Security Lab

43-я редакция проекта приказа ФСБ по ПДн - адский ад

43-я редакция проекта приказа ФСБ по ПДн - адский ад
Вот опять не выдержал и опять буду критиковать 8-й Центр ФСБ :-) Ну а как иначе? Не получается смотреть на то, что они делают и молчать. Выпущена уже 43-я редакция проекта приказа по защите ПДн. Нужное вроде бы дело. Все давно ждут этот документ; уже скоро 1,5 года как ждут. Все надеются, что документ ответит на основные вопросы, связанные с защитой персональных данных с помощью СКЗИ и у нас наконец-то появится первый официальный и легитимный документ от ФСБ по защите ПДн (а то у нас с момента принятия ФЗ-152 ФСБ на эту тему так ничего официально и не принимало).

У меня история взаимоотношений с этим документом давняя. Его впервые начала обсуждать еще в 2010-м году, когда руководство 8-го Центра санкционировало сбор предложений и мнений по имеющимся тогда двум нелегитимным методичкам. Мнения были высказаны и в немалом количестве. Уже тогда я обращал внимание на то, что выбранный 8-м Центром подход слишком жесток в отношении 99% операторов ПДн. Требования ФСБ не в состоянии не то, что выполнить, но и понять абсолютное большинство поликлиник, детсадов, школ, собесов, муниципальных учреждений, предприятий малого и среднего бизнеса. Худо-бедно требования 8-го Центра способны понять и местами попробовать выполнить только крупные организации, имеющие и бюджеты и выделенных людей на ИБ. Да и то, даже они не всегда способны взять и перевести все свои взаимодействия, в рамках которых осуществляется передача ПДн, на рельсы исключительно сертифицированных СКЗИ. Особенно тогда, когда сертифицированных СКЗИ нет и даже не предвидится .

Если сравнить действия 8-го Центра ФСБ с 2-м Управлением ФСТЭК, то картина складывается далеко нерадужная и не в пользу "криптографов". Работа над проектами своих приказов по защите ПДн в соответствие с последней редакцией ФЗ-152 ФСТЭК и ФСБ начинали одновременно - в 2011-м году. К концу 2012-го года у обоих ведомств проекты в той или иной степени готовности были уже готовы. Скажу даже больше. ФСТЭК начала работу с бОльшим опозданием, т.к. как я уже написал выше 8-й Центр свой приказ стал готовить задолго до обновления ФЗ-152, желая придать своим двум методичкам более официальный статус. Поэтому у них была серьезная фора, которой воспользоваться им не удалось. ФСТЭК активно привлекла внешних экспертов из разных отраслей и организаций для обсуждения проекта своего приказа и прислушалась к большинству рекомендаций и предложений экспертов. 8-й Центр поступил еще круче - затеял процедуру общественного обсуждения  проекта своего приказа на сайте regulation.gov.ru, тем самым существенно расширив число потенциальных экспертов. Вот только эффект получился совершенно иной - и число желающих поработать "в одну сторону" с ФСБ было немного и сам 8-й Центр проигнорировал почти все все здравые предложения и замечания к проекту приказа. ФСТЭК уже в прошлом феврале имела на руках утвержденный текст приказа с мерами по защите ПДн (а приказ ФСТЭК гораздо шире, чем документ 8-го Центра), а юристы ФСБ до сих пор пытается вычитывать запятые, штампуя редакцию за редакцией, так и не меняя ее сути.

Складывается впечатление, что задачи выпустить что-то адекватное у 8-го Центра в принципе нет. Иначе я просто не могу оценивать 43-ю редакцию приказа, которая на днях оказалась доступна экспертам для очередного витка обсуждения. И ведь в процессе блиц-дискуссии представителям 8-го Центра было высказано все тоже самое, что говорилось в 2010-м, 2011-м, 2012-м и 2013-м годах. Все тоже самое! Ничего нового! Ну как так можно?

В октябре я уже делал оценку  предыдущей редакции проекта приказа ФСБ. Если сравнить ее с 43-й редакцией, то часть предложений, конечно, была учтена, но далеко не все. В частности, было исправлено следующее:

  • Помимо оснащения помещения дверей с замками и их опечатывания помещений по окончании рабочего дня, теперь можно помещения просто оснастить техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений.
  • Теперь ясно, что список лиц, допущенных в помещения, в которых ведется обработка ПДн, может включать и должности, а не только ФИО, как иногда считалось раньше. Я так никогда не считал, но теперь хоть появилась ясность в этом вопросе. Зато остался нерешенным вопрос о том, как регламентировать порядок доступа посетителей в помещения, в которых ведется обработка ПДн, если это помещение - торговый центр на несколько тысяч квадратных метров?
  • Вместо хранения всех носителей ПДн (включая бумажные, сервера, сетевое оборудование и т.п.), теперь в проекте приказа говорится только о съемных машинных носителях. Если на съемных носителях ПДн зашифрованы, то хранить их можно вне сейфов (металлических шкафов). Налицо прогресс, но в самой ФСБ все ПДн хранятся только в сейфах или металлических шкафах? Ой, что-то берут меня сомнения в этом. А уж про всякие менее богатые и бюджетные учреждения и речи не идет. А что делать с мобильными передвижными или выносными пунктами? Где будет хранить ПДн сотрудник бригады скорой помощи, выезжающий на старенькой Газели в дальнее село? А сотрудница банка или салона сотовой связи, у которой точка продаж стоит посередине торгового центра?
  • Поэкзмеплярный учет теперь нужно делать не для всех носителей, а только для машинных (но не только съемных). Так что без инвентаризации мобильных устройств, серверов, сетевого оборудования, флешек, видеокамер и т.п. не обойтись.
  • Новый проект приказа уже учитывает новую  систему классификации сертифицированных СКЗИ - в нем убрано деление на КВ1 и КВ2 - оставлен только класс КВ.
  • Для второго уровня защищенности при наличии актуальных угроз 1-го типа теперь надо будет применять СКЗИ класса КА, а не КВ, как было раньше.
Остальные замечания и основные проблемы остались неизменными. Никакой возможности использовать несертифицированную криптографию, даже по согласованию с ФСБ. Практический запрет применения любых open-source решений (точнее не запрет, но обязательство использовать с ними СКЗИ класса КА). Даже при использовании проприетарного ПО с закрытыми исходниками, минимально возможный класс СКЗИ - КС3, т.к. вы не можете гарантировать, что злоумышленник в каком-нибудь торговом или бизнес-центре не получит физического доступа к СВТ, на которых стоят СКЗИ. Это в здании на Лубянке я могу хоть как-то это гарантировать, а в местах, открытых для свободного посещения неограниченного круга лиц - никакой гарантии. И это если еще оператор ПДн по глупости или под давлением интегратора не решил признать у себя актуальными угрозы 1-го или даже 2-го типа. В этом случае - минимально возможный класс используемого СКЗИ - КВ. Я уже проводил экспресс-анализ  сертифицированных в ФСБ СКЗИ - 90% из них не подойдут для защиты ПДн.

За 3 года работы над проектом приказа ситуация так и не сдвинулась с мертвой точки. Как тянул 8-й Центр своими требованиями всех назад, во времена ЗАСов и вертушек, так и тянет. Ни современный бизнес, ни современные госуслуги не смогут жить по предлагаемым требованиям 8-го Центра, который явно или неявно толкает всех операторов ПДн на признание угрозы нарушения конфиденциальности в принципе неактуальной (даже если на самом деле это не так). Только в этом случае можно на законных основаниях не выполнять требования приказа ФСБ. Хотя с собственноручным созданием своей модели угроз тоже не все гладко ...

ЗЫ. Кстати сама ФСБ тоже не соблюдает  требования своего же приказа. При общении через их Web-форму на сайте никакой защиты ПДн, никакого шифрования. Но 8-й Центр у нас всегда жил по своим законам - законы российского государства соблюдать им недосуг. Они делают великое дело - вежливо обеспечивают национальную безопасность, забивая на интересы рядовых граждан и бизнеса. 
Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться