Работу компаний с персональными данными регулирует Федеральный закон от 27.07.2006 № 152-ФЗ (далее — 152-ФЗ). Каждый, кто использует персональные данные, должен оценивать эффективность мер по обеспечению их безопасности (п. 4 ст. 19 152-ФЗ). Делать это можно разными способами. Все зависит от объекта, который нужно оценить.
Когда требуется аттестат
Аттестат нужен, чтобы доказать, что информационная система, которую компания использует, безопасна и соответствует требованиям 152-ФЗ.
Информационная система — это совокупность информации из баз данных, информационных технологий и технических средств, которые обеспечивают ее обработку (ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ). При этом данные обязательно должны быть на электронном носителе. Хранение и обработка данных на бумаге информационной системой не считаются (Постановление Правительства РФ от 15.09.2008 № 687).
Какие информационные системы бывают
Компания может либо создавать информационные системы самостоятельно, либо использовать сторонние.
| Объект аттестации | Пример | Нормативный акт, регулирующий аттестацию | Как часто нужно проходить аттестацию |
|---|---|---|---|
| Автоматизированная система | Хранение, использование, обработка конфиденциальной информации, информации с меткой «Для служебного пользования», «Коммерческая тайна». Например, рабочее место бухгалтера для расчета зарплаты или для генерации ключевой пары. | СТР-К | Раз в три года |
| Информационная система персональных данных | Хранение, использование, обработка персональных данных внутри компании. Например, сервис для передачи электронной отчетности Контур.Экстерн. | Приказ ФСТЭК России от 29.04.2021 № 77 | Аттестат выдается бессрочный, но с обязательным периодическим контролем не реже, чем раз в два года. Процедура периодического контроля практически ничем не отличается от аттестации. |
| Государственная, региональная или муниципальная система | Например, при поступлении организация должна подавать данные об абитуриентах в определенную систему или на Госуслуги. | Приказ ФСТЭК России от 29.04.2021 № 77 | Аттестат выдается бессрочный, но с обязательным периодическим контролем не реже, чем раз в два года. Процедура периодического контроля практически ничем не отличается от аттестации. |
Если коммерческая организация обрабатывает персональные данные в собственной информационной системе, то она сама решает, получать аттестат или нет. Когда она взаимодействует с государственной, региональной или муниципальной информационной системой или является таковой сама, то получить аттестат обязана. В большинстве случаев этот документ является допуском к работе в таких системах. Например, учебные организации высшего образования, чтобы вести прием абитуриентов при поступлении в эти вузы, подключаются к системе ФИС ГИА и приема.
Как проходит аттестация информационных систем
Аттестацию на соответствие требованиям по защите информации могут проводить организации, у которых есть лицензия от ФСТЭК на деятельность по технической защите конфиденциальной информации. Их еще называют лицензиатами.
Методика проведения аттестации прописана в нескольких нормативных актах: Приказе ФСТЭК РФ от 29.04.2021 № 77, Приказе ФСТЭК РФ от 11.02.2013 № 17, Приказе ФСТЭК РФ от 18.02.2013 № 21, а также в ГОСТах.
Многие документы, которые описывают этапы аттестации, имеют метку ДСП — для служебного пользования. О том, как проходит аттестация, можно узнать и в открытом источнике — приказе ФСТЭК РФ № 77. В нем описан порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.
Лицензиат несет ответственность за каждый выданный аттестат, а поэтому должен лично удостовериться в защищенности системы компании. Поэтому ни одна из аттестаций не может проводиться полностью удаленно.
Ответственность за аттестацию несет не только орган, который выдает документ, но и организация, которая его получает (п. 31 Приказа ФСТЭК РФ № 77). В случае нарушений ФСТЭК может приостановить аттестат на срок не больше 90 календарных дней, а также прекратить действие аттестата в случае:
- непредставления материалов об устранении недостатков;
- непредставления протоколов контроля уровня защищенности информации на аттестованном объекте информатизации;
- непредставления материалов, подтверждающих проведение аттестации объекта информатизации для измененной архитектуры системы защиты информации;
- обращения владельца объекта информатизации о прекращении действия аттестата соответствия.
