Оценка эффективности мер защиты информационных систем персональных данных (аттестация, декларирование соответствия ИСПДн)
В соответствии с пп.4 п. 2 статьи 19 Федерального закона «О персональных данных» обеспечение безопасности персональных данных (ПДн) достигается, в том числе, проведением «оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (ИСПДн)».
Оценка эффективности может проводиться в формах добровольной аттестации по требованиям безопасности информации в системе сертификации ФСТЭК России, а также в других формах, выбираемых оператором ПДн (например, формах приемо-сдаточных испытаний СЗПДн, совместной оценки комиссией, состоящей из представителей Разработчика и Заказчика СЗПДн, и т. д.).
При проведении оценки эффективности принимаемых мер по обеспечению безопасности ПДн необходимо осуществить оценку соответствия ИСПДн организационно-техническим требованиям по безопасности информации и провести испытания средств и систем защиты ИСПДн на соответствие требованиям по защищенности ПДн от угроз безопасности ПДн.
Важным этапом в процессе проведения оценки эффективности является разработка программы и методики оценки, в которой необходимо отразить:
- описание объекта оценки;
- порядок проведения оценки;
- перечень процедур оценки;
- требования к содержанию проверок и испытаний;
- критерии оценки, характеризующей успешное прохождение проверок и испытаний.
Оценка соответствия ИСПДн организационно-техническим требованиям по защите ПДн может осуществляться в следующем порядке:
- анализ структуры ИСПДн и технологического процесса обработки информации;
- оценка достаточности разработанных внутренних нормативных актов и соответствия их содержания требованиям по безопасности информации;
- оценка правильности выбора уровней защищенности ПДн и мер защиты;
- оценка соответствия состава и структуры программно-технических средств ИСПДн представленной документации;
- оценка состояния организации работ и выполнения организационно-технических требований по защите информации;
- оценка достаточности мер физической охраны технических средств информационной системы;
- оценка уровня подготовки кадров и распределения ответственности персонала.
Испытания ИСПДн на соответствие требованиям по защищенности ПДн от угроз безопасности ПДн могут проводиться в следующей последовательности (в зависимости от состава подсистем и средств защиты):
- наличие необходимой проектной, рабочей и эксплуатационной документации;
- оценка соответствия проектной документации состава и структуры программно-технических средств СЗПДн;
- оценка выполнения требований формуляров СЗИ и СКЗИ, правил эксплуатации СЗИ и СКЗИ и условий действия сертификатов;
- испытания подсистемы управления доступом;
- испытания подсистемы регистрации и учета;
- испытания подсистемы обеспечения целостности;
- испытания подсистемы антивирусной защиты;
- испытания подсистемы анализа защищенности;
- испытания подсистемы обнаружения вторжений;
- испытания подсистемы межсетевого экранирования;
- испытания подсистемы защиты каналов связи;
- испытания защищенности комплекса программно-технических средств ИСПДн в целом, в том числе с использованием сканеров безопасности.
В случае выявления несоответствия ИСПДн установленным требованиям по защите информации необходимо разработать предложения по устранению выявленных недостатков и нарушений по возможности до окончания оценки. При этом могут применяться следующие меры:
- доработка организационно-распорядительной документации;
- исключение отдельных средств из состава ИСПДн;
- внесение дополнительных настроек в СЗПДн и изменение рабочей и эксплуатационной документации;
- применение дополнительных организационно-технических мер защиты;
- применение дополнительных сертифицированных средств защиты информации.
По результатам оценки оформляется заключение. К заключению прилагаются протоколы оценки, подтверждающие полученные при оценке результаты и обосновывающие приведенный в заключении вывод.
Протоколы испытаний подписываются экспертами – членами комиссии по оценке, проводившими испытания.
В случаях, когда нарушение безопасности персональных данных, обрабатываемых в ИСПДн, может привести к значительным негативным последствиям для субъектов персональных данных, наша Компания рекомендует проведение добровольной аттестации по требованиям безопасности информации. Проведение аттестации позволит повысить юридическую значимость проводимой оценки эффективности.
Порядок проведения аттестации ИСПДн регламентируется:
- национальным стандартом РФ ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
- Положением по аттестации объектов информатизации по требованиям безопасности информации, утвержденным председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.
В соответствии с указанными нормативными документами организации, проводящие аттестацию объектов информатизации, несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонентов.
В случае проведения добровольной аттестации проводится разработка дополнительных документов, необходимых для выполнения аттестационных испытаний, включающих в себя технический паспорт, матрицу доступа к ресурсам, описание технологических процессов обработки и защиты ПДн. С целью внедрения процедуры контроля за неизменностью аттестованных ИСПДн разрабатывается и утверждается регламент внесения изменений в состав технических и программных средств ИСПДн.
В случае появления вопросов или интереса к описанной услуге, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».