Как ФСБ дураком меня назвала или опять опять про персданные?!

Как ФСБ дураком меня назвала или опять опять про персданные?!
Начну я с краткого экскурса в законодательство о персональных данных. В соответствие с частью 1 статьи 19 Федерального закона от 27 июня 2006 года «О персональных данных» оператор персональных данных обязан принимать технические меры для защиты персональных данных от несанкционированного доступа.

В соответствие с пунктом 7 положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного Постановлением Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств. В соответствие с 3-м пунктом данного Положения методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

В соответствие с пунктом 2.8 приказа Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. N 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) применяется наряду с другими обязательными защитными мерами создание канала связи, обеспечивающего защиту передаваемой информации.

В соответствие с «Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденными ФСБ России 21 февраля 2008 г. N 149/54-144 и являющихся обязательными к применению при обработке персональных данных в государственных информационных системах, защита персональных данных в каналах связи обеспечивается с помощью средств криптографической защиты информации.

В соответствие с частью 2 статьи 19 Федерального закона от 27 июня 2006 года «О персональных данных» и пунктом 5 положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного Постановлением Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. А согласно «Методическим рекомендациям по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденным ФСБ России 21 февраля 2008 г. N 149/54-144, оценка соответствия проводится в форме обязательной сертификации в системе сертификации средств криптографической защиты информации, разработанной и утвержденной ФСБ России.

А теперь зададимся риторическим вопросом - как соблюдают это законодательство наши гаранты и оплоты, а также регуляторы в лице ФСТЭК, ФСБ и Роскомнадзора. С последнего и начнем. В форме, в которой возможно обращение гражданина к госоргану указывается полный букет персональных данных. И все эти данные уходят в неизвестность по незащищенным каналам.


Поразительно то, что в разделе, посвященному ПДн (за него отвечает соответствующее управление РКН по защите прав субъектов), ситуация в корне иная. Там тоже никто не защищает ПДн с помощью шифровальных средств, но зато с субъекта берут согласие на то, что его данные пойдут по Интернет в открытом виде. Просто и незатейливо субъекта заставляют отказаться от своего права на конфиденциальность. В противном случае взаимодействовать с РКН он просто не сможет. Данный подход интересен тем, что он полностью в рамках закона. Вот только о реальных правах субъекта ПДн опять не подумали. И применительно к основному защитнику этих прав, это обидно вдвойне.


На сайте Правительства России меня встретила бойкая фраза о том, что мои персональные данные обрабатываются с полным соблюдением требований российского законодательства. Все! Больше ничего.  Никакого disclaimer об отказе от конфиденциальности. Эта же фраза присутствует на сайте Президента России и на сайте головного органа в области защиты ПДн - Минкомсвязи.


Почти все госорганы живут также - никто не соблюдает требование конфиденциальности, но все пишут о соблюдении законодательства о персональных данных. Или вообще ничего не пишут.


Больше всего меня поразила ФСБ. Она не только не имеет disclaimer, но и вообще про персональные данные не упоминает. Мол, заполняй форму, и все! Еще и дураком обозвали (если внимательно посмотреть на CAPTCHA).



Куда мои персональные данные пойдут? Вспоминая нередкую практику использования почтовых ящиков наших чиновников на публичных почтовых серверах (mail.ru, gmail.com и т.д.), не хочется думать, что ПДн также попадают на такие сервера и там складируются.

А что ФСТЭК? А ФСТЭК вообще не имеет формы для работы с обращениями граждан - они с ними только по обычной почте работают. Зато и претензий к ним по поводу нарушения требований конфиденциальности нет ;-) Правда на новой версии сайта ФСТЭК, работающей пока в тестовом режиме, приводится та же фраза - "Персональные данные пользователей информации хранятся и обрабатываются с соблюдением требований российского законодательства". Но Web-формы нет и там. Зато есть адреса e-mail, по которым можно общаться с разными региональными управлениями ФСТЭК. Но e-mail-то у нас ходит тоже по каналам связи через сетя связи общего пользования. Т.е. к e-mail должны применятся те же принципы обеспечения конфиденциальности (только для другого протокола) на базе сертифицированных СКЗИ. Но если с Web-взаимодействием по принципу "клиент-сервер" еще можно что-то придумать (например, разрешить SSL на AES), то что делать с электронной почтой; как ее шифровать?

На прошлой неделе был я на конференции ИнфоБЕРЕГ в Сочи. Замечательное мероприятие, замечательное место. Но больше всего меня поразил Баранов Александр Павлович, бывший первый замначальника 8-го Центра ФСБ, а ныне служащий ГНИВЦ ФНС России. Он говорил потрясающие вещи, полностью противоречающие тому, что он же говорил еще год назад, будучи основным регулятором в области криптографии. Он говорил, что ФСБ медленно работает, что система сертификации СКЗИ устарела и не поспевает за тенденциями, что ФСБ надо менять парадигму в отношении защиты конфиденциальной информации и т.д. Среди прочего он рассказал о том, как клиенты ФНС используют для взаимодействия с налоговой SSL на базе американского стандарта шифрования AES! Это делается на страх и риск клиента, которому предоставляется альтернатива в виде сертифицированных СКЗИ, но все равно - делается открыто и официально. Более того, по словам Баранова они получили на это разрешение ФСБ.

Может пора нашим регуляторам задуматься об этом же и разрешить использование встроенной в ОС и браузеры криптографии для ряда случаев? Фактически это и так происходит. Тот же Баранов на ИнфоБЕРЕГе заявил, что "SSL на AES лучше чем вообще без криптографии". И я разделяю эту позицию. Может стоит уже зафиксировать эту позицию официально?

ЗЫ. У коллеги обсуждается аналогичная тема, но немного в другом контексте.
законодательство Минкомсвязь ФСТЭК Роскомнадзор ФСБ персональные данные
Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!