Вопрос немного странный , но всё же - я помню те времена , когда только вводился 152 закон . Мы категорировали объекты , ставили СЗИ , писали регламенты , инструкции документы ... аттестовывали нашу гос . систему .
Тогда говорили , что все кто работает с перс данными , должны пройти аттестацию . Даже коммерческие организации . А потом этот пункт отменили . В общем есть гос . госпиталь , где обрабатывают перс данные класса 1 ( что очевидно ). Правильно ли я понимаю , что для соблюдения законодательства , в том числе 152 закона , помимо кучи документации нужно будет :
1 ) Купить СЗИ сертифицированную ФСТЕК .
2 ) Купить антивирус , сертифицированный ФСТЭК .
Это базовый минимум . ( Разумеется все проверить на соответствие требованиям , настроить в соответствии с требованиями закона , связать с документацией , регламенты настройки и т . д .). Или есть другие способы ( ну а вдруг ?)?
PS
Просто я ещё ни в одной больнице не видел СЗИ на компьютере , где идет обработка перс данных . Как они работают ? https :// lib . itsec . ru / forum . php ? sub = 23367 & from = -1 oko * в сторону * Оптимальный алгоритм : Вначале узнать , что 1 класс к ИСПДн не имеет отношения уже лет 9 как ... Далее обратиться к лицензиату ТЗКИ и уточнить все вопросы у него или сразу сходить на курсы повышения квалификации ( или хотя бы соответствующие материалы в Сети почитать )... В конце пройтись по нормальным больницам , пообщаться с ответственными лицами , узнать набор принятых орг . и техн . мер защиты , реализованных согласно требованиям и актуальной Модели угроз , и сравнить их с фактическим положением дел ...
Сергей На хабре пишут , что не обязательна сертификация средств СЗИ , но нужно использовать средства защиты , прошедшие в установленном порядке процедуру оценки соответствия . Понятно , что надо все подбирать исходя из анализа ситуации , перс данных , документов и т . д . - но у меня есть необоснованное сомнение , что наши любимые гос органы могут не принять то , что ими не сертифицировано . А до чего докопаться - найдут . " В конце пройтись по нормальным больницам " - 2 крупнейших гос . мед учреждения . Ничего не выполняется . Ответственное лицо ничего не делает 4 года . А последний год ответственного лица ... нет . Бардак ? Да . И что ? Ни-че-го . Ещё раз - ничего нет . Даже близко никакой модели угроз ( на сервер смотреть жалко ) - ни-че-го .
oko Если вы интересуетесь , " почему бардак ?" или " что мне как посетителю больницы делать с таким бардаком ?", то ответ может быть один - пишите регуляторам ( вначале РКН ), а затем в суд ( при желании )... Если хотите все-таки найти решение проблемы " изнутри и не со стороны ", то вначале RTFM , а затем изучайте реальную ситуацию , придумывайте варианты решения - и welcome , обсудим ( в допустимых пределах )...