Верхнее

Правовой статус СТР-К

В ходе изучения вопросов правового обеспечения вопросов информационной безопасности, столкнулся с тем фактом, что никак не мог найти основания для использования автоматизированных систем определённого класса (1Г, 1Д и т.п.) для обработки конкретных видов информации: коммерческая тайна, служебная тайна и других.Подобные рекомендации нашлись в документе «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) 2001г.

Например, вот что говорится о служебной тайне: «АС, обрабатывающие информацию, составляющую служебную тайну, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Г». (прим. Официально СТР-К в свободном доступе найти нельзя, т.к. документ имеет пометку «Для служебного пользования» — ДСП, но при достаточно настойчивом поиске в Интернете что-то всё-таки найти удаётся).

Помимо сложностей с получением самого текста СТР-К, заключаемых в том, что нужно обращаться с запросом во ФСТЭК по вопросу его получения, периодически возникают вопросы о том, является ли данный документ обязательным к применению и для кого?

Подытожив мнение различных специалистов можно сказать следующее:

  • Документ СТР-К, утвержденный решением Коллегии Гостехкомиссии России № 7.2/02.03.01г. действительно не регистрировался в Минюсте;
  • Регулятор считает, что это технический документ и регистрации в Минюсте не подлежит;
  • Для доказывания своей точки зрения на правовой статус данного документа нужно обращаться в суд;
  • На практике при проведении аттестации автоматизированных систем как аттестаторы, так и проверяющие органы следуют рекомендациям этого документа;
  • Приведённые в документе рекомендации распространяются не только на государственные АС, но и на принадлежащие коммерческим организациям и попыток обратиться в суд с обжалованием (по крайней мере, широко известных попыток) никто не предпринимал.

UPD. 26.07.2011 По какой-то причине данный пост является одним из моих самых популярных. Поэтому для удобства читателей приведу несколько ссылок, по которым можно скачать текст документа «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К):

,