Как будет строиться защита ПДн по версии ФСБ?

Как будет строиться защита ПДн по версии ФСБ?
Пока эксперты начали осмысливать вчерашнее информационное сообщение ФСТЭК "Об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных" от 20 ноября  2012 г. № 240/24/4669, я позволю себе обратиться к области регулирования ФСБ и посмотреть на то, как могут транслироваться требования ФСБ по части применения шифровальных средств в зависимости от типа угроз.

Кто видел первый вариант проекта Постановления Правительства об установлении уровней защищенности, тот помнит, что там не было типов угроз, а были категории нарушителей. И хотя это явно нигде не упоминалось, но связь между тремя категориями нарушителей в проекте Постановления Правительства и шестью моделями угроз была вполне себе очевидной.


Правительство при согласовании текстов постановлений указало ФСБ на то, что категории нарушителей - категории непонятные и в ФЗ-152 неописанные, а следовательно их надо убирать. Но ФСБ поступило проще - она заменила термин "категория нарушителя" на "уровень угроз", не поменяв их сути. Та же привязка к использованию недекларированных возможностей. В такой формулировке Правительство уже никаких претензий не имели, т.к. речь шла об актуальных угрозах, которые худо бедно, но в ФЗ-152 упоминались.

Ну а дальше все просто. Т.к. в документах ФСБ с требованиями к СКЗИ и ЭП есть четкая связь между 6-тью моделями нарушителей и 6 классами защиты СКЗИ (от КС1 до КА1), то эта же связь перекладывается и на типы угроз. Иными словами, для угроз типа 3 (неактульны НДВ вообще) скорее всего должны будут применяться СКЗИ КС1-КС3, для угроз 2-го типа - СКЗИ КВ1-КВ2, а для угроз 1-го типа - СКЗИ КА1.


Ну и данная картинка лишний раз иллюстрирует мое мнение (кстати, подтверждаемое общением с коллегами из ФСТЭК и ФСБ), что актуальность угроз определять будет сам оператор ПДн и угрозы НДВ будут актуальны только в очень специфичных ситуациях и для очень небольшого круга заказчиков.

Правда, это все равно не снимает с регуляторов задачи описать, как с угрозами НДВ бороться. Но ждать осталось в любом случае недолго - документ ФСТЭК мы увидим до 7-го декабря. Документ ФСБ - тоже до этого времени. Правительство тоже не дремлет и контролирует выпуск документов во исполнение ПП-1119.
криптография ФСБ персональные данные
Alt text

Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!