Как ФСБ дураком меня назвала — часть вторая

Криптография
19 сентября я написал про то, как наши госорганы, стоящие на страже интересов российских граждан, заботятся об их персональных данных при взаимодействии через Интернет. Но это была только первая часть марлезонского балета. Помимо поста я направил запросы в Правительство России, в Минкомсвязь и в Администрацию Президента с простым вопросом — почему они не обеспечивают конфиденциальность персональных данных при взаимодействии с гражданами через Интернет. Ответ был предсказуем и он звучал в комментариях к заметке. Но одно дело предположение и другое дело официальный ответ. И вот вчера я получил заказное письмо на мой запрос в Правительство (Минкомсвязь и Президент пока молчат — видимо есть и более важные дела).

Первое, что меня удивило — это отвечающая сторона. Это Минпромторг. С какого перепугу отвечал мне не аппарат Правительства и не орган исполнительной власти, ответственный в России за персданные (Минкомсвязь), я так и не понял. Но факт остается фактом.

Ответ же Минпромторга был простой — необходимость применения СКЗИ определяется при моделировании угроз. Если оператор ПДн или уполномоченное им лицо посчитают, что угроза нарушения конфиденциальности неактуальна, то применять СКЗИ не требуется.

Второй интересный вывод приведен в конце письма. Т.к. Интернет-пользователи не являются частью ИСПДн сайта Правительства, то и беспокоиться о защите их ПДн в процессе передачи по Интернет не надо. Логично, правда ведь. Могу теперь представить, как могут рассуждать банки, оказывающие услуги ДБО своим клиентам. Если клиент-физлицо не является частью системы ДБО, то и защищать канал до него не требуется. А значит и СКЗИ покупать не надо. И лицензию ФСБ получать тоже. Бинго!

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. ZZubra

    "Пользователи информационной системы не являются частью системы" — ВАУ! Это тогда не только ДБО! При таком подходе, допустим, в больницах всех врачей тоже можно считать вне информационной системы! И всех кто в налоговую отчетность сдает! И в ПФР… И везде…

    Вывод 1: требуется защита только сервера, ну если модель за которую платит оператор того потребует.
    Вывод 2: Пи. Пи, пи, пи. Пи. Во ФСТЭК и ФСБ можно закрывать направление ПДн.

    Ответить
  2. ZZubra

    Этот комментарий был удален автором.

    Ответить
  3. Алексей Лукацкий

    Да, хороший ответ. Лишний раз подтверждают мысль, что все зависит от модели угроз и если не бояться, то можно достаточно эффективно решать вопросы с защитой ПДн

    Ответить
  4. Евгений

    Алексей, ответ от непрофильного министерства не зря :). Ведь если ответ был бы от регулятора, то в дальнейшем на него можно было бы ссылаться, ведь это одна из их обязанностей — давать разъяснения по курируемым направлениям деятельности. А раз ответ от Минпромторга, то и ссылаться в дальнейшем на него не сможете — это не их сфера компетенции. Уж в бюрократических играх они профи…

    Ответить
  5. Алексей Т.

    А самое приятное: "Поскольку данная система имеет разрешение на эксплуатацию, то она может считаться доверенной". Срочно всем сделать разрешения на эксплуатацию!!! 🙂
    Отличный документ Алексей, спасибо, посмеялись…

    Ответить
  6. Анонимный

    Надо было к 1-му апреля приберечь 🙂
    Кроме как приколом такой ответ нельзя назвать

    Ответить
  7. Sergey Barmin

    Адекватный ответ=)
    Примерно так же отвечала бы частная компания на претензии регулирующего органа.
    Реальная защита данных никого не колышит.

    Ответить
  8. Анонимный

    Коноплева же.

    Ответить
  9. Unknown

    Алексей, не в обиду будет сказано, но думаю свой пост надо было начать со слов: "а Ronin то был прав!" и в условиях далеко не самого совершенного законодательства дал совершенно точное обоснование, что бы найти возможность, а не искать причину …..

    Ответить
  10. Unknown

    А формулировка, которая используется в ответе
    "Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора"
    судя по вашему предыдущему посту — сравнению ПП-781 и ПП-1119 утратила силу с отменой ПП-781.
    Правда вот на момент написания ответа ещё имела…

    Ответить
  11. Алексей Лукацкий

    Госконтроль и надзор — это одна из форм оценки соответствия. Так что формально они правы. И это лишний раз доказывает, что сертифицированные решения не являются единственной возможностью выполнить требование ФЗ-152 и ПП-1119/ПП-781 по оценке соответствия.

    Ответить
  12. Unknown

    Покапал в интернете, по поводу минпромторга, нашел вот что, "Финансирование программы Информационное общество : создание государственной информационной системы в области технического регулирования.

    Ответить
  13. Алексей Лукацкий

    Ну это-то да. Но они всегда дистанцировались от того, что регулируется 5-й статьей ФЗ-184. Я надеялся, что запрос уйдет в Минкомсвязи, как главному за ПДн в России. Не ушло ;-(

    Ответить
  14. Атаманов Г. А.

    Господа! А по какому поводу сыр-бор? Вы что, считали, что человек входит в состав информационной системы?
    По-науке: ИС = СВТ + ЛС + ПО, где ЛС — линии связи.
    По-ФСТЭКовски человек входит в состав АС, но не ИС! Так что в этом плане в ответе всё верно.
    Согласно закону ИСПДн = ПДн(в БД) + ИТ + ТС. Это, конечно же, глупость (об этом более подробно в №1 Инсайда за этот год), но она возведена в ранг Закона. Ответ писали юристы, а они читают так, как написано, и ничего не додумывают за других.

    Ответить
  15. ZZubra

    Атаманову:
    Все верно с формальной точки зрения.

    Просто в ответе произведена подмена понятий. Говорится о рабочих местах (техсредства) внутри и о пользователях (людях) снаружи. А если перефразировать в "рабочие места пользователей, подключенных к данной системе" все опять войдет в триаду ИС. Кто виноват в такой подмене понятий — "формулировка заданного вопроса" или "подмена понятий в голове юриста"? Боюсь в связи с бюрократической процедурой это узнать не удастся.

    И еще одно Вы совершенно правильно отметили — подмену понятий в головах "экспертов-специалистов", которые говоря "пользователь" имеют ввиду его рабочее место.

    И третье. "Спасибо" тем, кто подменил понятия во ФСТЭКовских и ФСБшных документах. Суть на мой взгляд в следующем:
    1. ИСПДн по ФЗ — это триада (БД с ПДн)+(ИТ)+(ТС), причем определяющей является БД, т.к. если она будет, но в ней не будет ПДн эта система превратится из ИСПДн по 152ФЗ в ИС по 149ФЗ.
    2. Когда формировалась парадигма классификации ИСПДн, была взята за основу классификация АС. А понятие АС, по своей сути имеет совершенно другой состав/содержание понятия, нежели ИС. Так вот классифицируем и защищаем мы по сути не ИСПДн, а именно АС, в которой обрабатываются ПДн. Почему для определения АС с ПДн использовали понятие ИСПДн, да скорее всего, загвоздка в расставлении приоритетов в триаде ИС — за основу защиты взяты не ПДн, а (ИТ)+(ТС) по логике защитников информации.

    Вывод — нет единого понимания понятий — достигнуть согласия невозможно. Что мы и пожинаем.

    Как всегда, лично мое мнение.

    Ответить
  16. ZZubra

    Кстати сказать про Ваши формулы:
    ИС(по науке) = СВТ + ЛС + ПО
    и
    ИСПДн(по закону)= ПДн(в БД) + ИТ + ТС
    что то же по 149ФЗ:
    ИС(по закону)=БД+ИТ+ТС
    Так вот, при:
    1. СВТ=ТС, т.к. ТС чуть шире и на будущее, вдруг чего придумают, что нельзя будет считать СВТ, хотя оно будет им по сути
    2. ЛС=ИТ, т.к. ИТ чуть шире и включает в себя ЛС, как компоненту, а это задел на будущее, вдруг чего придумают, что нельзя будет считать ЛС, хотя оно будет ею по сути
    3. ПО=БД, т.к. БД (в умах законодателей совсем не БАЗА данных, а БАНК данных) уже и как бы четче подчеркивает суть СВЕДЕНИЙ, а если БАНК данных, то шире и включает в себя, в том числе и ПО
    получаем
    ИС(по науке)=ИС(по закону)

    Как бы так.

    Ответить
  17. Атаманов Г. А.

    ZZubre: Спасибо за уточнение. Но про СВТ и ЛС согласен, хотя и не полностью. Наверное вместо СВТ и ТС лучше было бы использовать ТСОИ — техническое средство обработки информации, а вместо ЛС (линий связи) — КТК (каналы телекоммуникации). А вот про ПО-БД не согласен полностью. Систему из сети делает именно ПО = ОС + ППО (прикладное программное обеспечение). А БД = СПО + Д, где СПО — специальное программное обеспечение (оно же СУБД), а Д — данные. Т.е. БД есть только частный случай ПО. Это авторы 152-ФЗ накуралесили, когда в основу ИСПДн положили БД с ПДн. Что совершенно неудивительно. На сегодня самые методологически безграмотные (и при этом ещё и самые амбициозные) — юристы и экономисты. Отсюда все наши беды.

    Ответить
  18. ZZubra

    По сути абсолютно согласен.

    Ответить
  19. city

    thanks for sharing.

    Ответить