Разрушители мифов. Миф №46
Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.
Давно присматриваюсь к мифам уважаемого Алексея Лукацкого, но всё никак не доходили руки прокомментировать, а прокомментировать есть что. Начнём, например, вот с этого:
Миф №46 “Снижение класса защиты ИСПДн приведет к снижению затрат на защиту персональных данных”
Для начала пробежимся по самым спорным моментам.
В итоге мы получаем парадоксальную ситуацию - социальная сеть, в которой сотни тысяч пользователей сами раскрывают свои персональные данные и не сильно заботятся об их защищенности, должна выполнять требования более жесткие, чем поликлиника, утечка ПДн пациентов из которой может привести к гораздо более серьезным последствиям.
Не совсем так. Если в информационной системе персональных данных (ИСПДн) содержится информация о здоровье, то её класс будет первым. Это прописано в Порядке проведения классификации информационных систем персональных данных, а первому классу самые высокие требования. Так что данные в поликлинике нужно защищать “по максимуму”.
Следующая цитата.
Возьмем другой тип защитных средств - системы защиты от несанкционированного доступа. К их числу можно отнести такие средства как Secret Net, Аккорд, Панцирь, Броня и т.п. Они тоже практически не дифференцируются в зависимости от класса ИСПДн. Если мы возьмем, например, Secret Net 5.0, то цена решения будет одной и той же и для ИСПДн 4-го класса и для ИСПДн 1-го класса.
Немного неполная информация. Для защиты ИСПДн третьего класса (K3) достаточно использовать Security Studio, который стоит дешевле, чем Secret Net.
Ну, а теперь по сути вывода.
В итоге мы приходим к тому, что какой бы класс ИСПДн мы себе не выбрали, средства защиты для них будут одними и теми же, а значит уменьшить затраты мы не сможем.
На практике понижение класса позволяет серьёзно сэкономить как на стоимости продуктов, так и на стоимости аттестации ИСПДн. Для К3 в соответствии с требованиями даже аттестация ИСПДн не обязательна (хотя пока этому вопросу много разногласий). Единственное на чём не получится сэкономить - так это на консалтинге.
Любой специалист, выполнивший хотя бы несколько проектов по приведению информационных систем заказчика в соответствие ФЗ-152 прочитав этот миф, думаю, улыбнётся. Понижайте класс ИСПДн всеми способами, господа, и никого не слушайте =) И улыбайтесь!
Комментарии из Telegram
Комментарии ВКонтакте