Перед организациями, проводящими работы по созданию системы защиты персональных данных, часто встает вопрос о подтверждении соответствия проведенных работ требованиям законодательства и требованиям регуляторов. Это может быть продиктовано в первую очередь желанием получить уверенность в качестве проведенных работ и в отсутствии претензий со стороны проверяющих в дальнейшем.
На слуху термин «аттестация». При этом возникает вопрос, а действительно ли требуется аттестация информационных систем и в соответствии с какими документами.
Для решения этого вопроса нормативную документацию по защите ПДн можно разделить следующим образом:
- Для всех типов организаций применяется:
- Приказ ФСТЭК России №21 (текст)не содержит требований по аттестации
- Для организцией, эксплуатирующих государственные информационные системы:
- Приказ ФСТЭК России №17 (текст)
содержит требование по аттестации - Ведомственнные документы
могут содержать требования по аттестации
- Приказ ФСТЭК России №17 (текст)
Тогда о необходимости аттестации информационных систем персональных данных можно судить по следующей блок-схеме: