Сегодня коллега прислал занятную ссылку. Суть в следующем, предлагается некий продукт «7 шагов», который позволяет решить проблемы защиты информационной системы персональных данных (ИСПДн) второго и третьего класса. Всего за 26000-29000 рублей, счастливый покупатель получит: «
- полный комплект организационно-распорядительных документов организации для защиты персональных данных;
- технические средства защиты: антивирус, межсетевой экран, система защиты от несанкционированного доступа;
- инструкция пользователя», в которой подробно описаны 7 шагов (действий, работ) по построению системы защиты и аттестации ИСПДн требованиям безопасности информации.
»
а так же бесплатное сопровождение: «
- консультации специалистов по защите информации (до покупки, в процессе внедрения, после внедрения);
- подготовка полного пакета документов;
- инсталляция программного обеспечения (антивирусной системы, системы защиты информации от несанкционированного доступа, межсетевого экрана);
- аттестационные испытания ИСПДн с выдачей Аттестата соответствия требованиям безопасности информации.
»
Концепция, просто, фантастика!
Обращу внимание, что продукт рассчитан на компании малого и среднего бизнеса у которых персональные данные обрабатываются только на одном компьютере с Windows. Вы когда-нибудь видели предприятия среднего бизнеса, в которых персональные данные обрабатываются на 1 компьютере ? ;-) Но.. это мелочи.
Говоря честно, такой подход мне кажется неким "перегибом", хотя.. бизнес есть бизнес, если продается, то почему нет? Главное не утверждать, что такой продукт "позволяет решить проблемы защиты информационной системы персональных данных".
«аттестационные испытания ИСПДн с выдачей Аттестата соответствия требованиям безопасности информации.»
Ну лицензия на ТЗКИ у них есть, но разве этого достаточно для «аттестации» ?
Да и работают они с К3, там декларация, а не аттестат.
Или я опять что-то путаю.
Не путаете..
1 — аттестация не под гос тайну вообще «недокументированная штука» были прецеденты злоупотребления фирмами однодневками…
2 — с обязательной аттестацией даже к1 к2 теперь вопросы… в связи с появлением известного проекта приказа ФСТЭК… (Евгений ! Вам теперь аттестаторы не нужны ?)
По поводу «коробочного подхода» он коробочный и есть…
Конечно не нужны, давно было ясно. Теперь вторая компания используется как best-практика
Как это аттестаторы не нужны? Да еще больше теперь понадобятся:
ТЗКИ, например, делается и для К4.
Согласно ПП504,
«г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;»
Обязательное, выходит. Такчто если лицензирование обязательно, то аттестовывать приется вообще все. :-)
Упустил сказать, что г) в ПП504 — это лицензионное требование и условие.
Разговор о том что штамп может ставить любой лицензиат ТЗКИ
«»Вы когда-нибудь видели предприятия среднего бизнеса, в которых персональные данные обрабатываются на 1 компьютере ?»»
Видел. У нас такое. Поставили сервак, купили одну лицензию и все))