Аттестация информационных систем

Организация или ИП, использующие в своей деятельности персональные данные граждан, должны исполнять требования Федерального закона от 27.07.2006 № 152-ФЗ (далее – закон № 152-ФЗ). Так, сборщики данных обеспечивают безопасность предоставленным данным (п. 4 ст. 19 152-ФЗ).  Безопасность информационной системы, используемой при обработке данных, подтверждается при получении соответствующего аттестата.

Если коммерческая организация обрабатывает личные сведения субъектов в своей внутренней информационной системе, то решение о получении аттестата (или неполучении) она принимает самостоятельно.

Компания может провести аттестацию информационной системы по собственной инициативе. Но если компания работает с какой-либо государственной информационной системой (региональной или муниципальной) или является этой системой, то получить аттестат – ее прямая обязанность.

В целом аттестат безопасности инфосистемы – это гарант допуска к работе в системе. Например, высшие учебные заведения подключаются к ФИС ГИА, чтобы осуществлять прием абитуриентов.

Проводить аттестацию автоматизированной информационной системы необходимо при обработке:

• персональных данных – на соответствие требованиям ФСТЭК (Приказ от 18.02.2013 № 21);
• конфиденциальной информации из государственного ресурса – на соответствие требованиям;
• ФСТЭК (Приказ от 11.02.2013 № 17);
• специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К) (Приказ Гостехкомиссии от 30.08.2002  № 282);
• информации, содержащей служебную тайну, – на соответствие требованиям;
• специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К) (Приказ Гостехкомиссии от 30.08.2002 № 282);
• положения ФСТЭК  по аттестации объектов информатизации согласно требованиям безопасности информации.

Кроме того, обязательная аттестация автоматизированных информационных систем требуется для получения лицензии ФСТЭК или ФСБ. В остальных случаях проведение аттестации проводится в добровольном порядке.

Информационная система – это совокупность данных из перечня, информационных технологий и технических средств, которые обеспечивают обработку этой информации (ст. 2 Закона от 27.07.2006 № 149-ФЗ). При этом данные должны содержаться на электронном носителе. Хранение и обработка информации на бумаге информационной системой не считываются (Постановление Правительства РФ от 15.09.2008 № 687).

Компания может самостоятельно создавать информационные системы или пользоваться уже существующими.

Классификация системы обработки персональных данных осуществляется оператором согласно Приказу ФСТЭК, ФСБ или Мининформсвязи от 13.02.2008 № 55/86/20  в зависимости от категории обрабатываемой информации и ее объема.

При нарушении требований по работе с конфиденциальными данными клиентов компании и (или) сотрудников нарушителя могут привлечь к административной ответственности. Например, назначить штраф за сбор личной информации в ненадлежащих целях.

Гражданско-правовая ответственность наступит, если причинен убыток или моральный вред гражданину. Компания может привлечь к дисциплинарной и (или) материальной ответственности своих сотрудников, допустивших неправомерное действие при работе с конфиденциальными данными.

В состав персональных данных могут включаться любые сведения,  прямо или косвенно относящиеся к конкретному человеку. То есть к ним относятся  не только фамилия, имя, отчество человека, паспортные данные, прописка или местожительство, но также год и место рождения, абонентский номер, сведения о профессии и иные данные, позволяющие его идентифицировать. Таким образом, конфиденциальность информации не ограничивается конкретным перечнем сведений, а оценивается с учетом реальных обстоятельств обработки данных. Например, телефонный номер и электронный адрес тоже могут рассматриваться как персональные данные, если они зарегистрированы на конкретное лицо и позволяют его идентифицировать.

Под обработкой данных по закону № 152-ФЗ понимается любое действие или ряд действий с использованием средств автоматизации или без них.

К обработке в том числе относятся:

— сбор,

— запись,

— архивация,

— хранение,

— обновление,

— редактирование,

— извлечение,

— использование,

— распространение,

— направление третьим лицам,

— уничтожение,

— блокирование,

— удаление данных.

Обрабатывать персональные данные можно только при наличии согласия владельца этих данных, а также при выполнении иных требований закона № 152-ФЗ.

Кроме того, сборщик данных обязан соблюдать принципы обработки полученных сведений. В частности, обработка конфиденциальных данных ограничена достижением конкретных и законных целей и противоправна, если не соответствует первоначальным целям сбора этих данных.

Чтобы защитить персональные данные физлиц при обработке, необходимо предпринять ряд организационных и технических мер. Закон № 152-ФЗ не разграничивает конфиденциальность данных сотрудников компании от данных прочих физлиц, например, клиентов компании. Таким образом, требования к обработке данных для них одинаковы.

Техническая защита зависит от того, как хранится информация – в электронном виде или на бумаге. К данным на бумажных носителях достаточно ограничить и контролировать физический доступ к ним. Например, документы можно положить в сейф.

Защиту электронных данных организовать сложнее, требования к ней выше. Для организации системы безопасности первоначально  надо определить тип угрозы и в соответствии с ним выбрать один из четырех уровней защиты (пп. 7–12 требований к защите при обработке в информационных системах).

От этого уровня будет зависеть, какие именно меры безопасности должны быть предприняты (пп. 13–16 указанных требований).

Также для защиты электронных данных компания взаимодействует с государственной системой обнаружения, предупреждения и ликвидации последствий кибератак на информационные ресурсы РФ. В частности, через госсистему необходимо сообщать об инцидентах, из-за которых произошла неправомерная передача или утечка персональных данных (ч. 12 ст. 19 закона № 152-ФЗ).

Внутренние документы компании о защите персональных данных при их обработке:

1. Политика обработки персональных данных и иные локальные нормативные акты по данному вопросу (п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ). Политика устанавливает категории, цели, способы обработки данных, порядок их хранения и использования. Организация вправе самостоятельно определять структуру и содержание политики (письмо от 19.10.2021 № 08-71063).

Компания обязана обеспечить неограниченный доступ к документу, определяющему политику обработки полученных конфиденциальных сведений, независимо от способа их сбора. Если у компании есть свой сайт, такой документ следует разместить на нем (ч. 2 ст. 18.1 закона № 152-ФЗ, письмо Роскомнадзора от 19.10.2021 № 08-71063).

2. Приказ о назначении ответственного лица за обработку данных. В компании, занимающейся сбором персональных данных, должен быть назначен сотрудник,  ответственный за процесс сбора, обработки и хранения (ч. 1 ст. 22.1 закона № 152-ФЗ).

3. Приказ об утверждении списка сотрудников, имеющих доступ к персональным данным. Такой документ будет доказательством того, что определенное лицо имело доступ к конкретным сведениям. Это важно в случае, если произошло разглашение данных и нужно установить виновных.

4. Соглашение о конфиденциальности с работниками компании. В этом соглашении работники, которые сталкиваются с персональными данными ваших клиентов или партнеров, обязуются их не разглашать.

Перечень документов носит рекомендательный характер.  Четкий список этих документов законом не установлен. По своему усмотрению компания может включить в этот комплект и другие необходимые документы, например, журналы учета и движения данных. В документах следует отразить весь процесс обработки сведений, что позволит избежать претензий со стороны контролирующих органов в случае проверки.

Аттестация информационных систем с персональными данными включает в себя:

1. Подготовку необходимой документации.
2. Определение класса (уровня) защищенности, по которому требуется аттестация.
3. Подбор, закупку и внедрение средств защиты информации (СЗИ).
4. Исследование аттестующей организацией.
5. Получение аттестатов соответствия (несоответствия).

Если определенный  объем работ заказчик выполняет самостоятельно, привлечение аттестующей организации в любом случае обязательно. Выбор аттестующей организации остается на усмотрение заказчика.

Результатом аттестации является выдача следующих документов, это:

• программа и методика аттестационных испытаний;
• протокол рассмотрения;
• заключение по итогам рассмотрения;
• аттестат соответствия (несоответствия АС/ГИС/ИСПДн.

Методика проведения аттестации прописана в приказах ФСТЭК РФ от 29.04.2021 № 77, от 11.02.2013 № 17, от 18.02.2013 № 21, а также в ГОСТах.

Аттестацию может проводить компания, получившая соответствующую лицензию от ФСТЭК (лицензиат).

Лицензия дает право на деятельность в сфере технической защиты конфиденциальной информации.

Компания, проводившая аттестацию, несет ответственность за каждый выданный аттестат по результатам проверки. Требования законодательства, предъявляемые к лицензиату и аттестации, исключают возможность проведения удаленной проверки.

Ответственность за достоверность полученного аттестата несет не только лицензиат, но и организация, которая его получает (п. 31 Приказа ФСТЭК РФ от 29.04.2021 № 77).

Если будет установлено, что аттестация проводилась с нарушениями, ФСТЭК может приостановить действие выданного аттестата (максимальный срок приостановки – 90 дней).

Более того, аттестат могут аннулировать, если не предоставлены следующие данные:

— подтверждающие устранение обнаруженных недостатков;

— протоколы контроля уровня защищенности информации на объекте аттестации;

— проведение аттестации при изменении архитектуры системы защиты информации.

Аннулировать аттестат ФСТЭК может также по инициативе владельца информационной системы в ответ на соответствующий запрос.