Вот эти все прочитали? - http://www.fsb.ru/fsb/science/single.htm%21id%3D10437725%40fsbResearchart.html

Защита информации обеспечивается путем защиты каналов связи от  
несанкционированного физического доступа (подключения) к ним и (или)  
применения в соответствии с законодательством Российской Федерации  
средств криптографической защиты информации или иными методами.

Даже тут в ЗИС.3 указано и/или крипта, а также иные методы. И это для ГИС

Ну да. Мне как-то предложили оптику залить цементом и охрану поставить. Можете считать это рекомендацией ФСТЭК.

Зис.3 не отличается для ГИС и ИСПДн

Я поэтому и привел цитату из Методы для ГИС, тк там обычно можно посмотреть как выполнять меры

Абсолютно правильный подход.
А конкретную альтернативу крипте можете предложить?

Проблема в том, что можно реализовать "иные" меры, вместо шифрования, только как к этому отнесется конкретный проверяющий? Думаю, мало найдется желающих рискнуть

Подход простой. Если вас проверяет только РКН, можете вообще не заморачиваться. Если ФСТЭК, подойдет любое шифрование на любом гавнороутере(если вы не гос). Если ФСБ,   ну вы поняли....

Абсолютно согласен)

Да.

Конкретная альтернатива должна предлагаться для конкретных случаев, в том числе учитывающих какие каналы (физика) используются, где и как они проложены, возможность доступа к ним, есть ли на маршруте стыки или даже коммутация, кто имеет доступ к оборудованию и как осуществляется управление этим доступом. В ряде случаев крипта действительно не будет иметь альтернатив.
Если чуть конкретнее, то для варианта соединить 2 здания, между которыми идет безразрывная темная оптика, проложенная внутри металлических труб под землей я бы пробовал обосновать, что СКЗИ не является обязательным решением. Если это вопрос ПДн, а не гостайны, разумеется )))

А если читали, то вот это в каком документе написано? -

К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, относятся:
- передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);
- хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.

Попытка не пытка...как говорил тов. Сталин...)))
Если территория не охраняемая, на сколько трудно надрезать трубу и снять данные с оптики? КМК, не самая большая проблема. Другое дело, а кому нужны наши ПДн, чтоб в земле мазаться...

Коллеги, я вовсе никого не агитирую, везде ставить сертифицированные криптошлюзы. Разговор только по нормативке и её трактовке, в том числе, регуляторами. Не более того....

В общем-то понятно, что по нормативке, на любом сайте с ПДн, причем даже с обезличенными, должен быть прикручен гостовый ssl/https, но в реальности это не так, во всяком случае пока...

Спасибо)

Ну да, очевидно, что с точки зрения регуляторных рисков самое простое решение - поставить криптошлюзы. Но не всегда это удобно и оправдано, особенно, если там жирнющие каналы и высокие требования к надежности

не за что))

Ну почему бы не поддержать наших разработчиков СЗИ, даже если они жирнющие и руководство не против. Ну и лишняя строчка в резюме, опять же...