Приказ 21 ФСТЭК (ссылка)

Приказ 21 ФСТЭК (ссылка)
14 мая 2013 года 21й Приказ ФСТЭК был зарегистрирован в Минюсте. Найти оригинал текста было не очень просто, но вот она, наконец, рабочая ссылка !
Мой короткий анализ:
1. Приказ ФСТЭК № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных".
2. Криптография естественно не входит, т.к. ФСТЭК ею не занимается (спасибо, кэп :)).
3. Защиту персональных данных организация может организовать либо самостоятельно, либо нанять юр. лицо (или ИП) с лицензией на ТЗКИ.
4. В тексте есть ссылка на Постановление Правительства 1119 ( здесь я о нем писала). Это несомненный плюс, документы и должны образовывать единую систему.
5. Необходимо самостоятельно или же с привлечением организации проверять эффективность принимаемых мер не реже, чем раз в 3 года.
6. Определена процедура подбора мер защиты, описаны основные категории таких мер.
7. По аналогии с требованиями к классам ИСПДн в новом документам указаны меры для каждого уровня системы.

Более подробный анализ будет приведен позже. Пока же меня мучает один вопрос: привлекать организацию можно только при условии наличия у нее лицензии, а вот про то, что организация должна получать лицензию на защиту себя не сказано... Т.е. один и тот же вид деятельности можно вести как без разрешительного документа (самостоятельно), так и при обязательном его наличии (оказание услуг)? Не сделает ли это жизнь интегратора еще тяжелее - зачем платить за то, что можно сделать бесплатно?... С другой стороны, скорее всего наличие лицензии у оператора подразумевается, т.к. технической защитой можно заниматься исключительно при ее наличии... Буду рада услышать Ваше мнение!
Alt text

Ксения Шудрова

эксперт по информационной безопасности, аспирант Сибирского государственного аэрокосмического университета