Отмена требований лицензирования, аттестации и применения сертифицированных СЗИ при защите информации в ИСПДн

Ксения Останина

Опубликовано:
22 марта 2010 в 12:52

6 2

Информационные системы персональных данных (ИСПДн) классифицируются самим оператором в зависимости от следующих исходных данных:

  • категория обрабатываемых в информационной системе персональных данных;
  • объем обрабатываемых ПДн (количество субъектов ПДн, персональные данные которых обрабатывается в информационной системе).

До недавнего времени для защиты ПДн должны были использоваться только сертифицированные средства защиты, и кроме того для ИСПДн 1, 2 класса (обязательно), 3 класса (при необходимости) должна была проводиться аттестация по требованиям безопасности информации. Эти требования приводят  к дополнительным и не всегда оправданным затратам оператора.

Но ФСТЭК был сделан важный шаг, а именно был издан приказ от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных » (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46), в котором отменено применение с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:   

- Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.; 

 - Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.

Данное положение содержит новые требования по защите ПДн, которые требуют дополнительного изучения, но что очень важно в положении отсутствуют требования лицензирования, аттестации и применения сертифицированных СЗИ. Последние нужны только для ИСПДн 1-го класса и только в части отсутствия НДВ.

Значит, стоимость мероприятий по защите ПДн снижается, и это, безусловно, радует Улыбка.

персональные данные Государство Информационная безопасность Перспективы Исследования
6
Авторизуйтесь, чтобы оценить материал.
Елена Питомцева
22 марта 2010 в 09:17

Продолжение темы в блоге Бушемелева Сергея на ECM-Journal Персональная оттепель.  

0
Авторизуйтесь, чтобы оценить материал.
Михаил Лопинцев
8 октября 2010 в 09:54

Межсетевые экраны все равно нужны, отсутствие НДВ в зависимости от класса, средства предупреждения вторжений для 1 класса. И не думайте, что у вас нет подключений к интернету, если есть возможность вставить USB-модем. 

Ну и последнее - неправильно истолковав класс информационной системы не рассчитывайте на снисходительность...

Лично мы уже применяем средства защиты и межсетевое экранирование тотально.

0
Авторизуйтесь, чтобы оценить материал.

Авторизуйтесь, чтобы написать комментарий