Наверх
Gendalf Gendalf
4026

Мифы о 152-ФЗ «О защите персональных данных» (часть III)

Мифы о 152-ФЗ Данная статья завершает цикл статей «Мифы о 152-ФЗ «О защите персональных данных». Напомним, что в первой части мы говорили о том, кто такие «операторы фискальных данных» и чего от них требует 152-ФЗ. Во второй части обсудили, зачем оператору необходимо подписывать поручение и как определить уровень защищенности персональных данных.

В третьей части поговорим о средствах защиты персональных данных и о значении криптозащиты.

Миф № 1Все средства защиты (СЗИ) персональных данных должны быть сертифицированы ФСТЭК России

Использовать сертифицированные средства зашиты необходимо в тех случаях, если вы хотите или обязаны провести аттестацию. В ином случае, вы можете подтвердить выполнение требований 152-ФЗ другим способом, указанным в Приказе ФСТЭК России № 21 «Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных».

Согласно Пункту 4 Приказа ФСТЭК № 21 «Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных».

В документе не указывается требования использовать сертифицированные средства защиты. Смысл в том, что существует несколько форм оценки соответствия: добровольная или обязательная сертификация, декларирование соответствия. Сертификация – лишь одна из форм оценки соответствия.

Оператор персональных данных имеет право использовать несертифицированные средства, но в случае проверки необходимо будет продемонстрировать, что для них пройдена процедура оценки соответствия.

Вывод: закон не требует обязательного использования сертифицированных средств защиты.

Миф №2Нам нужна криптозащита

Многие считают, что криптография обязательна для любых ИСПДн. Но, на самом деле, использовать их нужно лишь в случае, если оператор не видит для себя иных мер защиты, кроме как применение криптографии.

Согласно Приказу № 378 ФСБ, если без криптографии не обойтись, то нужно использовать СКЗИ (средства криптографической защиты информации), сертифицированные ФСБ. Сертифицированные СКЗИ подбираются в соответствии с определенным уровнем защищенности

Вывод: закон не обязывает использовать СКЗИ, сертифицированные ФСБ.


Вы можете обратиться за услугами по информационной безопасности и защите персональных данных в «ГЭНДАЛЬФ». Наши специалисты помогут подобрать все необходимое в соответствии с требованиями 152-ФЗ.


Узнайте, соблюдены ли в вашей организации все требования ФЗ-152 – получите бесплатную консультацию прямо сейчас!

Бесплатная консультация



Поделиться  

Рейтинг статьи:

4.9

(на основе 11 голосов)