43-я редакция проекта приказа ФСБ по ПДн — адский ад

Вот опять не выдержал и опять буду критиковать 8-й Центр ФСБ 🙂 Ну а как иначе? Не получается смотреть на то, что они делают и молчать. Выпущена уже 43-я редакция проекта приказа по защите ПДн. Нужное вроде бы дело. Все давно ждут этот документ; уже скоро 1,5 года как ждут. Все надеются, что документ ответит на основные вопросы, связанные с защитой персональных данных с помощью СКЗИ и у нас наконец-то появится первый официальный и легитимный документ от ФСБ по защите ПДн (а то у нас с момента принятия ФЗ-152 ФСБ на эту тему так ничего официально и не принимало).

У меня история взаимоотношений с этим документом давняя. Его впервые начала обсуждать еще в 2010-м году, когда руководство 8-го Центра санкционировало сбор предложений и мнений по имеющимся тогда двум нелегитимным методичкам. Мнения были высказаны и в немалом количестве. Уже тогда я обращал внимание на то, что выбранный 8-м Центром подход слишком жесток в отношении 99% операторов ПДн. Требования ФСБ не в состоянии не то, что выполнить, но и понять абсолютное большинство поликлиник, детсадов, школ, собесов, муниципальных учреждений, предприятий малого и среднего бизнеса. Худо-бедно требования 8-го Центра способны понять и местами попробовать выполнить только крупные организации, имеющие и бюджеты и выделенных людей на ИБ. Да и то, даже они не всегда способны взять и перевести все свои взаимодействия, в рамках которых осуществляется передача ПДн, на рельсы исключительно сертифицированных СКЗИ. Особенно тогда, когда сертифицированных СКЗИ нет и даже не предвидится.

Если сравнить действия 8-го Центра ФСБ с 2-м Управлением ФСТЭК, то картина складывается далеко нерадужная и не в пользу «криптографов». Работа над проектами своих приказов по защите ПДн в соответствие с последней редакцией ФЗ-152 ФСТЭК и ФСБ начинали одновременно — в 2011-м году. К концу 2012-го года у обоих ведомств проекты в той или иной степени готовности были уже готовы. Скажу даже больше. ФСТЭК начала работу с бОльшим опозданием, т.к. как я уже написал выше 8-й Центр свой приказ стал готовить задолго до обновления ФЗ-152, желая придать своим двум методичкам более официальный статус. Поэтому у них была серьезная фора, которой воспользоваться им не удалось. ФСТЭК активно привлекла внешних экспертов из разных отраслей и организаций для обсуждения проекта своего приказа и прислушалась к большинству рекомендаций и предложений экспертов. 8-й Центр поступил еще круче — затеял процедуру общественного обсуждения проекта своего приказа на сайте regulation.gov.ru, тем самым существенно расширив число потенциальных экспертов. Вот только эффект получился совершенно иной — и число желающих поработать «в одну сторону» с ФСБ было немного и сам 8-й Центр проигнорировал почти все все здравые предложения и замечания к проекту приказа. ФСТЭК уже в прошлом феврале имела на руках утвержденный текст приказа с мерами по защите ПДн (а приказ ФСТЭК гораздо шире, чем документ 8-го Центра), а юристы ФСБ до сих пор пытается вычитывать запятые, штампуя редакцию за редакцией, так и не меняя ее сути.

Складывается впечатление, что задачи выпустить что-то адекватное у 8-го Центра в принципе нет. Иначе я просто не могу оценивать 43-ю редакцию приказа, которая на днях оказалась доступна экспертам для очередного витка обсуждения. И ведь в процессе блиц-дискуссии представителям 8-го Центра было высказано все тоже самое, что говорилось в 2010-м, 2011-м, 2012-м и 2013-м годах. Все тоже самое! Ничего нового! Ну как так можно?

В октябре я уже делал оценку предыдущей редакции проекта приказа ФСБ. Если сравнить ее с 43-й редакцией, то часть предложений, конечно, была учтена, но далеко не все. В частности, было исправлено следующее:

  • Помимо оснащения помещения дверей с замками и их опечатывания помещений по окончании рабочего дня, теперь можно помещения просто оснастить техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений.
  • Теперь ясно, что список лиц, допущенных в помещения, в которых ведется обработка ПДн, может включать и должности, а не только ФИО, как иногда считалось раньше. Я так никогда не считал, но теперь хоть появилась ясность в этом вопросе. Зато остался нерешенным вопрос о том, как регламентировать порядок доступа посетителей в помещения, в которых ведется обработка ПДн, если это помещение — торговый центр на несколько тысяч квадратных метров?
  • Вместо хранения всех носителей ПДн (включая бумажные, сервера, сетевое оборудование и т.п.), теперь в проекте приказа говорится только о съемных машинных носителях. Если на съемных носителях ПДн зашифрованы, то хранить их можно вне сейфов (металлических шкафов). Налицо прогресс, но в самой ФСБ все ПДн хранятся только в сейфах или металлических шкафах? Ой, что-то берут меня сомнения в этом. А уж про всякие менее богатые и бюджетные учреждения и речи не идет. А что делать с мобильными передвижными или выносными пунктами? Где будет хранить ПДн сотрудник бригады скорой помощи, выезжающий на старенькой Газели в дальнее село? А сотрудница банка или салона сотовой связи, у которой точка продаж стоит посередине торгового центра?
  • Поэкзмеплярный учет теперь нужно делать не для всех носителей, а только для машинных (но не только съемных). Так что без инвентаризации мобильных устройств, серверов, сетевого оборудования, флешек, видеокамер и т.п. не обойтись.
  • Новый проект приказа уже учитывает новую систему классификации сертифицированных СКЗИ — в нем убрано деление на КВ1 и КВ2 — оставлен только класс КВ.
  • Для второго уровня защищенности при наличии актуальных угроз 1-го типа теперь надо будет применять СКЗИ класса КА, а не КВ, как было раньше.
Остальные замечания и основные проблемы остались неизменными. Никакой возможности использовать несертифицированную криптографию, даже по согласованию с ФСБ. Практический запрет применения любых open-source решений (точнее не запрет, но обязательство использовать с ними СКЗИ класса КА). Даже при использовании проприетарного ПО с закрытыми исходниками, минимально возможный класс СКЗИ — КС3, т.к. вы не можете гарантировать, что злоумышленник в каком-нибудь торговом или бизнес-центре не получит физического доступа к СВТ, на которых стоят СКЗИ. Это в здании на Лубянке я могу хоть как-то это гарантировать, а в местах, открытых для свободного посещения неограниченного круга лиц — никакой гарантии. И это если еще оператор ПДн по глупости или под давлением интегратора не решил признать у себя актуальными угрозы 1-го или даже 2-го типа. В этом случае — минимально возможный класс используемого СКЗИ — КВ. Я уже проводил экспресс-анализ сертифицированных в ФСБ СКЗИ — 90% из них не подойдут для защиты ПДн.
За 3 года работы над проектом приказа ситуация так и не сдвинулась с мертвой точки. Как тянул 8-й Центр своими требованиями всех назад, во времена ЗАСов и вертушек, так и тянет. Ни современный бизнес, ни современные госуслуги не смогут жить по предлагаемым требованиям 8-го Центра, который явно или неявно толкает всех операторов ПДн на признание угрозы нарушения конфиденциальности в принципе неактуальной (даже если на самом деле это не так). Только в этом случае можно на законных основаниях не выполнять требования приказа ФСБ. Хотя с собственноручным созданием своей модели угроз тоже не все гладко
ЗЫ. Кстати сама ФСБ тоже не соблюдает требования своего же приказа. При общении через их Web-форму на сайте никакой защиты ПДн, никакого шифрования. Но 8-й Центр у нас всегда жил по своим законам — законы российского государства соблюдать им недосуг. Они делают великое дело — вежливо обеспечивают национальную безопасность, забивая на интересы рядовых граждан и бизнеса. 
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Сергей Борисов

    Мне вот интересно, почему ФСБ в своем приказе хочет устанавливать общие правила защиты всей обработки ПДн (учет допущенных, безопасность носителей ПДн, помещений и т.п.)? Что если у нас по всех этих местах нет СЗКИ, а криптошлюз стоит в каком-то одном помещении.

    Раньше они требования только к СКЗИ устанавливали.

    Ответить
  2. -)гоист

    Сергей Борисов ,
    Скорее из-за среды функционирования? По-моему они как раз и ведут к этому, когда недавно говорили о переключении внимания также на продукты, куда встраиваются СКЗИ

    Ответить
  3. Tomas

    Расцвет "СКЗИ как услуга" 🙂
    8й центр ФСБ наоборот двигатель прогресса 🙂

    Ответить
  4. Алексей Лукацкий

    Может к роли ФСТЭК готовятся?

    Ответить