От операторов НРС требуют соответствия

НОСТРОЙ озадачил операторов нацреестра специалистов необходимостью аттестации рабочих мест тех сотрудников СРО, которые имеют доступ в АИС НРС, — на соответствие требованиям по безопасности информации. О результатах следует доложить не позднее 14 февраля. Соответствующее письмо за подписью Антона Глушкова опубликовано «Правдой о СРО».

Согласно его содержанию, в мае прошлого года НОСТРОЙ провел аттестационные испытания информационной системы персональных данных Национального реестра специалистов по организации строительства (АИС НРС) и получил заключение на соответствие требованиям по безопасности информации для ИСПДн третьего уровня защищенности (Аттестат соответствия №19/3 – ИЗ-П от 30 мая 2019 г. выдан АО «Инфозащита»). Теперь такой же аттестат должны получить все операторы НРС.

«Учетные записи для входа в АИС «НРС», рабочие места которых не прошли аттестационные испытания, будут заблокированы 15 февраля 2020 года, — говорится в письме президента НОСТРОЙ. — Для возобновления доступа к АИС «НРС» оператору НРС необходимо предоставить в ассоциацию копию аттестата соответствия требованиям безопасности информации, предъявляемым к ИСПДн не ниже 3 (третьего) уровня защищенности персональных данных».

Правдолюбы, естественно, возмутились: Если аттестат соответствия самим нацобъединением был получен в мае 2019 года, почему операторов озадачили только сейчас? Почему при столь сжатых сроках, выделенных на аттестацию, подписанное президентом письмо (14 января) отлёживалось в дирекции целую неделю (до 22 января)? И почему в НОСТРОЙ решили требовать с операторов столь высокий уровень защищённости ИСПДн?

По данным правдолюбов, требования к уровню защищенности напрямую связаны с количеством субъектов персональных данных, которые обрабатывает оператор. Третий уровень соответствия предъявляется к операторам, работающим с данными более 100 000 субъектов. Операторы НРС имеют дело с гораздо меньшим числом субъектов, так что им достаточно подтвердить соответствие четвертому уровню требований защищенности. Директивных норм, обязывающих операторов иметь тот же уровень защищенности, что и сама система, не существует, так что требование НОСТРОЙ о получении аттестата третьего уровня явно избыточно.

Кроме того, правдолюбы напомнили: согласно 152-ФЗ «О персональных данных» и приказу ФСТЭК России № 21 (от 18.02.2013г.) существует два способа подтверждения соответствия требованиям безопасности: добровольная аттестация и оценка соответствия, которую организует и проводит сам оператор ПДн (например, в форме совместной оценки комиссией, состоящей из представителей разработчика и заказчика системы защиты персональных данных). Т.е., подтвердить соответствие рабочего места оператора НРС требованиям безопасности ПДн саморегулируемые организации могут и без привлечения третьих лиц.