Правовой статус СТР-К
Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.
В ходе изучения правового обеспечения вопросов информационной безопасности столкнулся с тем фактом, что никак не мог найти основания для использования автоматизированных систем определённого класса (1Г, 1Д и т.п.) для обработки конкретных видов информации: коммерческая тайна, служебная тайна и других.
Подобные рекомендации нашлись в документе «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) 2001г.
Например, вот что говорится о служебной тайне:
«АС, обрабатывающие информацию, составляющую служебную тайну, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Г».
(прим. Официально СТР-К в свободном доступе найти нельзя, т.к. документ имеет пометку «Для служебного пользования» — ДСП, но при достаточно настойчивом поиске в Интернете что-то всё-таки найти удаётся).
Помимо сложностей с получением самого текста СТР-К, заключаемых в том, что нужно обращаться с запросом во ФСТЭК по вопросу его получения, периодически возникают вопросы о том, является ли данный документ обязательным к применению и для кого?
Подытожив мнение различных специалистов можно сказать следующее:
- Документ СТР-К, утвержденный решением Коллегии Гостехкомиссии России № 7.2/02.03.01г., действительно не регистрировался в Минюсте;
- Регулятор считает, что это технический документ и регистрации в Минюсте не подлежит;
- Для доказывания своей точки зрения на правовой статус данного документа нужно обращаться в суд;
- На практике при проведении аттестации автоматизированных систем как аттестаторы так и проверяющие органы следуют рекомендациям этого документа;
- Приведённые в документе рекомендации распространяются не только на государственные АС, но и на принадлежащие коммерческим организациям, и попыток обратиться в суд с обжалованием (по крайней мере, широко известных попыток) никто не предпринимал.
Добавлено 26.07.2011 По какой-то причине данный пост является одним из моих самых популярных. Поэтому для удобства читателей приведу несколько ссылок, по которым можно скачать текст документа «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К):
- http://www.kadastr-ekz.ru/index.php/akts/19-akts/458-30-08-02-282-pgkr
- http://www.rfcmd.ru/sphider/docs/InfoSec/RD_FSTEK_requirements.htm
- http://www.sch3-serp.edusite.ru/DswMedia/str-k-.doc
- http://www.iz-news.ru/docs/1381/
Комментарии из Telegram
Комментарии ВКонтакте