Система защиты информации и персональных данных включает в себя комплекс организационных мер и программно-технических средств. Такая совокупность предотвращает либо существенно затрудняет доступ к информации для посторонних лиц.
Сохранность данных различает степени рисков, напрямую связанных с размерами компании, степенью ее известности, сложившейся репутацией, механизмами обработки ПНд, политикой работы с клиентами. Уровень защиты во многом коррелируется с количеством сведений, которые требуется обрабатывать и хранить. Требуется понимать уровень необходимой и достаточной защиты, определяя риски и требуемые меры безопасности.
Сертификация – это комплекс действий, способных подтвердить соответствие продукции, выпускаемой на рынок, требованиям безопасности по известным стандартам. Безопасность зависит, во многом, от человеческого фактора, поэтому утечка ПНд вменяется в вину оператору связи.
Все средства ПНд должны соответствовать Федеральному закону 152-ФЗ, регламентирующему порядок работы. Сертификация выполняется Роскомнадзором и состоит из трех этапов. Все программное обеспечение, создаваемое с целью защиты ПНд, согласовывается и сертифицируется в ФСБ и ФСТЭК.
В бюджет по сертификации закладывают множество параметров, пытаясь в предпроектном обследовании рассчитать «золотую середину». Часто компании предпочитают использовать базовые решения, не обременяющие финансово и рассчитанные под широкий круг потребностей клиентов.
ФСТЭК выдает сертификат соответствия, обеспечивающий некриптографическую защиту данных, способную предотвратить нежелательный доступ или утечку по техническим каналам связи. Служба создает экспертные комиссии, все остальные испытания ПО делегируются лабораториям-лицензиарам.
Сертификация программ происходит при участии института заявителей, которые сравнивают версии ПО с эталонными образцами. Время, требуемое для аттестации, связано с уровнем ИСПДн и ее категорией, и занимает не менее полугода. От степени серьезности, предъявляемой к требованиям безопасности, становится выше степень защиты и дольше ведется согласование.
ПО сертифицируется для контроля информации, имеющей отношение к национальной безопасности и используемой в ключевых зонах информационной структуры. Именно поэтому к программному обеспечению предъявляются максимально жесткие требования.
На рынок выпускается только сертифицированная продукция для работы с персональными данными. В частности, это ОС Linux, IT-оборудование Cisco, решения от 1C, реляционная система управления БД Sybase ASE.
Проведение аттестации ИСПДн требует значительных финансовых затрат, поэтому ряд операторов пытаются уклониться от данной процедуры. Если негосударственные предприятия могут проходить аттестацию добровольно, то для государственных она обязательная.
В аттестационную комиссию входят эксперты и специалисты в области информационной безопасности. Задачей комиссии является оценка необходимых мер, обеспечивающих техническую и организационную стороны безопасности, а также испытание выбранных средств защиты ПНд.
Аттестация проводится в несколько этапов, со строгим документированием и следованием общей методике защиты рабочего места оператора ПНд и персональных компьютеров. По сути алгоритм сертификации выявляет недочеты, позволяя создать всеобъемлющую защитную систему.
Финалом работы становится выдача аттестата. Если комиссия не удовлетворена результатом, то выдается предписание, в котором перечисленные недостатки. Повторно пройти аттестацию можно только после их устранения. С учетом того, что аттестация – это длительный процесс, подготовку к ней желательно переложить на плечи организаций, имеющих опыт соответствующей работы.
Даже начав эксплуатировать систему защиты, следует помнить о скорости изменения технологий, быстроте появления новых рисков и угроз. Чтобы избежать проблем с утечками ПНд в будущем, следует проводить ежегодный аудит информационной безопасности.
Подробнее: https://integrus.ru/blog/it-decisions/sertifikatsiya-sistem-zashhity-personalnyh-dannyh.html