К персональным данным (ПД) относятся сведения о физических лицах, которые хранятся в базах данных практически всех компаний и предприятий, передаются другим физическим и юридическим лицам. Чтобы эта конфиденциальная информация не попала в посторонние руки, для данных о личности организовываются защитные системы. Финальной фазой построения таких систем выступает их аттестация, которая должна удостоверить соответствие этих систем правовым требованиям.

Для сохранения тайны личной жизни граждан 27.07.06 г. принят законодательный акт № 152-ФЗ «О персональных данных». Причиной его появления, среди прочего, стали сливы в Интернет и продажи информационных баз с личными данными граждан как из государственных, так и из коммерческих учреждений.

Государственные учреждения, которые работают с личными данными граждан, проходят аттестацию систем защиты ПД в обязательном порядке. Информсистемы проверяются на соответствие требованиям правовых норм, а также Приказа № 21, изданного Федеральной службой по техническому и экспортному контролю (ФСТЭК) РФ от 18.02.13 г.

Проводится аттестация для каждого рабочего места специализированными компаниями, предоставляющими услуги на основании лицензии ФСТЭК на данный вид деятельности.

Как проходит аттестация, и ее задачи

• Анализ имеющихся документальных материалов по защите информации.
• План аттестационных исследований, согласованный с руководителями учреждения.
• Просмотр технологической цепочки по обработке, хранению и защите информации.
• Обследование серверных станций и рабочих терминалов на предохранение от несанкционированного вторжения.
• Проверка программ защиты от вирусов.
• Тестирование межсетевого экрана.
• Дополнительно могут быть проведены исследования возможностей считывания информации с каналов передачи данных.
• Составление протокола испытаний.
• Формирование заключения о результатах аттестационных исследований на достаточность мер, необходимых для защиты личных данных от несанкционированного доступа к ним.
• Дополнительно может быть составлен протокол о надлежащей защищенности каналов передачи информации.
• По результатам аттестационных исследований оформляется и выдается Аттестат соответствия необходимым требованиям безопасности или же предписывается устранить имеющиеся недостатки.
• Аттестат действителен на протяжении трех лет, а потом делается повторная аттестация.

Если заменяется аппаратура или вводятся новые способы работы с информацией, проводится внеочередная аттестация систем защиты.