Добрый день, господа!
У нас с коллегами на работе возник диспут насчет использования несертифицированных СЗИ.
В 21 приказе есть пункт 12 о соответствии требований к сертифицированным СЗИ согласно УЗ ИС.
Но формулировка "При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации" звучит так, как будто возможны варианты использования не сертифицированных СЗИ.
Никто не заставляет применять именно сертифицированные СЗИ.
В п.4 Приказа 21 чётко написано: "4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия...".
Если для шаманского бубена проведёте процедуру оценки соответствия и докажите ФСТЭК, что он обеспечивает 100% защищенность всего объекта информатизации (ИСПДн), то пользуйтесь бубном, никто с вас не спросит )))
*в сторону*
Или указать, что бубен - это просто бубен и не предназначен для нейтрализации актуальных угроз безопасности. Или вообще бубен не указывать...
Однако, следует помнить, что если все как раз наоборот, то за такие "подлоги" можно "попасть" (как минимум по обновленному КоАП и Акту проверки регулятора). Или нельзя (т.е. крайне маловероятно). Но, к счастью или к сожалению, вероятности всегда определяются конкретной ситуацией. Тем и живет вся безопасность ПДн в стране, ага...
