У меня история взаимоотношений с этим документом давняя. Его впервые начала обсуждать еще в 2010-м году, когда руководство 8-го Центра санкционировало сбор предложений и мнений по имеющимся тогда двум нелегитимным методичкам. Мнения были высказаны и в немалом количестве. Уже тогда я обращал внимание на то, что выбранный 8-м Центром подход слишком жесток в отношении 99% операторов ПДн. Требования ФСБ не в состоянии не то, что выполнить, но и понять абсолютное большинство поликлиник, детсадов, школ, собесов, муниципальных учреждений, предприятий малого и среднего бизнеса. Худо-бедно требования 8-го Центра способны понять и местами попробовать выполнить только крупные организации, имеющие и бюджеты и выделенных людей на ИБ. Да и то, даже они не всегда способны взять и перевести все свои взаимодействия, в рамках которых осуществляется передача ПДн, на рельсы исключительно сертифицированных СКЗИ. Особенно тогда, когда сертифицированных СКЗИ нет и даже не предвидится.
Если сравнить действия 8-го Центра ФСБ с 2-м Управлением ФСТЭК, то картина складывается далеко нерадужная и не в пользу «криптографов». Работа над проектами своих приказов по защите ПДн в соответствие с последней редакцией ФЗ-152 ФСТЭК и ФСБ начинали одновременно — в 2011-м году. К концу 2012-го года у обоих ведомств проекты в той или иной степени готовности были уже готовы. Скажу даже больше. ФСТЭК начала работу с бОльшим опозданием, т.к. как я уже написал выше 8-й Центр свой приказ стал готовить задолго до обновления ФЗ-152, желая придать своим двум методичкам более официальный статус. Поэтому у них была серьезная фора, которой воспользоваться им не удалось. ФСТЭК активно привлекла внешних экспертов из разных отраслей и организаций для обсуждения проекта своего приказа и прислушалась к большинству рекомендаций и предложений экспертов. 8-й Центр поступил еще круче — затеял процедуру общественного обсуждения проекта своего приказа на сайте regulation.gov.ru, тем самым существенно расширив число потенциальных экспертов. Вот только эффект получился совершенно иной — и число желающих поработать «в одну сторону» с ФСБ было немного и сам 8-й Центр проигнорировал почти все все здравые предложения и замечания к проекту приказа. ФСТЭК уже в прошлом феврале имела на руках утвержденный текст приказа с мерами по защите ПДн (а приказ ФСТЭК гораздо шире, чем документ 8-го Центра), а юристы ФСБ до сих пор пытается вычитывать запятые, штампуя редакцию за редакцией, так и не меняя ее сути.
Складывается впечатление, что задачи выпустить что-то адекватное у 8-го Центра в принципе нет. Иначе я просто не могу оценивать 43-ю редакцию приказа, которая на днях оказалась доступна экспертам для очередного витка обсуждения. И ведь в процессе блиц-дискуссии представителям 8-го Центра было высказано все тоже самое, что говорилось в 2010-м, 2011-м, 2012-м и 2013-м годах. Все тоже самое! Ничего нового! Ну как так можно?
В октябре я уже делал оценку предыдущей редакции проекта приказа ФСБ. Если сравнить ее с 43-й редакцией, то часть предложений, конечно, была учтена, но далеко не все. В частности, было исправлено следующее:
- Помимо оснащения помещения дверей с замками и их опечатывания помещений по окончании рабочего дня, теперь можно помещения просто оснастить техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений.
- Теперь ясно, что список лиц, допущенных в помещения, в которых ведется обработка ПДн, может включать и должности, а не только ФИО, как иногда считалось раньше. Я так никогда не считал, но теперь хоть появилась ясность в этом вопросе. Зато остался нерешенным вопрос о том, как регламентировать порядок доступа посетителей в помещения, в которых ведется обработка ПДн, если это помещение — торговый центр на несколько тысяч квадратных метров?
- Вместо хранения всех носителей ПДн (включая бумажные, сервера, сетевое оборудование и т.п.), теперь в проекте приказа говорится только о съемных машинных носителях. Если на съемных носителях ПДн зашифрованы, то хранить их можно вне сейфов (металлических шкафов). Налицо прогресс, но в самой ФСБ все ПДн хранятся только в сейфах или металлических шкафах? Ой, что-то берут меня сомнения в этом. А уж про всякие менее богатые и бюджетные учреждения и речи не идет. А что делать с мобильными передвижными или выносными пунктами? Где будет хранить ПДн сотрудник бригады скорой помощи, выезжающий на старенькой Газели в дальнее село? А сотрудница банка или салона сотовой связи, у которой точка продаж стоит посередине торгового центра?
- Поэкзмеплярный учет теперь нужно делать не для всех носителей, а только для машинных (но не только съемных). Так что без инвентаризации мобильных устройств, серверов, сетевого оборудования, флешек, видеокамер и т.п. не обойтись.
- Новый проект приказа уже учитывает новую систему классификации сертифицированных СКЗИ — в нем убрано деление на КВ1 и КВ2 — оставлен только класс КВ.
- Для второго уровня защищенности при наличии актуальных угроз 1-го типа теперь надо будет применять СКЗИ класса КА, а не КВ, как было раньше.
Мне вот интересно, почему ФСБ в своем приказе хочет устанавливать общие правила защиты всей обработки ПДн (учет допущенных, безопасность носителей ПДн, помещений и т.п.)? Что если у нас по всех этих местах нет СЗКИ, а криптошлюз стоит в каком-то одном помещении.
Раньше они требования только к СКЗИ устанавливали.
Сергей Борисов ,
Скорее из-за среды функционирования? По-моему они как раз и ведут к этому, когда недавно говорили о переключении внимания также на продукты, куда встраиваются СКЗИ
Расцвет "СКЗИ как услуга" 🙂
8й центр ФСБ наоборот двигатель прогресса 🙂
Может к роли ФСТЭК готовятся?