Аттестация ИСПДн, ЦОД
Оценку эффективности принятых организационных и технических мер можно добровольно провести в форме аттестации.
Аттестация системы защиты персональных данных – это комплекс организационно-технических мероприятий, который призван оценить эффективность принимаемых мер защиты и их соответствие требованиям нормативных документов Российской Федерации в области защиты ПДн.
Аттестация организуется Заказчиком или оператором персональных данных и включает проведение аттестационных испытаний в составе организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации информационной системы (или центра обработки данных) требованиям по информационной безопасности.
Аттестацию СЗПДн необходимо проводить после реализации необходимых организационных и технических мер по защите ПДн.
Перед началом оказания услуг наши эксперты составляют документ «Программа и методики оценки аттестационных испытаний», в котором описываются цели и задачи оценки, а также основные инструменты и методики, с помощью которых будет проводиться данное мероприятие.
В рамках аттестации оцениваются:
- предоставленная документация по защите персональных данных, ее достаточность и соответствие действующим нормативным документам по защите персональных данных;
- наличие всех необходимых установленных и корректно настроенных средств защиты информации на всех элементах ИСПДн;
- наличие лиц, ответственных за защиту персональных данных, а также навыки и знания этих лиц в сфере защиты ПДн;
- эффективность защитных мер в ИСПДн;
- осведомленность пользователей ИСПДн в вопросах информационной безопасности.
По итогам аттестационных испытаний разрабатываются следующие документы:
- протокол аттестационных испытаний;
- заключение о соответствии ИСПДн требованиям о защите ПДн;
- аттестат соответствия (при наличии положительного результата проводимых аттестационных испытаний).
Важно понимать, что если предварительные работы по приведению в соответствие требованиям информационной безопасности не выполнены, то аттестация может завершиться «отрицательным» заключением и выдачей рекомендаций по их устранению (для приведения в соответствие).
Для проведения аттестации системы защиты информации на соответствие требованиям ИБ необходимо привлекать организацию, имеющую лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации.