Самостоятельное проведение оператором оценки соответствия

Запрос

!!! Прошу дать разъяснение по вопросу проведения процедуры оценки соответствия средств защиты информации, а именно: Согласно п. 4 раздела 1 Приказа ФСТЭК № 21, меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных. Пример: Для ИСПДн актуален ряд угроз информации, требующих использования сертифицированных или прошедших оценку соответствия защиты. Оператор принимает решение продолжить использование уже установленных СрЗИ, которые применимы для устранения выявленных угроз и выполняют меры Приказа ФСТЭК № 21, но не имеют сертификата. В связи с этим требуются пояснения:

  1. Возможно ли самостоятельное проведение оператором ПДн оценки соответствия, и в соответствии с какими НПА она должна проводиться?
  2. Возможно ли самостоятельное проведение оператором ПДн оценки соответствия для облачных решений?
  3. Возможно ли проведение оператором оценки соответствия облачных решений в кооперации с вендором?
  4. Действительна ли оценка соответствия, проводимая оператором ПДн, в отношении иностранных решений (например: Windows defender, Cisco ASA, Check Point)?
  5. Действительна ли самостоятельно проведенная оператором ПДн оценка соответствия операционных систем семейства Linux (например: Debian, Ubuntu) и их механизмов защиты, в частности системы защиты от несанкционированного доступа?
  6. Возможно ли самостоятельное проведение оператором ПДн оценки соответствия open-sourсe решений (например: Wazuh)?

!!!

Кратко

Возможно ли самостоятельное проведение оператором ПДн оценки соответствия, и в соответствии с какими НПА она должна проводиться?

Резюме от Б-152

Оператор ИСПДн имеет право самостоятельно проводить оценку соответствия в любой из форм, представленных в № 184-ФЗ.

Если вы все еще сомневаетесь в правильности применения рекомендаций регулятора,

обращайтесь к нам - мы поможем.

Полный текст ответа

Для обеспечения безопасности ПДн при их обработки в ИСПДн должны применяться СрЗИ, прошедшие в установленном порядке процедуру оценки соответствия в любой из форм, предусмотренных № 184-ФЗ. Выбор формы соответствия СрЗИ осуществляется оператором ИСПДн самостоятельно.
При проведении оценки соответствия в иных формах, предусмотренных № 184-ФЗ, целью проводимых испытания должно быть подтверждение реализации мер по защите ПДн, предусмотренных Составом и содержанием организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, утвержденными Приказом ФСТЭК России №21, выполняемых СрЗИ.

Кто формировал ответ

Управление обеспечения управления деятельностью по ТЗИ и обеспечения безопасности объектов КИИ

!!! Т.Беляков, Главный специалист-эксперт отдела контроля ФСТЭК России. тел. 8 (495) 696-27-44

!!!

Скан