Процедура оценки соответствия средств защиты информации (СЗИ) для обеспечения безопасности персональных данных в Российской Федерации регулируется Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и Федеральным законом от 27.12.2002 №184-ФЗ «О техническом регулировании». Процедура зависит от выбранной формы оценки соответствия и уровня защищенности обрабатываемых персональных данных.
Формы оценки соответствия СЗИ
Закон № 184-ФЗ предусматривает несколько форм оценки соответствия:
- Обязательная сертификация: Эта форма оценки является наиболее строгой и применяется в случаях, установленных законодательством РФ, или по решению оператора персональных данных. Сертификация проводится аккредитованными органами по сертификации. Результат – сертификат соответствия, подтверждающий соответствие СЗИ установленным требованиям безопасности информации. Для ИСПДн разных уровней защищенности требуются СЗИ разных классов и уровней доверия (см. таблицу ниже).
- Испытания: Проводятся оператором самостоятельно или аккредитованными организациями, имеющими соответствующие лицензии. Эта форма подходит, когда обязательная сертификация не требуется. Оператор разрабатывает программу и методики испытаний (или согласовывает их с внешней организацией). По результатам оформляется протокол испытаний.
- Приемка: Аналогична испытаниям, но может проводиться в составе комплексной приемки всей ИСПДн.
Требования к СЗИ в зависимости от уровня защищенности ИСПДн
В зависимости от уровня защищенности ИСПДн (1-4 уровень), требования к классам и уровням доверия СЗИ, а также к классам вычислительной техники, различаются:
ВТ - вычислительная техника. Эти требования применяются, если используются сертифицированные СЗИ.
Процедура проведения испытаний (приемки)
1. Разработка программы и методик испытаний (приемки): Оператор или лицензированная организация разрабатывает программу и методики, которые должны охватывать все необходимые параметры и характеристики СЗИ. Эти документы должны быть утверждены соответствующими сторонами.
2. Проведение испытаний (приемки): Проводятся испытания (приемка) СЗИ, в ходе которых проверяется соответствие заявленным характеристикам и требованиям безопасности информации.
3. Оформление протокола испытаний (приемки): По результатам испытаний (приемки) оформляется протокол, содержащий:
- Дату и место проведения.
- Описание СЗИ.
- Описание проведенных испытаний.
- Результаты испытаний по каждому параметру.
- Выводы о соответствии (несоответствии) требованиям безопасности.
4. Утверждение протокола: Протокол утверждается оператором (при самостоятельном проведении) или организацией, проводившей испытания. В случае проведения испытаний внешней организацией, протокол предоставляется оператору для принятия решения о применении СЗИ в ИСПДн.
Выбор формы оценки соответствия
Выбор между обязательной сертификацией, испытаниями и приемкой определяется законодательством РФ, требованиями к уровню защищенности ИСПДн и решением оператора. В случае, если законодательство предписывает обязательную сертификацию, другие формы оценки неприменимы. Если законодательство не устанавливает обязательной сертификации, оператор может выбрать подходящую форму, учитывая риски и специфику обрабатываемых данных.
В целом, процедура оценки соответствия СЗИ – это сложный и многоэтапный процесс, требующий знаний в области защиты информации и соблюдения законодательства. При необходимости рекомендуется обратиться к специализированным организациям, имеющим соответствующие лицензии и опыт работы.