Вчера появился проект приказа ФСБ "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
Что интересного в этом документе? Я бы выделил несколько моментов:
Революции не произошло. Год назад я уже примерно говорил о том, к чему стоит готовиться с точки зрения применения сертифицированных СКЗИ, и вот мои слова подтвердились.
Документ достаточно сложен в изучении - очень много не относящейся к делу информации. Например, подробное описание на 4 страницах случаев, когда нужно применять СКЗИ, сертифицированные по классу КС1. Чуть меньше текста для КС2 и т.д. Я бы все это сократил и поставил бы четко - для этого уровня защищенности и типа ИСПДн КС1, для этого - КС2, для этого - КВ и т.д. Хотя вынужден повториться - случаев, когда сертифицированной криптографии нет, вагон и маленькая тележка. И даже ФСБ сама не соблюдает свои же требования. Про другие госорганы я и не говорю даже.
Ну ладно о грустном. Что можно и нужно сделать? Во-первых, самостоятельно проанализировать текст проекта приказа и направить в ФСБ свои мысли и КОНКРЕТНЫЕ предложения по изменению нормативно-правового акта. Подчеркиваю - конкретные! Слова "все плохо" рассматриваться не будут. До 18-го октября можно свои мотивированные отзывы направлять по адресу: pdn@fsb.ru.
Во-вторых, в соответствие с ПП-1119 именно оператор ПДн определяет актуальность типов угроз. Я повторю то, что писал год назад - я считаю угрозы НДВ неактуальными в области ПДн. Не невозможными в теории, а неактуальными на практике. Хотите считать по другому? Ваше право. Не хотите заставлять интеграторов и консультантов переделывать сданные вам проекты с актуальными 1-м и 2-м типами угроз? Ваше право. Тогда вперед - за покупкой СКЗИ классов КВ и КА. На сайте ЦЛСиЗГТ ФСБ вы найдете список сертифицированных СКЗИ. Основная масса продуктов имеет сертификаты на классы не выше КС1-КС2. Кому-то повезло с КС3. КВ и тем более КА - единицы. А вот цена обратно пропорциональна числу сертифицированных изделий и пусть вас не смущает, если вам предложат средство шифрования за 10 и более тысяч долларов (за один экземпляр СКЗИ) :-(
В-третьих... А больше и не надо ничего. Если все мы не сможем убедить 8-й Центр изменить приказ (а надежды, если честно, маловато), то даже с актуальными угрозами 3-го типа, уйти от сертифицированных СКЗИ нам не удастся, а если учесть п.3 этой заметки, то должны они быть не ниже КС3.
ЗЫ. Лишний раз убеждаюсь, что между интересами государства, общества/бизнеса и гражданина лежит огромная пропасть. ФСБ работает во имя интересов государства и об остальном они просто не думают. А жаль :-(
Что интересного в этом документе? Я бы выделил несколько моментов:
- Даны разъяснения (имеющие характер обязательных) положений ПП-1119. Например, что такое "организация режима обеспечения безопасности помещений", "сохранность персональных данных", "электронный журнал сообщений" и т.п.
- Средства криптографической защиты персональных данных могут быть ТОЛЬКО сертифицированными. И это, пожалуй, самая большая засада, которая только возможна. При условии, что для огромного числа сценариев обработки ПДн сертифицированных СКЗИ попросту нет. Я еще три с лишним года назад об этом писал . Как эта коллизия будет разрешаться я даже и не знаю. Точнее знаю - стандартным методом 8-го Центра - "в частном порядке" :-(
- По моему скромному мнению 8-й Центр сознательно или несознательно, но ограничил применение для защиты ПДн СКЗИ классом КС3 (!) и выше. Почему я так считаю? Все просто. Если вы считаете, что потенциальный нарушитель может получить доступ к средствам вычислительной техники, на которых установлены СКЗИ, то будьте добры применять СКЗИ не ниже КС3.
- Хотя если вдуматься чуть глубже, то вы обязаны будете применять СКЗИ класса КВ1, если вы опасаетесь, что нарушитель может привлечь специалистов, имеющих опыт разработки и анализа СКЗИ. А сейчас нет ограничений на таких специалистов - вот у меня такой опыт есть - я с 92-го по 95-й годы разрабатывал СКЗИ в одном из московских "ящиков". А сейчас с этим ситуация и подавно стала легче - криптографию преподают в 100 с лишним ВУЗах России.
- СКЗИ КВ2 применяются, когда могут быть использованы недекларированные возможности в прикладном ПО или у нарушителя есть исходные коды прикладного ПО. Прощай open source ибо наличие исходников сразу повышает класс сертификации до почти недосягаемых высот (в России СКЗИ, сертифицированных по КВ2, раз-два и обчелся).
- Вы уже догадались, что СКЗИ КА1 применяются, когда могут быть использованы недекларированные возможности в системном ПО. И вновь забор для open source операционных систем, распространенных в России. Недокументированных возможностей там может быть выше крыши.
- Все помещения, в которых ведется обработка ПДн, должны по окончании рабочего дня не просто закрываться, а опечатываться (!). Это минимум требований для 4-го уровня защищенности. На 1-м уровне от вас потребуют на первых и последних этажах зданий установки решеток или ставень (!). Я могу понять, как такое требование выполнить к зданию ФСБ на Лубянке, но к той же "Стекляшке" на Ярцевской это требование уже неприменимо. А ведь современные бизнес-центры вообще не используют конструкций, к которым можно было бы прикрутить решетки или ставни (достаточно посмотреть на Москва-Сити).
- Все носители персональных данных должна учитываться поэкземплярно (!). Все без исключения. Если у ФСТЭК в 21-м приказе речь шла только о машинных носителях, то в 8-м Центре решили под одну гребенку еще и бумажные носители отнести и все остальные.
 |
| Здание ФСБ на Ярцевской |
Документ достаточно сложен в изучении - очень много не относящейся к делу информации. Например, подробное описание на 4 страницах случаев, когда нужно применять СКЗИ, сертифицированные по классу КС1. Чуть меньше текста для КС2 и т.д. Я бы все это сократил и поставил бы четко - для этого уровня защищенности и типа ИСПДн КС1, для этого - КС2, для этого - КВ и т.д. Хотя вынужден повториться - случаев, когда сертифицированной криптографии нет, вагон и маленькая тележка. И даже ФСБ сама не соблюдает свои же требования. Про другие госорганы я и не говорю даже.
Ну ладно о грустном. Что можно и нужно сделать? Во-первых, самостоятельно проанализировать текст проекта приказа и направить в ФСБ свои мысли и КОНКРЕТНЫЕ предложения по изменению нормативно-правового акта. Подчеркиваю - конкретные! Слова "все плохо" рассматриваться не будут. До 18-го октября можно свои мотивированные отзывы направлять по адресу: pdn@fsb.ru.
Во-вторых, в соответствие с ПП-1119 именно оператор ПДн определяет актуальность типов угроз. Я повторю то, что писал год назад - я считаю угрозы НДВ неактуальными в области ПДн. Не невозможными в теории, а неактуальными на практике. Хотите считать по другому? Ваше право. Не хотите заставлять интеграторов и консультантов переделывать сданные вам проекты с актуальными 1-м и 2-м типами угроз? Ваше право. Тогда вперед - за покупкой СКЗИ классов КВ и КА. На сайте ЦЛСиЗГТ ФСБ вы найдете список сертифицированных СКЗИ. Основная масса продуктов имеет сертификаты на классы не выше КС1-КС2. Кому-то повезло с КС3. КВ и тем более КА - единицы. А вот цена обратно пропорциональна числу сертифицированных изделий и пусть вас не смущает, если вам предложат средство шифрования за 10 и более тысяч долларов (за один экземпляр СКЗИ) :-(
В-третьих... А больше и не надо ничего. Если все мы не сможем убедить 8-й Центр изменить приказ (а надежды, если честно, маловато), то даже с актуальными угрозами 3-го типа, уйти от сертифицированных СКЗИ нам не удастся, а если учесть п.3 этой заметки, то должны они быть не ниже КС3.
ЗЫ. Лишний раз убеждаюсь, что между интересами государства, общества/бизнеса и гражданина лежит огромная пропасть. ФСБ работает во имя интересов государства и об остальном они просто не думают. А жаль :-(
