Если ваша организация работает с персональными данными, то вам стоит разобраться в этом вопросе. А если быть точнее, то вам обязательно нужно знать про сертификаты ФСТЭК.
Спойлер: практически любая компания имеет дело с данными своих сотрудников, так что эта информация актуальна для всех. Давайте разберемся, что такое сертификат и аттестат ФСТЭК и кому они нужны.
Сертификат и аттестат ФСТЭК
Согласно Приказу №21 ФСТЭК России, который устанавливает требования по защите персональных данных, каждая программа или IT-система должна соответствовать закону 152-ФЗ.
Первое, с чем вам нужно ознакомиться – это Приказ №21. В этом документе ФСТЭК описывает, как программы должны соответствовать требованиям закона 152-ФЗ.
Чтобы подтвердить соответствие, ФСТЭК выдает два типа документов: сертификат и аттестат. Давайте разберемся, чем они отличаются, когда они нужны и кто их получает.
Сертификат ФСТЭК: что это и зачем он нужен
Возьмем реальный пример. Представьте, что отечественная компания разработала антивирусное ПО. Эта компания хочет как можно быстрее начать продавать свой продукт организациям, которые работают с персональными данными. Но, чтобы запустить продажу, фирма должна доказать, что их антивирус соответствует требованиям 152-ФЗ.
Фирма обращается во ФСТЭК для получения сертификата. Специалисты ФСТЭК проводят стресс-тесты, проверяют программу на уязвимости и ищут скрытые возможности, которые разработчик мог не упомянуть.
Степень тестирования зависит от того, какие данные будет обрабатывать программа. Если ПО будет работать с биометрией, тесты будут более строгими, чем для программ, работающих с паспортными данными.
Зачем нужна сертификация ФСТЭК?
Продолжим наш пример. Когда все проверки и тесты пройдены успешно, фирма получает сертификат ФСТЭК. Это значит, что их продукт – в нашем случае, антивирус – признан безопасным.
Так зачем же этот сертификат ФСТЭК? Все просто. Он необходим разработчикам ПО, которые хотят легально продавать свои продукты в области интернет-безопасности и защиты персональных данных.
Сертификаты ФСТЭК можно найти в открытом доступе. На сайте ФСТЭК есть реестр, где можно посмотреть все сертифицированные программы.
Итак, сертификат ФСТЭК выдается после успешного прохождения тестов и проверок на соответствие закону о защите персональных данных 152-ФЗ. То есть, если вы разработчик ПО для защиты персональных данных, сертификат ФСТЭК вам просто необходим.
Если же ваша компания разрабатывает ПО для защиты персональных данных, вам нужно позаботиться о получении сертификата ФСТЭК. Без него легально продавать такое ПО не получится.
