Можно ли купить аттестованную по 152-ФЗ информационную систему (сервер, хостинг и т.д.)?

Аттестация информационной системы предполагает проверку не отдельных компонентов, а законченной информационной системы.

Другими словами: сначала нужно создать полностью функционирующую эксплуатируемую ИС, а только потом станет возможным проведение её аттестации, порядок которой определеяется Положением по аттестации объектов информатизации по требованиям безопасности информации и которая проводится в соответствии с традиционными методами и подходами, описанными в руководящих документах Гостехкомиссии России 1992-2002 годов.

В случае, если в систему вносятся изменения, её аттестационный сертификат становится недействительным.

Таким образом, заранее невозможно создать/гарантировать/обещать некую «защищённую и аттестованую по 152-ФЗ среду» в вакууме, размещая вашу ИС в которой вы автоматом начнёте соблюдать этот закон. Когда кто-то предлагает сервер или любое другое решение, которое соответствует 152-ФЗ — это маркетинговое лукавство, означающее, что он создал завершённую, уже работающую систему, зафиксировал её состояние и сертифицировал, что она защищена на должном уровне.

Как только в эту архитектуру добавятся любые изменения — т.е. доступ получат новые лица (вы), через новые точки входа (с ваших терминалов, компьютеров и других устройств), которые не будут работать по утверждённым ранее регламентам по обработке ПДн (ваши сотрудники ведь не могут контролироваться хостинг-провайдером), — она перестанет соответствовать заявленным характеристикам защищённости.

Мы, в свою очередь, всегда рады помочь по мере наших возможностей нашим клиентам, которым необходимо обеспечить соответствие их ИС закону 152-ФЗ, а именно: внести необходимые для их уровня защищённости изменения в предоставляемую им услугу (будь то виртуальный сервер, виртуальный дата-центр, аренда физического сервера или аренда стойки и т.д.), если окажется, что имеющего сейчас уровня не достаточно, а также можем давать рекомендации по специалистам и профильным компаниям, но это не услуга «из коробки», а индивидуальная работа.

Процесс в общем случае выглядит так:

  1. вы описываете (сами или с помощью привлечённых специалистов) свою ИС;
  2. понимаете, какой уровень защищённости вам нужен;
  3. понимаете, какой уровень защищённости у вас сейчас;
  4. составляете (сами или с помощью привлечённых специалистов) перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности ПДн;
  5. если какие-либо требования из перечня будут относиться к предоставляемым нами услугам, то вы обращаетесь с данными требованиями к нам и мы, работая в контакте с вами, делаем всё возможное для их удовлетворения.

Для реализации основных услуг и функций нашего сайта, а также для сбора данных о том, как посетители взаимодействуют с нашими сайтом, продуктами и услугами, мы применяем различные инструменты, включая файлы cookie. Нажимая «Принимаю», вы соглашаетесь с текущими правилами и условиями использования сайта и даете разрешение на использование этих данных. В противном случае, пожалуйста, покиньте сайт.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: