных данных.
Результатом любой защиты ИСПДн является либо декларирование соответствия, либо аттестация ИСПДн по требованиям безопасности информации.
Когда проводить декларирование, а когда аттестацию, с первого взгляда понять бывает достаточно сложно, поэтому алгоритм, приведенный на рисунке, наглядно это объясняет.
Этапы создания и последующей аттестации ИСПДн
Исходя из сведений, представленных в таблице, можно сделать следующий вывод: аттестация ИСПДн, согласно нормативным документам ФСТЭК России, выполняется только для систем класса К3, К2 и К1.
Вместо аудита оператор может провести аттестацию своей ИСПДн добровольно, с тем чтобы иметь гарантированный документ для проверяющих органов.
На данном этапе проводится разработка проектов документов заявителя, необходимых для выполнения аттестационных испытаний, включающих технический паспорт, матрицу доступа к ресурсам и другие документы.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2011
