Вышел проект приказа ФСБ по ПДн, в котором красной нитью идет идея об использовании сертифицированных СКЗИ, но «строго» по модели угроз оператора:
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
По документу. Во-первых, мне не нравится, что у нас регуляторов в теме ПДн до и больше (Алексей Лукацкий часто об этом пишет), во-вторых, ладно бы только тема СКЗИ была бы на откупе ФСБ, а так идет пересказ ПП-1119. Понятно, что к СКЗИ требуется защитить и обвязку, по их терминологии СФ (среда функционирования) и не только техническими мерами, но всё-таки…
По мерам расписывать ничего не буду, ибо все там предельно понятно и предсказуемо. А вот немного юмора опять же из комментариев к посту Лукацкого на эту тему о включении строчек в договор с ISPдобавлю:
«Провайдер осуществляет техническую защиту передаваемых в каналах связи ПДн»
«Провайдер осуществляет обработку ПДн»
Думаю, что никой нормальный ISPтакой договор не подпишет, а если и подпишет, то после установки сертифицированных СКЗИ, их магистральный канал связи перестанет быть магистральным. J
