И вновь о персональных данных... ASAP

[Selivanov]

Абсурдность ситуации в данном случае не аргумент, ведь ФСТЭК и его лицензиаты всех ждут с распростертыми объятиями
А если серьезно, то согласен с Вами, что в суде при необходимости можно отстаивать подобную позицию. Однако рекомендовать вступать в прямой конфликт с надзирающими органами я бы не стал.

[supervarya]

Коллеги, тут услышала любопытную новость. Один крупный вендор поступил таким образом: они сертифицировали в ФСТЭК свое ПО (элементом которого является база данных).
Ни слова ни о какой криптографии, экранах и т.п. Они по сути сертифицировали его ИСКЛЮЧИТЕЛЬНО на предмет наличия в ПО функции (которая собственно всегда и была) авторизации доступа . Иными словами: было проверено, что пользователь с таким то объемом прав не имеет доступа к информации, доступ к которой есть у пользователя с другим объемом прав. И ВСЁ! И всем юзерам они готовы выдавать сертификат, подстверждающий, что их ПО, входящее в ИСПДн соответствует требованиям предъявляемым к средствам защиты информации.

Как то очень безболезненно. Авторизованный доступ имеют большинство программ. Разве этого достаточно?..

[optimizator]

на предмет наличия в ПО функции (которая собственно всегда и была) авторизации доступа

в этом нет ничего нового

давно есть ряд таких программ по администрированию доступа, в частности под Windows

да, в некоторых случаях, на мой взгляд, вполне возможно ограничиться применением подобной сертифицированной программы, я об этом давно всем говорю

а в некоторых - нет, не достаточно

зависит от конфигурации ИСПДн, от взаимодействия с сетями общего пользования и от модели угроз

[supervarya]

а как тогда толковать п. 1 ст. 19 ФЗ "О ПД"? раз "...в том числе...", то значит не обязательно включать в свое ПО именно криптографию, а, например, можно ссылаясь на наличие функции администрирования доступа, получить пресловутый сертификат?

а как быть, если в ПО уже сидит механизм, шифрующий данные? получается, лицензию получать надо?

хм... буду читать ПП №957. попадает ли наш случай в исключения...

[optimizator]

а как тогда толковать п. 1 ст. 19 ФЗ "О ПД"? раз "...в том числе...", то значит не обязательно включать в свое ПО именно криптографию, а, например, можно ссылаясь на наличие функции администрирования доступа, получить пресловутый сертификат?

а как быть, если в ПО уже сидит механизм, шифрующий данные? получается, лицензию получать надо?

хм... буду читать ПП №957. попадает ли наш случай в исключения...
а как тогда толковать п. 1 ст. 19 ФЗ "О ПД"? раз "...в том числе...", то значит не обязательно включать в свое ПО именно криптографию, а, например, можно ссылаясь на наличие функции администрирования доступа, получить пресловутый сертификат?

а как быть, если в ПО уже сидит механизм, шифрующий данные? получается, лицензию получать надо?

Здесь слишком много всего напутано.

1. Вы хотите защитить у себя ПДн? Для этого Вам нужна программа по защите информации (администрированию доступа) сообразно модели угроз?

2. Вы хотите разработать и/или сертифицировать свою программу, которая будет защищать ту или иную ИСПДн?

3. Вы хотите применить шифрование данных для защиты своей ПДн и Вам нужна такая программа или Вы хотите ее сами разработать и/или сертифицировать?

4. Вы хотите сами оказывать возмездные услуги по защите информации другим лицам и Вам нужна лицензия?

5. Вы хотите сами оказывать возмездные услуги по шифрованию и криптованию другим лицам и Вам нужна лицензия?

_________

Вот это все - разные вопросы с разыми ответами. Для абсолютного большинства юриков - я бы начал с первого вопроса и им же и закончил.