Защита персональных данных при покупке сертифицированной ФСТЭК программы

Содержание
  1. Сертификация и аттестация ФСТЭК: разбираемся, что нужно компаниям по 152-ФЗ
  2. Сертификат и аттестат ФСТЭК
  3. Сертификат ФСТЭК: что это такое и для чего нужен
  4. Зачем нужна сертификация ФСТЭК
  5. Кому и зачем нужна аттестация ФСТЭК
  6. Зачем нужна сертификация ФСТЭК и аттестация ФСТЭК
  7. Защита персональных данных при покупке сертифицированной ФСТЭК программы
  8. Разберемся с понятиями
  9. Чего же хочет закон?
  10. Что такое сертифицированная программа и какие требования по защите ПДн она выполняет?
  11. На практике сертифицированные программы имеют ряд ограничений:
  12. Как выполнить требования и не парализовать работу предприятия
  13. Алгоритм действий по приведению информационной системы в соответствие ФЗ № 152
  14. Сертифицированные средства защиты информации ФСТЭК
  15. Для чего нужна сертификация ФСТЭК?
  16. Что такое сертификация ФСТЭК?
  17. Что такое сертифицированный продукт?
  18. Как ФСТЭК производит сертификацию?
  19. Почему нужно покупать ПО сертифицированное ФСТЭК?
  20. Федеральная программа по защите персональных данных | Защита персональных данных при покупке сертифицированной ФСТЭК программы
  21. Нормативно-правовое регулирование
  22. Полномочия Роскомнадзора, ФСТЭК и обязанности компаний
  23. Мошенничество в сфере защиты персональных данных
  24. Сертифицированное программное обеспечение и иные технические и организационные меры
  25. Сертификация систем защиты персональных данных, сертификация СЗИ, аттестация и сертификат соответствия ФСТЭК
  26. Сертификация средств защиты персональных данных по 152-ФЗ
  27. Сертификат соответствия ФСТЭК
  28. Аттестация систем персональных данных
  29. Сертификация средств защиты и персональные данные
  30. Что «хочет» закон и методики
  31. Что «хотят» контролирующие органы
  32. Так что же делать

Сертификация и аттестация ФСТЭК: разбираемся, что нужно компаниям по 152-ФЗ

Защита персональных данных при покупке сертифицированной ФСТЭК программы
Закон о персональных данных нужно соблюдать всем, кто хранит и обрабатывает данные сотрудников и клиентов.

В самом законе нет технических требований к программному обеспечению и IT-системам — технические требования устанавливают приказы ФСТЭК. Расскажем, кому и зачем нужны сертификация и аттестация ФСТЭК.

Сертификат и аттестат ФСТЭК

Приказ №21 ФСТЭК России — Федеральной службы по техническому и экспортному контролю, устанавливает технические требования по защите персональных данных. Он определяет, насколько конкретные программы и IT-системы соответствуют 152-ФЗ.

Для подтверждения соответствия у ФСТЭК есть два документа: сертификат и аттестат. Давайте разберемся, чем они отличаются, когда выдаются и кому нужны.

Сертификат ФСТЭК: что это такое и для чего нужен

Возьмем компанию — разработчика программного обеспечения, и представим, что она разработала свой антивирус и хочет продавать его организациям, которые работают с персональными данными. Для этого нужно доказать, что этот антивирус безопасен и соответствует требованиям 152-ФЗ.

В России проверку на соответствие 152-ФЗ проводит ФСТЭК. Чтобы доказать безопасность нового антивируса, компании нужно получить на него сертификат ФСТЭК. Для этого нужно обратиться в представительство службы, после чего начинается долгий и сложный процесс сертификации: программу изучают, тестируют, проверяют на уязвимости и наличие недекларируемых возможностей.

Способы тестирования зависят от того, какой уровень сертификата ФСТЭК России требуется подтвердить. Так, если антивирус будут использовать в системах, где хранят биометрические данные, проверки будут более строгими. А для работы в системах с общедоступными данными, например, ФИО и профессией, требования и тесты мягче.

Зачем нужна сертификация ФСТЭК

Если антивирус пройдет проверку, компания получит на него сертификат ФСТЭК. И разработчик ПО сможет гарантировать, что его антивирус безопасен и соответствует техническим требования ФСТЭК.

Так выглядит сертификат ФСТЭК

Получается, что сертификат соответствия ФСТЭК нужно получать, если вы разрабатываете средства защиты, например антивирусные программы, межсетевые экраны и так далее. То есть он нужен только разработчикам ПО, которые хотят подтвердить безопасность своих программ и предлагать их компаниям для защиты персональных данных.

На сайте ФСТЭК есть реестр, в который включены все сертифицированные системы защиты. Любой может зайти и проверить, прошла ли программа сертификацию. Например, сертификат ФСТЭК есть у антивируса от «Лаборатории Касперского».

Кратко: Сертификация ФСТЭК — что это? Это проверка, которая показывает, насколько программа безопасна и соответствует требованиям закона о защите персональных данных. Если вы не разрабатываете программное обеспечение для защиты персональных данных, получать сертификат ФСТЭК вам не нужно. Но вам может быть нужен аттестат.

Кому и зачем нужна аттестация ФСТЭК

Сертификат соответствия по требованиям безопасности информации выдают только на сами средства защиты, например антивирусные системы.

Однако кроме средств защиты, ФСТЭК проверяет и IT-системы, в которых хранятся персональные данные: серверы и сети компаний или облачные хранилища. Такая процедура проверки называется не сертификацией, а аттестацией.

Аттестация по требованиям ФСТЭК нужна не всем компаниям. Вы можете не проходить аттестацию, если:

  • Не храните и не обрабатываете персональные данные. Например, у вас небольшой офлайн-магазин без сотрудников и базы клиентов.
  • Храните данные, требующие самого низкого, четвертого уровня защищенности. К ним относят общедоступные данные клиентов и сотрудников: ФИО, дата и место рождения, адрес проживания, номер телефона, информация о профессии. Подробнее об уровнях защищенности мы рассказывали в статье Защита персональных данных в облаке: как сделать все по закону 152-ФЗ.

Если вы храните другие персональные данные, например, биометрические — характеризующие биологические и физиологические данные человека и позволяющие по ним установить его личность, то обязаны обеспечивать уже третий уровень защищенности. И систему, в которой вы храните такие данные, нужно аттестовать в органах аттестации ФСТЭК.

Процесс аттестации немного проще, чем процесс сертификации. Для аттестации у ФСТЭК есть четкий порядок и требования, которые нужно соблюсти. Также пройти аттестацию проще, если использовать средства защиты информации с сертификатом ФСТЭК России.

Так выглядит аттестат ФСТЭК

Получается, что для работы любой компании нужен не сертификат, а аттестат ФСТЭК. А сертификаты должны быть у программного обеспечения, которое вы используете, но о сертификации должны позаботиться производители этого ПО.

У облака Mail.ru Cloud Solutions есть аттестат безопасности ФСТЭК. Это значит, что если вы храните здесь персональные данные, то соблюдаете 152-ФЗ. Кроме того, мы помогаем компаниям пройти аттестацию информационных систем и инфраструктуры, построенной на базе нашего облака.

Зачем нужна сертификация ФСТЭК и аттестация ФСТЭК

Сертификат соответствия ФСТЭК России для таких средств защиты, как антивирусные программы или межсетевые экраны, подтверждает, что это средство защиты можно использовать в системах для хранения персональных данных.

Аттестат ФСТЭК нужен компании, которая хранит персональные данные. Он подтверждает, что IT-система достаточно защищена и соответствует 152-ФЗ.

Елена Шпрингер

Источник: https://mcs.mail.ru/blog/sertifikaciya-i-attestaciya-fstek

Читать по теме:Защита персональных данных в облаке: как сделать все по закону 152-ФЗСоблюдение законов о персональных данныхКибербезопасность в B2B: как бизнесу защититься от хакеров

Источник: https://zen.yandex.ru/media/mcs/sertifikaciia-i-attestaciia-fstek-razbiraemsia-chto-nujno-kompaniiam-po-152fz-5ec82661f1bac763f41359a2

Защита персональных данных при покупке сертифицированной ФСТЭК программы

Защита персональных данных при покупке сертифицированной ФСТЭК программы

В данном материале разберем теоретическую сторону проблемы. В дальнейшем рассмотрим практические шаги по выполнению требований по защите ПДн без использования сертифицированной программы.

Разберемся с понятиями

Обработку и защиту персональных данных в информационных системах регламентирует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

Конкретные меры защиты описывает Приказ ФСТЭК РФ от 18.02.

2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Некоторые пользователи ошибочно полагают, что если программа имеет сертификат ФСТЭК, то она позволит решить все технические требования по защите персональных данных. Однако использование сертифицированной программы обработки персональных данных реализует лишь часть из множества требований, описанных в 21-м Приказе ФСТЭК.

Проблема во многом связана с тем, что пользователи объединяют понятия «программа» и «информационная система», из-за чего складывается мнение, что, защитив «программу», можно выполнить требования Закона № 152-ФЗ.

Предлагаем разобраться с понятиями, к которым закон предъявляет требования. А также попытаемся найти компромисс между требованиями закона и реалиями жизни. Ведь иногда буквальное выполнение закона может парализовать реальную деятельность организации.

Чего же хочет закон?

Для того чтобы выявить различие понятий «информационная система» и «программа», обратимся к нормативной документации.

Информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

Программа — данные, предназначенные для управления конкретными компонентами системы обработки информации в целях реализации определенного алгоритма («Обеспечение систем обработки информации программное. Термины и определения. ГОСТ 19781-90»).

Таким образом, информационная система включает в себя базы данных, компьютеры, на которых располагаются эти базы данных, а также программы, обрабатывающие эту информацию. Программа — лишь одна из составляющих всей информационной системы.

Федеральный закон № 152-ФЗ предъявляет требования в первую очередь к защите информационной системы, обрабатывающей персональные данные, а не конкретно к программе.

Обеспечьте защиту персональных данных в вашей компании

Узнать больше

Что такое сертифицированная программа и какие требования по защите ПДн она выполняет?

Сертифицированная по требованиям безопасности программа — это программа, прошедшая процедуру проверки соответствия требованиям государственных стандартов и нормативных документов по защите информации ФСТЭК России или ФСБ России, что подтверждается сертификатом соответствия.

Приказ ФСТЭК № 21 в зависимости от необходимого уровня защищенности персональных данных предъявляет различные требования к сертифицированным программам.

Так, например, для обеспечения первого уровня защищенности персональных данных применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по четвертому уровню контроля отсутствия недекларированных возможностей.

А для обеспечения третьего уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены исключительно угрозы третьего типа, требований к уровню контроля отсутствия недекларированных возможностей не предъявляется.

Немаловажным является тот факт, что, согласно 21-му Приказу ФСТЭК России, использование сертифицированных программ является лишь одной из мер по обеспечению безопасности персональных данных и реализуется лишь в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

На практике сертифицированные программы имеют ряд ограничений:

  • сертифицируются отдельные экземпляры или ограниченная партия программного обеспечения;
  • сертификат выдается только на конкретную версию/платформу программного обеспечения;
  • при переходе на новую версию программного обеспечения сертификат становится недействительным;
  • необходимо устанавливать ТОЛЬКО сертифицированные обновления, полученные из определенного источника;
  • сертификат действует не более трех лет.

Это означает, что каждое обновление, связанное с улучшением интерфейса или с внесением изменений со стороны законодательства, будет требовать сертификации. Следовательно, установить критически важное обновление будет невозможно, пока новая версия не получит всех разрешительных документов. В ситуации, когда ПФР выпускает новые формы в период текущей отчетности, это может быть весьма неудобно. Кроме того, сертифицированное решение всегда будет стоить дороже несертифицированного, так как в его стоимость включены затраты на сертификацию.

Итак, использование сертифицированных программных продуктов закрывает лишь часть технических требований по защите персональных данных.

Для выполнения всех необходимых организационных и технических мер по обеспечению безопасности персональных данных потребуется установка дополнительных средств защиты информации, разработка организационно-распорядительной, проектной и эксплуатационной документации.

Как выполнить требования и не парализовать работу предприятия

Оптимальным решением может быть выбор качественного лицензионного программного обеспечения, в котором учтены основные требования к организации обработки персональных данных в соответствии с Федеральным законом № 152-ФЗ «О персональных данных», в сочетании с применением необходимых организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе.

Алгоритм действий по приведению информационной системы в соответствие ФЗ № 152

Для приведения информационных систем в соответствие с требованиями законодательства и нормативных документов регуляторов необходимо:

  1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
  2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных.
  4. Определение требуемого уровня защищенности персональных данных обрабатываемых в информационной системе персональных данных.
  5. Разработка технического проекта на создание системы защиты персональных данных.
  6. Приобретение средств защиты персональных данных.
  7. Внедрение системы защиты персональных данных.
  8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что реализованные в рамках системы защиты персональных данных меры по обеспечению безопасности персональных данных достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Источник: https://kontur.ru/articles/1641

Сертифицированные средства защиты информации ФСТЭК

Защита персональных данных при покупке сертифицированной ФСТЭК программы

22 Ноября 2019

Вопросы защиты информации — неотъемлимая часть личной жизнью людей, но и кроме этого, имеет связь с работой, функционированием государства, бизнесов и т.д.

В современном мире, где постоянно формируется единое информационное пространство, способы защиты информации, становятся основополагающим принципом построения взаимодействия всех структур государства, начиная от госорганов и банков, заканчивая больницами и общественным транспортом.

Для чего нужна сертификация ФСТЭК?

Главной задачей любого государства, является обеспечение контроля информации, которая связана с государственной безопасностью.

По этой причине, к программным решениям, которые находятся на локальном рынке, и которые связаны с любой государственной структурой, предъявляются особые требования к ПО и они должны быть сертифицированы ФСТЭК.

Среди систем с особыми требованиями можно выделить: системы органов государственной власти, правоохранительных органов, информационные системы банкового сектора, телеком системы, системы внутренней связи правоохранительных структур, сети связи в районах без резервного канала связи, системы управления электроснабжением, общественным и воздушным транспортом, системы управления ликвидации ЧС и управление водоснабжением и т.д. Как видно, значимая часть государственных систем, требуют защиты данных. В перечисленных системах происходит обработка, обмен и хранение различной информации, которая в той или иной степени, влияет на информационную безопасность государства.

Что такое сертификация ФСТЭК?

Имея ситуацию, когда любые государственные учреждения и другие организации, регламентированные законодательством российской федерации, обязаны использовать только проверенное, сертифицированное программное обеспечение. Кто занимается сертификацией ПО? В нашей стране этим занимается Федеральная служба по техническому и экспортному контролю (ФСТЭК), Федеральная служба безопасности (ФСБ), а также Минобороны.

Сертификация ФСБ предназначена для проверки программного обеспечения, использующее криптографические алгоритмы. Сертификацию проходит программное обеспечение только с российскими алоритмами, любые другие сразу отсекаются. Требования для систем ФСБ находятся в закрытом доступе.

Сертификация ФСТЭК проверяет ПО, в котором не задействована криптографическая защита, при этом все требования находятся в публичном доступе и доступны для любого желающего на официальном сайте.

Что такое сертифицированный продукт?

В мире, все программное обеспечение, проходит международную сертификацию Common Criteria. Однако сертификация ФСТЭК, значительно отличается от общемирового стандарта. Для каждого экземпляра ПО или патча, который хочет претендовать на сертификат, проводится отдельная проверка на соответствие стандартам.

То есть любой, выпущенный патч или обновленная версия, должна проходить сертификацию снова. Лишь только после дополнительных проверок, программное обеспечение может считать сертифицированным ФСТЭК.

В свою очередь, компетентные органы, могут в любой момент проверить наличие дополнительных сертифицированных патчей и исправлений для выпущенного программно обеспечения.

Common Criteria, имеет другую систему сертификации.

Любое программное обеспечение проверяется только один раз, все последующие патчи и обновления, могут содержать вредоносный код, или алгоритмы шифрования, которые могут нести в себе угрозу для государственной безопасности. Таким образом мы имеем, что новая версия ПО, на бинарном уровне может координально отличаться от той, которая получила сертификат.

Как ФСТЭК производит сертификацию?

ФСТЭК не является испытательной лабораторией, это государственный орган исполнительной власти, который инициирует проверки. Все действия по сертификации производят официальные лицензиары, которыми являются различные экспертные организации и лаборатории.

Заказчик проверки, разработчик программного обеспечения, может сам выбрать для проверки любую сертифицированную испытательную лабораторию, однако обычно, ФСТЭК сам назначит экспертную организацию, которая будет проверять результат.

Почему нужно покупать ПО сертифицированное ФСТЭК?

В случае использования несертифицированного программного обеспечения в субъектах или государственных учреждениях и структурах, ФСТЭК может лишить проверяемую организацию, государственной лицензии на проведение своей деятельности или предоставление услуг. Кроме этого, предусмотрены огромные денежные штрафы.

Мы подобрали для Вас, самое популярное программное обеспечение, используемое в государственным учреждениях, и которое можно приобрести в нашем интернет-магазине.

Источник: https://softlist.biz/articles/sertifitsirovannye-sredstva-zashity-info-fstek/

Федеральная программа по защите персональных данных | Защита персональных данных при покупке сертифицированной ФСТЭК программы

Защита персональных данных при покупке сертифицированной ФСТЭК программы

Система защиты персональных данных, действующая в России, налагает на организации дополнительные обязанности.

Практически все из них имеют в распоряжении персональные данные сотрудников и должны применять установленные меры для их защиты.

Большинство организаций могут обойтись только минимальными предосторожностями, но многие, которые не ограничиваются только анкетными сведениями работников, вынуждены выполнять требования Роскомнадзора.

Нормативно-правовое регулирование

Федеральный закон № 152-ФЗ определяет основные понятия в области защиты персональных данных. Под ними он понимает любую информацию, которая может иметь отношение к конкретному физическому лицу. Организация получает такую информацию в следующих случаях:

  • при приеме на работу;
  • при оказании услуг – например, образовательных, медицинских, оформлении кредита;
  • в случае передачи ей этих сведений третьими лицами в установленном законом порядке.

В каждом из этих случаев данные обрабатываются при помощи компьютерных технологий и, в связи с уязвимостью систем защиты и информационных сетей, информация может быть доступна третьим лицам.

Известны случаи, когда в сеть попадали базы данных не только страховых компаний, но и Пенсионного Фонда РФ.

Все это налагает определенные обязательства на компании по установке программного обеспечения, гарантированно защищающего важные сведения, а также по другим действиям, обеспечивающим защиту информационных прав граждан. Регулирование не ограничивается только одним законом.

Такие государственные органы, как Роскомнадзор и ФСТЭК, разрабатывают собственные нормативные акты методического и регламентирующего характера. Важно, что отдельной Федеральной программы по защите персональных данных граждан пока не разработано, все органы действуют в пределах своих полномочий.

Полномочия Роскомнадзора, ФСТЭК и обязанности компаний

Применительно к операторам, обрабатывающим существенные массивы данных, закон вводит определенные требования. Одним из них становится обязанность включения компании в реестр, который ведет ФСТЭК. В дальнейшем эта организация проводит проверки соблюдения законодательства о защите персональных данных.

Одним из проверяемых факторов становится использование программного обеспечения, способного гарантировать надлежащую степень защиты, которое должно работать помимо осуществляющих общую защиту периметра информационной безопасности DLP-систем и SIEM-систем.

Класс сертификации зависит от серьезности задач, выполняемых оператором.

Кроме того, требуется:

  • разработать пакет внутренней документации, на основании которой происходит защита персональных данных. Как правило, это Политика обработки персональных данных и прилагаемые к ней документы;
  • разработать форму согласия на обработку персональных данных и обеспечить подписание ее каждым субъектом, предоставляющим свои сведения компании-оператору;
  • назначить сотрудника, ответственного за обеспечение исполнения требований закона;
  • направить уведомление в Роскомнадзор и встать на учет в реестр операторов.

В свою очередь, Роскомнадзор внесет данные предприятия в свой реестр и в установленный срок, не ранее чем через три года после внесения, будет проводить проверки правильности соблюдения законодательства об охране персональных данных.

Мошенничество в сфере защиты персональных данных

Как в большинстве случаев отсутствия исчерпывающей информации, компании и в сфере защиты персональных данных часто становятся жертвами мошенников, навязывающих услуги, приобретение которых по закону не требуется.

Для включения в реестр компании нужна разработка пакета внутренних документов, которые отражают принятые стандарты и методики защиты и обработки. Эти документы не сложны в разработке, их форматы легко найти в сети Интернет.

Тем не менее многие российские компании массово получали рассылки по электронной почте от Главного управления единого центра сертификации (такой организации среди федеральных органов не существует), в которых им угрожали административными штрафами в случае отказа от подачи документов, аргументируя это тем, что в реестр должны быть внесены все российские предприятия независимо от формы собственности. Опирались они на некую Федеральную программу по защите персональных данных. Такие мошенники навязывают услуги по подготовке положений и постановке в реестр, при этом предлагая скидку на услуги.

Заявленные им штрафы, от 50 до 300 тысяч рублей, не соответствуют суммам, указанным в КоАП для компаний, нарушивших требования Закона № 152-ФЗ. Сейчас оператору угрожают следующие меры ответственности:

  • за обработку данных, если она не соответствует закону, – до 50 тысяч;
  • за обработку данных без согласия субъекта – до 75 тысяч;
  • за отсутствие внутренней Политики – до 30 тысяч;
  • за непредоставление уведомления в Роскомнадзор или запрашиваемой им информации – до 5 тысяч (ст. 19.7 КоАП РФ).

Заявленная цифра в 300 тысяч была произвольно взята из одной из статей Уголовного кодекса, связанной с распространением информации.

Следует знать, что Федеральной программы по защите персональных данных не существует. Этим термином неправомерно воспользовалась небольшая компания, создавшая частный сайт и организовавшая электронные рассылки с целью заработать на неинформированности участников рынка.

По факту, если организация только обрабатывает данные своих работников, то, в соответствии с п. 2 ст. 22 Федерального закона № 152-ФЗ, от нее не требуется подачи уведомления о начале деятельности, связанной с обработкой персональных данных, и постановки на учет в реестре.

Также выполнение этой обязанности не потребуется, если:

  • сведения получены на основании разового договора на оказание каких-либо услуг и используются только в связи с исполнением обязательств по этому договору;
  • сведения предоставлены общественной или религиозной организации и используются ею только в связи с ее уставными целями, не передаваясь третьим лицам.

Само по себе внесение в реестр требует только захода на сайт Роскомнадзора, заполнения уведомления, распечатывания его и отправки по почте.

Более серьезные мероприятия необходимо предпринимать только организациям, от которых требуется серьезный подход к защите и более высокая ее степень, например, банкам и операторам мобильной связи.

От них потребуются дополнительные технические меры защиты, разработка документации, установка сертифицированного ПО.

Интересно, что в 2017 году были зафиксированы случаи рассылки не только требований рекламного характера, но и писем, направленных от имени Роскомнадзора с уведомлением о проведении внеплановых проверок соблюдения требований закона № 152-ФЗ. Эти письма приходили от имени одного из заместителей руководителя. Они, вне зависимости от природы их возникновения, уже были изначально незаконны, так как, исходя из требований закона:

  • плановые проверки назначаются в году, предшествующем проверке, и сведения о них размещаются в реестре на сайте Генеральной прокуратуры;
  • назначение внеплановой проверки должно быть обосновано и согласовано с органами прокуратуры.

Тем не менее эти уведомления внесли замешательство в ряды многих компаний и потребовали официальных разъяснений Роскомнадзора, которому пришлось издать письмо, поясняющее, что данные документы не исходили от ведомства.

Сертифицированное программное обеспечение и иные технические и организационные меры

Для прохождения проверок оператору, работающему с данными многих лиц, в соответствии с требованиями Федерального закона, необходимо установить ПО для их обработки.

Это может быть как отдельная программа, так и модуль CRM-системы, отвечающий за обработку кадровых данных.

ФСТЭК выдает сертификаты любому разработчику, обратившемуся к нему с заявлением при условии соответствия программы требованиям. Но существуют следующие минусы:

  • сертификат выдается только на одну версию программы, в случае ее обновления процедуру придется проходить заново;
  • документ предоставляется на ограниченное число версий;
  • расходы на сертификацию повышают стоимость ПО для потребителя.

Сертифицированные таким образом системы защиты гарантируют, что сведения не попадут третьим лицам, которые могут использовать их незаконным способом.

Если персональные данные поступают на сайт, например, при заполнении анкеты или открытии личного кабинета в интернет-магазине, там должна быть размещена электронная форма согласия на обработку персональных данных, имеющая гиперссылку на политику их охраны.

При разработке внутренней политики и документа, которым дается согласие на обработку персональных данных, необходимо обеспечить наличие в них следующих сведений:

  • полные данные об операторе;
  • цель обработки и сбора сведений, позволяющая исчерпывающе определить особенности их обработки и возможность передачи третьим лицам;
  • объем и описание требуемых сведений;
  • если есть лицо, осуществляющее обработку сведений по поручению оператора, необходимо исчерпывающе определить такое лицо;
  • действия, которые будут совершаться в отношении переданных данных;
  • способы их обработки (копирование, передача, хранение);
  • период, по истечении которого переданные данные будут уничтожены;
  • срок действия согласия, возможность его отзыва.

Утверждать документ в Роскомнадзоре не требуется, он может быть утвержден общим собранием или генеральным директором компании. Храниться он должен в бумажном виде при условии размещения электронной копии на сайте.

Несмотря на то, что Федеральной программы по защите персональных данных не существует, это не снимает с компаний ответственности за необходимость обеспечения их защиты и правильной обработки.

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/federalnaya-programma-po-zashchite-personalnyh-dannyh/

Сертификация систем защиты персональных данных, сертификация СЗИ, аттестация и сертификат соответствия ФСТЭК

Защита персональных данных при покупке сертифицированной ФСТЭК программы

Вопрос сертификации защиты персональных данных на уровне ФСТЭК и ФСБ РФ не имеет однозначного решения: контролирующие органы ориентируются во многом на собственное видение безопасности.

В целом, систему защиты информации (СЗИ) представляют как совокупность организационных мер и программно-технических средств.

Целью СЗИ является предотвращение или серьезное затруднение несанкционированного доступа.

С организационной точки зрения допускается деление деление рисков на недопустимые и допустимые – но оно условно, зависит от многих факторов: размеров компании, ее известности, способов обработки персональных данных, репутации, политики взаимодействия с клиентами. Наиболее сильным риск является для организаций, которые поддерживают сайты с персональными данными либо формами для их регистрации, проводят массированные е-mail рассылки, ведут агрессивные рекламные кампании.

Обеспечение сохранности данных для различных предприятий зависят от масштабов работы, финансовых и производственных возможностей, а также от количества сведений, нуждающихся в охране. Определение рисков и мер защиты должно базироваться на принципах достаточности и разумности.

Сертификация на соответствие защиты персональных данных представляет собой совокупность действий, нацеленных на подтверждение основных и дополнительных параметров услуг, систем или продуктов требованиям выработанных актов и стандартов.

Учитывая то, что безопасность относится к разряду социализированных областей, завязана на человеческий фактор и информационные технологии, она не может быть всеобъемлющей.

Утечка или утрата персональных данных автоматически признается виной оператора связи.

Департамент защиты персональных данных системы сертификации Росконтроля проводит мониторинг всех российских организаций, независимо от формы собственности, являющихся операторами связи, предъявляя к ним ряд требований по организации адекватной защиты.

Сертификация средств защиты персональных данных по 152-ФЗ

Российские требования предусматривают необходимость проверки встроенных в программные продукты средств защиты информации, организацию различных технических и организационно-распорядительных мероприятий по обеспечению безопасности. Федеральный закон дает определение, какая информация попадает под определение персональных данных, назначает ответственных по их защите, проведению классификации.

Все юридические лица и индивидуальные предприниматели, обрабатывающие персональные данные в процессе деятельности, обязаны пройти сертификацию по 152-ФЗ по трем этапам:

  1. Подготовить уникальный портфель документов, включающий акты, приказы, инструкции и т.д.
  2. Опубликовать документ – политику, с описанием способов работы с персональных данных.
  3. Подать уведомление в Роскомнадзор.

Все программное обеспечение, осуществляющее защиту ПД, обязательно к согласованию и сертификации на уровнях главных регуляторов – Федеральной службы безопасности и Федеральной службы по техническому и экспортному контролю.

Порядок работ по методике, утвержденной ФСТЭК, выглядит так:

  1. Проводится обследование информационной системы персональных данных (ИСПДн).
  2. Проектируется система защиты.
  3. Внедряется система, защищающая информацию.
  4. Оценивается эффективность всех предпринятых шагов, по результатам которых принимается решение о соответствии.

Стоимость сертификации в соответствии с 152-ФЗ складывается из:

  1. Наличия подключения к сети Интернет.
  2. Количества компьютеров.
  3. Наличия сервера или общей сети.
  4. Техподдержки.
  5. Юридического сопровождения.

Работы по сертификации выделяются в отдельный проект с отдельным бюджетом. Необходимая «золотая середина» средств защиты рассчитывается после предпроектного обследования и написания техпроекта. Для клиентов существуют готовые типовые решения, оптимизированные под разного рода потребности, и не требующие значительных финансовых затрат.

Сертификат соответствия ФСТЭК

Система сертификации персональных данных ФСТЭК России отвечает за некриптографическую защиту информации, препятствуя несанкционированному доступу к ней или «слитию» ее по техническим каналам связи.

Служба организует сертификацию и контролирует «верхний уровень». Все остальные работы ложатся на лицензиаров в лице лабораторий-испытателей ПО и экспертных организаций.

Клиент самостоятельно выбирает лабораторию, а ФСТЭК создает экспертную комиссию.

Процесс сертификации программ обработки персональных данных ФСТЭК осуществляется сходных образом, с привлечением института заявителей.

Взаимодействуя с лабораториями и экспертами, они сравнивают продаваемые версии продукта с сертифицированным образцом-эталоном.

В среднем время аттестации ИСПДн занимает от полугода или больше, все зависит от ее уровня и категорийности – чем выше степень, тем больше требований к безопасности предъявляется.

Сертификация программных продуктов в соответствии с законом «О персональных данных» ставит своей целью контроль над информацией, обеспечивающей национальную безопасность. Поэтому все программное обеспечение, поставляемое на рынок и используемое в построении ключевых зон информационной структуры, должно соответствовать жестким требованиям.

Уже готовые сертификаты для работы с персональными данными имеют семейство операционных систем Linux, сетевое оборудование от IT-корпорации Cisco, реляционная СУБД Sybase ASE, продукция 1С.

Аттестация систем персональных данных

Проведение аттестации информационных систем персональных данных – дорогое удовольствие, поэтому часть операторов ПДн старается всеми силами избежать этой процедуры.

Она является обязательной для государственных ИСПДн, накладывая на операторов ряд обязательств. Для негосударственных предприятий аттестат требуется в случае подтверждения должного уровня защиты, поэтому процедура может проходит в добровольном порядке.

Соответствующая документация получается в территориальном отделении ФСТЭКа.

Процедура производится лицензированными на проведение технической защиты организациями. Аттестационная комиссия состоит из специалистов информационной безопасности и экспертов.

В ее задачу входит проведение оценки соответствия всех мер, технических и организационных, с последующими испытаниями всех программных и технических средств, направленных на защиту ПДн. По результатам оценки выдается либо аттестат, либо предписание с перечнем обязательных к устранению недостатков.

В целях экономии времени и средств, подготовку к аттестации лучше доверить имеющим опыт аналогичной работы организациям.

Аттестация многоэтапна и требует строжайшего документирования, при этом ее методология одинакова как для компьютера, так и для рабочих места по защите персональных данных. Зато по факту получается полноценная система защиты информации. Следование алгоритму сертификации, все операторы ПДн принимают участие в выработке максимальной защиты ИС.

После введения системы защиты в эксплуатацию, не стоит забывать об изменчивости технологий. Спустя некоторое время могут возникнуть новые угрозы и риски, поэтому для поддержания работоспособности и защищенности информации рекомендуется устраивать аудит информационной безопасности ежегодно.

Источник: https://integrus.ru/blog/it-decisions/sertifikatsiya-sistem-zashhity-personalnyh-dannyh.html

Сертификация средств защиты и персональные данные

Защита персональных данных при покупке сертифицированной ФСТЭК программы

Сертификация средств защиты информации вызывала, вызывает и будет вызывать огромное количество вопросов у IT-люда. И к сожалению не только у него: сами «законотворцы» и «методикоделы» не всегда толком могут ответить на вопрос о сертификации. Тут можно выделить пожалуй два подвопроса: 1.

Что «хотят» контролирующие органы (ФСТЭК, ФСБ, Роскомнадзор) — далее «КО»; 2. А что «хочет» закон и методики.

Частично написано в ответ на Защита информации и сертификация.

Если нет разницы — зачем платить больше?, где, считаю, не совсем корректно представлено текущее положение дел… хотя взгляд на него излагаю из личного опыта общения с КО, сертифицирующими органами, клиентами и опытом внедрения систем защиты.

Не стоит воспринимать эту статью как научный труд о законодательстве в области защиты перс. данных. Скорее как краткое эссе на указанную тему.

Что «хочет» закон и методики

До выхода Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» ситуация была примерно следующая:

Сертификация являлась единственной реально выполнимой формой оценки соответствия средств защиты информации.

Были другие методы, но с ними было всё веселее: отсутствовали технические регламенты по оценке соответствия для конкретных типов средств защиты. Требования были, а руководств по оценке не было. А для государства всё просто: нет процедуры проверки (то есть не описано, какие конкретно процессы являются проверочными для выполнения требования), значит, не существует проверки. Возможно, можно было бы самостоятельно написать «Программу и методику оценки соответствия», согласовать ее с ФСТЭК или сертифицирующим органом (что очень вряд ли) и написать «Протокол…». Но данный вопрос не исследовал, потому что в большинстве случаев это было слишком трудоемко и не окупалось. Легче было купить сертифицированный продукт или уйти от угрозы в «Модели угроз…». Это выглядело бы довольно просто с технической точки зрения, если бы требовалось обеспечить СЗИ 5 класс защищенности СВТ, что в большинстве случаев было достаточно (что при беглом взгляде является тестированием функций авторизации продукта как blackbox-системы), но, например, если продукт был в системе класса К1, то еще требовалось обеспечить контроль НДВ (отсутствие недекларированных возможностей). А контроль НДВ 4 уровня по сути представляет из себя отсутствие избыточности кода, которое надо подтвердить опять же сертифицированными средствами навроде АК-ВС или Аист, которые стоят в несколько сотен тысяч рублей. Да, можно было бы сделать это вручную, но когда у вас имеется продукт с закрытым кодом? Или продукт настолько сложен, что вручную эта работа займет огромное количество времени? И опять же вопрос согласования » Программы и методики…». И открою маленький секрет: в настоящее время и для сертификационных лабораторий не существует методик и регламентов по оценке, и многие лаборатории создают их по мере опыта. И опыт больше сводится к тому, утвердят ли методику в органе по сертификации, а не к качеству оценки защитных функций. С выходом же Постановления № 1119 ситуация немного изменилась. В пункте 12 указано:Для обеспечения… уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:…
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Озвучу своё виденье: теперь сертифицированные СЗИ требуются для закрытия актуальных угроз, соответственно, в ваших руках грамотно составить «Модель угроз…», сведя к минимуму использование данных СЗИ. Остались меры, указанные в Приложении к Положению. Но нет указания ни в постановлении, ни в других нормативных документах на использование СЗИ для реализации требуемых мер. Также, теперь скромно указано «оценка соответствия», а не «сертификация». Но этот момент я рассмотрел выше: да, это не обязательно сертификация «де-юре», но сертификация «де-факто». И почему это так и нужно воспринимать, ниже.

Что «хотят» контролирующие органы

Думаю, тут стоит отметить два момента:

1. В первую очередь стоит отметить, что КО зачастую имеют свой замысловатый взгляд на то, что написано в законе. При этом комментировать свой подход они не сильно собираются.

Достаточно вспомнить «обсуждение» Постановления 1119, к которому КО всех пригласили, но никого не послушали и никому ничего не прокомментировали. Тут два предположения: либо они просто не поняли, что им сказали, либо «обсуждение» затевалось для галочки.

Мое мнение: всего по чуть-чуть.

Наша организация тоже несколько раз пыталась получить комментарии по некоторым пунктам, которые мы, как интеграторы, должны выполнять, но в ответ лишь было: «А не наше это дело — комментировать, что мы придумали» (как в шутке — «сама придумала, сама обиделась»).

Показательным было уведомление на официальном сайте ФСТЭК (полный текст здесь):

Одновременно сообщаем, что ФСТЭК России не наделена полномочиями по разъяснению Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, в том числе в части определения типов угроз персональных данных и порядка определения уровней защищенности персональных данных. 2. В связи с пунктом 1 при проверке все карты будут на руках у ФСТЭК (при проверке ФСТЭК). Усугубляется всё еще тем, что в каждом федеральном округе свои ФСТЭК, Роскомнадзор, ФСБ и почему-то точки зрения в связи с этим у них свои и могут кардинально отличаться от соседнего ФО.

Так что же делать

1. Попытайтесь минимизировать перечень актуальных угроз, тут благо вас никто особо не ограничивает. Приведите разумные аргументы, пропишите их в «Модели угроз…». Но наглеть тоже не стоит. 2. Исходя из Модели определитесь с перечнем СЗИ.

Нужно учитывать, что для закрытия угрозы, не обязательно требуется сертифицировать всё ПО, необходимо сертифицировать механизм защиты: если у вас реализован вход в ПО обработки с использованием NTLM-аутентификации (Kerberos) и всё разграничение прав идет на уровне домена, сертифицируйте механизмы домена, а не само ПО (если не требуется НДВ), каким-нибудь Secret Net, Dallas Lock, пакетом сертификации Windows. В связи с этим решать читателю: «встать в позу» или с минимумом рисков и затрат достичь цели.

К счастью, стоит отметить, что большинство самых используемых продуктов прошли сертификацию и не весь рынок представляет из себя студенческие российские поделки. Если будет интерес, то могу написать небольшой обзор средств защиты для минимального ущерба работоспособности.

  • 152-фз
  • персональные данные
  • сертификация сзи по тзи

Хабы:

  • Информационная безопасность
  • 6 ноября 2013 в 17:39
  • 29 сентября 2013 в 22:42
  • 25 августа 2011 в 21:37

Источник: https://habr.com/ru/post/201058/

Pravo-consut
Добавить комментарий