Добавить в корзинуПозвонить
Найти в Дзене
ГЭНДАЛЬФ Безопасность
49 подписчиков

Как соблюдать требования безопасности при обработке персональных данных?

5 мин
Если вы работаете с персональными данными, для бизнеса или некоммерческих целей, необходимо соблюдать определенные требования по безопасности. Это требует Федеральный закон №152-ФЗ от 7 июля 2006 года. Этот закон обязует защищать персональные данные и проходить аттестацию информационных систем персональных данных (ИСПДн). Это касается всех: государственных и муниципальных организаций, частных лиц, предпринимателей и компаний. Важные нюансы В зависимости от типа и класса вашей системы, проверка и получение аттестата могут быть либо обязательными, либо добровольными. Процедура аттестации не из дешевых. Она может увеличить расходы на обеспечение безопасности в полтора-два раза. Поэтому многие стараются избежать этой процедуры. Важно знать, что аттестация ИСПДн обязательна только для государственных информационных систем. Это значит, что операторы данных должны обеспечить их безопасность согласно требованиям, утвержденным Приказом ФСТЭК России №17 от 11.02.2013 г. Если ваша система не явля
Оглавление

Если вы работаете с персональными данными, для бизнеса или некоммерческих целей, необходимо соблюдать определенные требования по безопасности. Это требует Федеральный закон №152-ФЗ от 7 июля 2006 года. Этот закон обязует защищать персональные данные и проходить аттестацию информационных систем персональных данных (ИСПДн). Это касается всех: государственных и муниципальных организаций, частных лиц, предпринимателей и компаний.

Важные нюансы

В зависимости от типа и класса вашей системы, проверка и получение аттестата могут быть либо обязательными, либо добровольными.

Процедура аттестации не из дешевых. Она может увеличить расходы на обеспечение безопасности в полтора-два раза. Поэтому многие стараются избежать этой процедуры.

Важно знать, что аттестация ИСПДн обязательна только для государственных информационных систем. Это значит, что операторы данных должны обеспечить их безопасность согласно требованиям, утвержденным Приказом ФСТЭК России №17 от 11.02.2013 г.

Если ваша система не является государственной, то аттестат соответствия требованиям безопасности информации не обязателен. Но его можно получить добровольно, чтобы подтвердить высокий уровень защиты данных, как прописано в Приказе ФСТЭК России №17.

Как проводится аттестация?

Аттестацию проводит организация с лицензией на техническую защиту конфиденциальной информации. Формируется аттестационная комиссия из экспертов по информационной безопасности. Они оценивают организационные и технические меры, проводят испытания средств защиты данных. В итоге выдают аттестат или предписание на устранение недостатков. Поэтому лучше доверить подготовку компетентной организации.

Для подтверждения уровня защиты персональных данных можно провести аудит соответствия. Лицензированные организации проверяют защитные меры по ГОСТам и методическим документам ФСТЭК и ФСБ, используя сертифицированное оборудование. Они оценивают антивирусное ПО, криптографию, разграничение доступа и другие системы.

Согласно статьям 18.1 и 19 Федерального закона «О персональных данных», операторы обязаны внедрить средства защиты информации и пройти аттестационные испытания. Проверка проводится по нормативам ГОСТ, методическим документам ФСТЭК и ФСБ с использованием сертифицированного оборудования.

Аттестация систем персональных данных регулируется рядом подзаконных актов:

  • приказы ФСТЭК РФ №21 и №17;
  • приказ ФСБ №378;
  • постановление Правительства РФ №1119.

Операторам необходимо разработать и внедрить документы, которые описывают работу каждой подсистемы ИСПДн.

Пример из жизни: компания «Альфа» занималась обработкой персональных данных своих клиентов. Для соответствия требованиям безопасности они провели аудит соответствия и внедрили средства защиты информации. В результате они получили не только аттестат, но и уверенность в защите данных своих клиентов.

Когда и кому нужен аттестат соответствия ИСПДн

Аттестат соответствия информационных систем персональных данных обязаны получить государственные органы и организации, выполняющие их функции. Этот документ подтверждает, что их информационная система соответствует требованиям ФЗ-152. Такие системы должны обеспечивать не только конфиденциальность данных, но и защиту от несанкционированного изменения, удаления, копирования и распространения информации.

Добровольная аттестация системы защиты персональных данных может понадобиться по нескольким причинам:

  1. Избежать конфликтов с проверяющими органами. Никто не хочет неожиданностей во время проверок.
  2. Поддерживать хорошую деловую репутацию. Это помогает минимизировать риск судебных исков за разглашение конфиденциальной информации.
  3. Подтвердить статус лидера. Особенно важно для компаний, предоставляющих аутсорсинговые услуги в сфере бухгалтерии, аудита, программного обеспечения и т.д.

Аттестация с выдачей протоколов, заключений и аттестата может быть актуальна для организаций любой формы собственности и специализации в следующих случаях:

  • Истек срок действия прошлого сертификата. Документ выдается на 3 года.
  • Необходимо улучшить информационную безопасность. Может потребоваться после выявленных уязвимостей.
  • Есть подозрения на утечку данных. Особенно если внутренние проверки не дали результатов.
  • Произошли существенные изменения. Например, закупка нового оборудования, обновление технологических процессов или значительное расширение базы данных.

Основные этапы проверки

Процедура анализа текущего уровня защиты персональных данных – это непростая задача, требующая определенной квалификации и опыта. Она проводится на последнем этапе обеспечения безопасности информационных систем компании. В соответствии с методологией ФСТЭК РФ, спектр работ включает:

  1. Изучение ИС персональных данных. Сначала составляется акт об обследовании и разрабатывается модель потенциальных угроз. Оценивается, насколько эффективны текущие средства защиты ПДн, и создается техническое задание для разработки и интеграции средств защиты (СЗ).
  2. Создание и внедрение системы защиты. Разрабатывается и внедряется проект системы защиты с обязательной подготовкой организационно-распорядительных документов (ОРД).
  3. Аттестация безопасности ПДн. Составляется технический паспорт на систему, протокол оценки и заключение по результатам анализа. Если все требования ФЗ-152 соблюдены, компания получает аттестат, который действителен в течение трех лет.

Финансовая сторона вопроса

Стоимость аттестации ИСПДн определяется после обсуждения всех аспектов сотрудничества с клиентом. Цена зависит от трудоемкости процесса. Основные факторы, влияющие на стоимость, включают:

  • Количество компьютеров и другой вычислительной техники. Чем больше, тем дороже.
  • Специфику используемы технологий обработки информации. Некоторые технологии требуют более сложной защиты.
  • Класс защищенности и тип ИСПДн. Разные системы требуют разны мер безопасности.
  • Количество необходимых средств обеспечения безопасности. Это влияет на объем работ и, соответственно, на стоимость.
Важно, чтобы условия сотрудничества были четко прописаны в договоре. Предварительное обследование помогает точно определить необходимое количество и виды средств, на основе чего создается технический проект.

Чем больше организация, тем выше затраты. Поэтому может возникнуть вопрос: обязательна ли аттестация ИСПДн? Инвестируя в безопасность ПДн сейчас, вы избежите будущих штрафов за несоблюдение нормативов ФЗ-152 и других актов, а также создадите репутацию надежного партнера, способного защитить информацию от неправомерных действий.

Безопасность и правопорядок
95,2 тыс интересуются