4 Октября, 2013

Опубликован проект приказа ФСБ по защите персональных данных

Алексей Лукацкий
Вчера появился  проект приказа ФСБ "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

Что интересного в этом документе? Я бы выделил несколько моментов:

  1. Даны разъяснения (имеющие характер обязательных) положений ПП-1119. Например, что такое "организация режима обеспечения безопасности помещений", "сохранность персональных данных", "электронный журнал сообщений" и т.п.
  2. Средства криптографической защиты персональных данных могут быть ТОЛЬКО сертифицированными. И это, пожалуй, самая большая засада, которая только возможна. При условии, что для огромного числа сценариев обработки ПДн сертифицированных СКЗИ попросту нет. Я еще три с лишним года назад об этом писал . Как эта коллизия будет разрешаться я даже и не знаю. Точнее знаю - стандартным методом 8-го Центра - "в частном порядке" :-(
  3. По моему скромному мнению 8-й Центр сознательно или несознательно, но ограничил применение для защиты ПДн СКЗИ классом КС3 (!) и выше. Почему я так считаю? Все просто. Если вы считаете, что потенциальный нарушитель может получить доступ к средствам вычислительной техники, на которых установлены СКЗИ, то будьте добры применять СКЗИ не ниже КС3.
  4. Хотя если вдуматься чуть глубже, то вы обязаны будете применять СКЗИ класса КВ1, если вы опасаетесь, что нарушитель может привлечь специалистов, имеющих опыт разработки и анализа СКЗИ. А сейчас нет ограничений на таких специалистов - вот у меня такой опыт есть - я с 92-го по 95-й годы разрабатывал СКЗИ в одном из московских "ящиков". А сейчас с этим ситуация и подавно стала легче - криптографию преподают в 100 с лишним ВУЗах России.
  5. СКЗИ КВ2 применяются, когда могут быть использованы недекларированные возможности в прикладном ПО или у нарушителя есть исходные коды прикладного ПО. Прощай open source ибо наличие исходников сразу повышает класс сертификации до почти недосягаемых высот (в России СКЗИ, сертифицированных по КВ2, раз-два и обчелся). 
  6. Вы уже догадались, что СКЗИ КА1 применяются, когда могут быть использованы недекларированные возможности в системном ПО. И вновь забор для open source операционных систем, распространенных в России. Недокументированных возможностей там может быть выше крыши.
  7. Все помещения, в которых ведется обработка ПДн, должны по окончании рабочего дня не просто закрываться, а опечатываться (!). Это минимум требований для 4-го уровня защищенности. На 1-м уровне от вас потребуют на первых и последних этажах зданий установки решеток или ставень (!). Я могу понять, как такое требование выполнить к зданию ФСБ на Лубянке, но к той же "Стекляшке" на Ярцевской это требование уже неприменимо. А ведь современные бизнес-центры вообще не используют конструкций, к которым можно было бы прикрутить решетки или ставни (достаточно посмотреть на Москва-Сити).
  8. Все носители персональных данных должна учитываться поэкземплярно (!). Все без исключения. Если у ФСТЭК в 21-м приказе речь шла только о машинных носителях, то в 8-м Центре решили под одну гребенку еще и бумажные носители отнести и все остальные.
Здание ФСБ на Ярцевской
Революции не произошло. Год назад я уже примерно говорил  о том, к чему стоит готовиться с точки зрения применения сертифицированных СКЗИ, и вот мои слова подтвердились.

Документ достаточно сложен в изучении - очень много не относящейся к делу информации. Например, подробное описание на 4 страницах случаев, когда нужно применять СКЗИ, сертифицированные по классу КС1. Чуть меньше текста для КС2 и т.д. Я бы все это сократил и поставил бы четко - для этого уровня защищенности и типа ИСПДн КС1, для этого - КС2, для этого - КВ и т.д. Хотя вынужден повториться - случаев, когда сертифицированной криптографии нет, вагон и маленькая тележка. И даже ФСБ сама не соблюдает  свои же требования. Про другие госорганы я и не говорю даже.

Ну ладно о грустном. Что можно и нужно сделать? Во-первых, самостоятельно проанализировать текст проекта приказа и направить в ФСБ свои мысли и КОНКРЕТНЫЕ предложения по изменению нормативно-правового акта. Подчеркиваю - конкретные! Слова "все плохо" рассматриваться не будут. До 18-го октября можно свои мотивированные отзывы направлять по адресу: pdn@fsb.ru.

Во-вторых, в соответствие с ПП-1119 именно оператор ПДн определяет актуальность типов угроз. Я повторю то, что писал  год назад - я считаю угрозы НДВ неактуальными в области ПДн. Не невозможными в теории, а неактуальными на практике. Хотите считать по другому? Ваше право. Не хотите заставлять интеграторов и консультантов переделывать сданные вам проекты с актуальными 1-м и 2-м типами угроз? Ваше право. Тогда вперед - за покупкой СКЗИ классов КВ и КА. На сайте ЦЛСиЗГТ ФСБ вы найдете список  сертифицированных СКЗИ. Основная масса продуктов имеет сертификаты на классы не выше КС1-КС2. Кому-то повезло с КС3. КВ и тем более КА - единицы. А вот цена обратно пропорциональна числу сертифицированных изделий и пусть вас не смущает, если вам предложат средство шифрования за 10 и более тысяч долларов (за один экземпляр СКЗИ) :-(

В-третьих... А больше и не надо ничего. Если все мы не сможем убедить 8-й Центр изменить приказ (а надежды, если честно, маловато), то даже с актуальными угрозами 3-го типа, уйти от сертифицированных СКЗИ нам не удастся, а если учесть п.3 этой заметки, то должны они быть не ниже КС3.

ЗЫ. Лишний раз убеждаюсь, что между интересами государства, общества/бизнеса и гражданина лежит огромная пропасть. ФСБ работает во имя интересов государства и об остальном они просто не думают. А жаль :-(
или введите имя

CAPTCHA
5 Октября, 2013
Кто-то считает, что лучше перебздеть, чем недобздеть. А как требования будут выполнять операторы - побарабану, это их проблемы
0 |
  • Поделиться
  • Ссылка
13 Октября, 2013
хорошее лобби для закупки данных средств, больше оправдания данным требованиям нет... вопрос тогда - а как же компенсирующие меры о которых упоминается в 21 и 17 приказах?
0 |
  • Поделиться
  • Ссылка