Оценка соответствия информационной системы обработки персональных данных

Требования по защите персональных данных базируются на требованиях, изложенных в нормативных документах ФСТЭК России по защите информации конфиденциального характера, к основным из которых относятся:\

  • Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). (приказ Гостехкомиссии России от 30.08.2002 г. № 282);
  • Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (Гостехкомиссия России, 1992 г.).

Для выполнения требований Федерального закона 2006 г. № 152 «О персональных данных» оператор персональных данных должен выполнить следующие мероприятия:

  1. провести инвентаризацию обрабатываемых информационных ресурсов и определить перечень персональных данных;
  2. урегулировать правовые вопросы обработки персональных данных;
  3. оформить и направить в территориальный орган уполномоченного органа по защите прав субъектов персональных данных уведомление об обработке персональных данных;
  4. разработать модель угроз (на основании результатов обследования информационной системы обработки персональных данных);
  5. провести классификацию ИС с оформлением соответствующего акта;
  6. получить (при необходимости) лицензию на деятельность по ТЗИ (согласно постановлению Правительства РФ 2006 г. № 504);
  7. определить требования по защите персональных данных при их обработке в информационной системы обработки персональных данных (ИСПДн) в соответствии с присвоенным классом и результатами моделирования;
  8. спроектировать и создать систему обеспечения безопасности информации (СОБИ);
  9. провести оценку соответствия ИСПДн требованиям безопасности согласно присвоенному классу;
  10. организовать эксплуатацию ИСПДн в соответствии с требованиями безопасности и контроль соблюдения условий использования СЗИ.

В соответствии с РД ФСТЭК России «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» оценка соответствия ИСПДн и ее СОБИ требованиям безопасности информации может осуществляться в следующей форме:

  • для ИСПДн 1 и 2 классов – обязательная сертификация (аттестация) по требованиям безопасности информации;
  • для ИСПДн 3 класса – декларирование соответствия требованиям безопасности информации;
  • для ИСПДн 4 класса – оценка соответствия проводится по решению оператора.

Под аттестацией объекта информатизации по требованиям безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа «Аттестат соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК России.

Цель проведения аттестации (как и других методов оценки соответствия) – официальное подтверждение эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.

Мероприятия по защите персональных данных должны быть реализованы в рамках следующих подсистем СОБИ:

  1. управления доступом;
  2. регистрации и учёта;
  3. обеспечения целостности;
  4. криптографической защиты;
  5. антивирусной защиты;
  6. обнаружения вторжений;
  7. защиты от утечки за счёт ПЭМИН (для ИС 1 и 2 классов).

Конкретный состав мероприятий по защите персональных данных определяется в зависимости от класса ИС и результатов моделирования угроз.

В соответствии с п. 3.14 «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены заместителем директора ФСТЭК России 15 февраля 2008 г.) операторы персональных данных для проведения мероприятий по обеспечению безопасности персональных данных при их обработке в ИС 1, 2 классов и в распределённых информационных системах 3 класса должны получать лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке. Процедура лицензирования определена следующими нормативными документами:

  • Федеральный закон от 8.08.2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности»;
  • Постановление Правительства Российской Федерации от 26.01.2006 г. № 45 «Об организации лицензирования отдельных видов деятельности»;
  • Постановление Правительства Российской Федерации от 15.08.2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»;
  • Приказ ФСТЭК России от 28.08.2007 г. № 181 «Об утверждении административного регламента федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации» (зарегистрирован в Минюсте РФ 3 октября 2007 № 10232).