AZEXO

Аттестация ИСПДн в компании: пошаговое руководство по соблюдению требований регуляторов

от автора

Андрей Солодухин
в

Обработка персональных данных (ПДн) в Российской Федерации регулируется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Для любой компании, являющейся оператором ПДн, ключевой обязанностью является обеспечение безопасности данных (ст. 19 152-ФЗ).

В профессиональной среде процесс приведения информационной системы персональных данных (ИСПДн) в соответствие с требованиями регуляторов часто называют «аттестацией». Однако юридически точнее говорить о подтверждении соответствия требованиям к защите ПДн и оценке эффективности принимаемых мер.

Данное руководство поможет разобраться в нормативной базе и выстроить процесс обеспечения безопасности ИСПДн шаг за шагом.

Шаг 1. Инвентаризация и классификация ИСПДн

Первым шагом необходимо понять, какие системы в компании обрабатывают персональные данные и какие именно данные они обрабатывают.

1.1. Выявление ИСПДн

Согласно Постановлению Правительства РФ от 01.11.2012 № 1119, ИСПДн — это совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких данных.

  • Действие: Составьте реестр всех информационных систем, где хранятся или обрабатываются данные сотрудников, клиентов, партнеров и т.д.
  • Нюанс: Обработка данных на бумажных носителях регулируется отдельно (Постановление Правительства РФ от 15.09.2008 № 687).

1.2. Определение уровня защищенности (УЗПДн)

Безопасность ПДн обеспечивается в соответствии с 4 уровнями защищенности (Постановление № 1119, п. 8). Выбор уровня зависит от двух параметров:

  1. Категория персональных данных:
    • Специальные (раса, здоровье, убеждения и т.д.).
    • Биометрические (физиологические особенности).
    • Общедоступные.
    • Иные (ФИО, телефон, должность и т.д.).
    • Данные сотрудников оператора.
  2. Количество субъектов ПДн: До 100 000 или более.
  3. Тип угроз: (определяется на Шаге 2).

Пример: Если вы обрабатываете «иные» данные сотрудников (менее 100 000 человек) и актуальны угрозы 3-го типа, вам достаточно 4-го уровня защищенности. Если обрабатываете специальные данные клиентов (>100 000) при угрозах 2-го типа — требуется 1-й уровень.

Шаг 2. Определение актуальных угроз и типа угроз

Согласно ст. 19 152-ФЗ и Методике ФСТЭК России (утв. 14.02.2008), оператор обязан определить угрозы безопасности ПДн.

2.1. Модель угроз

Используйте документ «Базовая модель угроз безопасности персональных данных» (ФСТЭК, 2008). Угрозы делятся на:

  • Утечки по техническим каналам (ПЭМИН, акустические, видовые).
  • Несанкционированный доступ (НСД) с использованием ПО.

2.2. Тип угроз (для Постановления № 1119)

Для выбора уровня защищенности необходимо определить тип угроз:

  • Угрозы 1-го типа: Актуальны угрозы, связанные с наличием недекларированных возможностей (НДВ) в системном ПО (ОС, СУБД).
  • Угрозы 2-го типа: Актуальны угрозы, связанные с НДВ в прикладном ПО.
  • Угрозы 3-го типа: Угрозы, не связанные с НДВ в системном и прикладном ПО (базовый уровень).

Рекомендация: Для большинства коммерческих систем при использовании сертифицированного ПО и своевременном обновлении часто обосновываются угрозы 3-го типа, что снижает требования к защите. Однако решение должно быть задокументировано в Акте определения типа угроз.

Полезный ресурс: Банк данных угроз ФСТЭК (BDU) — актуальная база уязвимостей и угроз безопасности информации.

Шаг 3. Выбор мер защиты

Состав мер зависит от уровня защищенности и модели угроз. Основным документом является Приказ ФСТЭК России от 18.02.2013 № 21.

3.1. Базовый набор мер

Приказ № 21 содержит 15 групп мер защиты (всего более 80 мер):

  1. Идентификация и аутентификация (ИАФ).
  2. Управление доступом (УПД).
  3. Ограничение программной среды (ОПС).
  4. Защита машинных носителей (ЗНИ).
  5. Регистрация событий безопасности (РСБ).
  6. Антивирусная защита (АВЗ).
  7. Обнаружение вторжений (СОВ).
  8. Контроль защищенности (АНЗ).
  9. Обеспечение целостности (ОЦЛ).
  10. Обеспечение доступности (ОДТ).
  11. Защита среды виртуализации (ЗСВ).
  12. Защита технических средств (ЗТС).
  13. Защита системы и сетей (ЗИС).
  14. Выявление инцидентов (ИНЦ).
  15. Управление конфигурацией (УКФ).

Для каждого уровня защищенности (с 1-го по 4-й) определен базовый набор мер (отмечены «+» в приложении к Приказу № 21).

  • 4-й уровень: Минимальный набор (например, учет носителей, антивирус, управление доступом).
  • 1-й уровень: Максимальный набор (включая средства обнаружения вторжений, контроль целостности, защищенную загрузку и т.д.).

3.2. Адаптация мер

Оператор вправе адаптировать базовый набор (Приказ № 21, п. 9):

  • Исключить меры, не применимые к используемым технологиям (например, защита виртуализации, если виртуализация не используется).
  • Заменить меры на компенсирующие при невозможности технической реализации (требуется обоснование).

3.3. Криптографическая защита (СКЗИ)

Если для нейтрализации угроз требуется шифрование (например, передача данных по открытым каналам или хранение на съемных носителях), руководствуйтесь Приказом ФСБ России от 10.07.2014 № 378.

  • Документ определяет классы СКЗИ (КС1, КС2, КС3, КВ, КА) в зависимости от уровня защищенности и типа угроз.
  • Пример: Для 4-го уровня защищенности достаточно СКЗИ класса КС1. Для 1-го уровня при угрозах 1-го типа требуется класс КА.

Шаг 4. Внедрение и документирование

Требования регуляторов подразумевают не только установку программ, но и организационное оформление.

4.1. Организационные меры

Согласно Приказу № 21 и 152-ФЗ, необходимо разработать пакет документов:

  • Политика обработки ПДн: Публикуется на сайте (ст. 18.1 152-ФЗ).
  • Приказы: О назначении ответственных за обработку ПДн и за обеспечение безопасности ПДн.
  • Перечень лиц, имеющих доступ к ПДн.
  • Инструкции пользователей и администраторов.
  • Модель угроз и Акт определения типа угроз.
  • Техническое задание (ТЗ) на систему защиты ПДн.
  • Акты внедрения средств защиты информации (СЗИ).

4.2. Технические меры

  • Установка сертифицированных СЗИ (антивирусы, средства защиты от НСД, межсетевые экраны).
  • Классы защиты СЗИ должны соответствовать уровню защищенности ИСПДн (Приказ № 21, п. 12).
    • Пример: Для 4-го уровня — СЗИ не ниже 6 класса. Для 1-го уровня — не ниже 4 класса и 4 уровня доверия.
  • Настройка средств защиты в соответствии с руководствами по эксплуатации.

Важно: Средства защиты информации должны проходить процедуру оценки соответствия. Реестры сертифицированных средств публикуются на официальном сайте ФСТЭК России.

Шаг 5. Контроль и оценка эффективности

Работа по защите ПДн не заканчивается после внедрения мер.

5.1. Периодичность контроля

Согласно п. 17 Постановления № 1119 и п. 6 Приказа № 21, контроль за выполнением требований и оценка эффективности мер должны проводиться не реже 1 раза в 3 года.

5.2. Кто проводит контроль

Контроль может проводиться:

  • Самостоятельно оператором (внутренними силами).
  • С привлечением юридических лиц и ИП, имеющих лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации (Постановление Правительства РФ от 03.02.2012 № 79).

Важно: Если вы привлекаете подрядчика для проведения оценки эффективности (внешнего аудита/аттестации), убедитесь в наличии у него действующей лицензии ФСТЭК. Работы без лицензии могут повлечь штрафы и признание результатов недействительными при проверке Роскомнадзора.

5.3. Результат

По итогам оценки составляется Акт оценки эффективности принимаемых мер. Этот документ является основным доказательством выполнения требований ст. 19 152-ФЗ при проверках.

Важное различие: Коммерческая ИСПДн и ГИС

Часто возникает путаница между требованиями для коммерческих организаций и государственных органов.

  1. Коммерческие ИСПДн: Регулируются Постановлением № 1119 и Приказом ФСТЭК № 21. Formal «Аттестат соответствия» от ФСТЭК не требуется, требуется внутренний или сторонний Акт оценки эффективности.
  2. Государственные информационные системы (ГИС): Регулируются Приказом ФСТЭК России от 11.02.2013 № 17. Для ГИС обязательна аттестация с получением Аттестата соответствия в ФСТЭК.
    • Если ваша компания является оператором ГИС или обрабатывает ПДн в рамках государственного контракта с созданием ГИС, требования Приказа № 17 применяются наряду с требованиями по ПДн.

Чек-лист для старта работ

  1. [ ] Издан приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1 152-ФЗ).
  2. [ ] Составлен реестр ИСПДн.
  3. [ ] Определены категории данных и количество субъектов.
  4. [ ] Разработана и утверждена Модель угроз безопасности ПДн.
  5. [ ] Определен тип угроз (1, 2 или 3) и Уровень защищенности (1–4).
  6. [ ] Выбран базовый набор мер защиты (Приказ № 21).
  7. [ ] Закуплены и внедрены необходимые средства защиты (СЗИ, СКЗИ).
  8. [ ] Разработан комплект организационно-распорядительной документации.
  9. [ ] Подано уведомление в Роскомнадзор (ст. 22 152-ФЗ), если нет оснований для исключения (Реестр операторов).
  10. [ ] Проведена оценка эффективности мер (акт не старше 3 лет).

Полезные ресурсы и нормативные документы

ДокументСсылка
Федеральный закон № 152-ФЗ «О персональных данных»consultant.ru
Постановление Правительства РФ № 1119 (требования к защите ПДн)consultant.ru
Приказ ФСТЭК России № 21 (меры защиты ПДн)fstec.ru
Приказ ФСБ России № 378 (СКЗИ для ПДн)garant.ru
Постановление Правительства РФ № 79 (лицензирование)fstec.ru
Приказ ФСТЭК России № 17 (защита ГИС)fstec.ru
Базовая модель угроз (ФСТЭК, 2008)fstec.ru
Методика определения актуальных угроз (ФСТЭК, 2008)fstec.ru
Банк данных угроз ФСТЭК (BDU)bdu.fstec.ru
Реестр операторов Роскомнадзораpd.rkn.gov.ru
Официальный сайт Роскомнадзораrkn.gov.ru

Заключение

«Аттестация» ИСПДн в коммерческой компании — это непрерывный процесс обеспечения соответствия законодательству, а не разовое получение сертификата. Ключевыми документами для построения системы защиты являются Постановление № 1119 (уровни защиты), Приказ ФСТЭК № 21 (меры защиты) и Приказ ФСБ № 378 (криптография).

Соблюдение этих требований минимизирует риски штрафов со стороны Роскомнадзора (ст. 13.11 КоАП РФ) и утечек данных, сохраняя репутацию бизнеса. При привлечении внешних исполнителей всегда проверяйте наличие лицензии ФСТЭК на техническую защиту конфиденциальной информации.

Примечание: Нормативная база в области защиты информации регулярно обновляется. Рекомендуется отслеживать изменения на официальных сайтах ФСТЭК России, ФСБ России и Роскомнадзора.