Интересный вариант классификации ИСПДн

Лежит у меня перед глазами акт классификации одной ИСПДн, подготовленный крупным ИТ/ИБ-интегратором для одного своего заказчика. На каких исходных данных строился данный акт? Категория ПДн - 3, значение ПДн - 1. Какой итоговой класс должен быть у ИСПДн? Если следовать п.15 "Приказа трех", то класс будет К2. Ан нет... Интегратор, являющийся лицензиатом ФСТЭК и называющий себя одним из лидеров рынка защиты ПДн в России, классифицировал систему не по п.15, а по п.14, т.е. опирался на ущерб субъектам ПДн. Он здраво посчитал, что ущерб субъектам будет незначительным и поэтому класс ИСПДн будет... К3. Вот такой интересный поворот. И написано, казалось бы в приказе одно, а вывод лицензиат делает другой. А учитывая, что ФСТЭК на своих мероприятиях говорила, что все, что делают лицензиаты, делается "от имени и по поручению", то вариант становится вполне себе интересным. ЗЫ. В начале ноября клуб 4CIO провел конференцию "152 ФЗ - основные ловушки и способы разминирования". Материалы выложены на сайте . Там же дана ссылка на методическое пособие, которое 4CIO разработал для своих членов в части облегчения бремени выполнения ФЗ-152.