Должны ли все средства защиты персональных данных быть сертифицированы ФСТЭК России по 152-ФЗ?

Сертифицированные средства защиты скорее всего понадобятся вам только в случае, если вы собираетесь проходить аттестацию (обязаны, либо по какой-то причине захотели пройти добровольно), так как аттестацию будет проводить лицензиат ФСТЭК России, который, во-первых, хочет продать побольше сертифицированных СЗИ, а во-вторых, опасается, что если где-то недосмотрит, то его лицезию отзовут.

Если же аттестация вам не нужна, то подтвердить выполнение требований по защите можно и другим, также законным, способом.

Пункт 4 приказа ФСТЭК № 21 гласит:

"Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных."

Пункт 2 статьи 19 152-ФЗ говорит, что нужно использовать средства защиты, прошедшие в установленном порядке процедуру оценки соответствия:

"Обеспечение безопасности персональных данных достигается, в частности:
...
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации."

Пункт 13 Постановления Правительства РФ от 01.11.2012 N 1119:

"... использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз."

Во всех этих документах нигде нет упоминания о требовании обязательного использования сертифицированных средств защиты.

Форм же оценки соответствия предусматривается несколько: добровольная или обязательная сертификация, а также декларирование соответствия.

Оператор может использовать любые несертифицированные средства защиты информации, для которых, в случае проверки, регулятору просто необходимо будет продемонстрировать, что для этих средств проводилась процедура оценки соответствия в какой-либо форме. Другими словами нужно дать подтверждение того, что данные средства защиты подходят для защиты от тех видов угроз, от которых нужно защитить персональные данные в данной системе.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Для реализации основных услуг и функций нашего сайта, а также для сбора данных о том, как посетители взаимодействуют с нашими сайтом, продуктами и услугами, мы применяем различные инструменты, включая файлы cookie. Нажимая «Принять», вы соглашаетесь с текущими правилами и условиями использования сайта и даете разрешение на использование этих данных. В противном случае, пожалуйста, покиньте сайт.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: