Перед организациями, проводящими работы по созданию системы защиты персональных данных, часто встает вопрос о подтверждении соответствия проведенных работ требованиям законодательства и требованиям регуляторов. Это может быть продиктовано в первую очередь желанием получить уверенность в качестве проведенных работ и в отсутствии претензий со стороны проверяющих в дальнейшем.

На слуху термин «аттестация». При этом возникает вопрос, а действительно ли требуется аттестация информационных систем и в соответствии с какими документами.

Для решения этого вопроса нормативную документацию по защите ПДн можно разделить следующим образом:

• Для всех типов организаций применяется:
  • Приказ ФСТЭК России №21 (текст)не содержит требований по аттестации
• Для организцией, эксплуатирующих государственные информационные системы:
  • Приказ ФСТЭК России №17 (текст)
    содержит требование по аттестации
  • Ведомственнные документы
    могут содержать требования по аттестации

Тогда о необходимости аттестации информационных систем персональных данных можно судить по следующей блок-схеме: