Получение лицензии фстэк на техническую защиту

Содержание страницы:

Лицензия ФСТЭК России

Лицензия ФСТЭК — специальное государственное разрешение, позволяющее вести легитимную деятельность имеющее непосредственное отношение к созданию и применению программных средств или инновационных технологий. Действие лицензий распространяется на сохранение информационных данных или создание баз для их хранения.

Лицензия ФСТЭК России доступно для соискателей из различных регионов страны, но лицензирующим органом является исключительно Федеральная служба по техническому и экспортному контролю, расположенная в городе Москве. Период действия официального разрешения определен как бессрочный, а география влияния ограничивается официальными границами государства.

Срок, в течение которого соискатель получает разрешительную документацию, составляет 45 дней с момента подачи документов в контролирующую государственную инстанцию.

Получение различных видов лицензии ФСТЭК

Процесс лицензирования может протекать в трех вариантах:

  1. Самостоятельное обращение. Назвать данный способ оптимальным сложно. Неподготовленный соискатель, как правило, упускает ряд основных моментов, связанных с приведением в необходимый вид документации и прохождением своевременного обучения сотрудников и руководителя. В связи с этим процесс получения разрешительной документации может отнять большее количество времени, и, как следствие уменьшить потенциальную прибыль предприятия.
  2. Частичная передача полномочий по предлицензионной подготовке специалистам. Это более эффективный метод прохождения процедуры лицензирования. Специалист курирует процесс, направляя руководителя компании. Но, стоит отметить, что в данном случае, юридическое сопровождение не может быть полным, а соответственно, и гарантий результата, также не может быть.
  3. Полное сопровождение процесса. Получение лицензии ФСТЭК при участии специалистов гарантирует успешный результат. Мы имеем не только квалифицированных специалистов, имеющих опыт ведения лицензионных дел, но и необходимую техническую и нормативно правовую базы, для обеспечения полного соответствия соискателя требованиям контролирующей инстанции.

Полный комплекс услуг позволяет нам не только помочь предприятиям получить необходимую для деятельности лицензию, но и быть готовым к возможным проверкам в ходе плановых или внеплановых инспекций.

Виды лицензии ФСТЭК

ФЗ №99 от 4.05.11г. «О лицензировании отдельных видов деятельности» четко регламентирует перечень отраслей обязательных для лицензирования. Получить лицензию ФСТЭК в первую очередь необходимо:

  • для участия в государственных тендерах;
  • осуществлению деятельности, связанной с разработкой и производством СКЗИ;
  • осуществлению деятельности, связанной с ТЗКИ;
  • при обработке персональных данных.

Лицензирование ФСТЭК России в отрасли ТЗКИ регламентируется Постановлением правительства РФ от 3 февраля 2012 года №79 «О лицензировании деятельности по технической защите конфиденциальной информации». Период действия лицензии ФСТЭК на техническую защиту конфиденциальной информации является бессрочным, но предприятия в процессе деятельности должно быть готово к подтверждению требований, предъявляемых к лицензиатам.

Лицензирование в отрасли СКЗИ (лицензия ФСТЭК на разработку средств защиты) контролируется Постановлением Правительства Российской Федерации от 3 марта 2012 года №171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации». В официальном документе определены требования к соискателям данной лицензии.

Требования для лицензии ФСТЭК в Москве

Для того чтобы соискатель получил официальное разрешение на осуществление деятельности в отрасли, ему необходимо документальное подтверждение соответствия следующим требованиям:

  • Наличие сотрудников, имеющих высшее образование по направлению «Информационная безопасность». Допустимо привлечение специалистов со средним техническим образованием аналогичного профиля, при условии прохождения ими профессиональной переподготовки, длительностью не менее 360 академических часов (обязательно предъявление свидетельства об успешном завершении обучения). Также важно наличие трудового стажа в области защиты информации.
  • Наличие в собственности или на правах аренды, субаренды (необходимо предоставление действующего договора аренды) помещений, необходимых для осуществления профессиональной деятельности. Рабочие помещения должны отвечать действующим государственным требованиям.
  • Наличие в собственности или на правах аренды (необходимо предъявление действующего договора аренды) необходимого оборудования. Каждая техническая единица должна сопровождаться актами поверки и необходимыми сертификатами, подтверждающими верность предоставленных данных.
  • Наличие актуального на сегодняшний день программного обеспечения, необходимого для ведения деятельности в отрасли.
  • Наличие нормативно-методических документов с грифом «ДСП» и ГОСТов.
  • Наличие аттестованного помещения и аттестованного автоматизированного рабочего места (АРМ) в соответствии с действующими требованиями

Лицензия ФСТЭК предусматривает полное соответствие лицензиата и подготовку штата, для осуществления данной деятельности.

Порядок процесса лицензирования

Лицензия ФСТЭК России при Нашем участии заключается в том, что наши специалисты берут на себя следующие обязательства:

  • подготовку необходимой документации и приведение ее к установленному виду;
  • проведение курсов по информационной безопасности, если это необходимо;
  • подготовка и подача заявления лицензионный орган (вне зависимости от места нахождения соискателя);
  • проведение аттестации помещения и автоматизированного рабочего места;
  • получение документального подтверждения о сдаче документов;
  • проведение процедур по устранению обнародованных недочетов и замечаний, если в этом есть необходимость;
  • получение официального разрешения (лицензии) и передача ее лицензиату.

Определенные виды лицензий ФСТЭК требуют оформления лицензии ФСБ на работу со сведениями, являющимися государственной тайной.

Мы гарантируем, соискателям, получение лицензии и полное соответствие предприятия государственным требованиям на всех этапах его дальнейшей предпринимательской активности.

Практика. Создание системы защиты персональных данных

Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

  1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
  2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
  4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
  5. Разработка технического задания на создание системы защиты персональных данных.
  6. Приобретение средств защиты информации.
  7. Внедрение системы защиты персональных данных.
  8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

  • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
  • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.

Рекомендации по защите персональных данных

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

ЛИЦЕНЗИЯ ФСТЭК (Федеральной службы по техническому и экспортному контролю) — по ТЗКИ, на СЗИ, «ФСБ-ГОСТАЙНА»

«ФСТЭК», «ТЗКИ», «СЗИ», «ФСБ» и «ГОСТАЙНА» — все это определенно из области «особо важной информации»: конфиденциальной информации, секретных данных и сведений составляющих государственную тайну. Именно «информационная безопасность» представляется ключевой основой государственного лицензирования деятельности в области технической защиты конфиденциальной информации и сведений, составляющих государственную тайну.

Что это за лицензия — «ЛИЦЕНЗИЯ ФСТЭК»?

Говоря простым языком, это государственное (специальное) разрешение («лицензия»), которое предоставляет «лицензиату» законное (легитимное) право осуществлять деятельность связанную с созданием, применением определенных программных средств и — или технологий в целях (интересах) сохранения определенных важных сведений (конфиденциальных, секретных, государственных), создания (баз) данных.

Какая именно лицензия ФСТЭК вам необходима

Зачем нужна «лицензия ФСТЭК» и кому она определенно и точно необходима зависит в первую очередь от специфики деятельности конкретной организации, занятой в сфере информационной безопасности. Например, это может быть — организация и обеспечение конфиденциальности переговоров или переписки, обработка и передача персональных данных, создание, установка и обслуживание аппаратуры и компьютерных программ на режимных (закрытых, секретных) государственных и иных объектах.

ЛИЦЕНЗИРОВАНИЕ ФСТЭК И СФЕРЫ ДЕЯТЕЛЬНОСТИ

Если рассматривать «лицензирование ФСТЭК» с точки зрения отраслевых — прикладных сфер деятельности, то в этом контексте определенная необходимость в обеспечении сохранности (конфиденциальности) информации присутствует в области медицины, сере транспорта — грузоперевозок, банковском секторе, области науки и образования, непременно — специализированной сфере IT-технологий.

Какие виды лицензий предоставляет «ФСТЭК» организациям, учреждениям и предприятиям

Виды лицензий, которые выдает ФСТЭК соискателям (или лицензиатам), по сути и немного условно определены целями и задачами, стоящими перед компаниями, специализирующимися в области обеспечения сохранности и безопасности отдельных категорий информации, включая базы данных.

ЛИЦЕНЗИЯ НА ТЗКИ ИЛИ ЛИЦЕНЗИЯ ФСТЭК
НА ТЕХНИЧЕСКУЮ ЗАЩИТУ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

Для контроля защищённости технических средств, информационных систем и помещений от несанкционированного доступа и искажения информации, проектирования защищённых помещений, рабочих мест, проведения испытательных работ при проверке защищённости помещений, информационных систем и оборудования, используемого для обработки и защиты данных – оформляется «Лицензия на деятельность по технической защите конфиденциальной информации» (ТЗКИ).

Особенностью данной категории лицензии ФСТЭК является то, что помимо доступа к широкому спектру (перечню услуг) работ в области защиты информации, эта лицензия предоставляет право лицензиату на аттестацию других компаний — на соответствие лицензионным требованиям ФСТЭК, в части защищаемых помещений и информационных систем.

ЛИЦЕНЗИЯ НА СЗИ ИЛИ ЛИЦЕНЗИЯ ФСТЭК
НА РАЗРАБОТКУ И ПРОИЗВОДСТВО СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

Когда компания занимается разработкой и — или производством программного обеспечения, программно — технических средств или оборудования, применяемого при проверке помещений, аппаратуры или программного оснащения на предмет угроз утечки, изменения или повреждения конфиденциальной информации — нужна «лицензия на разработку и производство средств защиты информации» (СЗИ).

ЛИЦЕНЗИЯ НА ТЕХНИЧЕСКУЮ ЗАЩИТУ ГОСУДАРСТВЕННОЙ ТАЙНЫ
ИЛИ ЛИЦЕНЗИЯ ФСТЭК НА ЛИЦЕНЗИРОВАНИЕ В ФСБ РОССИИ

Процедура лицензирования ФСТЭК, на подтверждение технической защищённости объекта от несанкционированного доступа к государственной тайне, необходима для последующего оформления и получения лицензии в ФСБ на работу с гос.тайной.

Получение лицензии ФСТЭК на техзащиту

Лицензия на деятельность в области технической защиты конфиденциальной информации и сведений, составляющих государственную тайну необходима в случае, если вы заняты:

  • проектированием, производством, реализацией, установкой, обслуживанием технических средств и систем защиты и обработки информации ограниченного доступа;
  • деятельностью связанной с разработкой и производством СЗКИ (средств защиты конфиденциальной информации);
  • в проектах осуществления мероприятий (или оказываете услуги) в области защиты информации – не связанной с «Государственной тайной»;
  • проведением определенных работ, связанных с созданием СЗИ (средств защиты информации).

Лицензия ФСТЭК на тех.защиту информации предоставляется — бессрочно, действительна в любом Регионе, на всей территории Российской Федерации.

Лицензирование ФСТЭК – Москва

Мы поможем соискателям успешно и в сжатые сроки пройти процедуру лицензирования ФСТЭК и оформить Лицензию, при оказании услуг в получении — в комплексе и «под ключ».

Сбор документов: Мы помогаем заинтересованным компаниям грамотно подготовить полный комплект необходимой документации, обосновывающей заявленную деятельность.

Заявка на лицензирование в ФСТЭК: Подаем заявление на выдачу лицензии и подготовленные документы в соответствующий департамент ФСТЭК.

Обучение персонала: При необходимости, проводим обучение – повышение квалификации специалистов в области защиты информации.

Получение лицензии: Получаем для Заказчика — соискателя лицензии на тех-защиту информации» , 1- номер; 2-бланк оригинала лицензии ФСТЭК. Забираем лицензию из лицензионного органа и отправляем курьерской доставкой, почтой либо передаем на руки Заказчику.

Перечень лицензируемых видов деятельности ФСТЭК

В части деятельности по технической защите конфиденциальной информации и сведений, составляющих Гос. Тайну, «Лицензия ФСТЭК» оформляется по ряду направлений (видам работ, услуг).

    контроль защищенности конфиденциальной информации от утечки по техническим каналам в:

— средствах и системах информатизации;
— технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
— помещениях со средствами (системами), подлежащими защите;
— помещениях, предназначенных для ведения конфиденциальных переговоров (защищаемых помещениях);

  • контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);
  • аттестационные испытания и аттестация на соответствие требованиям по защите информации:

    — средств и систем информатизации;
    — помещений со средствами (системами) информатизации, подлежащими защите;
    — защищаемых помещений;
    — проектирование в защищенном исполнении:
    — средств и систем информатизации;
    — помещений со средствами (системами) информатизации, подлежащими защите;
    — защищаемых помещений;

  • установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
  • КОНСУЛЬТАЦИЯ СПЕЦИАЛИСТА

    Всю необходимую информацию по условиям лицензирования и получения лицензий ФСТЭК, Вы сможете узнать, позвонив по тел. (495) 120-09-56 или отправив сообщение из формы обратной связи.

    26 мая, 2010 | Алексей АНАШКИН

    Как выполнить требования Федерального Закона № 152-ФЗ «О персональных данных» (62156)
    персональные данные, законодательство, комментарии

    Что означает термин «персональные данные»?

    Определение персональных данных (ПДн) встречалось и до принятия закона, например, в «Перечне сведений конфиденциального характера», утвержденном указом Президента РФ № 188 от 6 марта 1997 г.:

    К конфиденциальной информации относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

    Однако закон дополнил его. Теперь, согласно ФЗ-152, персональные данные —

    любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

    Таким образом, персональные данные – это, прежде всего, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть практически в каждой организации.

    При поступлении на работу — это данные отдела кадров работодателя, которые работник указывает в личной карточке, автобиографии, других документах, заполняемых при заключении трудового договора.

    При поступлении ребенка в детский сад, школу, институт, другие образовательные учреждения также заполняется множество анкет и форм, в которых указываются данные как ребенка (например, данные свидетельства о рождении), так и его родителей (вплоть до места работы, занимаемой должности).

    При прохождении лечения в медицинских учреждениях необходимо указать не только паспортные данные, но и сведения о льготах, медицинских страховках, сведения о предыдущих лечениях, результаты анализов. Во многих медицинских учреждениях амбулаторные/стационарные карты дублируются в электронном виде.

    И все эти данные, согласно нынешнему законодательству, подлежат защите.

    С чего начать защиту, и нужна ли она вообще?

    Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания (ФЗ-152).

    Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и(или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных (ФЗ-152).

    Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств (ФЗ-152).

    Обработка персональных данных — это действия (операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (ФЗ-152).

    Оператор при обработке ПДн должен принимать все необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

    Что же необходимо сделать, чтобы защитить персональные данные?

    Прежде всего, необходимо определить какие информационные системы ПДн есть и какого типа ПДн в них обрабатываются.

    Классификация информационной системы персональных данных

    Для того чтобы понять, насколько проблема защиты ПДн существенна, а также для выбора необходимых методов и способов защиты ПДн, оператору нужно провести классификацию ИСПДн. Порядок классификации определен приказом ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 от 13 февраля 2008 г.

    Итак, оператор формирует комиссию (приказом руководителя организации), которая после анализа исходных данных принимает решение о присвоении ИСПДн соответствующего класса. В ходе классификации определяются:

    • категория обрабатываемых персональных данных;
    • объем обрабатываемых персональных данных;
    • тип информационной системы;
    • структура информационной системы и местоположение ее технических средств;
    • режимы обработки персональных данных;
    • режимы разграничения прав доступа пользователей;
    • наличие подключений к сетям общего пользования и(или) сетям международного информационного обмена.

    Согласно приказу № 55/86/20, все информационные системы (ИС) делятся на типовые и специальные.

    Типовые информационные системы — информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

    Специальные информационные системы — информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

    На практике выходит, что типовых ИС практически нет, поскольку в большинстве случаев помимо конфиденциальности необходимо обеспечить также целостность и доступность информации. Кроме того, в обязательном порядке к специальным системам должны быть отнесены:

    • информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
    • информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

    Итак, по результатам анализа исходных данных комиссия присваивает системе персональных данных соответствующий класс:

    класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

    класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

    класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

    класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

    Результаты классификации оформляются Актом классификации ИСПДн, в котором указываются тип ИСПДн (типовая, специальная), присвоенный ИСПДн класс и условия, на основании которых было принято решение.

    Как уже было сказано, классификация необходима для дальнейшего выбора методов и средств защиты ПДн, обрабатываемых в ИСПДн, поскольку в документах ФСТЭК и ФСБ каждому классу устанавливаются свои требования по защите ИСПДн, о которых поговорим чуть позже.

    Согласие субъекта ПДн на обработку

    Далее необходимо перейти к обработке этих данных, но перед тем как их обработка будет законной, необходимо получить согласие субъекта персональных данных на обработку (закон тем самым предотвращает незаконный сбор и использование персональных данных):

    Обработка персональных данных может осуществляться оператором с согласия субъектов ПДн, за исключением случаев:

    1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

    2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

    3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

    4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

    5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

    6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

    7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

    Итак, если наш случай обработки ПДн предусмотрен частью 2 статьи 6 ФЗ-152, то получение согласия необязательно.

    Также необходимо руководствоваться Трудовым Кодексом, Глава 14. Например, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия (Статья 86 часть 4 ТК).

    В соответствии со статьей 9 ФЗ-152 получать согласие субъекта персональных данных на обработку его персональных данных необходимо в письменной форме. Письменное согласие субъекта персональных данных должно включать:

    • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
    • наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
    • цель обработки персональных данных;
    • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
    • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
    • срок, в течение которого действует согласие, а также порядок его отзыва.

    Положение, регламентирующее порядок обработки и защиты ПДн

    Итак, оператор получил (если это необходимо) согласие на обработку персональных данных — персональные данные можно обрабатывать. Но, согласно Трудовому кодексу и ФЗ-152 необходимо разработать (если есть, доработать в соответствии с ФЗ) положение, регламентирующее порядок хранения, обработки и защиты персональных данных. Давайте условно назовем его Положение по обеспечению безопасности персональных данных. Положение по обеспечению безопасности персональных данных — это внутренний (локальный) документ организации. Строгой формы данного документа нет, но он должен удовлетворять требованиям ТК и ФЗ-152, а, следовательно, в нем должно быть указано:

    • цель и задачи в области защиты персональных данных;
    • понятие и состав персональных данных;
    • в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
    • как происходит сбор и хранение персональных данных;
    • как они обрабатываются и используются;
    • кто (по должностям) в пределах фирмы имеет к ним доступ;
    • принципы защиты ПДн, в том числе от несанкционированного доступа;
    • права работника в целях обеспечения защиты своих персональных данных;
    • ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

    Положение по обеспечению безопасности персональных данных утверждается руководителем организации или уполномоченным им лицом, вводится в действие приказом руководителя. Работодатель обязан ознакомить работника с Положением… под подпись.

    Список лиц, допущенных к обработке ПДн

    Кроме того, необходимо оформить список лиц, допущенных к обработке ПДн, т.е. перечень тех (по должностям), кому доступ к ПДн необходим для выполнения служебных обязанностей. В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, а также сотрудники бухгалтерии. Помимо того, доступ к этим сведениям могут получить руководители структурных подразделений (например, начальники отделов) – и это также необходимо отразить в списке. Однако все они вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев). Поэтому целесообразно прописать перечень информационных ресурсов, к которым пользователи допущены.

    Список лиц, допущенных к обработке ПДн можно оформить в виде приложения к Положению по обеспечению безопасности персональных данных или отдельным документом, утвержденным руководителем.

    Уведомление Роскомнадзора

    Далее в соответствии со статьей 22 ФЗ-152 оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПДн (на сегодняшний день это — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных частью 2 статьи 22 ФЗ-152:

    Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

    1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

    2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

    3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

    4) являющихся общедоступными персональными данными;

    5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

    6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

    7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

    8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных

    Требования к уведомлению указаны в части 3 статьи 22 ФЗ-152. Форму уведомления об обработке (о намерении осуществлять обработку) персональных данных можно заполнить в электронном виде на сайте Роскомнадзора: http://pd.rsoc.ru/operators-registry/notification/form/

    Теперь можно приступать к обработке персональных данных, параллельно решая самый сложный и проблемный вопрос — обеспечение безопасности персональных данных при их обработке.

    Обеспечение безопасности персональных данных при их обработке

    Мероприятия по защите информации трудоемки и могут привести к значительным финансовым затратам, что обусловлено необходимостью:

    • получать (по необходимости) лицензию на деятельность по технической защите конфиденциальной информации ФСТЭК России;
    • привлекать лицензиата ФСТЭК России для осуществления мероприятий по созданию системы защиты ИСПДн и/или ее аттестации по требованиям безопасности информации;
    • отправлять сотрудников, ответственных за обеспечение безопасности информации, на курсы повышения квалификации по вопросам защиты информации и/или нанимать специалистов по защите информации;
    • устанавливать сертифицированные по требованиям ФСТЭК средства защиты информации (СрЗИ), сертифицированные ФСБ средства криптографической защиты информации (СКЗИ) в зависимости от класса ИСПДн.

    Что-то можно сделать самим, а где-то лучше довериться специалистам. Но защитить персональные данные необходимо, так или иначе.

    Статья 19, ФЗ-152:

    Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

    Помимо ФЗ-152 требования и рекомендации по обеспечению защиты персональных данных устанавливают:

    • «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утверждено постановлением Правительства РФ № 781 от 17 ноября 2007 г.
    • «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждено постановлением Правительства РФ № 687 от 15 сентября 2008 г.
    • «Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», утверждены постановлением Правительства РФ № 512 от 6 июля 2008 г.
    • Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утверждены приказом Гостехкомиссии России № 282 от 30 августа 2002 г. (ДСП)
    • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (Выписка, при рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа — ДСП)
    • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК от 16 ноября 2009 г.)
    • Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК от 11 ноября 2009 г.)
    • Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных от 15 февраля 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК от 11 ноября 2009 г.)
    • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ, 21 февраля 2008 г.
    • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. ФСБ, 21 февраля 2008 г.

    Мы не будем подробно рассматривать все требования, которые необходимо выполнить для обеспечения безопасности ПДн при их обработке в ИСПДн, — их много, и они сильно зависят от конкретной ИСПДн. Остановимся на основных моментах, часто вызывающих затруднения у операторов.

    Лицензия – получать или не получать?

    Законодательство, а также документы ФСТЭК говорят нам следующее:

    Статья 16, часть 6 ФЗ-149 «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г.:

    Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

    Статья 17, часть 1, п.11 ФЗ-128 «О лицензировании отдельных видов деятельности» от 8 августа 2001 г.:

    В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности: деятельность по технической защите конфиденциальной информации.

    Постановление Правительства РФ № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» от 15 августа 2006 г.

    Под технической защитой конфиденциальной информации понимается комплекс мероприятий и(или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

    Основные мероприятия… ФСТЭК
    Пункт 3.14

    В соответствии с положениями Федерального закона № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

    Так же на вопрос о необходимости лицензии отвечал начальник отдела Управления ФСТЭК России НАЗАРОВ Игорь Григорьевич на круглом столе, проведенном журналом «Connect! Мир связи» (http://www.connect.ru/article.asp?id=9406):

    Вопрос: Нужно ли операторам, обрабатывающим персональные данные в ИСПДн, получение лицензии на техническую защиту конфиденциальной информации?

    Игорь Назаров: В соответствии с документами ФСТЭК лицензия необходима операторам ПДн, которые самостоятельно проводят такие мероприятия по информационным системам 1, 2 класса и территориально распределенным системам 3 класса, как правило, это большие государственные информационные системы. При этом для поликлиник, детских садов, аптек и т.п., имеющих ИСПДн 3 и 4 классов, получение таких лицензий не требуется.

    В соответствии с постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781, если оператор ИСПДн заключает договор на проведение соответствующих мероприятий в части защиты информации (ПДн) с уполномоченным лицом — лицензиатом ФСТЭК России, иметь лицензию ему не обязательно.

    Итак, для небольших организаций более экономически-выгодным вместо получения лицензии ФСТЭК по ТЗКИ для проведения мероприятий по обеспечению безопасности ПДн (создание системы защиты ИСПДн, аттестация) будет привлечение лицензиата ФСТЭК, который проведет все необходимые работы.

    Для крупных организаций (таких как операторы связи, крупные банки и т.п.) — выгоднее самим получить лицензию и выполнить все необходимые работы.

    Порядок предоставления лицензии на осуществление деятельности по технической защите конфиденциальной информации определен «Положением о лицензировании деятельности по технической защите конфиденциальной информации» (утверждено постановлением Правительства РФ от 15 августа 2006 г. № 504). Требования для получения лицензии:

    а) наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;

    б) наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;

    в) наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;

    г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и(или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

    д) использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;

    е) наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю.

    Этапы создания СЗПДн

    Согласно Основным мероприятиям по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, выпущенными ФСТЭК, создание системы защиты персональных данных (СЗПДн) состоит из следующих этапов:

    1. Предпроектная стадия

    1.1 обследование объекта информатизации:

    • установление необходимости обработки ПДн в ИСПДн;
    • определение перечня ПДн, подлежащих защите;
    • определение условий расположения ИСПДн относительно границ контролируемой зоны (КЗ);
    • определение конфигурации и топологии ИСПДн в целом и ее отдельных компонентов; физических, функциональных и технологических связей как внутри ИСПДн, так и с другими системами различного уровня и назначения;
    • определение технических средств и систем, используемых в защищаемой ИСПДн, условий их расположения;
    • определение общесистемных, специальных и прикладных программных средств, используемых в защищаемой ИСПДн;
    • определение режима обработки информации в ИСПДн в целом и в отдельных компонентах;
    • проведение классификации ИСПДн;
    • определение степени участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой;
    • определение и составление перечня уязвимостей и угроз безопасности информации, оценка актуальности угроз безопасности информации;
    • разработка частной модели угроз.

    1.2 разработка технического задания на создание СЗПДн, которое должно содержать:

    • обоснование необходимости разработки СЗПДн;
    • исходные данные ИСПДн в техническом, программном, информационном и организационном аспектах;
    • класс ИСПДн;
    • ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
    • конкретизацию мероприятий и требований к СЗПДн;
    • перечень предполагаемых к использованию сертифицированных средств защиты информации;
    • обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
    • состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

    2. Стадия проектирования и реализации СЗПДн

    2.1 разработка проекта на создание СЗПДн;

    2.2 разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;

    2.3 закупка сертифицированных средств защиты информации;

    2.4 разработка и реализация разрешительной системы доступа пользователей и персонала к обрабатываемой в ИСПДн информации;

    2.5 установка и настройка СрЗИ;

    2.6 определение подразделений и лиц, ответственных за эксплуатацию средств защиты информации, обучение назначенных лиц специфике работ по защите ПДн;

    2.7 разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно-распорядительной документации по защите информации (положений, приказов, инструкций и других документов);

    2.8 выполнение других мероприятий, направленных на защиту информации.

    3. Стадия ввода в действие СЗПДн

    3.1 опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн;

    3.2 приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта;

    3.3 оценка соответствия ИСПДн требованиям безопасности информации – аттестация (декларирование) по требованиям безопасности информации.

    4. Техническое обслуживание и сопровождение системы защиты информации

    Организационно-распорядительная документация по защите ПДн

    Помимо технических решений создаваемой системы защиты персональных данных, оператор должен обеспечить разработку организационно-распорядительных документов, которые будут регулировать все возникающие вопросы по обеспечению безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн. Таких документов достаточно много, основные из них:

    1. Положение по обеспечению безопасности ПДн – в начале статьи мы уже касались назначения и состава этого документа. На всякий случай повторим – в нем должно быть указано:

    • цель и задачи в области защиты персональных данных;
    • понятие и состав персональных данных;
    • в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
    • как происходит сбор и хранение персональных данных;
    • как они обрабатываются и используются;
    • кто (по должностям) в пределах фирмы имеет к ним доступ;
    • принципы защиты ПДн, в том числе от несанкционированного доступа;
    • права работника в целях обеспечения защиты своих персональных данных;
    • ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

    2. Для организации системы допуска и учета лиц, допущенных к работе с ПДн в ИСПДн, — Список лиц, допущенных к обработке ПДн (перечень по должностям тех, кому доступ к ПДн необходим для выполнения служебных обязанностей) и Матрица доступа (должна отражать полномочия пользователей по выполнению конкретных действий в отношении конкретных информационных ресурсов ИСПДн – чтение, запись, корректировка, удаление). Оба документа утверждаются руководителем.

    3. Частная модель угроз (если ИСПДн несколько, то модель угроз разрабатывается на каждую из них) – разрабатывается по результатам предварительного обследования. ФСТЭК России предлагает Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, согласно которой при создании частной модели должны быть рассмотрены:

    • угрозы утечки информации по техническим каналам;
    • угрозы несанкционированного доступа, связанные с действиями нарушителей, имеющих доступ к ИСПДн, реализующих угрозы непосредственно в ИСПДн. При этом необходимо в качестве потенциальных нарушителей рассматривать легальных пользователей ИСПДн;
    • угрозы несанкционированного доступа, связанные с действиями нарушителей, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и(или) сетей международного информационного обмена.

    Разработанная модель угроз утверждается руководителем.

    4. На основании утвержденной модели угроз ИСПДн необходимо разработать требования по обеспечению безопасности ПДн при их обработке в ИСПДн. Требования, как и модель угроз, — это самостоятельный документ, который должен быть утвержден руководителем организации.

    Для разработки модели угроз и требований оператору целесообразно привлекать специалистов организаций-лицензиатов ФСТЭК.

    5. Инструкции в части обеспечения безопасности ПДн при их обработке в ИСПДн.

    6. Рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.

    Кроме того, до проведения всех мероприятий по защите ПДн оператор должен назначить должностное лицо или (если ИСПДн достаточно велика) структурное подразделение, ответственные за обеспечение безопасности ПДн. Решение о назначении оформляется приказом руководителя. Задачи, функции и полномочия должностного лица (подразделения), ответственного за обеспечение безопасности ПДн, определяются внутренними организационно-распорядительными документами (должностными инструкциями, регламентами).

    Что обязательно сертифицировать, а что нет?

    Часто возникает заблуждение, что все используемое программное обеспечение (ПО), должно быть сертифицировано, а сертификация стоит дорого и занимает много времени.

    Однако ни в одном из документов по регулированию вопросов защиты ПДн не сказано, что должно быть сертифицировано все ПО. Сертифицированы по требованиям ФСТЭК России должны быть средства защиты информации, но никак не системное, прикладное или специальное ПО, не участвующее в защите ИСПДн.

    Игорь Назаров: …сертификация по контролю отсутствия НДВ касается функционала безопасности, именно средств защиты, а не всего программного обеспечения, которое используется в информационной системе (http://www.connect.ru/article.asp?id=9406).

    Сегодня документы ФСТЭК, которые можно посмотреть на сайте Федеральной службы по техническому и экспортному контролю, говорят нам по этому поводу следующее:

    В ИСПДн должны использоваться только сертифицированные по требованиям безопасности информации технические средства и системы защиты.

    Пункт 4.2: …в ИСПДн должен проводиться контроль на наличие недекларированных возможностей в программном и программно-аппаратном обеспечении и анализ защищенности системного и прикладного программного обеспечения.

    Пункт 4.3: Для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе и встроенных в общесистемное и прикладное программное обеспечение), должен быть обеспечен соответствующий уровень контроля отсутствия в нем НДВ.

    Таким образом, сертифицировать системное и прикладное ПО, если оно не участвует в процессе защиты информации, не нужно – это можно делать по желанию оператора.

    Практика создания систем защиты ПДн показывает, что необходимо использовать лицензионное программное обеспечение (системное, прикладное и специальное ПО) и сертифицированные средства защиты информации и антивирусной защиты (это могут быть СрЗИ от НСД, антивирусные продукты, межсетевые экраны, средства обнаружения вторжений, средства анализа защищенности, соответствующие определенному классу). Если в ИСПДн устанавливаются криптографические средства защиты информации (СКЗИ), то они также должны быть сертифицированы по требованиям ФСБ России.

    Следует отметить, что устанавливать сертифицированные СрЗИ имеет право только лицензиат ФСТЭК, а СКЗИ – лицензиат ФСБ.

    Аттестация

    Финальным этапом создания системы защиты ИСПДн должна стать аттестация (декларирование соответствия) — комплекс организационно-технических мероприятий, в результате которых посредством специального документа — Аттестата соответствия (Заключения) подтверждается, что ИСПДн соответствует требованиям стандартов или иных нормативно-методических документов по безопасности информации. Наличие действующего Аттестата соответствия дает право обработки информации с соответствующим уровнем конфиденциальности на период времени, установленный в Аттестате соответствия.

    Вопрос: Кто может аттестовать рабочие места на соответствие требованиям законодательства и нормативных документов в области персональных данных?

    Игорь Назаров: Аттестацию ИСПДн на соответствие требованиям по безопасности информации имеют право проводить лицензиаты ФСТЭК, которые имеют лицензию на деятельность по технической защите конфиденциальной информации (http://www.connect.ru/article.asp?id=9406).

    Аттестация предусматривает комплексную проверку (аттестационные испытания) ИСПДн в реальных условиях эксплуатации с целью оценки соответствия принятого комплекса мер защиты требуемому уровню безопасности ПДн.

    В общем виде аттестация ИСПДн по требованиям безопасности информации включает в себя следующие этапы:

    • анализ исходных данных по аттестуемой ИСПДн;
    • проведение экспертного обследования ИСПДн и анализ разработанной документации по обеспечению безопасности ПДн на соответствие требованиям нормативных и методических документов;
    • проведение комплексных аттестационных испытаний ИСПДн в реальных условиях эксплуатации с использованием специальной аппаратуры контроля и программных средств контроля защищенности от несанкционированного доступа;
    • анализ результатов комплексных аттестационных испытаний, оформление и утверждение Заключения и Аттестата соответствия по результатам аттестации.

    Важным моментом является то, что в случае изменения условий и технологии обработки ПДн оператор обязан известить об этом организацию-лицензиата, проводившую аттестацию ИСПДн. После чего организация-лицензиат принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты ИСПДн.

    Ответственность и риски за неисполнение требований закона

    При неисполнении требований по обеспечению безопасности ПДн у оператора могут возникнуть риски гражданско-правовых исков со стороны клиентов или работников.

    Что в свою очередь может повлиять на репутацию компании, а также привести к принудительному приостановлению (прекращению) обработки ПДн, привлечению компании и(или) ее руководителя к административной или иным видам ответственности, а при определенных условиях – к приостановлению действия или аннулированию лицензий. Кроме того, согласно ФЗ, лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (статья 24 ФЗ-152):

    • Дисциплинарная (Трудовой кодекс Российской Федерации, статьи 81, 90, 195, 237, 391);
    • Административная (Кодекс Российской Федерации об административных правонарушениях, статьи 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);
    • Уголовная (Уголовный кодекс Российской Федерации, статьи 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).

    И что в итоге?…

    Многие сейчас говорят о том, что сегодняшнее законодательство и нормативно-методические документы имеют много неточностей и в чем-то даже перегибов.

    Многие уповают на то, что в декабре 2009 года было принято решение о продлении сроков по исполнению требований ФЗ-152 до января 2011г.

    Но независимо от этого необходимость защиты ПДн остаётся.

    А поэтому не стоит откладывать решение этой проблемы в долгий ящик и уже сейчас нужно принимать необходимые меры по обеспечению безопасности персональных данных.

    Об авторе; Алексей Анашкин- ведущий специалист ООО «Комплексная защита информации»

    Это интересно:

    • Нужно ли разрешение на выезд ребенка в египет от второго родителя Нужно ли разрешение на выезд ребенка в египет от второго родителя Нужно ли согласие от второго родителя при выезде ребенка заграницу? Такой вопрос задают себе многие мамы или папы, собирающиеся в отпуск без второй половины. […]
    • Увольнение работника на испытательном сроке статья тк рф Увольнение на испытательном сроке Увольнение на испытательном сроке регулируется ст. 70 ТК РФ и ст. 71 ТК РФ. Увольнение возможно как по инициативе работодателя, так и по инициативе работника. Работодатель имеет право установить […]
    • Фз трудовые пенсии по случаю потери кормильца Прокуратура Московской области С 01.01.2015 вступил в силу Федеральный закон от 28.12.2013 № 400-ФЗ «О страховых пенсиях» (далее – Федеральный закон). Федеральный закон от 17.12.2001 № 173-ФЗ «О трудовых пенсиях в Российской […]
    • Права законного представителя несовершеннолетнего потерпевшего упк Законные представители. Представители в уголовном процессе. Кроме основных участников (потерпевший, подозреваемый, обвиняемый) в уголовном судопроизводстве могут принимать участие и их представители. Можно сказать, что […]
    • Замена прав права 1987 Оформление пенсии В нашей стране назначение пенсии носит заявительный характер, то есть для получения выплаты гражданину необходимо обратиться в органы ПФР с письменным заявлением. В последние годы специалистами Пенсионного […]
    • Комплектация товара в 1с ут Комплектация номенклатуры в 1С 8.3 — пошаговая инструкция В этой статье мы рассмотрим на примере, как создать комплектацию номенклатуры в 1С 8.3 (8.2) Бухгалтерия 3.0. Данная инструкция подойдет как для учета сборки товаров […]
    • Трудовая книжка при увольнении выдается лично в руки Увольнение иностранных граждан в РФ: уведомление, правила, документы, основания Трудовое законодательство требует от работодателей соблюдения целого ряда правил при увольнении иностранного гражданина. В то же время в […]
    • Взыскание долга по копии расписки Взыскание долга по копии расписки Расписка должна быть в деле, оригинал. Ибо, как говорят судьи - если расписка останется на руках у истца - то что ему мешает еще раз предъявить её . для взыскания долга . но ведь если […]