Добрый день, уважаемые хабражители!
При установлении уровня защищенности необходимо определить актуальность угроз определенного типа (1-ый, 2-ой или 3-ий).
Согласно Постановлению 1119, п.6: «Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.» Организация, предоставляющая документы, утверждает, что в связи с отсутствием сертификатов ФСТЭК по недекларированным возможностям на операционные системы (ОС), все информационные системы персональных данных (ИСПДн), использующие ОС будут получать 1-ый (наивысший) уровень защищенности.
Следовательно, в соответствии с п. 9.а «Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий: а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;»
Ни для кого не секрет, что в большинстве компаний в ИСПДн используется обычная лицензионная Windows, не имеющая сертификатов ФСТЭК, а это означает, что и класс станет наивысшим, первым. Соответственно, и требования к защите таких ИСПДн будут самыми высокими.
А теперь вопрос: возможно ли занизить уровень защищенности хотя бы до 3-го, оставаясь в рамках нового законодательства?
Может быть, кто то сталкивался с подобным?
