В рамках конференции "Персональные данные" (Москва, 24 сентября) представители ФСТЭК России проведут практический семинар "Методика классификации специальных информационных систем персональных данных; порядок сертификации и аттестации информационных систем".
К выступлению на данном семинаре приглашены также представители ФСБ России.
В.В.Селин, начальник Управления ФСТЭК, подтвердил готовность представителей службы ответить в рамках семинара на заранее присланные участниками вопросы.
Благодарим первых заинтересованных участников, сформулировавших перечень вопросов для ФСТЭК:
- Антона Картамышева, инженера научно-исследовательского сектора Курского государственного технического университета, который, в частности, предоставил нам список цитат, понимание которых может быть неоднозначным, из документов по классификации и защите персональных данных;
- Виталия Мытько, начальник отдела СА и ЗИ территориального фонда обязательного медицинского страхования Саратовской области, приславшего следующий список вопросов:
1. Необходима ли сертификация операционной системы, установленной на компьютере, обрабатывающем персональные данные? И что делать организациям, у которых нет достаточных средств для этого (например, бюджетным)? Является ли сертификация ПО обязательной при лицензировании деятельности по технической защите конфиденциальных данных?
2. Какой класс защиты рекомендован для систем, обрабатывающих персональные данные, - 1Г или другой?
3. Термин "служебная информация" пока не определен. Но "служебная информация" может содержать "персональные данные". Как их разграничить?
4. До сих пор не ясно, являются ли "персональные данные" частью "конфиденциальной информации" или их следует выделять в самостоятельный гриф доступа?
5. Будет ли дорабатываться СТР-К в соответствии с ГОСТ 17799-2005 и указами Президента?
6. Некоторые организации в силу своего финансового положения (ТСЖ, поликлиники и т.д.) не смогут выполнить все требования по безопасности персональных данных, регламентируемые ФСТЭК. Как им быть?