Только что закончился очередной день, проведенный на курсах по защите персональных данных.
Сегодня было, как обычно, два преподователя.
Первый из них уже читал лекции и его точка зрения на обязательность применения СТР-К в коммерческих ИСПДн (этот вопрос, в итоге я задал всем преподователям) уже была известна - не надо. С ним мы разбирали 781-е постановление и 58-й приказ. Не могу сказать, что узнал что-то новое, но повторение - мать учения, так что я не думаю, что зря провел время. Более того, было несколько интересных моментов.
Во-первых, действительно, разница между вторым и третьим классом ИСПДн минимальна. Фактически, все сводится к тому, что для второго класса чуть больше требований к МСЭ (при условии подключения ИСПДн к Internet) и необходимость использования оборудования, имеющего сертификат на электромагнитную совместимость. Для третьего класса такого требования нет. Это действительно мелочи.
Во-вторых, он объяснил в чем различие классов автоматизированных систем по СТР-К. Не могу сказать, что это очень полезно, но довольно-таки интересно.
После этого пришел новый преподователь, которому я, естественно, задал тот же вопрос про СТР-К. Ответ был: не обязаны, поскольку в самом СТР-К написано, что для коммерческих информационных систем этот документ носит рекомендательный характер. Это логично, но двое из четырех преподователей говорят, что все равно СТР-К обязателен для применения в ЛЮБЫХ системах.
С ним мы быстро пробежали 19-ю статью 152 ФЗ и постановления 781 и 687. Больший упор в его лекциях делается на обработку ПДн без использования средств автоматизации и на утечку "речевых" ПДн и по техническим каналам.
Что интересно - он признает, что выполнение всех подзаконных актов не гарантирует выполнения закона "О персональных данных", поскольку все эти подзаконные акты были написаны по предыдущей версии закона, но, по его же словам - пока нет новых актов (которые вроде как уже готовятся, но когда будут еще неизвестны) - проверки будут проходить на соответствие подзаконным актам, существующим сейчас. Т.е., занимать выжидательную позицию и ждать чем все закончится, он не советует. Но и классификацию проводить он не рекомендует, как и выполнять требования из 58-го приказа. Т.е., его позиция - нужно проводить обследование, составлять модель угроз и закрывать актуальные угрозы сертифицированными средствами, исходя из положений положения 781.
Из того что было особенно интересно, из его выступления:
Сегодня было, как обычно, два преподователя.
Первый из них уже читал лекции и его точка зрения на обязательность применения СТР-К в коммерческих ИСПДн (этот вопрос, в итоге я задал всем преподователям) уже была известна - не надо. С ним мы разбирали 781-е постановление и 58-й приказ. Не могу сказать, что узнал что-то новое, но повторение - мать учения, так что я не думаю, что зря провел время. Более того, было несколько интересных моментов.
Во-первых, действительно, разница между вторым и третьим классом ИСПДн минимальна. Фактически, все сводится к тому, что для второго класса чуть больше требований к МСЭ (при условии подключения ИСПДн к Internet) и необходимость использования оборудования, имеющего сертификат на электромагнитную совместимость. Для третьего класса такого требования нет. Это действительно мелочи.
Во-вторых, он объяснил в чем различие классов автоматизированных систем по СТР-К. Не могу сказать, что это очень полезно, но довольно-таки интересно.
После этого пришел новый преподователь, которому я, естественно, задал тот же вопрос про СТР-К. Ответ был: не обязаны, поскольку в самом СТР-К написано, что для коммерческих информационных систем этот документ носит рекомендательный характер. Это логично, но двое из четырех преподователей говорят, что все равно СТР-К обязателен для применения в ЛЮБЫХ системах.
С ним мы быстро пробежали 19-ю статью 152 ФЗ и постановления 781 и 687. Больший упор в его лекциях делается на обработку ПДн без использования средств автоматизации и на утечку "речевых" ПДн и по техническим каналам.
Что интересно - он признает, что выполнение всех подзаконных актов не гарантирует выполнения закона "О персональных данных", поскольку все эти подзаконные акты были написаны по предыдущей версии закона, но, по его же словам - пока нет новых актов (которые вроде как уже готовятся, но когда будут еще неизвестны) - проверки будут проходить на соответствие подзаконным актам, существующим сейчас. Т.е., занимать выжидательную позицию и ждать чем все закончится, он не советует. Но и классификацию проводить он не рекомендует, как и выполнять требования из 58-го приказа. Т.е., его позиция - нужно проводить обследование, составлять модель угроз и закрывать актуальные угрозы сертифицированными средствами, исходя из положений положения 781.
Из того что было особенно интересно, из его выступления:
- ФСТЭК закрывает глаза на отсутствие лицензии на ТЗКИ, при проведении работ "для себя";
- коммерческим ИСПДн не требуется аттестация;
- государственным ИСПДн требуется аттестация, при любом классе ИСПДн - это требование СТР-К.
Таким образом, лично для меня, все становится еще более запутанным.
Комментариев нет:
Отправить комментарий