Аттестация объекта информатизации (Оценка соответствия ИСПДн требованиям безопастности персональных данных)

В новом приказе ФСТЭКа России №58 отменены требования по обязательной аттестация. Для информационных систем операторов персональных данных делается декларирование соответствия или сертификации по требованиям безопасности информации (по решению оператора). Новый приказ ФСТЭК России существенно сокращает рынок аттестаций ИСПДн.

Аттестация ИСПДн заказчика по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты данных. (является добровольной и самой затратной частью)

Под аттестацией объекта информатизации понимается комплекс организационно-технических мероприятий, в результате которых специальным документом – «Аттестатом соответствия» подтверждается, что ИСПДн заказчика соответствуют требованиям стандартов и нормативно-технических документов по безопасности ПДн, утвержденных ФСТЭК России.

Оценка соответствия ИСПДн по требованиям безопасности информации включает в себя следующие работы:
Разработка пакета аттестационных документов. Формируется пакет организационно-распорядительной и технической документации на аттестуемую ИСПДн, содержащий:
- программу и методику аттестационных испытаний;
- проект документа «Перечень персональных данных, обрабатываемых в ИСПДн»;
- проект документа «Перечень лиц, допущенных к обработке ПДн»;
- проект документа «Перечень лиц, допущенных в помещения, в которых располагаются технические средства ИСПДн»;
- проект документа «Акт классификации ИСПДн»;
- проект документа «Акт внедрения СЗИ»;
- технический паспорт на ИСПДн;
- проекты приказов о назначении ответственных за обеспечение режима безопасности персональных данных;
- инструкция по обеспечению безопасности персональных данных;
- описание технологии обработки информации в ИСПДн.
Проведение аттестационных испытаний. Уровень безопасности информации, оцениваемый в процессе аттестационных испытаний, определяется классом ИСПДн (по классификации в соответствии нормативно-методическими документами ФСТЭК России). При этом выполнятся следующие работы:
- проведение аттестационных испытаний ИСПДн;
- разработка отчетных документов.

Аттестационные испытания ИСПДн предполагают проведение следующих проверок:

- проверка состояния технологического процесса автоматизированной обработки персональных данных в ИСПДн;
- проверка ИСПДн на соответствие организационно-техническим требованиям по защите информации;
- испытания ИСПДн на соответствие требованиям по защите информации от несанкционированного доступа.

Результатом работ на данном под этапе является:

- протокол аттестационных испытаний;
- заключение по результатам аттестационных испытаний;
- аттестат соответствия на ИСПДн (выдается в случае положительного Заключения);
- акт о переводе СЗПДн в промышленную эксплуатацию (в случае наличия положительного заключения по результатам аттестационных испытаний ИСПДн).

Для оценки Вашей информационной системы и объема необходимых (обязательных) мер для обеспечения защиты персональных данных на Вашем предприятии, можно узнать, обратившись к нашим специалистам или заполнить предварительную заявку: http://legion-info.ru/form