Нужно ли СЗИ для обработки-хранения перс. данных класса 1? - Форум по вопросам информационной безопасности

Вопрос немного странный, но всё же - я помню те времена, когда только вводился 152 закон. Мы категорировали объекты, ставили СЗИ, писали регламенты, инструкции документы...аттестовывали нашу гос. систему.
Тогда говорили, что все кто работает с перс данными, должны пройти аттестацию.
Даже коммерческие организации. А потом этот пункт отменили.

В общем есть гос. госпиталь, где обрабатывают перс данные класса 1 (что очевидно).
Правильно ли я понимаю, что для соблюдения законодательства, в том числе 152 закона, помимо кучи документации нужно будет:

1) Купить СЗИ сертифицированную ФСТЕК.
2) Купить антивирус, сертифицированный ФСТЕК.
Это базовый минимум.
(Разумеется все проверить на соответствие требованиям, настроить в соответствии с требованиями закона, связать с документацией, регламенты настройки и т.д.)

?

Или есть другие способы (ну а вдруг?)?

PS
Просто я ещё ни в одной больнице не видел СЗИ на компьютере, где идет обработка перс данных.
Как они работают?

*в сторону*
Оптимальный алгоритм:
Вначале узнать, что 1 класс к ИСПДн не имеет отношения уже лет 9 как...
Затем, что "экспортный" пишется через "э", а не "е"...
Далее обратиться к лицензиату ТЗКИ и уточнить все вопросы у него или сразу сходить на курсы повышения квалификации (или хотя бы соответствующие материалы в Сети почитать)...
В конце пройтись по нормальным больницам, пообщаться с ответственными лицами, узнать набор принятых орг. и техн. мер защиты, реализованных согласно требованиям и актуальной Модели угроз, и сравнить их с фактическим положением дел...
И неплохо еще обоим регуляторам передать информацию о тех больницах, где ничего из вышесказанного не выполняется или выполняется для галочки. Конечно, после этого кто-то может внезапно выпасть из окна, но, imho, туда ему и дорога...

"Вначале узнать, что 1 класс к ИСПДн не имеет отношения уже лет 9 как..." - согласен. Бегло посмотрел эту тему. Давно дело было - надо освежить знания.

"Затем, что "экспортный" пишется через "э", а не "е"..." - ?? не нашел у себя такого в тексте.

"Далее обратиться к лицензиату ТЗКИ и уточнить все вопросы у него" - на хабре пишут, что не обязательна сертификация средств СЗИ, но нужно использовать средства защиты, прошедшие в установленном порядке процедуру оценки соответствия.
Понятно, что надо все подбирать исходя из анализа ситуации, перс данных, документов и т.д. - но у меня есть необоснованное сомнение, что наши любимые гос органы могут не принять то, что ими не сертифицировано. А до чего докопаться - найдут.

"В конце пройтись по нормальным больницам" - 2 крупнейших гос. мед учреждения. Ничего не выполняется.
Ответственное лицо ничего не делает 4 года. А последний год ответственного лица...нет. Бардак? Да. И что? Ни-че-го.
Ещё раз - ничего нет. Даже близко никакой модели угроз (на сервер смотреть жалко) - ни-че-го.

Мои перс. данные (причем значительный объем), передали по запросу на в гос. мед организацию на email вида bolnica@mail.ru. На маил ру.
У меня на столе запрос с подписью главврача об этой просьбе, с печатью.

"И неплохо еще обоим регуляторам передать информацию о тех больницах, где ничего из вышесказанного не выполняется" - да ладно!
А мужики и не знают! (c)

"Конечно, после этого кто-то может внезапно выпасть из окна" - тот кто сообщил? ) Почему он? Ну а кто ещё?
Может главврач? У которого связи, кто накрывает поляну проверяющим? Грамот полная стена от всех ваших органов.
И неужели комиссия приостановит работу больницы? Вы как себе это представляете?

to Сергей
Если вы не видели, как останавливают работу учреждения любого масштаба, а его руководитель/заместитель случайно вываливается из окна - это не значит, что такого не бывает...
Если вы интересуетесь, "почему бардак?" или "что мне как посетителю больницы делать с таким бардаком?", то ответ может быть один - пишите регуляторам (вначале РКН), а затем в суд (при желании)...
Если хотите все-таки найти решение проблемы "изнутри и не со стороны", то вначале RTFM, а затем изучайте реальную ситуацию, придумывайте варианты решения - и welcome, обсудим (в допустимых пределах)...
И да, ФСТ_Э_К...

to oko
"пишите регуляторам (вначале РКН), а затем в суд (при желании)"
Я бы вам многое рассказал в личке про письма и взаимодействие с органами власти. Из богатого личного опыта.
Но лички тут нет и вам оно наверно не надо.
Суд - только ЕСПЧ (хоть смейся, хоть плачь). Другого суда из своей практики не наблюдаю.

to Сергей
Так-то вы либо пишите регуляторам, приложив накопленный материал и опыт, либо постарайтесь тут задать конкретный вопрос, чтобы получить конкретный ответ. А то это все смахивает на риторику в стиле "кто виноват? что делать? едят ли курицу руками?", ага...

ЗЫ Отвечая на вопрос-шапку топика, СЗИ нужны для любых ИСПДн любого уровня защищенности. Но их количество, качество, свойство "сертифицированности" и места применения определяются особенностями конечной ИСПДн...