Аттестация ИСПДн, ЦОД

Оценку эффективности принятых организационных и технических мер можно добровольно провести в форме аттестации.

Аттестация системы защиты персональных данных – это комплекс организационно-технических мероприятий, который призван оценить эффективность принимаемых мер защиты и их соответствие требованиям нормативных документов Российской Федерации в области защиты ПДн.

Аттестация организуется Заказчиком или оператором персональных данных и включает проведение аттестационных испытаний в составе организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации информационной системы (или центра обработки данных) требованиям по информационной безопасности.

Аттестацию СЗПДн необходимо проводить после реализации необходимых организационных и технических мер по защите ПДн.

Перед началом оказания услуг наши эксперты составляют документ «Программа и методики оценки аттестационных испытаний», в котором описываются цели и задачи оценки, а также основные инструменты и методики, с помощью которых будет проводиться данное мероприятие.

В рамках аттестации оцениваются:

• предоставленная документация по защите персональных данных, ее достаточность и соответствие действующим нормативным документам по защите персональных данных;
• наличие всех необходимых установленных и корректно настроенных средств защиты информации на всех элементах ИСПДн;
• наличие лиц, ответственных за защиту персональных данных, а также навыки и знания этих лиц в сфере защиты ПДн;
• эффективность защитных мер в ИСПДн;
• осведомленность пользователей ИСПДн в вопросах информационной безопасности.

По итогам аттестационных испытаний разрабатываются следующие документы:

• протокол аттестационных испытаний;
• заключение о соответствии ИСПДн требованиям о защите ПДн;
• аттестат соответствия (при наличии положительного результата проводимых аттестационных испытаний).

Важно понимать, что если предварительные работы по приведению в соответствие требованиям информационной безопасности не выполнены, то аттестация может завершиться «отрицательным» заключением и выдачей рекомендаций по их устранению (для приведения в соответствие).

Для проведения аттестации системы защиты информации на соответствие требованиям ИБ необходимо привлекать организацию, имеющую лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации.