Сертификация и аттестация по требованиям ФСТЭК России: разбираемся, что нужно компаниям по 152-ФЗ
Организации, занимающиеся хранением, обработкой, передачей персональных данных, должны соблюдать требования по их защите, указанные в 152-ФЗ, ПП 1119 и приказах ФСТЭК №21 и №77.
Нормативно-правовая база:
Зачем ФСТЭК России проверяет компании?
ФСТЭК организует и занимается обеспечением безопасности информации в системах телекоммуникационной и информационной инфраструктуры, оказывающих влияние на безопасность государства в информационной сфере. Плановые и внеплановые проверки предприятий являются частью системы контрольных мероприятий, выполняемых ФСТЭК России.
Что такое сертификат ФСТЭК России?
Сертификат выдается Федеральным органом по сертификации, которым является ФСТЭК России, после положительного завершения работ по сертификации программного или программно-аппаратного продукта. Сертификат является подтверждением того, что применяемые программы, программно-аппаратные комплексы и средства защиты информации соответствуют требованиям и нормам безопасности.
Как получить сертификат?
Самый действенный способ – это обратиться за консультацией в аккредитованную испытательную лабораторию. Список лабораторий можно найти на сайте ФСТЭК России. Необходимо подать заявку в Федеральный орган по сертификации совместно с испытательной лабораторией с предоставлением необходимых данных об изделии, после чего будут проводиться сертификационные испытания, по результату которых будет приниматься решение о выдаче сертификата.
Сертификация под ключ в компании ИНСЕК
Проводим сертификационные испытания по требованиям безопасности информации ФСТЭК и Минобороны России
А что такое аттестат ФСТЭК России?
Аттестат выдается на объект информатизации и является подтверждением того, что объект информатизации соответствует требованиям по безопасности информации.
Как получить аттестат?
Необходимо обратиться в организацию-лицензиат ФСТЭК России. Организация, которая обладает лицензией ТЗКИ с указанными разрешенными видами работ на проведение аттестации, выполнит для вас все работы. Комплекс работ по подготовке объекта информатизации может включать поставку и настройку необходимых технических средств и разработку организационно-распорядительных документов для объекта. В рамках работ по аттестации объекта выполняется разработка программы и методики испытаний, проводятся аттестационные испытания на объекте, оформляются результаты и выдается аттестат соответствия.
Всем ли компаниям нужен аттестат?
Если компания обрабатывает на объекте информацию конфиденциального характера, не попадающую под требования обязательной аттестации (персональные данные, коммерческая тайна), в собственной информационной системе, то она сама выбирает проводить ли аттестацию своего объекта. Таким образом, в некоторых случаях можно обойтись без аттестата. Однако, в случае спорных моментов, которые могут возникнуть при проверке объекта информатизации, наличие аттестата, выданного сторонней экспертной организацией, будет являться существенным преимуществом для организации.
Что будет, если не пройти аттестацию?
Несоблюдение требований законодательства и Федеральных органов по аттестации может повлечь за собой административную и уголовную ответственность.
Хотите пройти аттестацию быстро и без лишних хлопот?
Компания ИНСЕК проводит подготовку к аттестации и аттестацию объектов информатизации.
Итак, давайте подытожим:
- Все компании обрабатывающие, хранящие или передающие персональные данные должны соблюдать требования 152-ФЗ, ПП 1119 и приказов ФСТЭК России №21 и №77.
- Компании, занимающиеся разработкой ПО, которое содержит механизмы защиты информации, является средством защиты информации и применяется для обработки конфиденциальной информации, должны получить сертификат соответствия на ПО для подтверждения того, что их изделие соответствует требованиям безопасности.
- Компании, имеющие объекты, которые обрабатывают, хранят или передают информацию конфиденциального характера и попадающие под требования законодательства по обязательной аттестации должны получить аттестат соответствия на объект информатизации.
- Чтобы получить аттестат, нужно обратиться в организацию-лицензиат, имеющую право проводить аттестацию, и выполнить комплекс работ по подготовке и аттестации объекта информатизации.
- Несоблюдение требований законодательства может привести как к административной, так и к уголовной ответственности.
Остались вопросы или требуется консультация по услугам?
Оставьте свои контактные данные и мы свяжемся с вами в самое ближайшее время!