Нужно
ли аттестовать ИСПДн, если ее оператором является государственный
(муниципальный)
орган, но сама ИСПДн при этом не является государственной
информационной системой (ГИС)? Например, ИС бухгалтерии администрации Н-ской
области? Вопрос, на первый взгляд, простой: последний документ, в котором прямо
говорится об обязательности аттестации ИСПДн, не применяется с 2010 г (хотя
формулировочка «не применяется» может поставить в тупик хорошего юриста). Какая
еще аттестация?
Но не все так просто. На практике некоторые интеграторы,
оказывая услуги по защите информации в гос. органах и гос. организациях (да-да,
не только в гос. органах, но и в организациях), манипулируя положениями
действующих документов ФСТЭК, легко обосновывают необходимость аттестации всего
и вся. Ход мысли очень прост: Вы гос. орган? Значит, вся ваша информация есть
государственный информационный ресурс. А в СТР-К ясно написано: «Требования и
рекомендации документа распространяются на защиту государственного
информационного ресурса». А коли так – извольте аттестовать компьютер в
бухгалтерии, в нем ведь обрабатываются персональные данные. Более того, они
аттестуют эти несчастные бухгалтерские ИСПДн, игнорируя требования 21-го Приказа
ФСТЭК, для которых он, собственно, и писался и которому исполнился год. В
аттестате пишут «соответствует требованиям СТР-К» и не заморачиваются. По старой, как говорится, привычке.
Почему возникают такие ситуации? Ответ очевиден: из
«резиновых» формулировок, которых масса в наших законах. В 149-ФЗ под
государственными информационными ресурсами понимаются «информация, содержащаяся
в государственных информационных системах, а также иные имеющиеся в
распоряжении государственных органов сведения и документы». Иные. То есть, любые.
И если заказчик плохо ориентируется в громоздкой системе наших НПА, его очень
легко развести на бабки ввести в заблуждение и навязать ненужную
«услугу». Впрочем, далеко не все заказчики хотят во все это вникать: деньги
казенные и их не жалко. Искусство же тратить казенные деньги выходит за рамки
тематики данного блога.
Комментариев нет:
Отправить комментарий