С 15 марта 2010 года отменено применение двух методических документов ФСТЭК России:
- Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директором ФСТЭК России от 15 февраля 2008 года (далее - Основные мероприятия);
- Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России от 15.02.2008.
Данное решение принято заместителем руководителя ФСТЭК России 5 марта 2010 года в связи с изданием приказа ФСТЭК России от 05.02.2010 № 58 (далее - приказ № 58).
Несмотря на то, что в целом Положение о методах и способах защиты информации в информационных системах персональных данных (далее - ИСПДн), утвержденное приказом № 58, дублирует положения Основных мероприятий, существенные различия в этих двух документах все же имеются.
Во-первых, с момента отмены применения методического документа "Основные мероприятия", т. е. с 15 марта 2010 года, не определен порядок проведения оценки соответствия ИСПДн требованиям безопасности. Соответственно, проведение обязательной аттестации (сертификации) ИСПДн 1 и 2 класса в настоящее время не предусмотрено.
Во-вторых, ранее в пункте 4.2 Основных мероприятий содержалось требование об обязательном проведении контроля на наличие недекларированных возможностей в программном и программно-аппаратном обеспечении независимо от класса ИСПДн в организации. В редакции приказа № 58 предусмотрен обязательный контроль отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в ИСПДн 1 класса, а в необходимость проведения контроля в отношении средств, применяемых в ИСПДн 2 и 3 классов, определяется оператором (уполномоченным лицом).
