Однако вы меня не поняли. Из какого документа вы это взяли?
Самого документа я не видел, я читал:
"ПРАКТИЧЕСКИЕ АСПЕКТЫ РЕАЛИЗАЦИИ ПОЛОЖЕНИЙ ФЕДЕРАЛЬНОГО ЗАКОНА "О ПЕРСОНАЛЬНЫХ ДАННЫХ"
В.Сердюк К. т. н., CISSP, генеральный директор ЗАО "ДиалогНаука" Подписано в печать 17.05.2010.
Цитирую:
Аттестация информационной системы, обрабатывающей
персональные данные.
Аттестация является обязательной для систем классов К1 и К2 и представляет собой завершающий этап создания системы защиты персональных данных. На данном этапе проводится комплекс проверок, позволяющих выдать аттестат соответствия требованиям по безопасности персональных данных. Аттестация проводится специализированными организациями, имеющими необходимые лицензии ФСТЭК и аттестат аккредитации.
Этот документ отменен еще в марте 2010г. Он входил в так называемое 4-книжие и его название я привел выше.
Стало быть, гражданин Сердюк, выпустив свою статью в мае, не знал, что обязательная аттестация отменена еще в марте?
А как проводить классификацию и т.п. я прекрасно знаю)).
О... Вы, уважаемый korsar, напишите, пожалуйста, в личку, что Вы знаете и что Вы можете в этом направлении, может, мы друг другу полезны.
P.S. Бегло прочел Приказ от 5 февраля 2010 г. N 58 ничего об обязательной аттестации или ее отмене не нашел. Может Вы подскажете, что по тексту этого Приказа говорит о том, что аттестация не обязательна?
Ну по-первых "крутым" спецом я не являюсь (всего лишь возглавляю региональное подразделение информбезопсности одной госкорпорации) - просто мы эти этапы у себя в корпорации выполнили уже.
Как проводить классификацию системы описано в
" Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ
от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных"
Помимо этого (классификации) разработана и утверждена концепция корпорации по ЗИ и модель угроз (на основе типовой модели ФСТЭК),
Утверждено Описание СЗИ
инструкции по ЗИ в корпоративной АИС и куча сопутствующих, включая списки допущенных, инструкции по авторизации, актуализация таблиц разграничения доступа и т.д и т.п.
Выполнены все требования к системам нашего класса в соответствии с приказом 58 (НСД, мониторинг, система обнаружения вторжений и т.д.).
И , по крайней мере, проходившие проверки ФСТЭК и ФСБ в прошлом году во многих наших регионах нарушений не выявили.
