Аттестация информационных систем: для кого обязательна и кто может ее провести — СКБ Контур

Аттестация информационных систем: для кого обязательна и кто может ее провести

22 августа 2022 4 1011

Практически каждая компания, которая работает с персональными данными, должна обеспечивать их безопасность. В некоторых случаях это нужно подтверждать аттестатом. Как и когда нужно получать такой документ, рассказывают эксперты Контура.

Екатерина Бармина, Никита Ярков

Работу компаний с персональными данными регулирует Федеральный закон от 27.07.2006 № 152-ФЗ (далее — 152-ФЗ). Каждый, кто использует персональные данные, должен оценивать эффективность мер по обеспечению их безопасности (п. 4 ст. 19 152-ФЗ). Делать это можно разными способами. Все зависит от объекта, который нужно оценить.

Когда требуется аттестат

Аттестат нужен, чтобы доказать, что информационная система, которую компания использует, безопасна и соответствует требованиям 152-ФЗ. 

Информационная система — это совокупность информации из баз данных, информационных технологий и технических средств, которые обеспечивают ее обработку (ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ). При этом данные обязательно должны быть на электронном носителе. Хранение и обработка данных на бумаге информационной системой не считаются (Постановление Правительства РФ от 15.09.2008 № 687).

Какие информационные системы бывают

Компания может либо создавать информационные системы самостоятельно, либо использовать сторонние.

Объект аттестации Пример Нормативный акт, регулирующий аттестацию Как часто нужно проходить аттестацию
Автоматизированная система Хранение, использование, обработка конфиденциальной информации, информации с меткой «Для служебного пользования», «Коммерческая тайна». Например, рабочее место бухгалтера для расчета зарплаты или для генерации ключевой пары. СТР-К Раз в три года
Информационная система персональных данных Хранение, использование, обработка персональных данных внутри компании. Например, сервис для передачи электронной отчетности Контур.Экстерн. Приказ ФСТЭК России от 29.04.2021 № 77 Аттестат выдается бессрочный, но с обязательным периодическим контролем не реже, чем раз в два года. Процедура периодического контроля практически ничем не отличается от аттестации.
Государственная, региональная или муниципальная система Например, при поступлении организация должна подавать данные об абитуриентах в определенную систему или на Госуслуги. Приказ ФСТЭК России от 29.04.2021 № 77 Аттестат выдается бессрочный, но с обязательным периодическим контролем не реже, чем раз в два года. Процедура периодического контроля практически ничем не отличается от аттестации.

Если коммерческая организация обрабатывает персональные данные в собственной информационной системе, то она сама решает, получать аттестат или нет. Когда она взаимодействует с государственной, региональной или муниципальной информационной системой или является таковой сама, то получить аттестат обязана. В большинстве случаев этот документ является допуском к работе в таких системах. Например, учебные организации высшего образования, чтобы вести прием абитуриентов при поступлении в эти вузы, подключаются к системе ФИС ГИА и приема.

Как проходит аттестация информационных систем

Аттестацию на соответствие требованиям по защите информации могут проводить организации, у которых есть лицензия от ФСТЭК на деятельность по технической защите конфиденциальной информации. Их еще называют лицензиатами.

Методика проведения аттестации прописана в нескольких нормативных актах: Приказе ФСТЭК РФ от 29.04.2021 № 77, Приказе ФСТЭК РФ от 11.02.2013 № 17, Приказе ФСТЭК РФ от 18.02.2013 № 21, а также в ГОСТах.

Многие документы, которые описывают этапы аттестации, имеют метку ДСП — для служебного пользования. О том, как проходит аттестация, можно узнать и в открытом источнике — приказе ФСТЭК РФ № 77. В нем описан порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну. 

Лицензиат несет ответственность за каждый выданный аттестат, а поэтому должен лично удостовериться в защищенности системы компании. Поэтому ни одна из аттестаций не может проводиться полностью удаленно.

Ответственность за аттестацию несет не только орган, который выдает документ, но и организация, которая его получает (п. 31 Приказа ФСТЭК РФ № 77). В случае нарушений ФСТЭК может приостановить аттестат на срок не больше 90 календарных дней, а также прекратить действие аттестата в случае:

  • непредставления материалов об устранении недостатков;
  • непредставления протоколов контроля уровня защищенности информации на аттестованном объекте информатизации;
  • непредставления материалов, подтверждающих проведение аттестации объекта информатизации для измененной архитектуры системы защиты информации;
  • обращения владельца объекта информатизации о прекращении действия аттестата соответствия.
Безопасность
Получить комплекс услуг по обеспечению информационной безопасности предприятия
Узнать больше
Екатерина Бармина, Никита Ярков
Безопасность
Получить комплекс услуг по обеспечению информационной безопасности предприятия
Узнать больше
Раз в неделю — дайджест материалов, достойных вниманияАктуальные материалы раз в неделю
Подписаться
Подписываясь, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от группы компаний СКБ Контур.

Статьи по теме

Все статьи
1 комментарий
А
Александр 6 декабря 2022
Аттестацию надо проходить исключительно в сертифицированных центрах - это однозначно. Наши сотрудники сейчас как раз и проходят.
Вопрос - что то два дня не мог зайти на ваш сайт. Пришлось купить мобильные прокси https://proxyzzz.com и только тогда - анонимно и через прокси смог зайти. Поправьте может настройки сервера, я ваш постоянный читатель