Персональные данные

Сертификация и аттестация ИСПДн 1-ой категории.

Сертифицировать можно только конкретные средства (компьютер, ПО, элемент ИС, информационную технологию) – это процесс, не зависящий от конкретного местоположения объекта сертификации.

Аттестация же, напротив, строго привязана к конкретному объекту (адрес, здание, помещение и пр.) – процесс, показывающий, что все требования, указанные в сертификате или любых руководящих документах выполнены и соответствуют.

Сертификат соответствия можно и иногда нужно требовать от производителя. Но сертификация – процесс добровольный. Не все производители поставляют продукты в защищенном исполнении. В таком случае Оператор персональных данных может «вокруг» такого продукта (ПО) выстроить защиту с использованием сертифицированных (со стороны ФСБ, ФСТЭК) средств защиты.

А вот аттестация ИСПДн 1-й категории — обязательна.

Если ИСПДн содержит ПО иностранных производителей (не проходивших сертификацию в РФ), при аттестации подобной ИС ПДн не потребуется сертификация данного иностранного ПО? Если потребуется, то какая, каковы ориентировочные временные затраты на сертификацию?

В общем случае используемое в ИСПДн ПО иностранного производства не подлежит сертификации (оценке соответствия).

Оператор обязан использовать ПО (как иностранного так и отечественного производства), прошедшее сертификацию (оценку соответствия) только в случае, если механизмы защиты, реализованные в этом ПО, предполагается использовать для обеспечения безопасности персональных данных. В этом случае указанное ПО будет относиться к средствам защиты информации и подлежит в обязательном порядке процедуре сертификации (оценки соответствия).

В остальных случаях для обеспечения безопасности персональных данных должны использоваться специализированные программные (программно-аппаратные) средства защиты информации, прошедшие в установленном порядке оценку соответствия (сертификацию) во ФСТЭК России.

Как определяется необходимость получения лицензий ФСБ на разные виды деятельности, в том числе на использование ПО криптографической защиты передаваемых данных?

Действующая нормативные правовые акты в области обеспечения безопасности персональных данных не обязывают оператора получать какие-либо лицензии ФСБ России.

Вместе с тем для обеспечения безопасности персональных данных оператором могут использоваться криптографические средства защиты информации (в основном в случае необходимости передачи персональных данных по открытым (незащищённым) каналам связи).

В этом случае порядок применения криптографических средств защиты персональных данных устанавливается следующими нормативными документами ФСБ России:

Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. № 149/6/6-622, 2008 г.
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. № 149/54-144, 2008 г.

В случае необходимости применения криптографических средств защиты персональных данных оператор имеет право воспользоваться услугами специализированных организаций, имеющих лицензии ФСБ России на соответствующие виды деятельности (на право предоставления услуг в области шифрования информации и деятельности по техническому обслуживанию шифровальных (криптографических) средств).

Вместе с тем по желанию оператора он имеет право получить лицензии ФСБ России на следующие виды деятельности, связанные с шифровальными (криптографическими) средствами:

предоставление услуг в области шифрования информации;
деятельность по техническому обслуживанию шифровальных (криптографических) средств;
деятельность по распространению шифровальных (криптографических) средств;
деятельность по разработке, производству шифровальных (криптографических) средств, защищенных использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.

Порядок лицензирования по этим видам деятельности устанавливается Федеральным законом «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. № 128-ФЗ и Постановлениями Правительство Российской Федерации от 26 января 2006 г. № 45 «Об организации лицензирования отдельных видов деятельности» и от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».

Необходимо ли наличие лицензии, если оператор персональных данных самостоятельно проводит работы по установке СКЗИ?

Вопросы лицензирования деятельности, связанной с шифровальными (криптографическими) средствами (за исключением шифровальных (криптографических) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну) регулируются Постановлением Правительства Российской Федерации от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами». В соответствии с этим постановлением лицензированию подлежат следующие виды деятельности:

деятельность по распространению шифровальных (криптографических) средств;
деятельность по техническому обслуживанию шифровальных (криптографических) средств;
предоставление услуг в области шифрования информации;
разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.

Согласно положениям этого документа:

1. Если оператор персональных данных приобретает СКЗИ для собственных нужд и самостоятельно проводит работы по его установке, то ему нет необходимости получать лицензию на деятельность по техническому обслуживанию шифровальных (криптографических) средств. Вместе с тем, если в технической документации СКЗИ содержится требование по его установке (встраиванию) только организацией, имеющей лицензию ФСБ России, то оператор принимает решение или о получении самому лицензии на этот вид деятельности, или о привлечении для проведения этих работ сторонней организации, имеющей соответствующую лицензию ФСБ России.
2. Если приобретаемое СКЗИ используется только в интересах организации и она (организация) не предоставляет услуг в области шифрования, то получение лицензии на этот вид деятельности также не требуется.

Что это за лицензия по персональным данным, которую выдает Россвязьнадзор и когда её надо получать?

Получение каких бы то ни было лицензий на право обработки персональных данных ФЗ «О персональных данных» не предусматривает.

Представьтесь, пожалуйста: (Фамилия Имя) *
Контактный телефон (ххх) ххх-хххх
E-mail *
Ваше сообщение / вопрос *
	Проверьте правильность заполнения обязательных полей!
	Нажимая кнопку "Отправить сообщение", Вы принимаете условия Пользовательского соглашения и даете согласие на обработку персональных данных

Представьтесь, пожалуйста: (Фамилия Имя) *
E-mail *
Контактный телефон (ххх) ххх-хххх
Ваш вопрос *
	Проверьте правильность заполнения обязательных полей!
	Нажимая кнопку "Отправить сообщение", Вы принимаете условия Пользовательского соглашения и даете согласие на обработку персональных данных

Центр компетенции

FAQ

Персональные данные

Центр компетенции

FAQ

Персональные данные

обратная связь

Задать вопрос Технической поддержке