3 Августа, 2011

Парафраз об аттестации в свете нового ФЗ-152

Алексей Лукацкий
В новом старом ФЗ-152, в ст.19 есть такая защитная мера как "оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных". Можно долго и упорно спорить, что это такое, но зная, что реализовывать эту меру нужно будет по требованиям ФСТЭК, я с вероятностью 85-90% предположу, что это так называется аттестация объекта информатизации по требованиям безопасности. Противники открытого письма Президенту мне возразят (как это было в этом посте ), что я притягиваю все за уши и регуляторы у нас белые и пушистые и не имеют ни одной мысли о дополнительных обременениях рядовых операторов ПДн. В доказательство они опять начнут играть словами об обязательности и добровольности аттестации. Мол, по старому документу (еще Гостехкомиссии) обязательная аттестация применяется только к объектам, обрабатывающим гостайну и экологически опасным объектам, а все остальное делается на сугубо добровольной основе. Но все сразу вспомнят эпопею с первой версией четверокнижия, в которой аттестация была обязательной для ИСПДн К1/К2 (для К3 было прописано декларирование соответствия). И вспомнились мне вдруг мои заметки, опубликованные 20-го и 21-го декабря прошлого года. В них как раз описывались планы одного из регуляторов по выпуску новых документов, по обязательной аттестации объектов не только для гостайны. И чтобы не слыть ретроградами и не смешивать аттестацию гостайны и конфиденциалки и родился такой канцеляризм, как "оценка эффективности принимаемых мер по обеспечению безопасности <вид конфиденциальной информации> до ввода в эксплуатацию информационной системы". Помня те грабли, на которые регуляторы наступили в прошлый раз, сейчас они такой ошибки могут уже и не допустить ;-(