Вопрос сертификации защиты персональных данных на уровне ФСТЭК и ФСБ РФ не имеет однозначного решения: контролирующие органы ориентируются во многом на собственное видение безопасности. В целом, систему защиты информации (СЗИ) представляют как совокупность организационных мер и программно-технических средств. Целью СЗИ является предотвращение или серьезное затруднение несанкционированного доступа.
С организационной точки зрения допускается деление деление рисков на недопустимые и допустимые – но оно условно, зависит от многих факторов: размеров компании, ее известности, способов обработки персональных данных, репутации, политики взаимодействия с клиентами. Наиболее сильным риск является для организаций, которые поддерживают сайты с персональными данными либо формами для их регистрации, проводят массированные е-mail рассылки, ведут агрессивные рекламные кампании.
Обеспечение сохранности данных для различных предприятий зависят от масштабов работы, финансовых и производственных возможностей, а также от количества сведений, нуждающихся в охране. Определение рисков и мер защиты должно базироваться на принципах достаточности и разумности.
Сертификация на соответствие защиты персональных данных представляет собой совокупность действий, нацеленных на подтверждение основных и дополнительных параметров услуг, систем или продуктов требованиям выработанных актов и стандартов. Учитывая то, что безопасность относится к разряду социализированных областей, завязана на человеческий фактор и информационные технологии, она не может быть всеобъемлющей. Утечка или утрата персональных данных автоматически признается виной оператора связи.
Департамент защиты персональных данных системы сертификации Росконтроля проводит мониторинг всех российских организаций, независимо от формы собственности, являющихся операторами связи, предъявляя к ним ряд требований по организации адекватной защиты.
Сертификация средств защиты персональных данных по 152-ФЗ
Российские требования предусматривают необходимость проверки встроенных в программные продукты средств защиты информации, организацию различных технических и организационно-распорядительных мероприятий по обеспечению безопасности. Федеральный закон дает определение, какая информация попадает под определение персональных данных, назначает ответственных по их защите, проведению классификации.
Все юридические лица и индивидуальные предприниматели, обрабатывающие персональные данные в процессе деятельности, обязаны пройти сертификацию по 152-ФЗ по трем этапам:
- Подготовить уникальный портфель документов, включающий акты, приказы, инструкции и т.д.
- Опубликовать документ – политику, с описанием способов работы с персональных данных.
- Подать уведомление в Роскомнадзор.
Все программное обеспечение, осуществляющее защиту ПД, обязательно к согласованию и сертификации на уровнях главных регуляторов – Федеральной службы безопасности и Федеральной службы по техническому и экспортному контролю.
Порядок работ по методике, утвержденной ФСТЭК, выглядит так:
- Проводится обследование информационной системы персональных данных (ИСПДн).
- Проектируется система защиты.
- Внедряется система, защищающая информацию.
- Оценивается эффективность всех предпринятых шагов, по результатам которых принимается решение о соответствии.
Стоимость сертификации в соответствии с 152-ФЗ складывается из:
- Наличия подключения к сети Интернет.
- Количества компьютеров.
- Наличия сервера или общей сети.
- Техподдержки.
- Юридического сопровождения.
Работы по сертификации выделяются в отдельный проект с отдельным бюджетом. Необходимая «золотая середина» средств защиты рассчитывается после предпроектного обследования и написания техпроекта. Для клиентов существуют готовые типовые решения, оптимизированные под разного рода потребности, и не требующие значительных финансовых затрат.
Сертификат соответствия ФСТЭК
Система сертификации персональных данных ФСТЭК России отвечает за некриптографическую защиту информации, препятствуя несанкционированному доступу к ней или «слитию» ее по техническим каналам связи. Служба организует сертификацию и контролирует «верхний уровень». Все остальные работы ложатся на лицензиаров в лице лабораторий-испытателей ПО и экспертных организаций. Клиент самостоятельно выбирает лабораторию, а ФСТЭК создает экспертную комиссию.
Процесс сертификации программ обработки персональных данных ФСТЭК осуществляется сходных образом, с привлечением института заявителей. Взаимодействуя с лабораториями и экспертами, они сравнивают продаваемые версии продукта с сертифицированным образцом-эталоном. В среднем время аттестации ИСПДн занимает от полугода или больше, все зависит от ее уровня и категорийности – чем выше степень, тем больше требований к безопасности предъявляется.
Сертификация программных продуктов в соответствии с законом «О персональных данных» ставит своей целью контроль над информацией, обеспечивающей национальную безопасность. Поэтому все программное обеспечение, поставляемое на рынок и используемое в построении ключевых зон информационной структуры, должно соответствовать жестким требованиям.
Уже готовые сертификаты для работы с персональными данными имеют семейство операционных систем Linux, сетевое оборудование от IT-корпорации Cisco, реляционная СУБД Sybase ASE, продукция 1С.
Аттестация систем персональных данных
Проведение аттестации информационных систем персональных данных – дорогое удовольствие, поэтому часть операторов ПДн старается всеми силами избежать этой процедуры. Она является обязательной для государственных ИСПДн, накладывая на операторов ряд обязательств. Для негосударственных предприятий аттестат требуется в случае подтверждения должного уровня защиты, поэтому процедура может проходит в добровольном порядке. Соответствующая документация получается в территориальном отделении ФСТЭКа.
Процедура производится лицензированными на проведение технической защиты организациями. Аттестационная комиссия состоит из специалистов информационной безопасности и экспертов. В ее задачу входит проведение оценки соответствия всех мер, технических и организационных, с последующими испытаниями всех программных и технических средств, направленных на защиту ПДн. По результатам оценки выдается либо аттестат, либо предписание с перечнем обязательных к устранению недостатков. В целях экономии времени и средств, подготовку к аттестации лучше доверить имеющим опыт аналогичной работы организациям.
Аттестация многоэтапна и требует строжайшего документирования, при этом ее методология одинакова как для компьютера, так и для рабочих места по защите персональных данных. Зато по факту получается полноценная система защиты информации. Следование алгоритму сертификации, все операторы ПДн принимают участие в выработке максимальной защиты ИС.
После введения системы защиты в эксплуатацию, не стоит забывать об изменчивости технологий. Спустя некоторое время могут возникнуть новые угрозы и риски, поэтому для поддержания работоспособности и защищенности информации рекомендуется устраивать аудит информационной безопасности ежегодно.