Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Атестация компьютера для работы с персональными данными». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Какова роль вступивших в силу 29 марта поправок в закон в арбитраже и в каком направлении будет развиваться система третейского разбирательства дальше, читайте в интервью с вице-президентом ТПП РФ.
В соответствии с пунктом 10 ст.3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» — информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Кроме того, вместо аудита оператор может провести аттестацию своей ИСПДн добровольно, с тем чтобы иметь гарантированный документ для проверяющих органов.
Содержание:
№ 9. аттестация информационных систем персональных данных
В случае, если при создании Модели угроз безопасности персональных данных утечка информации за счет побочных электромагнитных излучений и наводок (ПЭМИН) дополнительно проводятся аттестационные испытания автоматизированной системы от утечки за счет ПЭМИН. Планировка служебных помещений в соответствии с технологией выполняемой в них работы, обеспечивающая наиболее эффективное использование рабочих площадей. Для отдела кадров должны быть выделены три смежных помещения: комната для работников отдела кадров, кабинет начальника отдела кадров, помещение, в котором размещаются шкафы, сейфы для документов, дел, картотек. Для ожидающих приема посетителей необходимо иметь дополнительное помещение за пределами основных помещений отдела кадров. Служебные помещения, отведенные для выполнения операций по подготовке и обработке документированной информации, должны планироваться с целью обеспечения их достаточным естественным и (или) искусственным освещением. За работником отдела кадров закрепляется постоянное рабочее место.
Данная статья посвящена описанию методики проведения аттестации ИС по требованиям защиты ПДн, позволяющей определить порядок выполнения требований законодательства и обеспечения безопасности ПДн, получить профессиональную поддержку со стороны квалифицированных специалистов и своевременно обеспечить выполнение установленных законом требований. Понятие «персональные данные» установлено п. 1 ст. 3 федерального закона «О персональных данных» № 152 от 27.07.2006, в соответствии с которым таковыми признается любая относящаяся к физическому лицу информация, на основании которой это лицо может быть определено.
Атестация компьютера для работы с персональными данными
Ваш голос важен в дискуссии по банкротству юр. лиц. Лекторы: В. В. Витрянский, В. В. Бациев, Е. Д. Суворов, О. Р. Зайцев, А. В. Юхнин. Применение простейших методов защиты персональных данных, как и любой конфиденциальной информации, как правило, дает значительный эффект.
Приказом ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» устанавливается соответствие между уровнем защищенности и мерами по обеспечению информационной безопасности.
Если по отношению к Вашему объекту информатизации процедура обязательной аттестации не установлена, Вы можете заказать добровольную аттестацию (рекомендуется в т.ч. для информационных систем персональных данных) в целях:
- независимой оценки сторонней организацией степени защищённости средств и систем, обрабатывающих конфиденциальную информацию;
- установления соответствия системы защиты информации объекта информатизации требованиям безопасности информации, установленным национальными стандартами, а также владельцем информации или объекта информатизации;
- официального подтверждения эффективности системы защиты информации, реализованной на объекте информатизации.
Какие документы нужно готовить? Требуется ли ставить российское сертифицированное оборудование и т.п. То есть, интересуют отличия 1 и 3 категории в плане аттестации. Нужна ли вообще аттестация для 3 категории?
Требование по проведению аттестации ИСПДн в настоящий момент в действующем законодательстве явно нигде не прописано. ФСТЭК и ФСБ уполномочены проводить мероприятия по контролю/надзору за выполнением требований по технической защите персональных данных. Поэтому проект защиты ПДн разумно завершить неким «аудиторским заключением» о достаточности принятых мер.
Согласно положениям ст. 7 ФЗ № 152, работодатель обязан обеспечить защиту конфиденциальности используемых им ПД работника. За невыполнение требований законодателя оператор ПД может быть привлечен к административной и даже уголовной ответственности, а деятельность организации — приостановлена на основании требования Роскомнадзора.
Рациональная и эффективная организация рабочих мест сотрудников отдела кадров, обрабатывающих персональные данные работников предприятия, включает в себя ряд требований. Сертификация ФСТЭК России необходима для проведения успешных аттестаций информационных систем, особенно в случае применения ими систем обработки персональных данных. Пакет документов включает специальный знак соответствия ФСТЭК с уникальным номером, идентифицирующим данный экземпляр в системе государственного учета сертифицированных продуктов. В комплект поставки входит специальная документация для настройки и контроля сертифицированных параметров данного программного обеспечения.
Как выполнить требования федерального закона № 152-фз «о персональных данных»
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Специальные информационные системы — информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
Для обеспечения безопасности ст. 19 ФЗ № 152 вменяет оператору ПД обязанность по внедрению в практическую деятельность определенных организационных и технических мероприятий, позволяющих защитить используемые ПД от неправомерного доступа к ним третьих лиц, несанкционированного копирования, распространения, уничтожения, изменения и иных подобных действий.
СЗПД для защиты от угроз конфиденциальности, целостности и доступности, применяемое в ИСПД 1 класса, подлежит сертификации на отсутствие недекларированных возможностей согласно п.2.12 Приказа ФСТЭК России №58.
На практике выходит, что типовых ИС практически нет, поскольку в большинстве случаев помимо конфиденциальности необходимо обеспечить также целостность и доступность информации.
Требования к защите персональных данных представляют собой перечень законодательно определенных характеристик, которым должна соответствовать система обеспечения безопасности информации о сотрудниках, хранящейся на предприятии.
Поясню вопрос: если удалить ПД, которые можно отнеси к медицинским, насколько проще и в конечном итоге дешевле процесс аттестации?
Аттестация компьютера для работы с персональными данными
Такие данные хранятся в любой организации, выступающей в качестве работодателя, т. к. еще на стадии трудоустройства каждый работник представляет пакет документации, содержащей сведения, позволяющие его идентифицировать. Работодатель в этом случае получает статус оператора ПД, под которым, в соответствии с п. 2 ст. 3 ФЗ № 152, понимается юридическое лицо, которое организует и осуществляет обработку таких данных, определяет цели такой обработки, состав обрабатываемых данных и перечень осуществляемых над ними операций.
Однако самостоятельно проведенный аудит не дает гарантии того, что у проверяющих органов не возникнет вопросов. Преимущество аттестации в том, что аттестат, выданный организацией-лицензиатом ФСТЭК и ФСБ, дает гарантию соответствия требованиям по защите ПДн.
Порядок сертификации устанавливается уполномоченными органами, которыми в случае защиты ПД являются ФСТЭК и ФСБ России. Сертификации подлежат системы, продукты и услуги защиты информации от НСД. В рамках систем обязательной сертификации организации должны сертифицировать средства и продукты.
На основании полученных данных составляется Программа и методика аттестационных испытаний, которая согласуется с руководством организации. Непосредственно аттестационные испытания включают в себя:
- проверка технологического процесса обработки и хранения информации и нейтрализации угроз безопасности;
- аттестационные испытания рабочих станций и серверов на соответствие требованиям по защите от несанкционированного доступа;
- аттестационные испытания антивирусной защиты;
- аттестационные испытания межсетевого экрана (при наличии подключения к сетям общего пользования).
Этапы создания и последующей аттестации ИСПДн
На основании заключения испытательной лаборатории орган сертификации делает заключение и отправляет его в Федеральный орган по сертификации. После присвоения сертификату регистрационного номера, его получает заявитель.
Словарь кадрового делопроизводства. Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством РФ и федеральными органами по сертификации в пределах их компетенции. Каждый экземпляр сертифицированного продукта обладает пакетом документов государственного образца, подтверждающим факт сертификации.
Данное требование обусловлено тем, что большинство современных атак использует уязвимости в программном обеспечении системы. Основной метод нахождения уязвимостей в программе – детальное изучение программного кода. Данное требование может привести к выводу из эксплуатации в ИСПД зарубежных средств защиты информации, так как для сертификации необходимо предоставить код в открытом виде.
Аттестация информационных систем
Согласно пункту 17 Приказа ФСТЭК России от 11.02.2013 N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», документом подтверждающим соответствие информационной системы оператора требованиям о защите информации является аттестат соответствия. Аттестация информационной системы организуется обладателем информации (заказчиком) или оператором и включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации информационной системы требованиям законодательства.
Работодатель обязан осознавать, что деятельность отдела кадров неразрывно связана с обработкой значительных объемов персональных сведений, отражающих профессиональные, деловые и личные качества сотрудников, соответственно, функционирование кадрового подразделения должно быть подчинено решению задач обеспечения безопасности персональных сведений в соответствии с требованиями законодательства, поэтому важным положением в организации работы с персональными данными работников должна занимать правильная организация рабочих мест персонала, обрабатывающего персональные данные сотрудников.
Легитимность аттестации можно обосновать тем, что в настоящий момент не установлен технический регламент по защите информации ограниченного доступа, что позволяет руководствоваться п. 2. ст. 46 закона № 184-ФЗ «О техническом регулировании»: «До дня вступления в силу соответствующих технических регламентов обязательная оценка соответствия осуществляется в соответствии с правилами и процедурами, установленными нормативными правовыми актами РФ и нормативными документами федеральных органов исполнительной власти, принятыми до дня вступления в силу настоящего Федерального закона». А процедуры аттестации и сертификации как раз и являются такими «нормативными правилами и процедурами».
Лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Структурное подразделение Росреестра, реализующее полномочия владения, пользования и распоряжения информацией в соответствии со своими функциями и задачами.