На приведенных ниже схемах показан один из простых приемов понижения требований к классу защиты ИСПДн.

Единая сеть с выходом в Интернет	Подсеть с ПДн отделена от сети с выходом в Интернет

Наиболее распространенный вариант оценки требований к классу защиты ИСПДн - К3, если в них не хранится информация, относящаяся к специальной категории (здоровье, вероисповедание и т.п.) или превышающая по количеству 100 тыс. субъектов. В этом случае рубиконом является размещение ПДн в сети:

• распределенный, если сервер с ПДн установлен в сети, имеющей выход в Интернет — для работы требуется строить систему на основе продуктов, имеющих сертификаты по защите данных;
• нераспределенный, если сервер с ПДн стоит в изолированной подсети —можно обойтись локальным актом на основе самостоятельно проведенной процедуры проверки защищенности данных.

На схеме показано техническое решение, позволяющее превратить распределенный К3 в нераспределенный. Возможные издержки —необходимость установки на некоторые рабочие места, подключенные к ИСПДн, дополнительного компьютера для выхода в Интернет, если это нужно по условиям работы.

М. Э. Кушнир
22.02.2010