Выступления Владимира Михайловича Простова из 8-го Центра ФСБ меня смутило. Как и вообще участие 8-го Центра в Уральском форуме. Если Виталий Сергеевич Лютиков приехал на 1-2 дня и, сделав неплохой доклад, поделился достаточно интересными новостями, то представитель 8-го Центра, задержавшись в Магнитогорске на целую неделю, ничего нового или конкретного не сказал :-( Более того, складывается впечатление, что 8-й Центр либо закрывает глаза, либо тупо забивает болт на потребности рынка.
Начну с проекта приказа ФСБ по защите персональных данных. Из 120 полученных 8-м Центром предложений принята только шестая часть (предположу, что незначительных). В конце февраля проект приказа с правками должен быть опубликован. Это спустя больше года с момента его разработки - я проект видел еще в конце 2012-го года. И если ФСТЭК свой приказ смогла доработать и утвердить к февралю 2013-го года, то 8-й Центр до сих пор чего-то ждет. Хотя никаких серьезных изменений в проекте приказа не планируется - обязательная сертификация СКЗИ останется и подход этот меняться не будет. Сразу возникнет вопрос применения СКЗИ для платежных терминалов и банкоматов, принимающих оплату услуг ЖКХ или иных аналогичных, в которых могут фигурировать ПДн не только в полях "отправитель" или "получатель". Те, кто уже реализовал проекты по PCI DSS, готовы все переделывать и менять несертифицированную криптографию, разрешенную в рамках PCI DSS, на сертифицированную?.. Почему-то на самом форуме в сторону 8-ки этот вопрос не прозвучал :-( Кто-то постеснялся. Кто-то побоялся. Кто-то заранее предсказал реакцию и не стал зря тратить время. Итог неутешителен - регулятор в лице 8-го Центра считает, что раз нет вопросов, то и проблем нет.
После выступления представителя 8-го Центра в блиц-сессии вопросов и ответов их часть коснулась и актуальных угроз. В очередной раз прозвучала мысль о том, что актуальность типов угроз определяет сам оператор ПДн. А вот на вопрос о том, не планирует ли 8-й Центр разработать методичку по моделированию угроз, а то и сами типовые модели угроз, Простов В.М. ответил, что нет, не планирует, и даже не видит смысла в разработке такой методики, если любой оператор ПДн может пойти к лицензиату и заказать такую услугу. ФСТЭК видит такую необходимость и готовит этот документ, а ФСБ не видит...
Я сразу представил, что детсад, в который ходит моя дочь, прямо побежит к немногочисленным лицензиатам ФСБ с целью потратить и так незначительные бюджетные средства на формирование модели угроз. А потом этот же детсад вынужден будет приобретать сертифицированные СКЗИ, т.к. он настолько "продвинутый", что предлагает родителям функцию удаленного видеонаблюдения за детьми через Интернет. Руководство 8-го Центра, которое и затевает эти инициативы по обеспечению национальной безопасности и поддержки отечественного производителя, видимо, никогда не пыталось спроецировать свои требования на жизнь свою и своих близких, посещающих детсады, школы, поликлиники, собесы, Интернет-магазины и т.п.
Пожалуй, это и все, что удалось вытянуть из 8-го Центра. Было еще парочку высказываний, но по ним я пройдусь чуть позже. А вот в кулуарах я узнал еще одну интересную информацию, подтвержденную тремя источниками. ФСБ готовит очередную революцию в части сертификации СКЗИ. Ввиду полного игнорирования многими разработчиками прикладных систем (АБС и иже с ними) требований по корректности встраивания, которые прописаны в ТУ и формулярах на СКЗИ, ФСБ решила вовсем отменить сертификацию криптобиблиотек и криптопровайдеров. Точнее прекратить согласовывать ТЗ на них. Это приведет к скорому (с 2015-го года примерно) прекращению действия старых сертификатов и необходимости сертификации изделий с встроенной криптографией целиком. Пока сложно оценивать последствия данного решения для рынка, но то, что потребитель опять будет поставлен в коленно-локтевую позицию и вынужден будет искать решение данной проблемы самостоятельно, - это точно. Одним из таких решений может быть полная отвязка СКЗИ от прикладной системы и использование либо централизованных "крипто-серверов", либо иных прокси-схем, позволяющих разделить криптографию и использующую ее прикладную систему.
Ну и наконец последняя новость, которую я забыл упомянуть в понедельник, говоря о новациях ФСТЭК. Речь идет о пресловутом ПП-584 о защите информации в платежных системах. И хотя действует оно уже почти 2 года, про него многие забыли, т.к. оно имеет рамочный характер и регуляторы в лице ФСТЭК и ФСБ не шибко следят за его соблюдением. Точнее не шибко следили, т.к. ситуация начинает меняться. Помните мою заметку полуторагодовой давности про логику регуляторов при разработке нормативных актов? Так вот с ПП-584 ситуация аналогичная. В ФЗ-161 и ПП-584 написано, что контроль и надзор за выполнением требований по защите информации, установленных ПП-584, осуществляют ФСТЭК и ФСБ в рамках своих полномочий? Написано! Ну так власти решили спросить с регуляторов, а как они осуществляют надзор? Поэтому будьте готовы к тому, что начнутся проверки по данной тематике.
Не могу сказать, что ПП-584 сложно в реализации. Оно достаточно высокоуровнево, чтобы опасаться глубоких проверок. Но эта высокоуровневость может сыграть и злую шутку - требования-то расплывчаты. Со стороны ФСТЭК я не жду особых проблем, а вот что думает ФСБ - тайна за семью печатями. Они могут забить на надзор по этой тематике, а могут рьяно взяться за дело. Ведь по теме ПДн ни у ФСТЭК, ни у ФСБ нет полномочий проводить надзорные мероприятия. А по ПП-584 есть!
Начну с проекта приказа ФСБ по защите персональных данных. Из 120 полученных 8-м Центром предложений принята только шестая часть (предположу, что незначительных). В конце февраля проект приказа с правками должен быть опубликован. Это спустя больше года с момента его разработки - я проект видел еще в конце 2012-го года. И если ФСТЭК свой приказ смогла доработать и утвердить к февралю 2013-го года, то 8-й Центр до сих пор чего-то ждет. Хотя никаких серьезных изменений в проекте приказа не планируется - обязательная сертификация СКЗИ останется и подход этот меняться не будет. Сразу возникнет вопрос применения СКЗИ для платежных терминалов и банкоматов, принимающих оплату услуг ЖКХ или иных аналогичных, в которых могут фигурировать ПДн не только в полях "отправитель" или "получатель". Те, кто уже реализовал проекты по PCI DSS, готовы все переделывать и менять несертифицированную криптографию, разрешенную в рамках PCI DSS, на сертифицированную?.. Почему-то на самом форуме в сторону 8-ки этот вопрос не прозвучал :-( Кто-то постеснялся. Кто-то побоялся. Кто-то заранее предсказал реакцию и не стал зря тратить время. Итог неутешителен - регулятор в лице 8-го Центра считает, что раз нет вопросов, то и проблем нет.
После выступления представителя 8-го Центра в блиц-сессии вопросов и ответов их часть коснулась и актуальных угроз. В очередной раз прозвучала мысль о том, что актуальность типов угроз определяет сам оператор ПДн. А вот на вопрос о том, не планирует ли 8-й Центр разработать методичку по моделированию угроз, а то и сами типовые модели угроз, Простов В.М. ответил, что нет, не планирует, и даже не видит смысла в разработке такой методики, если любой оператор ПДн может пойти к лицензиату и заказать такую услугу. ФСТЭК видит такую необходимость и готовит этот документ, а ФСБ не видит...
Я сразу представил, что детсад, в который ходит моя дочь, прямо побежит к немногочисленным лицензиатам ФСБ с целью потратить и так незначительные бюджетные средства на формирование модели угроз. А потом этот же детсад вынужден будет приобретать сертифицированные СКЗИ, т.к. он настолько "продвинутый", что предлагает родителям функцию удаленного видеонаблюдения за детьми через Интернет. Руководство 8-го Центра, которое и затевает эти инициативы по обеспечению национальной безопасности и поддержки отечественного производителя, видимо, никогда не пыталось спроецировать свои требования на жизнь свою и своих близких, посещающих детсады, школы, поликлиники, собесы, Интернет-магазины и т.п.
Пожалуй, это и все, что удалось вытянуть из 8-го Центра. Было еще парочку высказываний, но по ним я пройдусь чуть позже. А вот в кулуарах я узнал еще одну интересную информацию, подтвержденную тремя источниками. ФСБ готовит очередную революцию в части сертификации СКЗИ. Ввиду полного игнорирования многими разработчиками прикладных систем (АБС и иже с ними) требований по корректности встраивания, которые прописаны в ТУ и формулярах на СКЗИ, ФСБ решила вовсем отменить сертификацию криптобиблиотек и криптопровайдеров. Точнее прекратить согласовывать ТЗ на них. Это приведет к скорому (с 2015-го года примерно) прекращению действия старых сертификатов и необходимости сертификации изделий с встроенной криптографией целиком. Пока сложно оценивать последствия данного решения для рынка, но то, что потребитель опять будет поставлен в коленно-локтевую позицию и вынужден будет искать решение данной проблемы самостоятельно, - это точно. Одним из таких решений может быть полная отвязка СКЗИ от прикладной системы и использование либо централизованных "крипто-серверов", либо иных прокси-схем, позволяющих разделить криптографию и использующую ее прикладную систему.
Ну и наконец последняя новость, которую я забыл упомянуть в понедельник, говоря о новациях ФСТЭК. Речь идет о пресловутом ПП-584 о защите информации в платежных системах. И хотя действует оно уже почти 2 года, про него многие забыли, т.к. оно имеет рамочный характер и регуляторы в лице ФСТЭК и ФСБ не шибко следят за его соблюдением. Точнее не шибко следили, т.к. ситуация начинает меняться. Помните мою заметку полуторагодовой давности про логику регуляторов при разработке нормативных актов? Так вот с ПП-584 ситуация аналогичная. В ФЗ-161 и ПП-584 написано, что контроль и надзор за выполнением требований по защите информации, установленных ПП-584, осуществляют ФСТЭК и ФСБ в рамках своих полномочий? Написано! Ну так власти решили спросить с регуляторов, а как они осуществляют надзор? Поэтому будьте готовы к тому, что начнутся проверки по данной тематике.
Не могу сказать, что ПП-584 сложно в реализации. Оно достаточно высокоуровнево, чтобы опасаться глубоких проверок. Но эта высокоуровневость может сыграть и злую шутку - требования-то расплывчаты. Со стороны ФСТЭК я не жду особых проблем, а вот что думает ФСБ - тайна за семью печатями. Они могут забить на надзор по этой тематике, а могут рьяно взяться за дело. Ведь по теме ПДн ни у ФСТЭК, ни у ФСБ нет полномочий проводить надзорные мероприятия. А по ПП-584 есть!
Вот вкратце новости с Уральского форума по теме ФСБ. Следующая заметка будет касаться нововведений со стороны Банка России.
