В ходе изучения правового обеспечения вопросов информационной безопасности столкнулся с тем фактом, что никак не мог найти основания для использования автоматизированных систем определённого класса (1Г, 1Д и т.п.) для обработки конкретных видов информации: коммерческая тайна, служебная тайна и других.

Подобные рекомендации нашлись в документе «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) 2001г.

Например, вот что говорится о служебной тайне:

«АС, обрабатывающие информацию, составляющую служебную тайну, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Г».

(прим. Официально СТР-К в свободном доступе найти нельзя, т.к. документ имеет пометку «Для служебного пользования» — ДСП, но при достаточно настойчивом поиске в Интернете что-то всё-таки найти удаётся).

Помимо сложностей с получением самого текста СТР-К, заключаемых в том, что нужно обращаться с запросом во ФСТЭК по вопросу его получения, периодически возникают вопросы о том, является ли данный документ обязательным к применению и для кого?

Подытожив мнение различных специалистов можно сказать следующее:

  • Документ СТР-К, утвержденный решением Коллегии Гостехкомиссии России № 7.2/02.03.01г., действительно не регистрировался в Минюсте;
  • Регулятор считает, что это технический документ и регистрации в Минюсте не подлежит;
  • Для доказывания своей точки зрения на правовой статус данного документа нужно обращаться в суд;
  • На практике при проведении аттестации автоматизированных систем как аттестаторы так и проверяющие органы следуют рекомендациям этого документа;
  • Приведённые в документе рекомендации распространяются не только на государственные АС, но и на принадлежащие коммерческим организациям, и попыток обратиться в суд с обжалованием (по крайней мере, широко известных попыток) никто не предпринимал.

Добавлено 26.07.2011 По какой-то причине данный пост является одним из моих самых популярных. Поэтому для удобства читателей приведу несколько ссылок, по которым можно скачать текст документа «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К):

  • http://www.kadastr-ekz.ru/index.php/akts/19-akts/458-30-08-02-282-pgkr
  • http://www.rfcmd.ru/sphider/docs/InfoSec/RD_FSTEK_requirements.htm
  • http://www.sch3-serp.edusite.ru/DswMedia/str-k-.doc
  • http://www.iz-news.ru/docs/1381/

--- === @zlonov === ---