Вы на портале
Персональные данные

Аттестация информационных систем, обрабатывающих персональные данные

Для обеспечения защиты персональных данных все операторы должны принять правовые, организационные и технические меры. Если с правовыми (разработка положений, форм документов и пр.) и организационными (установление порядка предоставления допуска к персональным данным, назначение ответственного сотрудника, обеспечение обучения и пр.) мерами разобраться проще, то обеспечение технической защиты персональных данных ввиду множества специальных терминов представляет определенную сложность.

Законодательство устанавливает требование об аттестации систем защиты информации информационных систем, в которых обрабатываются персональные данные. При этом процесс аттестации является технически сложным и требует постоянного и тесного взаимодействия специалиста по информационной безопасности с юристом на всех этапах разработки большого количества локальных правовых актов.

Жавнерчик Владислав
Жавнерчик Владислав

Ведущий юрисконсульт hoster.by, ООО «Надежные программы»

5606 Shape 1 copy 6Created with Avocode.

Содержание:


В соответствии с ч. 4 ст. 28 Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации» (далее — Закон об информации) персональные данные должны обрабатываться в информационных системах с применением системы защиты информации. При этом система защиты информации должна быть аттестована в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь (далее — ОАЦ), то есть соответствовать требованиям Положения о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, утвержденного приказом ОАЦ от 20.02.2020 № 66 (далее — Положение о порядке аттестации).

Справочно.
Персональные данные относятся к информации, распространение и (или) предоставление которой ограничено (ст. 17 Закона об информации).

Определение необходимости аттестации информационной системы

Согласно определению, закрепленному в абз. 14 ст. 1 Закона об информации, информационная система (далее — ИС) представляет собой совокупность банков данных, информационных технологий и комплекса (комплексов) программно-технических средств. Из этого следует, что понятие «информационная система» довольно широкое. Для определения необходимости аттестации ИС ключевым является то, обрабатываются ли персональные данные и при помощи каких программно-аппаратных средств, после чего устанавливается область аттестации.

Пример.
Есть серверная, где установлена 1С. В таком случае формируется система защиты информации для конкретной машины (комплекса) с 1С, и аттестации подлежит такая машина (комплекс). 

Справочно.
Кроме 1С примерами программного обеспечения, которое обрабатывает персональные данные и требует защиты информации, являются CRM-системы, биллинговые системы, программное обеспечение, касающееся работы систем учета складских запасов, и т.д. ИС также являются любые сайты.

Главным фактором при принятии решения о проведении аттестации ИС должен служить факт осуществления обработки персональных данных в такой системе. 

Таким образом, любая ИС, которая работает в сети Интернет и обрабатывает персональные данные пользователей, должна соответствовать ряду требований по защите персональных данных, что обеспечивается наличием аттестованной системы защиты информации. При этом аттестат соответствия является обязательным условием для возможности осуществления обработки персональных данных в течение срока, установленного в аттестате (п. 7 Положения о порядке аттестации). 

Справочно.
Требования по аттестации систем защиты информации распространяются именно на ИС, а не на субъектов. Таким образом, неважно, кто взаимодействует с ИС (оператор/пользователь или собственник/владелец, организация или физическое лицо), главное, чтобы система защиты информации ИС, в которой обрабатываются персональные данные, была аттестована.

Порядок аттестации системы защиты информации в ИС

Процессу аттестации системы защиты информации ИС предшествует комплекс мероприятий по технической и криптографической защите информации, подлежащей обработке в ИС. Так, перед аттестацией должны быть осуществлены следующие мероприятия (п. 3 Положения о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, утвержденного приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 20.02.2020 № 66, далее — Положение о порядке защиты информации):

  • проектирование системы защиты информации;
  • создание системы защиты информации.

Справочно.
Собственники (владельцы) ИС должны обеспечить не менее 1 раза в 3 года обучение в Национальном центре защиты персональных данных своих работников, ответственных за информационную безопасность (подп. 3.2 п. 3 Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных»).

МероприятияИтоговые документы
1. Проектирование системы защиты информации ИС
Включает:
• анализ структуры ИС и информационных потоков (внутренних и внешних) в целях определения состава (количества) и мест размещения объектов ИС (аппаратных и программных), ее физических и логических границ;
• разработку технического задания на создание системы защиты информации;
• разработку общей схемы системы защиты информации;
• разработку проекта (внесение изменений в действующую) политики информационной безопасности
1. Отчет по результатам аудита ИС.
2. Политика информационной безопасности организации (изменения в нее).
3. Техническое задание на создание системы защиты информации.
4. Спецификация средств защиты информации.
5. Общая схема средств защиты информации
2. Создание системы защиты информации ИС
Включает разработку следующих документов на систему защиты информации:
• описание способов разграничения доступа пользователей к объектам ИС;
• порядок использования электронной почты;
• порядок использования съемных носителей информации (флеш-карт и пр.);
• порядок резервирования и уничтожения информации;
• порядок защиты от вредоносного программного обеспечения;
• порядок обновления средств защиты информации;
• порядок контроля (мониторинга) за функционированием ИС и системы защиты информации;
• порядок реагирования на события информационной безопасности и ликвидации их последствий;
• порядок управления криптографическими ключами, в том числе требования по их генерации, распределению, хранению, доступу к ним и их уничтожению
1. Перечень разработанных документов на систему защиты информации, а также сами документы.
2. Журнал опытной эксплуатации.
3. Акт о завершении опытной эксплуатации
3. Аттестация системы защиты информации ИС
Включает:
• разработку программы и методики аттестации;
• установление соответствия реального состава и структуры объектов ИС общей схеме системы защиты информации;
• проверку правильности отнесения ИС к классу типовых ИС, выбора и применения средств защиты информации;
• анализ разработанных документов на систему защиты информации на предмет их соответствия требованиям законодательства;
• обязательное ознакомление с документами о распределении функций персонала по организации и обеспечению защиты информации;
• испытание системы защиты информации ИС на предмет выполнения установленных законодательством требований по защите информации;
• внешнюю и внутреннюю проверку на отсутствие либо невозможность использования нарушителем свойств программных, программно-аппаратных и аппаратных средств, которые могут быть случайно активированы или умышленно использованы для нарушения информационной безопасности системы и сведения о которых подтверждены разработчиками этих объектов ИС;
• оформление технического отчета и протокола испытаний;
• оформление аттестата соответствия
1. Программа аттестации системы защиты информации ИС.
2. Методика аттестации системы защиты информации ИС.
3. Технический отчет.
4. Отчет по сканированию ИС.
5. Протокол испытаний.
6. Аттестат соответствия системы защиты информации ИС требованиям по защите информации


Этап аттестации системы защиты информации ИС предусматривает комплексную оценку системы в реальных условиях эксплуатации. Обращаем внимание, что аттестация системы защиты информации осуществляется до ввода в эксплуатацию ИС (п. 6 Положения о порядке аттестации).

Работы по проектированию, созданию и аттестации системы защиты информации ИС могут выполняться (п. 3 Положения о порядке аттестации, п. 4 Положения о порядке защиты информации):

  • подразделением защиты информации или иным подразделением (должностным лицом) собственника (владельца) ИС, который отвечает за защиту информации;
  • специализированными организациями, то есть организациями со специальными разрешениями (лицензиями) на деятельность по технической и (или) криптографической защите информации. 

Справочно.
Со списком организаций, имеющих специальные разрешения (лицензии), можно ознакомиться на сайте ОАЦ по ссылке.

Общий срок аттестации при ее проведении специализированной организацией не может превышать 180 календарных дней. При проведении аттестации собственником (владельцем) ИС ее срок определяется самостоятельно руководителем собственника (владельца) ИС (п. 11 Положения о порядке аттестации). 

Следует отметить, что собственнику (владельцу) ИС требуется обеспечить систему защиты информации сертифицированными на территории 

Республики Беларусь средствами защиты информации, включая межсетевое экранирование и антивирусную защиту, а также наладить работу специализированных сетевых коммутаторов, обеспечить средства канального шифрования и др. 

Упростить процесс обеспечения защиты информации для собственника (владельца) ИС можно путем размещения ИС у хостинг-провайдера в аттестованном защищенном контуре. В соответствии с ч. 4 п. 9 Положения о порядке аттестации специализированные организации, которые выступают в качестве хостинг-провайдеров, могут предоставлять услуги хостинга на базе собственной ИС и проводить мероприятия по аттестации в сокращенном формате. Такое решение уменьшает сроки аттестации и сокращает дополнительные издержки.


Дополнительно по теме:
>>Поторская А., Опимах О. Согласие как основание для обработки данных: проблемные вопросы
>>Городник М. Обработка персональных данных при видеонаблюдении
>>Самосейко В. Разрабатываем документы по защите персональных данных в организации
>>Самосейко В. Удаление персональных данных: алгоритм действий

5606 Shape 1 copy 6Created with Avocode.
Последнее
по теме