Аттестация испдн и испдн

Аттестация испдн – необходимое требование для коммерческих предприятий и государственных учреждений. Личная информация, в виду распространившихся утечек и несанкционированного распространения, нуждается в серьезной защите персональных данных. Согласно закону «О персональных данных», физическое лицо или организация, являющее оператором, в обязательном порядке должны провести аттестацию ИСПДн – информационной системы обработки персональных данных.

В зависимости от класса системы, требуется сертификация либо декларирование соответствия требованиям по защите персональных данных. Для операторов 1 и 2 классов получение сертификата ФСТЭК является обязательной процедурой. Аттестация может проводиться только организацией, которая имеет лицензию на оценку технической защиты персональных данных. Процедура включает в себя несколько этапов:

  • Анализ и аудит информационной системы (ИС);
  • Анализ соответствия мер безопасности предъявляемым требованиям;
  • Экспертное изучение ИСПДн;
  • Составление заключения по итогам аттестации.

Финансовые расходы, связанные с аттестаций, оплачивает оператор в рамках мероприятий по созданию информационной системы. Аттестация испдн включает в себя разработку моделей угроз, служебной документации по обеспечению мер безопасности, определение класса ИС и порядка доступа к ИСПДн.

Аттестация испдн может проводиться по следующим направлениям:

  • Предотвращение утечки, утраты, хищения, искажения и подделки ПДн в результате несанкционированного доступа и других незаконных действий;
  • Защита информации от утечки по техническим каналам при ее хранении, обработке и передаче.

Наличие Аттестации соответствия на объекте информатизации дает оператору право на обработку персональных данных. Этим документом подтверждается соответствие объекта требованиям стандартов безопасности на период, указанный в аттестации.