9 Сентября, 2014

Что делать с новым приказом ФСБ по персданным?

Алексей Лукацкий
Как-то незаметно для всех прошла регистрация в середине августа приказа  ФСБ "по персданным" (он же приказ №378 от 10.07.2014), о котором я писал не раз (в частности, тут  и тут ). И поскольку текст финального варианта ничем не отличается от проекта, о котором я писал, то много говорить о приказе не хочется. Тем более, что про него уже отписались Саша Бондаренко  и Сергей Борисов . Но так как меня просили высказаться, то не могу не сказать пару слов :-)

Во-первых, я бы хотел развенчать заблуждение о том, что это приказ о применении СКЗИ для защиты персданных. Это не так. Приказ делится на две части - применение СКЗИ и ответ на до недавнего времени непонятные моменты, связанные с ПП-1119. Что такое режим безопасности помещений? Что такое электронный журнал сообщений? Что такое сохранность ПДн? На все это в приказе №378 даны ответы. Поэтому, даже если вы не применяете СКЗИ, то уйти от выполнения этого приказа ФСБ не удастся, как и от опечатывания помещений, учета машинных носителей ПДн и другой лабуды, которая мало кому помогает в деле защиты ПДн, а в ряде случаев и вовсе неисполнима.

Но приказ есть и с ним надо что-то делать. Что? Могу посоветовать ровно то, что советовали представители 8-го Центра на одном из заседании в Совете Федерации в конце прошлого года, когда мы подняли тему невыполнимости этого приказа. Сказали оно одну простую вещь - "не хотите выполнять приказ, творчески подойдите к процессу формирования модели угроз". Иными словами, представители регулятора решили вовсе не заморачиваться с защитой ПДн, дав всем операторам простой совет - исключите угрозу нарушения конфиденциальности из актуальных и вам не понадобится применение СКЗИ вовсе. Ни сертифицированных, ни несертифицированных. Понятно, что это малость противоречит духу ФЗ-152 в части защиты прав субъектов, но кого эти субъекты и их права волнуют? На них давно уже забили болт даже в Роскомнадзоре, который благополучно разрешил  РЖД считать паспортные данные общедоступными. И Правительство вполне легально и согласно  букве закона не заморачивается применением СКЗИ. Да что уж там. Закон о защите прав субъектов ПДн давно уже переименовали (даже регуляторы) в закон о защите ПДн, подменив суть и закона и его содержания. Но вернемся, к 378-му приказу.

Итак, я рекомендовал бы исключить нарушение конфиденциальности из числа актуальных угроз. Имеете ли вы на это право? Да, вполне. Отраслевых моделей угроз у нас пока нет. Поэтому пишите свои, устраивающие вас. Рекомендую ли я отказаться от защиты прав субъектов ПДн? Нет, не рекомендую. Просто формальный отказ от конфиденциальности, дает вам право также формально отказаться от применения сертифицированных СКЗИ. Иными словами, уйти из под действия регулятора, который за 3 года так и не смог родить адекватные требования по защите ПДн. А вот уйдя из под регулятора, вы уже в своем праве применять любые средства защиты, включая и несертифицированную, но официально ввезенную криптографию.

Вот только от оргмер, прописанных в 378-м приказе и разъясняющих ПП-1119 уйти не удастся - они не зависят от модели угроз. Единственное, что могу посоветовать - исключить из списка типов актуальных угроз первый и второй тип. Тогда вы в 99% случаев попадете под 4-й класс защищенности, который наименее жесток с точки зрения выполнения требований ФСБ.

ЗЫ. Обратите внимание, что приказ пока официально не опубликован, но вспоминая, что последний приказ ФСТЭК (№31) ждал публикации около месяца с момента регистрации, то и с приказом ФСБ, видимо, будет такая же эпопея - к середине-концу сентября, думаю, стоит ждать официального вступления в силу.