Вчерашняя заметка в ТАСС об ответе ФСТЭК на запрос депутата Костунова по поводу защиты персональных данных на сайтах госорганов наделала немного шума. Еще бы - в одном материале намешали в кучу и 21-й и 17-й приказы ФСТЭК, и 260-й Указ Президента, и 378-й приказ ФСБ вместе с ПКЗ-2005... Попробуем разобраться и понять, что же имел ввиду депутат и что ему ответили.
Не видя исходного запроса Костунова сложно понять, что он спросил, но судя по всему, он заинтересовался тем, как персональные данные граждан России защищаются в рамках оказания государственных или муниципальных услуг. Свой запрос он направил в ФСТЭК, что само по себе удивительно, так как обычно депутаты не всегда знакомы с этой аббревиатурой, считая, что безопасностью, включая и информационную, у нас в России занимается ФСБ. Но запрос ушел в сторону ФСТЭК и ФСТЭК ответила... Ответ их был достаточно интересен. Если верить ТАСС, то ФСТЭК ни слова не сказав про незащищенность госорганов сайтов, переведя стрелки в плоскость незащищенности персданных в процессе передачи данных. По сути, ФСТЭК переложила всю ответственность на 8-й Центр ФСБ, который и отвечает у нас за вопросы шифрования персональных данных.
Зная про "любовь" двух ведомств друг к другу, такой ответ ФСТЭК, да еще и публичный (было очевидно, что депутат обязательно доведет его до СМИ), выглядит это немного странно. Раньше регуляторы не любили выносить сор из избы и старались все свои конфликты или иные несогласия не выносить на публику. Можно, конечно, предположить, что это пир во время чумы, то есть во время административной реформы , во время которой ФСТЭК прекратит свое существование. Но это будет совсем уж конспирологическая версия. Да и что гадать; правды мы все равно не узнаем.
Возможно просто ФСТЭК больше нечего было сказать. Ведь то, что сайты, и не только госорганов, уязвимы известно давно. Та же Positive Technologies выпускает ежегодные свои отчеты по защищенности веб-приложений и положительной динамики в них не наблюдается. То есть дыры есть и через них можно проникнуть на сайт в том числе и госоргана и украсть персданные граждан. Почему тогда ФСТЭК не упоминает про защиту сайтов, сославшись только на свой 17-й приказ? Тут все просто. Слишком много разных требований ложится на сайт госоргана с точки зрения информационной безопасности. Я уже как-то писал про это. И писали эти требования не только в ФСТЭК, но и в ФСБ, Минкомсвязи, Минэкономразвития... А как известно у семи нянек дитя без глазу. По сути, никаких специальных документов по защите сайтов госорганов и органов местного самоуправления в России до сих пор не принято и каждый защищает их во что горазд.
Дальше больше. ФСТЭК упоминает про майский Указ Президента о госсегменте сети Интернет, управляемом ФСО. Я про него тоже уже писал . Почему-то ФСТЭК и депутат Костунов считают, что реализация этого приказа должна улучшить состояние защищенности персональных данных россиян. Но это так только в случае передачи этих данных между госорганами или от госоргана до "гособлака", о котором я писал недавно (и то, при соответствующей модели нарушителя). К сайту госоргана этот шифрованный канал никакого отношения не имеет. На сайте-то у нас данные не шифруются (если только не на уровне СУБД). И уж тем более странно было читать высказывание депутата про якобы вытекающее из приказа ФСТЭК №21 и Указа Президента №260 шифрование от сайта госоргана до компьютера или мобильного устройства гражданина. В документах этого нет.
Я скажу больше. Госорганы как черт от ладана бегут от использования сертифицированного шифрования при защите персональных данных граждан. Три года назад я уже пытался выяснить этот вопрос в госорганах, направив соответствующие запросы в ФСТЭК, Роскомнадзор, Правительство, ФСБ и другим. Самым корректным был ответ от Минпромторга, который я не ленюсь демонстрировать до сих пор. В отличие от ответов РКН ( слайды 28 и 29 ) на запросы субъектов ПДн относительно отсутствия шифрования на сайте РЖД и госуслуг, ответ Минпромторга полностью логичен и юридически корректен. Ну а то, что при этом нарушается дух закона о персональных данных, ну так это давно уже никого не волнует. Особенно орган по защите этих самых прав, который сам первый и не соблюдает законодательство по персданным, не защищая то, что ему отправляют граждане через форму обращения.
Что касается уравнивания сайта и государственной информационной системы, которое сделал депутат Костунова, то я это оставлю на его совести. Он, видимо, считает, что они равнозначны, следуя общепринятой позиции . Вот тут, как мне кажется, депутатам бы и поработать - давно уже пора внести ясность в этот термин и дать пояснения по нему. Почему бы все информационные системы в госорганах не отнести к ГИС?.. Было бы гораздо проще. Но нет...
Депутат вышел на ФСТЭК (!) и Минэкономразвития (!!) с инициативой по введению обязательного шифрования персданных россиян при общении с госорганами. Ну а так, как эта тема явно уйдет в ФСБ, а 8-й Центр этой уважаемой структуры уже неоднократно высказывался, что они против отказа от поголовной сертификации СКЗИ и против разделения криптографии на гражданскую и государственную, то в интересах государства требование шифрования ПДн от граждан до сайтов госорганов у нас может перерасти в более жесткую форму 378-го приказа ФСБ с его обязательной сертификацией СКЗИ. И вот тогда мало не покажется. Шутки про создание шифроргана в отдельно взятой квартире уже не будут казаться такими уж и шутками.
Зато требования 8-го Центра по решеткам или ставням на окнах помещений, в которых ведется обработка ПДн, сразу снизят преступность в стране. И это единственный позитивный момент в этой заметке :-)
Не видя исходного запроса Костунова сложно понять, что он спросил, но судя по всему, он заинтересовался тем, как персональные данные граждан России защищаются в рамках оказания государственных или муниципальных услуг. Свой запрос он направил в ФСТЭК, что само по себе удивительно, так как обычно депутаты не всегда знакомы с этой аббревиатурой, считая, что безопасностью, включая и информационную, у нас в России занимается ФСБ. Но запрос ушел в сторону ФСТЭК и ФСТЭК ответила... Ответ их был достаточно интересен. Если верить ТАСС, то ФСТЭК ни слова не сказав про незащищенность госорганов сайтов, переведя стрелки в плоскость незащищенности персданных в процессе передачи данных. По сути, ФСТЭК переложила всю ответственность на 8-й Центр ФСБ, который и отвечает у нас за вопросы шифрования персональных данных.
Зная про "любовь" двух ведомств друг к другу, такой ответ ФСТЭК, да еще и публичный (было очевидно, что депутат обязательно доведет его до СМИ), выглядит это немного странно. Раньше регуляторы не любили выносить сор из избы и старались все свои конфликты или иные несогласия не выносить на публику. Можно, конечно, предположить, что это пир во время чумы, то есть во время административной реформы , во время которой ФСТЭК прекратит свое существование. Но это будет совсем уж конспирологическая версия. Да и что гадать; правды мы все равно не узнаем.
Возможно просто ФСТЭК больше нечего было сказать. Ведь то, что сайты, и не только госорганов, уязвимы известно давно. Та же Positive Technologies выпускает ежегодные свои отчеты по защищенности веб-приложений и положительной динамики в них не наблюдается. То есть дыры есть и через них можно проникнуть на сайт в том числе и госоргана и украсть персданные граждан. Почему тогда ФСТЭК не упоминает про защиту сайтов, сославшись только на свой 17-й приказ? Тут все просто. Слишком много разных требований ложится на сайт госоргана с точки зрения информационной безопасности. Я уже как-то писал про это. И писали эти требования не только в ФСТЭК, но и в ФСБ, Минкомсвязи, Минэкономразвития... А как известно у семи нянек дитя без глазу. По сути, никаких специальных документов по защите сайтов госорганов и органов местного самоуправления в России до сих пор не принято и каждый защищает их во что горазд.
Дальше больше. ФСТЭК упоминает про майский Указ Президента о госсегменте сети Интернет, управляемом ФСО. Я про него тоже уже писал . Почему-то ФСТЭК и депутат Костунов считают, что реализация этого приказа должна улучшить состояние защищенности персональных данных россиян. Но это так только в случае передачи этих данных между госорганами или от госоргана до "гособлака", о котором я писал недавно (и то, при соответствующей модели нарушителя). К сайту госоргана этот шифрованный канал никакого отношения не имеет. На сайте-то у нас данные не шифруются (если только не на уровне СУБД). И уж тем более странно было читать высказывание депутата про якобы вытекающее из приказа ФСТЭК №21 и Указа Президента №260 шифрование от сайта госоргана до компьютера или мобильного устройства гражданина. В документах этого нет.
Я скажу больше. Госорганы как черт от ладана бегут от использования сертифицированного шифрования при защите персональных данных граждан. Три года назад я уже пытался выяснить этот вопрос в госорганах, направив соответствующие запросы в ФСТЭК, Роскомнадзор, Правительство, ФСБ и другим. Самым корректным был ответ от Минпромторга, который я не ленюсь демонстрировать до сих пор. В отличие от ответов РКН ( слайды 28 и 29 ) на запросы субъектов ПДн относительно отсутствия шифрования на сайте РЖД и госуслуг, ответ Минпромторга полностью логичен и юридически корректен. Ну а то, что при этом нарушается дух закона о персональных данных, ну так это давно уже никого не волнует. Особенно орган по защите этих самых прав, который сам первый и не соблюдает законодательство по персданным, не защищая то, что ему отправляют граждане через форму обращения.
Что касается уравнивания сайта и государственной информационной системы, которое сделал депутат Костунова, то я это оставлю на его совести. Он, видимо, считает, что они равнозначны, следуя общепринятой позиции . Вот тут, как мне кажется, депутатам бы и поработать - давно уже пора внести ясность в этот термин и дать пояснения по нему. Почему бы все информационные системы в госорганах не отнести к ГИС?.. Было бы гораздо проще. Но нет...
Депутат вышел на ФСТЭК (!) и Минэкономразвития (!!) с инициативой по введению обязательного шифрования персданных россиян при общении с госорганами. Ну а так, как эта тема явно уйдет в ФСБ, а 8-й Центр этой уважаемой структуры уже неоднократно высказывался, что они против отказа от поголовной сертификации СКЗИ и против разделения криптографии на гражданскую и государственную, то в интересах государства требование шифрования ПДн от граждан до сайтов госорганов у нас может перерасти в более жесткую форму 378-го приказа ФСБ с его обязательной сертификацией СКЗИ. И вот тогда мало не покажется. Шутки про создание шифроргана в отдельно взятой квартире уже не будут казаться такими уж и шутками.
Зато требования 8-го Центра по решеткам или ставням на окнах помещений, в которых ведется обработка ПДн, сразу снизят преступность в стране. И это единственный позитивный момент в этой заметке :-)
