Аттестация и ФЗ-152: мнение ФСТЭК

Аттестация и ФЗ-152: мнение ФСТЭК
Неделя была очень насыщенной - две командировки, 4 перелета, 8 презентаций... Поэтому не было сил что-то писать. Да и сейчас нет. Осмысливаю впечатления от московского PHD и казанского ITSF. Поэтому эту рабочую неделю хочется закончить "позитивно" ;-)

Коллеги часто присылают мне различные интересные документы, письма, запросы регуляторов, выдержки из актов проверок и т.д. И вот новый "подарок" - письмо одного из региональных управлений ФСТЭК. Текст привожу полностью: "В соответствии с требованиями совместного приказа ФСТЭК России № 55, ФСБ России № 86 и Мининформсвязи России № 20 от 13.02.2008 "Об утверждении порядка проведения классификации ИСПДн", зарегистрированного в Минюсте России 3.04.2008 № 11462, по результатам анализа исходных данных (в том числе и по категории обрабатываемых ПДн) ИСПДн присваивается один из классов К1, К2, К3, К4.

ИСПДн, обрабатывающие ПДн, находящиеся в ведении органов государственной власти, считаются обрабатывающими государственный информационный ресурс и подлежат обязательной аттестациипо требованиям безопасности информации независимо от присвоенного класса. Режим защиты ПДн, не являющихся государственным информационным ресурсом, а также перечень необходимых мер защиты устанавливается собственником информационных ресурсов.
 

Аттестация информационных систем производится в соответствии с требованиями Специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К 2002) и Положения о методах и способах защиты информации в ИСПДн, введенных в действие приказом ФСТЭК России от 5.02.2012 № 58".

Вот такие пироги. Госорганам стоит готовиться. Хотя они всегда попадали под требования СТР-К с аттестацией, но у кого-то были сомнения. Вот позиция регулятора.

В данном письме интересен и следующий фрагмент: "Режим защиты ПДн, не являющихся государственным информационным ресурсом, а также перечень необходимых мер защиты устанавливается собственником информационных ресурсов". Он ну очень многозначителен. Если быть позитивным, то гласит он только одно - коммерческие операторы ПДн сами решают, как защищать ПДн и приказ 58 им не указ. Но эту позицию мы оставим до выхода новых документов ФСТЭК по защите персданных, которые планируются к июлю этого года.
законодательство оценка соответствия ФСТЭК персональные данные
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину