Поговорим в нашей статье о том, кто обязан проводить аттестацию информационных систем, почему это необходимо и какая ответственность грозит нарушителям.
Организация или ИП, использующие в своей деятельности персональные данные граждан, должны исполнять требования Федерального закона от 27.07.2006 № 152-ФЗ (далее – закон № 152-ФЗ). Так, сборщики данных обеспечивают безопасность предоставленным данным (п. 4 ст. 19 152-ФЗ). Безопасность информационной системы, используемой при обработке данных, подтверждается при получении соответствующего аттестата.
Если коммерческая организация обрабатывает личные сведения субъектов в своей внутренней информационной системе, то решение о получении аттестата (или неполучении) она принимает самостоятельно.
Компания может провести аттестацию информационной системы по собственной инициативе. Но если компания работает с какой-либо государственной информационной системой (региональной или муниципальной) или является этой системой, то получить аттестат – ее прямая обязанность.
В целом аттестат безопасности инфосистемы – это гарант допуска к работе в системе. Например, высшие учебные заведения подключаются к ФИС ГИА, чтобы осуществлять прием абитуриентов.
Проводить аттестацию автоматизированной информационной системы необходимо при обработке:
- персональных данных – на соответствие требованиям ФСТЭК (Приказ от 18.02.2013 № 21);
- конфиденциальной информации из государственного ресурса – на соответствие требованиям;
- ФСТЭК (Приказ от 11.02.2013 № 17);
- специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К) (Приказ Гостехкомиссии от 30.08.2002 № 282);
- информации, содержащей служебную тайну, – на соответствие требованиям;
- специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К) (Приказ Гостехкомиссии от 30.08.2002 № 282);
- положения ФСТЭК по аттестации объектов информатизации согласно требованиям безопасности информации.
Кроме того, обязательная аттестация автоматизированных информационных систем требуется для получения лицензии ФСТЭК или ФСБ. В остальных случаях проведение аттестации проводится в добровольном порядке.
Информационная система – это совокупность данных из перечня, информационных технологий и технических средств, которые обеспечивают обработку этой информации (ст. 2 Закона от 27.07.2006 № 149-ФЗ). При этом данные должны содержаться на электронном носителе. Хранение и обработка информации на бумаге информационной системой не считываются (Постановление Правительства РФ от 15.09.2008 № 687).
Компания может самостоятельно создавать информационные системы или пользоваться уже существующими.
Классификация системы обработки персональных данных осуществляется оператором согласно Приказу ФСТЭК, ФСБ или Мининформсвязи от 13.02.2008 № 55/86/20 в зависимости от категории обрабатываемой информации и ее объема.
При нарушении требований по работе с конфиденциальными данными клиентов компании и (или) сотрудников нарушителя могут привлечь к административной ответственности. Например, назначить штраф за сбор личной информации в ненадлежащих целях.
Гражданско-правовая ответственность наступит, если причинен убыток или моральный вред гражданину. Компания может привлечь к дисциплинарной и (или) материальной ответственности своих сотрудников, допустивших неправомерное действие при работе с конфиденциальными данными.
В состав персональных данных могут включаться любые сведения, прямо или косвенно относящиеся к конкретному человеку. То есть к ним относятся не только фамилия, имя, отчество человека, паспортные данные, прописка или местожительство, но также год и место рождения, абонентский номер, сведения о профессии и иные данные, позволяющие его идентифицировать. Таким образом, конфиденциальность информации не ограничивается конкретным перечнем сведений, а оценивается с учетом реальных обстоятельств обработки данных. Например, телефонный номер и электронный адрес тоже могут рассматриваться как персональные данные, если они зарегистрированы на конкретное лицо и позволяют его идентифицировать.
Под обработкой данных по закону № 152-ФЗ понимается любое действие или ряд действий с использованием средств автоматизации или без них.
К обработке в том числе относятся:
— сбор,
— запись,
— архивация,
— хранение,
— обновление,
— редактирование,
— извлечение,
— использование,
— распространение,
— направление третьим лицам,
— уничтожение,
— блокирование,
— удаление данных.
Обрабатывать персональные данные можно только при наличии согласия владельца этих данных, а также при выполнении иных требований закона № 152-ФЗ.
Кроме того, сборщик данных обязан соблюдать принципы обработки полученных сведений. В частности, обработка конфиденциальных данных ограничена достижением конкретных и законных целей и противоправна, если не соответствует первоначальным целям сбора этих данных.
Чтобы защитить персональные данные физлиц при обработке, необходимо предпринять ряд организационных и технических мер. Закон № 152-ФЗ не разграничивает конфиденциальность данных сотрудников компании от данных прочих физлиц, например, клиентов компании. Таким образом, требования к обработке данных для них одинаковы.
Техническая защита зависит от того, как хранится информация – в электронном виде или на бумаге. К данным на бумажных носителях достаточно ограничить и контролировать физический доступ к ним. Например, документы можно положить в сейф.
Защиту электронных данных организовать сложнее, требования к ней выше. Для организации системы безопасности первоначально надо определить тип угрозы и в соответствии с ним выбрать один из четырех уровней защиты (пп. 7–12 требований к защите при обработке в информационных системах).
От этого уровня будет зависеть, какие именно меры безопасности должны быть предприняты (пп. 13–16 указанных требований).
Также для защиты электронных данных компания взаимодействует с государственной системой обнаружения, предупреждения и ликвидации последствий кибератак на информационные ресурсы РФ. В частности, через госсистему необходимо сообщать об инцидентах, из-за которых произошла неправомерная передача или утечка персональных данных (ч. 12 ст. 19 закона № 152-ФЗ).
Внутренние документы компании о защите персональных данных при их обработке:
1. Политика обработки персональных данных и иные локальные нормативные акты по данному вопросу (п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ). Политика устанавливает категории, цели, способы обработки данных, порядок их хранения и использования. Организация вправе самостоятельно определять структуру и содержание политики (письмо от 19.10.2021 № 08-71063).
Компания обязана обеспечить неограниченный доступ к документу, определяющему политику обработки полученных конфиденциальных сведений, независимо от способа их сбора. Если у компании есть свой сайт, такой документ следует разместить на нем (ч. 2 ст. 18.1 закона № 152-ФЗ, письмо Роскомнадзора от 19.10.2021 № 08-71063).
2. Приказ о назначении ответственного лица за обработку данных. В компании, занимающейся сбором персональных данных, должен быть назначен сотрудник, ответственный за процесс сбора, обработки и хранения (ч. 1 ст. 22.1 закона № 152-ФЗ).
3. Приказ об утверждении списка сотрудников, имеющих доступ к персональным данным. Такой документ будет доказательством того, что определенное лицо имело доступ к конкретным сведениям. Это важно в случае, если произошло разглашение данных и нужно установить виновных.
4. Соглашение о конфиденциальности с работниками компании. В этом соглашении работники, которые сталкиваются с персональными данными ваших клиентов или партнеров, обязуются их не разглашать.
Перечень документов носит рекомендательный характер. Четкий список этих документов законом не установлен. По своему усмотрению компания может включить в этот комплект и другие необходимые документы, например, журналы учета и движения данных. В документах следует отразить весь процесс обработки сведений, что позволит избежать претензий со стороны контролирующих органов в случае проверки.
Аттестация информационных систем с персональными данными включает в себя:
- Подготовку необходимой документации.
- Определение класса (уровня) защищенности, по которому требуется аттестация.
- Подбор, закупку и внедрение средств защиты информации (СЗИ).
- Исследование аттестующей организацией.
- Получение аттестатов соответствия (несоответствия).
Если определенный объем работ заказчик выполняет самостоятельно, привлечение аттестующей организации в любом случае обязательно. Выбор аттестующей организации остается на усмотрение заказчика.
Результатом аттестации является выдача следующих документов, это:
- программа и методика аттестационных испытаний;
- протокол рассмотрения;
- заключение по итогам рассмотрения;
- аттестат соответствия (несоответствия АС/ГИС/ИСПДн.
Методика проведения аттестации прописана в приказах ФСТЭК РФ от 29.04.2021 № 77, от 11.02.2013 № 17, от 18.02.2013 № 21, а также в ГОСТах.
Аттестацию может проводить компания, получившая соответствующую лицензию от ФСТЭК (лицензиат).
Лицензия дает право на деятельность в сфере технической защиты конфиденциальной информации.
Компания, проводившая аттестацию, несет ответственность за каждый выданный аттестат по результатам проверки. Требования законодательства, предъявляемые к лицензиату и аттестации, исключают возможность проведения удаленной проверки.
Ответственность за достоверность полученного аттестата несет не только лицензиат, но и организация, которая его получает (п. 31 Приказа ФСТЭК РФ от 29.04.2021 № 77).
Если будет установлено, что аттестация проводилась с нарушениями, ФСТЭК может приостановить действие выданного аттестата (максимальный срок приостановки – 90 дней).
Более того, аттестат могут аннулировать, если не предоставлены следующие данные:
— подтверждающие устранение обнаруженных недостатков;
— протоколы контроля уровня защищенности информации на объекте аттестации;
— проведение аттестации при изменении архитектуры системы защиты информации.
Аннулировать аттестат ФСТЭК может также по инициативе владельца информационной системы в ответ на соответствующий запрос.