15 Октября, 2013

О приказе ФСБ по защите персональных данных

Алексей Волков
Точнее, о его проекте с длинным названием " Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности ", который выложен для публичного обсуждения, который давеча мне удалось почитать, и о своих предложениях, которые можно отправить авторам манускрипта аж до 21.10.2013 года, хочу поведать в этом посте.

Название проекта НПА от ФСБ очень похоже на название приказа ФСТЭК № 21 , и первый вопрос, который возник у меня - что первично? Иными словами - должен ли я выполнять приказ ФСТЭК, если я использую СКЗИ, и наоборот? Если вы помните название приказа ФСТЭК № 21 - это хорошо. Если нет - я напомню: "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". Судя про названию, 21-й приказ ФСТЭК устанавливает общие для всех требования, а проект приказа ФСБ "навешивает" на них "организационные и технические меры", связанные с СКЗИ. Это подтверждает и пункт 2 приказа 21 - "В настоящем документе не рассматриваются ... меры, связанные с применением шифровальных (криптографических) средств защиты информации". Да и пункт 2 проекта красноречиво свидетельствует о распространении НПА исключительно на тех операторов, кто "использует СКЗИ для обеспечения безопасности ПДн". Что ж - "довесок" так "довесок", будем рассматривать все меры, которые указаны в проекте НПА ФСБ, через призму СКЗИ.

Сначала - о комфорте прочтения. Он присутствует, за небольшим исключением в виде пунктов 9 - 12. Ну зачем, скажите на милость, выносить общетеоретические рассуждения о том, как выбирать классы СКЗИ в зависимости от "совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак" в раздел требований для 4 уровня защищенности, если для того же уровня в пункте 9.В четко указан класс "КС1 и выше"? Первое предложение - с целью улучшения структуры и читаемости документа, вынести пункты 9 - 12 (за исключением пункта 9.В) к чертовой матери в раздел I, и разместить их после пункта 4 - раз уж это кому-нибудь интересно. Мне - нет, только мозги себе сломал, пока пытался разобраться в витиеватых словарных конструкциях чьей-то диссертации столетней давности.

Идем дальше. Так уж сложилось, что ведомственный НПА не может расширить требования, указанные в Законе или постановлении Правительства РФ. Речь, конечно, идет о 152-ФЗ и ПП-1119 . Зато может их конкретизировать, что, собственно, уважаемые коллеги из ФСБ пытаются сделать. Вот, например, для УЗ-4 предлагается сделать все, что написано в ПП-1119. И это понятно - ПП есть ПП, никуда не денешься. Но давайте вспомним - в каких случаях ИСПДн присваивается УЗ-4? Первый вариант - "для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора". Здесь, вроде бы, вопросов нет.

А вот второй вариант - "для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные" - вызывает один, но очень большой вопрос: ЗАЧЕМ? Зачем обеспечивать исключительно санкционированный доступ в помещения, хранение носителей ПДн в сейфах с двумя внутренними замками, разделять доступ к ПДн и СКЗИ класса КС1 - иными словами применять меры, направленные больше на обеспечение конфиденциальности, нежели целостности и доступности, по отношению к ОБЩЕДОСТУПНЫМ данным, не требующим обеспечения конфиденциальности? Второе предложение - уточнить, что требования пунктов 6 - 9 проекта НЕ распространяются на ИСПДн, обрабатывающие общедоступные персональные данные, в связи с отсутствием необходимости обеспечения их конфиденциальности.

Теперь о том, что из ПП-1119 и как "конкретизировали" уважаемые коллеги из ФСБ. Напомню, мы смотрим на проект документа через призму СКЗИ по методу "нет криптографии - выполняй требования ФСТЭК, есть криптография - выполняй и требования ФСТЭК, и требования ФСБ". Начнем с УЗ - 4. Требование п. 13.А ПП-1119 о безопасном доступе в помещения есть и в приказе 21 в разделе XII.ЗТС, однако там речь идет лишь о наличии контроля и управления доступом, плюс защите от несанкционированного просмотра. Но как только у вас появляется СКЗИ - так тут же появляются привычные глазу старого режимщика пластилиновые слепки, тубы с печатями и прочая атрибутика 70-х годов прошлого века. Предложение 3: исключить из п. 6.А фразу "а также опечатывания Помещений по окончании рабочего дня" как меру, не имеющую отношение к СКЗИ и существенно усложняющую работу операторов. Это смешно.

Требование к обеспечению сохранности носителей персональных данных, развернутое в приказе ФСТЭК № 21 в разделе IV.ЗНИ (в котором, кстати, "учет машинных носителей информации" становится обязательным только для УЗ-2 и выше), с появлением СКЗИ тоже претерпевает метаморфозу: оператор становится обязан везде таскать с собой "сейфы (металлические шкафы), оборудованные внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками", и хранить в них ВСЕ БЕЗ ИСКЛЮЧЕНИЯ носители информации.

Позвольте, коллеги - но зачем тогда СКЗИ, раз требования только ужесточаются? Я-то, дурак, наивно полагал, что криптография решает многие проблемы с обеспечением безопасности данных: применительно к нашему кейсу - зашифровал все носители и дело с концом. В чем тогда смысл криптографии? Я бы понял еще, если бы предлагалось убирать в сейф неиспользуемые носители ключевой информации - но зачем убирать носители ПДн? Или ГОСТовый алгоритм настолько нестоек? Или мы чего-то не знаем? Расскажите, как это сделать, например, в iPad? Предложение 4 - в связи с невозможностью реализации применительно к сотовым телефонам, планшетам, ноутбукам и прочим носителям информации, являющимся неотъемлемой частью СВТ, меру, описанную в п. 7.А исключить из текста проекта. И я уж молчу. что эта мера к СКЗИ тоже не имеет никакого отношения.

Пункт 18 проекта порадовал свей оригинальностью. Помните требование из ПП-1119 про "назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе"? Согласно проекта НПА, это самое "должностное лицо" должно обладать - внимание - "достаточными навыками". ДОСТАТОЧНЫМИ - это какими? Кто оценивает их достаточность? По каким критериям - 100 часов, 500 часов, 1500 часов и три года рабства? Помилосердствуйте, это же официальный документ! Предложение 5: в п. 18 присутствует субъективное оценочное суждение - "достаточные навыки", необходимо конкретизировать критерии определения их достаточности.

А вот в пункте 24 проекта я обнаружил небольшой "перебор". Дело в том, что п. 16 ПП-1119 для УЗ-1 предусмотрено требование "регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе". Оно же, фактически, дублируется в п. 24.А проекта, но в подпунктах Б и В - расширяется: помимо собственно изменения полномочий, авторы настаивают на отражении самих полномочий, и назначении лица, ответственного за ежемесячную сверку полномочий и должностных обязанностей. Напомню, в приказе ФСТЭК № 21 эта мера описана, в частности, в УПД.4 и АНЗ.5, но и там такого нет. Вот тебе, бабушка, и СКЗИ - опять ужесточение, и опять не имеющее отношение к СКЗИ! Эх... Но, в любом случае, расширять постановление Правительства ведомственному акту, в общем-то, не положено, поэтомупредложение 6 - исключить п.п. Б и В п. 24 проекта как необоснованно расширяющие требования п. 16 постановления Правительства РФ № 1119.

Пункт 25, так же, как и пункт 18, несомненно, достоин похвалы. Помните про "отдельное структурное подразделение, ответственное за безопасность ПДн" для УЗ-1 в ПП-1119? Знаете, как его создать? А вот проект НПА - знает. Все просто: делай ррраз - "проведи анализ целесообразности", делай два - "создай" если целесообразно, если нет - делай три, "возложи ответственность на существующее". И ни тебе требований к составу, ни к численности, ни к квалификации этого подразделения, не говоря уж о функциях, задачах и смысле его существования. Раз-два-три: чай - не дураки, сами разберутся. Ндааа... Что ж,предложение 7: конкретизировать требования к составу и квалификации сотрудников подразделения, ответственного за обеспечение безопасности ПДн, указанного в п. 25 проекта.

И, наконец, пункт 26. Как же любы глазу старого режимщика "металлические решетки или ставни" на дверях и окнах "помещений, находящихся на первых и последних этажах зданий, около пожарных лестниц и других мест". Зная рвение наших руководителей, это все будет воспринято буквально (еще и потому, что дешево). А ведь именно из этих самых окон и дверей пытаются выбраться люди во время пожара. В том числе постояльцы домов престарелых и пациенты психиатрических лечебниц (а как раз там УЗ-1), но они все будут вынуждены погибнуть от огня и угарного газа из-за защиты собственных ПДн... Может, хватит уже делать ПДн-щину главнее всего на свете? Предложение 8: исключить фразу "металлическими решетками и ставнями" из п.п. А п. 26 и фразу "металлическими решетками" из п.п. Б как меры, не соответствующие требованиям пожарной безопасности. Знаю, сам весил, открывающиеся - пришли пожарники и все заставили убрать. И никакие СКЗИ не помогут. Кстати, они здесь тоже не при чем.

Что сказать в целом про документ? Можно было сократить его ровно до одной таблицы соответствия класса СКЗИ уровню защищенности, без ущерба качеству и смысловой нагрузке. "Натягивая" сертифицированный ГОСТ на все без исключения ПДн, уважаемые коллеги из ФСБ, как это не прискорбно, глядят на мир исключительно из окна своего служебного кабинета и не хотят принимать реалий современного мира. Зачем это делать, если потом сами же будут отказываться отвечать на неудобные вопросы про "забугорную криптуху" на сайте gosuslugi.ru и "втихаря" разрешать отдельным категориям операторов ею пользоваться? Может, пора уже легализовать официально ввезенную криптографию для использования в гражданских сферах (не имеющих отношения к гостайне) и начать ею управлять, а не прятаться за бетонной стеной сертифицированного ГОСТа и, регулируя, делать вид, что ничего не происходит?

Что ж, давайте попробуем. Предложение 9: в связи с повсеместным использованием средств криптографической защиты информации, официально ввезенных на территорию РФ, но не прошедших сертификацию, для сбора, обработки и передачи персональных данных на сайтах государственных ведомств (nalog.ru, gosuslugi.ru и др.), в системах банк-клиент и др., предлагается указать в п. 9 пп. В, п. 19 и п. 22 "СКЗИ класса КС1 и выше или СКЗИ, официально ввезенные на территорию РФ в случаях, когда для информационной системы актуальны угрозы 3 типа".

Примут - хорошо. Не примут - пусть живут, как хотят. Как нам с вами жить, если документ выйдет в таком виде, как сейчас? Все очень просто: учитывая формулировку п. 2, не стоит декларировать, что вы используете СКЗИ для защиты ПДн. Декларируйте, что используете их для чего-то другого - и живите спокойно, выполняя куда более адекватные требования ФСТЭК. И шут с ней, с этой ГОСТовой криптографией: лишь бы утечек не было, да субъекты были довольны.
или введите имя

CAPTCHA
Александр
15 Октября, 2013
А в ФСБ то предложения отправил? Они не обязаны искать предложения. Если не отправил, то это очередное тру ля ля на тему как все плохо ... Досадно. Кстати, (чтоб сильно не напрягать операторов, видимо), По Проекту для физической защиты ИСПДн можно использовать железные двери на гипсокартонных и стеклянных стенах (точнее - не запрещено, главное - это дверь). Вывод - т.о. они проболтались, что Проект писал человек, пик творческой активности которого давно прошел (не было тогда гипсокартона), или человек, пик творческой активности которого ещё не наступил и (или) никогда не наступит. Так что предложения надо высылать. Авторы Проекта может и рады ..., да не хватает ..., поэтому и исходят из гарантированности (соотвествующего уровня)... А предложением с раскладкой (обоснованием) могут и воспользоваться!
0 |