Гладиаторы - меню
Напишите нам
info@glabit.ru
Гладиаторы - меню
Напишите нам
info@glabit.ru
Главная
Решения
Аттестация системы защиты персональных данных

Аттестация системы защиты персональных данных

Любая организация, которая обрабатывает персональные данные клиентов, сотрудников или партнеров, обязана обеспечивать их защиту в соответствии с требованиями законодательства Российской Федерации. Основным нормативным документом является Федеральный закон №152-ФЗ «О персональных данных».

Чтобы подтвердить, что информационная система соответствует установленным требованиям безопасности, проводится аттестация системы защиты персональных данных. По итогам процедуры организация получает аттестат соответствия требованиям безопасности информации, который подтверждает, что система защиты построена правильно и соответствует нормативным требованиям. Также это хорошая гарантия для случая проверки или предъявления претензий (даже утечки данных) - аттестованная система подтверждает выполнения всех необходимых требований по безопасности.

Аттестация по 152 ФЗ — это комплексная проверка информационной системы и средств защиты информации, позволяющая убедиться, что персональные данные обрабатываются и хранятся безопасно.

Компания «Гладиаторы информационной безопасности» выступает как экспертный центр по защите персональных данных и помогает организациям пройти все этапы аттестации — от подготовки документации до получения официального аттестата.
Заказать услугу Бесплатная консультация
Когда и кому требуется аттестация
Аттестация системы защиты персональных данных не всегда необходима, но в некоторых ситуациях она является обязательной. Например, коммерческим организациям в большинстве случаев аттестация ИСПДн не обязательна, но в любом случае по 152‑ФЗ оператор обязан обеспечить безопасность ПДн и подтвердить её оценкой соответствия, но напрямую закон не требует именно аттестации ИСПДн.

Приказ ФСТЭК № 21 предусматривает, что оператор сам выбирает форму оценки соответствия: аттестация, приёмо‑сдаточные испытания, испытания системы защиты и т.п. Формально обязательства именно аттестовывать систему нет, но аттестация становится наиболее весомой формой в ряде случаев:

  • ИСПДн подключена к госинфраструктуре (СМЭВ, ГИС ЖКХ, ЕГИСЗ и т.п.).
  • Контрагенты (банки, страховые, крупные корпорации, госклиенты) требуют именно аттестат в составе пакета документов по безопасности.
  • Организация планирует получение лицензий ФСТЭК/ФСБ и нужна документированная отлаженная модель защиты ПДн, подтверждённая аттестационными испытаниями.
  • ИСПДн обрабатывает специальные, биометрические или иные «чувствительные» категории ПДн, и оператору критично иметь максимально сильную доказательную базу при проверках и инцидентах.

Исходя из методических материалов и в нашей практике работы с ФСТЭК, аттестация чаще применяется для ИСПДн с уровнями/классами защищённости К3–К1, где риски и требования к защите выше.

Аттестация обязательна для:

  • государственных и муниципальных ИСПДн;
  • для ИСПДн в составе значимых объектов КИИ;
  • в иных случаях, прямо установленным регулятором.

Кроме того, аттестация часто проводится как часть комплексных проектов по защите информации или при внедрении новых информационных систем.
Как проходит аттестация и ее задачи
Аттестацию проводят при вводе системы, её существенной модернизации, изменении нормативных требований и по окончании срока действия предыдущего аттестата.

Процедура аттестации включает комплекс мероприятий, направленных на проверку соответствия информационной системы требованиям безопасности.

Основные задачи аттестации:

  • подтверждение соответствия системы требованиям законодательства
  • проверка корректности реализации системы защиты информации
  • выявление возможных уязвимостей и рисков
  • подтверждение защищенности персональных данных
  • получение официального документа — аттестата соответствия требованиям безопасности информации

Процесс аттестации обычно включает несколько этапов:

1. Анализ системы

Проводится анализ информационной системы, в которой обрабатываются персональные данные. Определяются категории данных, архитектура системы и применяемые средства защиты.

2. Проверка документации

Проверяется наличие и корректность документации по защите информации: политики безопасности, модели угроз, организационные регламенты и инструкции.

3. Оценка технических средств защиты

Проводится проверка используемых средств защиты информации: антивирусов, систем контроля доступа, средств криптографической защиты, межсетевых экранов и других решений.

4. Проведение испытаний

Эксперты проводят тестирование системы защиты, проверяют ее устойчивость к различным типам угроз и соответствие требованиям нормативных документов.

5. Оформление результатов

По результатам проверки оформляется заключение и при успешном прохождении процедуры выдается аттестат соответствия требованиям ИБ.

Такая сертификация информационных систем подтверждает, что организация соблюдает требования законодательства и обеспечивает надежную защиту персональных данных.
Надежный и ответственный интегратор
  • Если вы работаете с нами, то мы уверены, что решение вам подходит, можем даже отговорить от покупки, если это соответствует целям и задачам
Мы экспертно подходим к задачам обеспечения безопасности
  • Это не самая простая ниша, есть много продуктов, нюансов, тонкостей интеграции, поэтому с нами вы можете положиться на наш опыт и возможности с полной уверенностью!
Мы знаем боль компаний изнутри, так как сами используем те же самые подходы и проблемы роста
  • Мы понимаем, как строить защиту, что нужно защищать, а на какую боль можно не обращать внимание. Мы свои.
Мы экономим нервы и время (силы / ресурсы)
даем решение для проблемы под ключ, вам не требуется тратить время на подбор, изучение, внедрение - мы это сделаем за вас. Сэкономим 3 месяца вашей жизни!

Как часто нужно проходить аттестацию

Срок действия аттестации зависит от типа информационной системы и нормативных требований. В большинстве случаев аттестация действует несколько лет, но может потребоваться повторная процедура при модернизации системы или изменении архитектуры.

Объект аттестации

Пример

Нормативный акт, регулирующий аттестацию

Как часто нужно проходить аттестацию

Информационная система персональных данных

CRM система компании, кадровая система

ФЗ №152 «О персональных данных», Приказы ФСТЭК

при модернизации системы или изменений условий эксплуатации

Государственные информационные системы

ведомственные системы, государственные реестры

Требования ФСТЭК России

Как правило 3 года. Дополнительно обязателен периодический контроль (для К1 – не реже 1 раза в год, для К2–К3 – не реже 1 раза в два года), результаты контроля передают в уполномоченный орган.

Автоматизированные системы обработки информации

системы учета, документооборота

Руководящие документы ФСТЭК

При значительных изменениях системы

Системы с интеграцией нескольких сервисов

корпоративные порталы, ERP системы

Нормативные требования по защите информации

После изменений архитектуры или внедрения новых модулей


Повторная сертификация информационных систем также требуется в случаях:

  • модернизации инфраструктуры
  • изменения архитектуры информационной системы
  • внедрения новых средств защиты
  • интеграции дополнительных сервисов

Наше решение

Компания «Гладиаторы информационной безопасности» помогает пройти аттестацию по 152 ФЗ быстро и без лишних рисков для бизнеса.

Мы выступаем как экспертный центр по защите персональных данных и берем на себя все этапы подготовки и прохождения аттестации.

Наши специалисты:

  • проводят аудит системы защиты персональных данных
  • подготавливают необходимую документацию
  • помогают внедрить требуемые средства защиты
  • проводят подготовку к аттестационным испытаниям
  • сопровождают процедуру аттестации
  • помогают получить аттестат соответствия 

Мы работаем с компаниями по всей России и имеем опыт реализации проектов различной сложности — от небольших корпоративных систем до крупных распределенных инфраструктур.

Если вашей компании требуется аттестация системы защиты персональных данных, наши эксперты помогут пройти процедуру максимально быстро и обеспечить полное соответствие требованиям законодательства.
Оставьте ваш email, имя и телефон — и наш менеджер свяжется с вами и бесплатно проконсультирует по вопросу аттестации.
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности

Вам также могут быть интересны услуги

Оценка соответствия информационной безопасности требованиям стандартов

Анализ защищенности информационных систем

Аудит защиты и обработки персональных данных по 152-ФЗ

Аудит безопасности информационных систем – комплексная проверка защиты данных

Вендоры, с которыми работаем

  • website icon
    •  
  • website icon
    •  
  • website icon
    •  
  • website icon
    •  
  • website icon
    •  
  • website icon
    •  
  • website icon
    •  
  • website icon
    •  
  • website icon

Отзывы

Читайте по теме

31 августа 2024г.
"Обмани меня" - какие бывают спуфинг атаки и как защищаться от этих атак
Что такое спуфинг? Какие бывают спуфинг атаки и как защищаться от этих атак? Об этом и многом другом, читайте в нашей статье от экспертов компании «Гладиаторы информационной безопасности». Телефон для связи: +7 (499) 112-33-26
14 декабря 2024г.
Внедряй или проиграешь - зачем безопасность успешному бизнесу
В современном мире безопасность — это не опция, а необходимость. Разбираем, почему кибербезопасность становится ключевым фактором успеха бизнеса и какие риски грозят тем, кто игнорирует ее внедрение.
10 января 2025г.
Как бизнесу поставить цели в ИБ на 2025 год?
Как правильно сформулировать цели в области информационной безопасности на 2025 год? Разбираем ключевые принципы, методы и лучшие практики для защиты бизнеса от киберугроз.