О приказе ФСБ по защите персональных данных

О приказе ФСБ по защите персональных данных
Точнее, о его проекте с длинным названием " Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности ", который выложен для публичного обсуждения, который давеча мне удалось почитать, и о своих предложениях, которые можно отправить авторам манускрипта аж до 21.10.2013 года, хочу поведать в этом посте.

Название проекта НПА от ФСБ очень похоже на название приказа ФСТЭК № 21 , и первый вопрос, который возник у меня - что первично? Иными словами - должен ли я выполнять приказ ФСТЭК, если я использую СКЗИ, и наоборот? Если вы помните название приказа ФСТЭК № 21 - это хорошо. Если нет - я напомню: "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". Судя про названию, 21-й приказ ФСТЭК устанавливает общие для всех требования, а проект приказа ФСБ "навешивает" на них "организационные и технические меры", связанные с СКЗИ. Это подтверждает и пункт 2 приказа 21 - "В настоящем документе не рассматриваются ... меры, связанные с применением шифровальных (криптографических) средств защиты информации". Да и пункт 2 проекта красноречиво свидетельствует о распространении НПА исключительно на тех операторов, кто "использует СКЗИ для обеспечения безопасности ПДн". Что ж - "довесок" так "довесок", будем рассматривать все меры, которые указаны в проекте НПА ФСБ, через призму СКЗИ.

Сначала - о комфорте прочтения. Он присутствует, за небольшим исключением в виде пунктов 9 - 12. Ну зачем, скажите на милость, выносить общетеоретические рассуждения о том, как выбирать классы СКЗИ в зависимости от "совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак" в раздел требований для 4 уровня защищенности, если для того же уровня в пункте 9.В четко указан класс "КС1 и выше"? Первое предложение - с целью улучшения структуры и читаемости документа, вынести пункты 9 - 12 (за исключением пункта 9.В) к чертовой матери в раздел I, и разместить их после пункта 4 - раз уж это кому-нибудь интересно. Мне - нет, только мозги себе сломал, пока пытался разобраться в витиеватых словарных конструкциях чьей-то диссертации столетней давности.

Идем дальше. Так уж сложилось, что ведомственный НПА не может расширить требования, указанные в Законе или постановлении Правительства РФ. Речь, конечно, идет о 152-ФЗ и ПП-1119 . Зато может их конкретизировать, что, собственно, уважаемые коллеги из ФСБ пытаются сделать. Вот, например, для УЗ-4 предлагается сделать все, что написано в ПП-1119. И это понятно - ПП есть ПП, никуда не денешься. Но давайте вспомним - в каких случаях ИСПДн присваивается УЗ-4? Первый вариант - "для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора". Здесь, вроде бы, вопросов нет.

А вот второй вариант - "для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные" - вызывает один, но очень большой вопрос: ЗАЧЕМ? Зачем обеспечивать исключительно санкционированный доступ в помещения, хранение носителей ПДн в сейфах с двумя внутренними замками, разделять доступ к ПДн и СКЗИ класса КС1 - иными словами применять меры, направленные больше на обеспечение конфиденциальности, нежели целостности и доступности, по отношению к ОБЩЕДОСТУПНЫМ данным, не требующим обеспечения конфиденциальности? Второе предложение - уточнить, что требования пунктов 6 - 9 проекта НЕ распространяются на ИСПДн, обрабатывающие общедоступные персональные данные, в связи с отсутствием необходимости обеспечения их конфиденциальности.

Теперь о том, что из ПП-1119 и как "конкретизировали" уважаемые коллеги из ФСБ. Напомню, мы смотрим на проект документа через призму СКЗИ по методу "нет криптографии - выполняй требования ФСТЭК, есть криптография - выполняй и требования ФСТЭК, и требования ФСБ". Начнем с УЗ - 4. Требование п. 13.А ПП-1119 о безопасном доступе в помещения есть и в приказе 21 в разделе XII.ЗТС, однако там речь идет лишь о наличии контроля и управления доступом, плюс защите от несанкционированного просмотра. Но как только у вас появляется СКЗИ - так тут же появляются привычные глазу старого режимщика пластилиновые слепки, тубы с печатями и прочая атрибутика 70-х годов прошлого века. Предложение 3: исключить из п. 6.А фразу "а также опечатывания Помещений по окончании рабочего дня" как меру, не имеющую отношение к СКЗИ и существенно усложняющую работу операторов. Это смешно.

Требование к обеспечению сохранности носителей персональных данных, развернутое в приказе ФСТЭК № 21 в разделе IV.ЗНИ (в котором, кстати, "учет машинных носителей информации" становится обязательным только для УЗ-2 и выше), с появлением СКЗИ тоже претерпевает метаморфозу: оператор становится обязан везде таскать с собой "сейфы (металлические шкафы), оборудованные внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками", и хранить в них ВСЕ БЕЗ ИСКЛЮЧЕНИЯ носители информации.

Позвольте, коллеги - но зачем тогда СКЗИ, раз требования только ужесточаются? Я-то, дурак, наивно полагал, что криптография решает многие проблемы с обеспечением безопасности данных: применительно к нашему кейсу - зашифровал все носители и дело с концом. В чем тогда смысл криптографии? Я бы понял еще, если бы предлагалось убирать в сейф неиспользуемые носители ключевой информации - но зачем убирать носители ПДн? Или ГОСТовый алгоритм настолько нестоек? Или мы чего-то не знаем? Расскажите, как это сделать, например, в iPad? Предложение 4 - в связи с невозможностью реализации применительно к сотовым телефонам, планшетам, ноутбукам и прочим носителям информации, являющимся неотъемлемой частью СВТ, меру, описанную в п. 7.А исключить из текста проекта. И я уж молчу. что эта мера к СКЗИ тоже не имеет никакого отношения.

Пункт 18 проекта порадовал свей оригинальностью. Помните требование из ПП-1119 про "назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе"? Согласно проекта НПА, это самое "должностное лицо" должно обладать - внимание - "достаточными навыками". ДОСТАТОЧНЫМИ - это какими? Кто оценивает их достаточность? По каким критериям - 100 часов, 500 часов, 1500 часов и три года рабства? Помилосердствуйте, это же официальный документ! Предложение 5: в п. 18 присутствует субъективное оценочное суждение - "достаточные навыки", необходимо конкретизировать критерии определения их достаточности.

А вот в пункте 24 проекта я обнаружил небольшой "перебор". Дело в том, что п. 16 ПП-1119 для УЗ-1 предусмотрено требование "регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе". Оно же, фактически, дублируется в п. 24.А проекта, но в подпунктах Б и В - расширяется: помимо собственно изменения полномочий, авторы настаивают на отражении самих полномочий, и назначении лица, ответственного за ежемесячную сверку полномочий и должностных обязанностей. Напомню, в приказе ФСТЭК № 21 эта мера описана, в частности, в УПД.4 и АНЗ.5, но и там такого нет. Вот тебе, бабушка, и СКЗИ - опять ужесточение, и опять не имеющее отношение к СКЗИ! Эх... Но, в любом случае, расширять постановление Правительства ведомственному акту, в общем-то, не положено, поэтомупредложение 6 - исключить п.п. Б и В п. 24 проекта как необоснованно расширяющие требования п. 16 постановления Правительства РФ № 1119.

Пункт 25, так же, как и пункт 18, несомненно, достоин похвалы. Помните про "отдельное структурное подразделение, ответственное за безопасность ПДн" для УЗ-1 в ПП-1119? Знаете, как его создать? А вот проект НПА - знает. Все просто: делай ррраз - "проведи анализ целесообразности", делай два - "создай" если целесообразно, если нет - делай три, "возложи ответственность на существующее". И ни тебе требований к составу, ни к численности, ни к квалификации этого подразделения, не говоря уж о функциях, задачах и смысле его существования. Раз-два-три: чай - не дураки, сами разберутся. Ндааа... Что ж,предложение 7: конкретизировать требования к составу и квалификации сотрудников подразделения, ответственного за обеспечение безопасности ПДн, указанного в п. 25 проекта.

И, наконец, пункт 26. Как же любы глазу старого режимщика "металлические решетки или ставни" на дверях и окнах "помещений, находящихся на первых и последних этажах зданий, около пожарных лестниц и других мест". Зная рвение наших руководителей, это все будет воспринято буквально (еще и потому, что дешево). А ведь именно из этих самых окон и дверей пытаются выбраться люди во время пожара. В том числе постояльцы домов престарелых и пациенты психиатрических лечебниц (а как раз там УЗ-1), но они все будут вынуждены погибнуть от огня и угарного газа из-за защиты собственных ПДн... Может, хватит уже делать ПДн-щину главнее всего на свете? Предложение 8: исключить фразу "металлическими решетками и ставнями" из п.п. А п. 26 и фразу "металлическими решетками" из п.п. Б как меры, не соответствующие требованиям пожарной безопасности. Знаю, сам весил, открывающиеся - пришли пожарники и все заставили убрать. И никакие СКЗИ не помогут. Кстати, они здесь тоже не при чем.

Что сказать в целом про документ? Можно было сократить его ровно до одной таблицы соответствия класса СКЗИ уровню защищенности, без ущерба качеству и смысловой нагрузке. "Натягивая" сертифицированный ГОСТ на все без исключения ПДн, уважаемые коллеги из ФСБ, как это не прискорбно, глядят на мир исключительно из окна своего служебного кабинета и не хотят принимать реалий современного мира. Зачем это делать, если потом сами же будут отказываться отвечать на неудобные вопросы про "забугорную криптуху" на сайте gosuslugi.ru и "втихаря" разрешать отдельным категориям операторов ею пользоваться? Может, пора уже легализовать официально ввезенную криптографию для использования в гражданских сферах (не имеющих отношения к гостайне) и начать ею управлять, а не прятаться за бетонной стеной сертифицированного ГОСТа и, регулируя, делать вид, что ничего не происходит?

Что ж, давайте попробуем. Предложение 9: в связи с повсеместным использованием средств криптографической защиты информации, официально ввезенных на территорию РФ, но не прошедших сертификацию, для сбора, обработки и передачи персональных данных на сайтах государственных ведомств (nalog.ru, gosuslugi.ru и др.), в системах банк-клиент и др., предлагается указать в п. 9 пп. В, п. 19 и п. 22 "СКЗИ класса КС1 и выше или СКЗИ, официально ввезенные на территорию РФ в случаях, когда для информационной системы актуальны угрозы 3 типа".

Примут - хорошо. Не примут - пусть живут, как хотят. Как нам с вами жить, если документ выйдет в таком виде, как сейчас? Все очень просто: учитывая формулировку п. 2, не стоит декларировать, что вы используете СКЗИ для защиты ПДн. Декларируйте, что используете их для чего-то другого - и живите спокойно, выполняя куда более адекватные требования ФСТЭК. И шут с ней, с этой ГОСТовой криптографией: лишь бы утечек не было, да субъекты были довольны.
фсб персональные данные
Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!