30 Июля, 2009

Правовой статус СТР-К

Алексей Комаров
В ходе изучения вопросов правового обеспечения вопросов информационной безопасности, столкнулся с тем фактом, что никак не мог найти основания для использования автоматизированных систем определённого класса (1Г, 1Д и т.п.) для обработки конкретных видов информации: коммерческая тайна, служебная тайна и других.

Подобные рекомендации нашлись в документе "Специальные требования и рекомендации по технической защите конфиденциальной информации" (СТР-К) 2001г.
Например, вот что говорится о служебной тайне: "АС, обрабатывающие информацию, составляющую служебную тайну, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Г". (прим. Официально СТР-К в свободном доступе найти нельзя, т.к. документ имеет пометку "Для служебного пользования" - ДСП, но при достаточно настойчивом поиске в Интернете что-то всё-таки найти удаётся).

Помимо сложностей с получением самого текста СТР-К, заключаемых в том, что нужно обращаться с запросом во ФСТЭК по вопросу его получения, периодически возникают вопросы о том, является ли данный документ обязательным к применению и для кого?

Подытожив мнение различных специалистов можно сказать следующее:
  • Документ СТР-К, утвержденный решением Коллегии Гостехкомиссии России № 7.2/02.03.01г. действительно не регистрировался в Минюсте;
  • Регулятор считает, что это технический документ и регистрации в Минюсте не подлежит;
  • Для доказывания своей точки зрения на правовой статус данного документа нужно обращаться в суд;
  • На практике при проведении аттестации автоматизированных систем как аттестаторы, так и проверяющие органы следуют рекомендациям этого документа;
  • Приведённые в документе рекомендации распространяются не только на государственные АС, но и на принадлежащие коммерческим организациям и попыток обратиться в суд с обжалованием (по крайней мере, широко известных попыток) никто не предпринимал.

UPD. 26.07.2011По какой-то причине данный пост является одним из моих самых популярных. Поэтому для удобства читателей приведу несколько ссылок, по которым можно скачать текст документа "Специальные требования и рекомендации по технической защите конфиденциальной информации" (СТР-К):