Прошло «всего» 3.5 месяца между подписанием Приказа и его регистраций в Минюсте. Видимо был нарушен тот же кислотно-щелочной балансорганизационно-бюрократический механизм регистрации.
Пункт 1 Приказа гласит «Утвердить прилагаемые Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Пункт 3 Общих положений гласит «Настоящие Требования не распространяются на государственные информационные системы Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации, Высшего Арбитражного Суда Российской Федерации и Федеральной службы безопасности Российской Федерации».
Для этого перечня ГИС меры защиты идут отдельным, но закрытым блоком?
Далее определяются Класс и Уровень защищенности:
1) Класс защищенности (К) = [уровень значимости информации; масштаб системы].
2) УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)].
Всё это можно свести к тому, что Класс защищенности это функция от степени ущерба по свойству информации и масштаба системы.
Напомню, что в «классическом» варианте Уровень защищенности это функция от типа ПДн, количества ПДн и типа угроз.
Если сравнивать таблицы с мерами из Приказов 21 и 17, то они несколько отличаются, как составом мер, так и их применимости в зависимости от классов.
