Автор: Андрей | 110151 | 30.06.2022 12:44 |
Добрый день.
Вопрос к лицензиатам ФСТЭК России. Как Вы считаете, корректно ли применение документа "Меры защиты информации в ГИС" при аттестации ИСПДн по 21 приказу ФСТЭК России? Меры идентичны, что в 17 приказе, что в 21. |
Автор: CM | 110152 | 30.06.2022 13:01 |
to Андрей:
Формально документ "Меры защиты информации в ГИС" (от 11.02.2014) не относится к процедуре аттестации. Он детализирует организационные и технические меры защиты в ГИС, принимаемые согласно Требованиям, утвержденным приказом ФСТЭК от 11.02.2013 № 17. При детализации мер защиты в ходе разработке технического задания на создание СЗИ ИСПДн или выборе мер защиты можно учитывать требования не только этого методического документа 2014 года, но и других документов и ГОСТов. Лишь бы они нейтрализовывали актуальные угрозы безопасности персональных данных. |
Автор: sekira | 110153 | 30.06.2022 13:39 |
А как вы хотите их применять? Проверять реализацию и детализацию мер в ИС?
Согласуете в программе с заказчиком применяйте. А так де юре нет. И вменять невыполнения исходя из трактовки этого Методического документа тоже нет. |
Автор: oko | 110154 | 30.06.2022 15:00 |
*в сторону*
Можно единственный вменяемый документ, раскрывающий сокральный смысл большинства аббревиатур по мерам защиты во всех Приказах ФСТЭК не применять. Ведь в нем же написано "По решению оператора персональных данных...", т.е. обязаловки нет... Можно состав и содержание мер по обеспечению безопасности персональных данных, приведенных в приложении к Приказу 21, трактовать как-нибудь самостоятельно... Можно УБИ не из БДУ брать и указывать без детализации по принципу "лишь бы было", как та же Минцифра сделала для своих подведомственных ИСПДн в 2020 г... Можно и моделями не заморачиваться для ИСПДн (впрочем, в свете Методики-2021 обеими руками за)... Даешь усиление разброда и шатания! Формализма и юр.чистоты ради, ага... |
Просмотров темы: 598