Аттестация испдн по требованиям безопасности информации


Аттестация информационных систем персональных данных

Ликбез по персональным данным

Аттестация по требованиям безопасности информации — процедура не дешевая и в большинстве случаев удорожает обеспечение безопасности ИСПДн раза в полтора-два, поэтому многие операторы персональных данных хотели бы обойти данную процедуру.

Приказ ФСТЭК России №17 от 11 февраля 2013г.

Сразу отметим, что понятие «аттестация ИСПДн» относится только к государственным информационным системам персональных данных, что накладывает на операторов обязательства по их защите в соответствии с Требованиями по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными Приказом ФСТЭК России № 17 от 11.02.2013 г.

Для информационных систем, не являющихся государственными, аттестат соответствия требованиям по безопасности информации может понадобиться для доказывания должного уровня защиты ИСПДн. В этом случае данную процедуру можно провести в добровольном порядке. Провести аттестацию ИСПДн можно в соответствии со Специальными требованиями и рекомендациями по защите конфиденциальной информации (СТР-К). Документ этот ограниченного доступа и получить его можно только в территориальном управлении ФСТЭК России.

Сама процедура аттестации проводится организацией, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом в данной организации создается аттестационная комиссия, состоящая из экспертов и специалистов в области информационной безопасности, которая проводит оценку соответствия организационных и технических мер, а также испытания технических и программных средств защиты персональных данных. В результате оценки соответствия выдается Аттестат либо предписание на устранение недостатков системы защиты ИСПДн, поэтому необходимо очень тщательно подойти к процедуре подготовки к аттестации, а лучше поручить подготовку компетентной организации.

О декларировании соответствия ИСПДн

Также в целях доказывания должного уровня защиты персональных данных возможно окажется достаточно и декларации соответствия, которая составляется самим оператором с привлечением специалистов в области защиты информации.

Данная статья отредактирована с учетом изменений законодательства и нормативных актов ФСТЭК России, вступающих в силу с 1 сентября 2013 г.

Оценка эффективности мер защиты информационных систем персональных данных (аттестация, декларирование соответствия ИСПДн)

В соответствии с пп.4 п. 2 статьи 19 Федерального закона «О персональных данных» обеспечение безопасности персональных данных (ПДн) достигается, в том числе, проведением «оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (ИСПДн)».

Оценка эффективности может проводиться в формах добровольной аттестации по требованиям безопасности информации в системе сертификации ФСТЭК России, а также в других формах, выбираемых оператором ПДн (например, формах приемо-сдаточных испытаний СЗПДн, совместной оценки комиссией, состоящей из представителей Разработчика и Заказчика СЗПДн, и т. д.).

При проведении оценки эффективности принимаемых мер по обеспечению безопасности ПДн необходимо осуществить оценку соответствия ИСПДн организационно-техническим требованиям по безопасности информации и провести испытания средств и систем защиты ИСПДн на соответствие требованиям по защищенности ПДн от угроз безопасности ПДн.

Важным этапом в процессе проведения оценки эффективности является разработка программы и методики оценки, в которой необходимо отразить:

  • описание объекта оценки;
  • порядок проведения оценки;
  • перечень процедур оценки;
  • требования к содержанию проверок и испытаний;
  • критерии оценки, характеризующей успешное прохождение проверок и испытаний.

Оценка соответствия ИСПДн организационно-техническим требованиям по защите ПДн может осуществляться в следующем порядке:

  • анализ структуры ИСПДн и технологического процесса обработки информации;
  • оценка достаточности разработанных внутренних нормативных актов и соответствия их содержания требованиям по безопасности информации;
  • оценка правильности выбора уровней защищенности ПДн и мер защиты;
  • оценка соответствия состава и структуры программно-технических средств ИСПДн представленной документации;
  • оценка состояния организации работ и выполнения организационно-технических требований по защите информации;
  • оценка достаточности мер физической охраны технических средств информационной системы;
  • оценка уровня подготовки кадров и распределения ответственности персонала.

Испытания ИСПДн на соответствие требованиям по защищенности ПДн от угроз безопасности ПДн могут проводиться в следующей последовательности (в зависимости от состава подсистем и средств защиты):

  • наличие необходимой проектной, рабочей и эксплуатационной документации;
  • оценка соответствия проектной документации состава и структуры программно-технических средств СЗПДн;
  • оценка выполнения требований формуляров СЗИ и СКЗИ, правил эксплуатации СЗИ и СКЗИ и условий действия сертификатов;
  • испытания подсистемы управления доступом;
  • испытания подсистемы регистрации и учета;
  • испытания подсистемы обеспечения целостности;
  • испытания подсистемы антивирусной защиты;
  • испытания подсистемы анализа защищенности;
  • испытания подсистемы обнаружения вторжений;
  • испытания подсистемы межсетевого экранирования;
  • испытания подсистемы защиты каналов связи;
  • испытания защищенности комплекса программно-технических средств ИСПДн в целом, в том числе с использованием сканеров безопасности.

В случае выявления несоответствия ИСПДн установленным требованиям по защите информации необходимо разработать предложения по устранению выявленных недостатков и нарушений по возможности до окончания оценки. При этом могут применяться следующие меры:

  • доработка организационно-распорядительной документации;
  • исключение отдельных средств из состава ИСПДн;
  • внесение дополнительных настроек в СЗПДн и изменение рабочей и эксплуатационной документации;
  • применение дополнительных организационно-технических мер защиты;
  • применение дополнительных сертифицированных средств защиты информации.

По результатам оценки оформляется заключение. К заключению прилагаются протоколы оценки, подтверждающие полученные при оценке результаты и обосновывающие приведенный в заключении вывод.

Протоколы испытаний подписываются экспертами – членами комиссии по оценке, проводившими испытания.

В случаях, когда нарушение безопасности персональных данных, обрабатываемых в ИСПДн, может привести к значительным негативным последствиям для субъектов персональных данных, наша Компания рекомендует проведение добровольной аттестации по требованиям безопасности информации. Проведение аттестации позволит повысить юридическую значимость проводимой оценки эффективности.

Порядок проведения аттестации ИСПДн регламентируется:

  • национальным стандартом РФ ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
  • Положением по аттестации объектов информатизации по требованиям безопасности информации, утвержденным председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.

В соответствии с указанными нормативными документами организации, проводящие аттестацию объектов информатизации, несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонентов.

В случае проведения добровольной аттестации проводится разработка дополнительных документов, необходимых для выполнения аттестационных испытаний, включающих в себя технический паспорт, матрицу доступа к ресурсам, описание технологических процессов обработки и защиты ПДн. С целью внедрения процедуры контроля за неизменностью аттестованных ИСПДн разрабатывается и утверждается регламент внесения изменений в состав технических и программных средств ИСПДн.

В случае появления вопросов или интереса к описанной услуге, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».

deHack.ru

Во все времена информация играла огромную роль в жизни человека. О чем-то мы говорили открыто, а о чем-то ревностно умалчивали. Со временем мы научились не только сохранять информацию, но и похищать. Сегодня же, информация может являться самым ценным что у Вас есть. Данный проект посвящен проблемам обеспечения безопасности конфиденциальной информации, способам и методам их решения.

От теории к практике!

10.03.2014

Пользователи смогут обезопасить себя пересылая личную информацию через домашний Wi-Fi, вместо общественного. Троэлз Ортинг (Troels Oerting), глава центра по борьбе с киберпреступностью Европола, сообщил BBC Click, что люди должны пересылать персональные данные только по сетям, которым они доверяют.

23.02.2014

Соответствующие поправки в законодательство РФ предлагает внести кинопродюсер Тетерин. Минкультуры РФ получило письмо с требованием внести поправки в законодательство, которые обяжут российских пользователей предоставлять персональные данные для скачивания видео через торрент-ресурсы.

22.02.2014

46% рядовых пользователей не изменяют установленный в маршрутизаторе по умолчанию пароль администратора. Аналитики из Tripwire проанализировали уровень безопасности наиболее популярных беспроводных маршрутизаторов, которые используются рядовыми пользователям и небольшими компаними, и выяснили, что 80% из топ-25 самых продаваемых в Amazon моделей уязвимы для хакерских атак.

18.02.2014

Cпециалисты Positive Technologies выступили с докладом на тему защиты систем промышленной автоматизации. Эксперты Positive Technologies приняли участие в работе XIX международного форума «Технологии безопасности — 2014», проходившего 11—14 февраля в выставочном центре «Крокус Экспо» под патронажем компании «Гротек».

16.02.2014

Для этого на околоземную орбиту планируется отправить несколько сотен спутников, которые будут передавать данные при помощи протокола UDP. На сегодняшний день почти все знают, что такое интернет и во сколько примерно обходится доступ к нему. Все новости

30.11.2013

Граждане ЕС могут получить право защищать свои интересы, используя судебную систему Соединённых Штатов Америки. Подать в суд можно будет на любую Интеренет-организацию, которая нарушает условия конфиденциальности личной информации пользователя. об этом накануне было скзаано представителями новостного агентства Reuters, которые основывались на высказываниях комиссара Евросоюза по вопросам юстиции. По словам чиновника, ЕС намерен оставить за собой возможность пересмотра соглашения с Соединёнными Штатами Америки о свободном обмене информацией. Такая мера будет способствовать тому, что граждане Евросоюза смогут обращаться с исковыми заявлениями в суды США, собственными силами защищая свои персональные данные на уровне законов.

23.11.2013

Как стало известно, Рособрнадзор спроектировал несколько изменений, касающихся процесса подготовки и сдачи Единого государственного экзамена в 2014 году. Депутаты же государственной думы России одобрили соответствующую поправку в бюджет следующего года и на плановый период вплоть до 2016 года, суть которой заключается в том, что государство выделит порядка 250 миллионов рублей на формирование системы информационной безопасности для проведения государственного экзамена для выпускников школ. Не секрет, что в текущем году Единый государственный экзамен привлёк внимание властей, поскольку некоторые экзаменационнные материалы оказались в сети Интернет до официального начала всероссийского тестирования.

16.11.2013

На текущей неделе Государственная дума планирует рассмотреть в первом чтении законопроект, в соответствии с которым Федеральная служба безопасности будет иметь полное право осуществлять оперативно-розыскную деятельность по делам, связанным с информационной безопасностью государства. Новый законопроект, инициатором которого выступает правительство России, предусматривает усовершенствование закона “Об оперативно-розыскной деятельности”, заключающуюся в том, что информационная безопасность будет включена в перечень видов деятельности спецслужб при обеспечении безопасности страны.

10.11.2013

Не секрет, что не так давно компания Apple, являющаяся одним из лидеров компьютерного рынка и рынка мобильных устройств, обнародовала информацию о запросах данных пользователей от государственных ведомств разных стран. В соответствии с опубликованными данными, в течение первых шести месяцев текущего года компания получила запросы на предоставление информации о зарегистрированных пользователях от работников спецслужб 31 государства, а запросы на предоставление данных о технике компании от представителей 41 государства.

01.11.2013

Уже далеко позади осталось то время, когда мобильные телефоны имели своей главной функцией лишь звонок на другой телефон или отправку короткого сообщения. Тогда такие устройства могли заинтересовать лишь какого-нибудь вора-карманника или хулигана с улицы. В настоящее же время, когда в жизнь рядовых граждан отлично вписывается пользование смартфоном или планшетным компьютером, много миллионов клиентов сотовых сетей на всей планете могут быть атакованы злоумышленниками посредством разного рода вредоносных программ, ввиду чего они имеют все шансы потерять, в первую очередь, тайну частной жизни и свои банковские сбережения. Однако большое количество владельцев новых устройств ещё не понимают, какие угрозы может представлять пользование современным мобильным аппаратом, поскольку не всегда осознают того факта, что сейчас телефон представляет собой уменьшенный вариант полноценного компьютера со своей операционной системой. Все статьи

Аттестация ИСПДн

Аттестация ИСПДн по требованиям безопасности информации может носить как обязательный, так и добровольный характер. Процедура обязательно проводится для государственных информационных систем в которых осуществляется обработка персональных данных. Аттестация информационной системы организуется Заказчиком или оператором персональных данных и включает проведение аттестационных испытаний в составе организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации информационной системы настоящим Требованиям о защите информации, не составляющей государственную тайну, содержащейся в Государственных информационных системах. При проведении аттестационных испытаний ИСПДн нами применяются следующие проверки согласно Приказа ФСТЭК РФ от 15.02.2017 N 27:

  • экспертно-документальный метод;
  • анализ уязвимостей информационной системы;
  • испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к информационной системе в обход ее системы защиты информации.
Это, пожалуй, самый задаваемый вопрос. Как правило, мы в ответ задаем встречный вопрос – «А что конкретно интересует» и будем совершенно правы так как большинство людей под аттестацией ИСПДн подразумевают поставку средств защиты информации, разработку организационно-распорядительной документации, проектирование и внедрение, а также саму аттестацию. Чтобы дать ориентировочную оценку, необходимо как минимум знать задачу, которую предстоит решить и затем производить расчеты стоимости решений и трудоемкости работ. Тем не менее, если Вас все же после таких доводов все равно необходима цена, то можно сказать, что аттестация 1 ПК стоит от 120 000 рублей. При увеличении количества ПК стоимость за 1 – снижается т.к. комплект ОРД разрабатывается на систему и т.д. При наличии аттестата соответствия Вы можете осуществить ввод в действие информационной системы персональных данных в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом ГОСТ 34.601. Для обеспечения защиты персональных данных, содержащихся в ИСПДн, реализуются следующие этапы:
  • формирование требований к защите информации, содержащейся в информационной системе;
  • разработка системы защиты информации информационной системы;
  • внедрение системы защиты информации информационной системы;
  • аттестация информационной системы по требованиям защиты информации и ввод ее в действие;
  • идентификация и аутентификация субъектов и объектов доступа;
  • управление доступом;
  • ограничение программной среды;
  • защита машинных носителей информации;
  • регистрация событий безопасности;
  • антивирусная защита;
  • предотвращение вторжений;
  • анализ защищенности информации;
  • целостность информационной системы и информации;
  • доступность информации;
  • защита среды виртуализации;
  • защита технических средств;
  • защита информационной системы, ее средств, систем связи и передачи данных.


Смотрите также