Аттестация информационных систем персональных данных (ИСПДн) на соответствие требованиям по безопасности информации
 |
|
Финальным этапом создания системы защиты ИСПДн должна стать аттестация (декларирование соответствия) — комплекс организационно-технических мероприятий, в результате которых посредством специального документа — Аттестата соответствия (Заключения) подтверждается, что ИСПДн соответствует требованиям стандартов или иных нормативно-методических документов по безопасности информации. Наличие действующего Аттестата соответствия дает право обработки информации с соответствующим уровнем конфиденциальности на период времени, установленный в Аттестате соответствия.
Аттестация предусматривает комплексную проверку (аттестационные испытания) ИСПДн в реальных условиях эксплуатации с целью оценки соответствия принятого комплекса мер защиты требуемому уровню безопасности ПДн.
В общем виде аттестация ИСПДн по требованиям безопасности информации включает в себя следующие этапы:
– анализ исходных данных по аттестуемой ИСПДн;
– проведение экспертного обследования ИСПДн и анализ разработанной документации по обеспечению безопасности ПДн на соответствие требованиям нормативных и методических документов;
– проведение комплексных аттестационных испытаний ИСПДн в реальных условиях эксплуатации с использованием специальной аппаратуры контроля и программных средств контроля защищенности от несанкционированного доступа;
– анализ результатов комплексных аттестационных испытаний, оформление и утверждение Заключения и Аттестата соответствия по результатам аттестации.
Важным моментом является то, что в случае изменения условий и технологии обработки ПДн оператор обязан известить об этом организацию-лицензиата, проводившую аттестацию ИСПДн. После чего организация-лицензиат принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты ИСПДн.
Этапы аттестации ИСПДн
Этап 1. Обследование и классификация ИСПДн:
|
Сбор необходимых сведений о ИСПДн, а также выявление существующих информационно-организационных и технических мер защиты ПДн |
|
Отчет по обследованию и характеристикам информационной системы и отнесение ее к определенному классу. |
|
Разработка адаптированных моделей нарушителя, моделей угроз безопасности ПДн |
|
Адаптированная модель нарушителя безопасности ПДн |
|
Разработка требований к системе защиты ПДн и рекомендаций по внедрению технических мер по защите ПДн. |
|
Аналитический отчет + рекомендации/требования к системе защиты ПДн. |
Этап 2. Проектирование системы защиты персональных данных:
|
Разработка концепции обеспечения безопасности ПДн. |
|
Предложение мер и способов обеспечения безопасности ПДн. |
|
Выбор способов, мер и средств защиты ПДн. |
|
Перечень и описание требуемых технических и программных средств защиты. |
|
Проектирование системы защиты персональных данных. |
|
Техническое задание и Технический проект на систему защиты персональных данных. |
Этап 3. Внедрение системы защиты персональных данных:
|
Поставка и монтаж, настройка оборудования, программно-аппаратного обеспечения и средств защиты информации. |
|
Готовое к эксплуатации оборудование, программно-аппаратное обеспечение и средства защиты информации. |
|
Внедрение и опытная эксплуатация средств защиты ПДн и проверка их работоспособности в составе ИСПДн. |
|
Акт внедрения средств защиты информации в ИСПДн. |
|
Приемно-сдаточные испытания и запуск в эксплуатацию средств защиты информации в ИСПДн. |
|
Акт приема и комплект эксплуатационных документов. |
Этап 4. Аттестация систем персональных данных на соответствие требованиям:
|
Подготовка объекта к аттестации. |
|
Программа-методика проведения аттестационных испытаний, Акт категорирования АС. |
|
Проведение аттестационных испытаний и подготовка аттестата соответствия. |
|
Заключение по результатам аттестационных испытаний, Протокол аттестационных испытаний, Технический паспорт АС, Аттестат соответствия. |