Добрый день, уважаемые хабражители!
При установлении уровня защищенности необходимо определить актуальность угроз определенного типа (1-ый, 2-ой или 3-ий).
Согласно Постановлению 1119, п.6: «Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.» Организация, предоставляющая документы, утверждает, что в связи с отсутствием сертификатов ФСТЭК по недекларированным возможностям на операционные системы (ОС), все информационные системы персональных данных (ИСПДн), использующие ОС будут получать 1-ый (наивысший) уровень защищенности.
Следовательно, в соответствии с п. 9.а «Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий: а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;»
Ни для кого не секрет, что в большинстве компаний в ИСПДн используется обычная лицензионная Windows, не имеющая сертификатов ФСТЭК, а это означает, что и класс станет наивысшим, первым. Соответственно, и требования к защите таких ИСПДн будут самыми высокими.
А теперь вопрос: возможно ли занизить уровень защищенности хотя бы до 3-го, оставаясь в рамках нового законодательства?
Может быть, кто то сталкивался с подобным?
Посмотрите в 1119 постановлении (п. 6) понятие актуальности угрозы безопасности ПДн и подумайте, как влияет на неё наличие или отсутствие сертификата ФСТЭК. Исходя из этого уже делайте выводы.
Да, и еще, вы пишите «Организация, предоставляющая документы, утверждает, что в связи с отсутствием сертификатов ФСТЭК по недекларированным возможностям на операционные системы (ОС), все информационные системы персональных данных (ИСПДн), использующие ОС будут получать 1-ый (наивысший) уровень защищенности. „
Не буду раскрывать карты полностью, но это аутсорсинговая организация, предоставляющая услуги в области информационной безопасности, аттестации помещений, приведении документации в соответствие и т.д. в г. Иркутске. Мы у них не первые клиенты, но сейчас они всем ставят первый класс, мотивируя это несертифицированной виндой и тем, что «не все ли вам равно, требования по защите отличаются не сильно».
Если коротко — вас разводят чтобы продать оборудование подороже и побольше.
Кстати, винда достаточно легко сертифицируется.
Носители информации подписываются маркером (Да, есть такое требование).
Часть сети, отвечающая за персданные вообще может выделяться в отдельный VLAN, это значительно снижает затраты на покупку сертификатов.
Большая часть требований закрывается корпоративными регламентами.
Например, можно выпустить распоряжение на запрет копирования персональных данных на флеш накопители и пересылки ПД с использованием электронной почты. Если вместо этого вам предлагают закупить суперсовременный программный комплекс по защите и DLP или что-то в этом роде — не советую продолжать вести дела с этой компанией.
И вообще, задача интегратора — привести вашу систему в соответствие законам. С минимальным вмешательством в систему. Косвенно это должно приводить к оптимизированным затратам. У вас все совсем наоборот.
