Как корабль назовете - так и поплывет

Просила намедни одна знакомая помочь ей с заполнением уведомления в Роскомнадзор. Магазин у нее небольшой по продаже парфюмерно-косметической продукции и, хоть работает он под вывеской известного бренда, в реальности это - обычная франшиза. Таким образом, мы имеем отдельное, самостоятельное юридическое лицо со всеми вытекающими. И все бы ничего, но юрлицо это обязано по договору франшизы оформлять клиентам дисконтные карты, с передачей их персональных данных, что называется, в "центр". Надо отдать должное этому самому "центру" - во всех анкетах предусмотрены соответствующие пункты-согласия, разработан полный комплект документации ("центр" прислал типовые формы - она только подписывала), на рабочих станциях - пароли и антивирус, а с "центром" организован VPN через железку, выполняющую и функции межсетевого экрана. Правда, приобреталось и настраивалось все это добро за кровные хозяйки магазина - но ничего не поделаешь: иначе, по ее словам, "центр" лишил бы ее франшизы. Проблема заключалась в том, что в комплекте документов, присланных "центром", было все (даже образец акта классификации), кроме типовой формы уведомления. "Центр" сообщил, что уведомление можно заполнить на сайте Роскомнадзора, все исходные данные для этого есть в документах. Вот этим, собственно, мы и стали заниматься. Исходные данные действительно были в документах. Дойдя до пункта "Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке", в документе под названием "Политика информационной безопасности" я отыскал следующее: 11. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ 11.1. Защита персональных данных физических лиц организуется в соответствии с требованиями законодательства РФ и достигается с помощью организационных мер и технических средств. 11.2. Организационные меры защиты персональных данных определяются "Положением по организации системы защиты персональных данных". 11.3. Защита ПДн, обрабатываемых в ИСПДн организации, осуществляется техническими средствами, реализующими: защиту СВТ ИСПДн от несанкционированного доступа (см. п. 7.1);защиту СВТ ИСПДн от вредоносного кода (см. п. 7.3);защиту ИСПДн от внешних угроз посредством межсетевого экранирования (см. п. 7.2);защиту каналов связи, по которым передаются ПДн (см. п. 7.4);Пункт 7.1 Политики говорит о парольной защите рабочих станций: в нем указаны требования, предъявляемые к сложности пароля, частоте его смены и аудите событий ОС. Пункт 7.3, как многие уже догадались - об антивирусном ПО. С пунктом 7.2 все понятно. Самый большой интерес вызывает пункт 7.4, я привожу его с небольшими изменениями: Для предотвращения несанкционированного доступа в корпоративную сеть "центра" используются средства защиты каналов связи, основанные на технологии VPN. Создание и администрирование защищенных каналов связи для организации удаленного доступа в корпоративную сеть является исключительной прерогативой "центра". Использование средств удаленного доступа в корпоративную сеть "центра" любыми другими лицами в любых целях не допускается. Тут же в моей памяти пронеслось все прочитанное мной на форумах и блогах про криптографию, VPN-ы, SSL-и связанные со всем этим баталии. Тут же я вспомнил требования ФСБ, для обеспечения безопасности персональных данных при их обработке в информационных системах предписывающие использовать криптосредства, сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации), и один из постов Алексея Лукацкого под названием "шифрование и обезличивание", где Алексей предлагает поиграть терминологией. И поразился красоте решения... Оказывается, VPN построен не для того, чтобы обеспечивать безопасность ПДн - он был организован ДЛЯ ЗАЩИТЫ КАНАЛОВ СВЯЗИ, а это, в свою очередь, необходимо ДЛЯ ПРЕДОТВРАЩЕНИЯ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В КОРПОРАТИВНУЮ СЕТЬ. А это означает, что железка эта находится не в ведомстве ФСБ, так как формально не предназначена для шифрования данных, а в ведомстве ФСТЭК, поскольку цель ее установки - защищать канал от НСД! Кроме того, немного изменив формулировки, аналогичную логику можно использовать и для SSL. Если бы у меня на фото в профиле была надета шляпа, я бы поработал в Фотошопе и "снял"ее: браво, коллеги из "центра"! А что думаете Вы, дорогие читатели блога?