Информационные системы персональных данных (ИСПДн) классифицируются самим оператором в зависимости от следующих исходных данных:
- категория обрабатываемых в информационной системе персональных данных;
- объем обрабатываемых ПДн (количество субъектов ПДн, персональные данные которых обрабатывается в информационной системе).
До недавнего времени для защиты ПДн должны были использоваться только сертифицированные средства защиты, и кроме того для ИСПДн 1, 2 класса (обязательно), 3 класса (при необходимости) должна была
проводиться аттестация по требованиям безопасности информации. Эти требования приводят к дополнительным и не всегда оправданным затратам оператора.
Но ФСТЭК был сделан важный шаг, а именно был издан приказ от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных » (зарегистрирован Минюстом России
19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46), в котором отменено применение с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных
данных следующие методические документы ФСТЭК России:
- Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
- Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.
Данное положение содержит новые требования по защите ПДн, которые требуют дополнительного изучения, но что очень важно в
положении отсутствуют требования лицензирования, аттестации и применения сертифицированных СЗИ. Последние нужны только для ИСПДн 1-го класса и только в части отсутствия НДВ.
Значит, стоимость мероприятий по защите ПДн снижается, и это, безусловно, радует
.