Аттестация информационных систем персональных данных (ИСПД)

Защита организациями коммерческих форм собственности (ООО, ОАО, ЗАО и пр.) является делом добровольным и все требования по уровню защищенности КИ в руководящих документах носят РЕКОМЕНДАТЕЛЬНЫЙ характер. То же касается и аттестации , предназначенных для обработки КИ.

РЕКОМЕНДАТЕЛЬНЫЙ характер в данном случае объясняется тем, что КИ принадлежит непосредственно организации и ее утечка при недостаточном уровне защищенности наносит ущерб исключительно коммерческому благополучию.

С (ПД) все обстоит иначе. В этом случае организация вне зависимости от формы собственности обрабатывает информацию, ей не принадлежащую, а принадлежащую конкретным людям (субъектам ПД). Причем субъектами ПД являются как клиенты организации, так и ее собственные сотрудники. Поэтому любая организация хранящая и обрабатывающая персональные данные своих сотрудников или клиентов является и попадает под действие Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

В соответствии с положениями этого закона организация обязана обеспечить конфиденциальность ПД – т.е. защитить ПД от несанкционированного распространения (защита ПД осуществляется строго в соответствии с существующей нормативно-правовой базой и соответствующими руководящими документами (РД) ФСТЭК России).

Для подтверждения достаточности, правильности и эффективности реализованных мер защиты проводятся и оператор ПД получает на эксплуатируемую ИСПД.

Так что для операторов ПД защита информации и получение аттестата на ИСПД - процедура носящая ОБЯЗАТЕЛЬНЫЙ ХАРАКТЕР согласно законодательству РФ.

Работы по защите ПД от утечки по техническим каналам, защите от НСД, аттестации и ежегодному техническому контролю защищенности (ЕТКЗ) имеют право проводить только организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации.

В общем виде работы по защите и аттестации ИСПД выглядят следующим образом:

  • Исследование структуры ИСПД и технологического процесса обработки ПД
  • Выявление уязвимых мест ИСПД и существующего технологического процесса
  • Составление модели угроз на основании полученных данных
  • Проектирование системы технической защиты и разработка организационно- распорядительных мер
  • Реализация комплекса организационно-технических мероприятий
  • Проведение аттестационных испытаний, выдача аттестата
  • Проведение ежегодного технического контроля защищенности ИСПД

В заключении хотелось бы отметить, что за неисполнение положений закона предусмотрены следующие виды ответственности:

  • Административная - в виде штрафа
  • Наложение запрета на эксплуатацию ИСПД
  • Приостановление действия лицензии
  • Приостановление хозяйственной деятельности организации на срок до 90 суток
  • Уголовная ответственность
 

Copyright © Privacy PolicyТЕЛ./ФАКС: (499) 463 56 29