О проекте документа ФСТЭК для DLP-Expert

Давал сегодня письменное интервью для ресурса DLP-Expert по поводу " Состава и содержания... " (в простонародии уже окрещенного SOISO). Полную версию "интервью", со ссылками, привожу ниже (то, что не опубликовано, выделено жирным шрифтом).

Общие впечатления от документа?

На первый взгляд - документ впечатляет: объемный, хорошо структуирован, присутствуют логические взаимосвязи. Однако после более детального изучения текста всплывают юридические неоднозначности и стилистические неточности, а после изучения Приложения становится понятно, что, в общем-то, ничего не понятно.

«Базовый состав», судя по всему, «списан» с соответствующих «Специальных контролей безопасности», приведенных в Приложении F к специальной публикации NIST Special Publication 800-53 Revision 3 (обновление от 01.05.2010). Один этот факт является знаковым событием: российский регулятор предлагает защищать ПДн, используя идеи документа, разработанного в США – стране, по методике Роскомнадзора, наименее «адекватной» с точки зрения соответствия требованиям Евроконвенции. Однако если в NIST «контроли» описаны детально, просто и понятно – то в документе ФСТЭК ввиду сокращения описания «контроля» до одного, переведенного и не самого подходящего, предложения, этого не наблюдается.

Например, постоянные читатели DLP-Expert, ознакомившись с описаниями «базовых мер» за номерами ОЦЛ.9 и ЗИС.6 могут подумать, что речь идет как раз о DLP. Однако, сопоставляя «меры» с «контролями», читатели поймут, что речь идет совсем о другом: «мера» ОЦЛ.9 соответствует «контролю» SI-8 (антиспам), а ЗИС.6 – это ACL и политики прокси-сервера («контроль» AC-4 по NIST). Вообще, это очень увлекательное занятие – сопоставлять «меры» и «контроли» – я уверен, экспертное сообщество скоро составит такую таблицу соответствий.

Какие ранее непонятные, спорные моменты документ разъяснил?

В части 4 ст. 19 152-ФЗ присутствует стилистическая неточность , позволяющая, при определенном прочтении, «отвязать» «Состав и содержание» от «Уровней защищенности». Теперь стало понятно, что одно «увязано» с другим.

Какой момент (моменты) в документе вы считаете наиболее критичным с точки зрения неоднозначности трактовки или несоответствия действующему законодательству и почему. Ваши предложения по его корректировке.

Самый неоднозначный момент – пункт 5, применительно к средствам защиты ИСПДн сужающий открытый перечень форм оценки соответствия, приведенных в законодательстве РФ в области технического регулирования (184-ФЗ) , до одного – сертификации. Называя сертификацию «обязательной» авторы, очевидно, предполагают систему сертификации РОСС RU.0001.01БИ00, до недавнего времени значившуюся в реестре Росстандарта как «добровольная», и на сегодняшний день в нем отсутствующую. С учетом п. 3 ч. 2 ст. 19 152-ФЗ, п.1 ст. 5, п. 2 ст. 46 184-ФЗ это может означать, что ФСТЭК теперь вправе заявить свою систему сертификации как обязательную.

С другой стороны, просто исключить ее из реестра недостаточно: технический регламент на СЗИ до сих пор отсутствует, и в Едином перечне продукции, подлежащей обязательной сертификации (утв. постановлением Правительства РФ от 1 декабря 2009 г. N 982) отсутствуют какие-либо упоминания о средствах защиты информации. Поэтому, согласно 184-ФЗ, система сертификации РОСС RU.0001.01БИ00 пока не может быть обязательной.

Будут ли по вашему, учтены пожелания, внесенные экспертным сообщестом, при формировании окончательного текста документа?

Мы все очень надеемся.

Как бы вы посоветовали вести себя операторам ПДн, в случае если документ останется в том виде, в котором он был выложен? То есть в него не внесут или внесут некритичные изменения.

Требования законодательства выполнять все равно нужно – от этого никуда не деться. А в остальном – документ, с огромной долей вероятности, будет изменен и дополнен: пока по-прежнему непонятно, как моделировать угрозы НДВ, нет в явном виде и «мер», снижающих актуальность угроз, связанных с НДВ. Что касается пункта 5 – согласно ч. 2 ст. 4 152-ФЗ , ведомственные НПА не могут содержать положения, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию.
Кто победит в войне неоднозначностей – большой вопрос. Есть, конечно, постановление правительства № 330, но оно носит гриф ДСП и потому не может участвовать в нормотворческой деятельности, касающейся ПДн. Аналогичный пример - Роскомнадзор, из-за несоответствия административного регламента по ПДн закону 294-ФЗ в части оснований для проведения внеплановых проверок, регулярно проигрывает в суде операторам. Если документ примут без изменений в этой части - возможно, будет иметь место та же картина.