Корректность применения 'Меры защиты информации в ГИС' при аттестации по 21 приказу - Форум по вопросам информационной безопасности

Добрый день.


Вопрос к лицензиатам ФСТЭК России.

Как Вы считаете, корректно ли применение документа "Меры защиты информации в ГИС" при аттестации ИСПДн по 21 приказу ФСТЭК России?

Меры идентичны, что в 17 приказе, что в 21.

to Андрей:

Формально документ "Меры защиты информации в ГИС" (от 11.02.2014) не относится к процедуре аттестации. Он детализирует организационные и технические меры защиты в ГИС, принимаемые согласно Требованиям, утвержденным приказом ФСТЭК от 11.02.2013 № 17.
При детализации мер защиты в ходе разработке технического задания на создание СЗИ ИСПДн или выборе мер защиты можно учитывать требования не только этого методического документа 2014 года, но и других документов и ГОСТов. Лишь бы они нейтрализовывали актуальные угрозы безопасности персональных данных.

А как вы хотите их применять? Проверять реализацию и детализацию мер в ИС?
Согласуете в программе с заказчиком применяйте. А так де юре нет. И вменять невыполнения исходя из трактовки этого Методического документа тоже нет.

*в сторону*
Можно единственный вменяемый документ, раскрывающий сокральный смысл большинства аббревиатур по мерам защиты во всех Приказах ФСТЭК не применять. Ведь в нем же написано "По решению оператора персональных данных...", т.е. обязаловки нет...
Можно состав и содержание мер по обеспечению безопасности персональных данных, приведенных в приложении к Приказу 21, трактовать как-нибудь самостоятельно...
Можно УБИ не из БДУ брать и указывать без детализации по принципу "лишь бы было", как та же Минцифра сделала для своих подведомственных ИСПДн в 2020 г...
Можно и моделями не заморачиваться для ИСПДн (впрочем, в свете Методики-2021 обеими руками за)...
Даешь усиление разброда и шатания! Формализма и юр.чистоты ради, ага...