Постановление Правительства № 781 от 17 ноября 2007 г. перечитанное вдоль и поперек, смотрим п.4 Положения:
4. Работы по обеспечению безопасности персональных данных
при их обработке в информационных системах являются неотъемлемой частью работ по
созданию информационных систем.
Зная нашего законодателя приходят разные интересные и не очень мысли вроде того, что если проект по созданию ИС не включает в себя требования по защите и там есть ПД, то проект не полный, а договор фиктивный. А если включает, то это уже деятельность по ТЗКИ. Теперь всем интеграторам ИСПДн, (а что у нас не ИСПДН?) лицензироваться во ФСТЭК? Или субподряд? Хотя с субподрядом для меня не все до конца ясно. Я как понимаю, что все фирмы, которые вываливаются по запросу, потенциальные клиенты либо ФСТЭК, либо ОБЭП?
Думаю до такого маразма не дойдет.
ОтветитьУдалитьТем более голая 1С(без ПДн) под определение ИСПДн не попадает. Так что по 152-ФЗ будет внедрение ПО, обеспечивающего обработку ПДн.
Не уверен, лицензию ТЗКИ для больничек уже предлагается получать.
ОтветитьУдалитьЗная наших регуляторов:
ОтветитьУдалитьоценка соответствия = сертификация;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных = аттестация;
ну и, соответственно, обеспечение безопасности = ТЗКИ с лицензией.
Вы будете удивлены:
ОтветитьУдалитьОфициальная позиция ФСТЭК г. Новосибирска - в текущей нормативно-правовой базе нет требований обязательной аттестации. Сказано разными людьми на разных мероприятиях.
Появятся ;)
ОтветитьУдалить