Новая версия документов ФСБ по ПДн

Вчера, 15-го сентября наступил последний объявленный срок подготовки проекта приказа ФСБ России по персональным данным. После этого он должен пройти процедуры согласования в ФСБ России, ФСТЭК России и будет в конце ноября — начале декабря направлен на регистрацию в Минюст России.

Что появилось в новом документе неизвестно ;-( Я свои предложения подавал в ФСБ еще в июне. Надеюсь, что-то из них было учтено в новой версии документов ФСБ. Жаль, что ФСТЭК не просил, пусть и односторонней, но все-таки обратной связи.

Предложения для ФСБ по персданным

ЗЫ. На bankir.ru можно найти и другие предложения в ФСБ по теме персданных.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Unknown

    Вот это я понимаю — самомнение 🙂
    "п. 9.3. тоже невыполним, т.к. я не представляю себе…"

    Ответить
  2. Unknown

    А почему сертификат на КриптоПро пропадает без АПМДЗ? Там что, даже по КС1 он обязателен? И помнится была версия 2.0 под архитектуру SPARK (если не путаю), под неё АПМДЗ вообще не было в природе, а сертификат по КС2 был (при условии опечатывания с/б с ног до головы) — хотя тогда ещё прошлые Требования были, сейчас конечно может и нельзя по КС2.

    Ответить
  3. Unknown

    По корректности встраивания.
    Что необходимо проверить, как разработчик СКЗИ сделал допустим CSP ты не споришь? А чем это отличается о необходимости проверить, что разработчик прикладухи вызывает вообще функции провайдера?
    Первому — доверяй, но проверяй, а второму — просто доверяй? Тогда зачем первого проверять?

    Ответить
  4. Алексей Лукацкий

    VSB: Причем тут самомнение? Я это примеряю на себя и множество организаций, с которыми работаю 😉 Еще хоть как-то физически это можно сделать для аппаратных средств построения VPN. А как быть с ПО КриптоПРО? Как его изъять и убрать в сейф?

    Я по КриптоПро смотрю имеющиеся у меня формуляры на 3-ю версию, имхо.

    По поводу разработку криптухи — это прерогатива ФСБ и пусть они это проверяют. Но разработка прикладухи — это не их тема. Более того, риски за ее неиспользование — это риски оператора ПДн. Может он готов судиться с каждым субъектом? Или отдать все на аутсорсинг? Или застраховать риски? Так зачем ему проверять корректность встраивания? Излишне. Не говоря уже о том, что для большинства систем это невыполнимо в реальной жизни.

    Ответить
  5. Unknown

    про самомнение — я не зря вырвал из контекста, ты прав по сути, но оформил как-то очень авторитарно имхо

    а на сайте их
    "Настоящий сертификат удостоверяет, что средство криптографической защиты информации (СКЗИ) "КриптоПро CSP (версия 3.0)" в составе согласно формуляру ЖТЯИ.00015-01 30 01 соответствует требованиям ГОСТ 28147-89, ГОСТ Р34.10-94, ГОСТ Р34.10-2001, ГОСТ Р34.11-94 и требованиям ФСБ России к СКЗИ класса КС1 (КС2 при использовании совместно с сертифицированными аппаратно-программными модулями доверенной загрузки ЭВМ "Аккорд-АМДЗ" или "Соболь-PCI")"

    Т.е. я так понимаю, что это для КС2 обязателен АПМДЗ

    Про корректность у меня в тексте аж четыре знака вопроса. На второй ответь плиз. И ещё
    "Но разработка прикладухи — это не их тема. Более того, риски за ее неиспользование — это риски оператора ПДн." — аргумента про неиспользование не понял.

    Ответить
  6. Алексей Лукацкий

    Потому что одно дело проверить реализацию одного CSP и совсем другое дело проверить как к этому CSP обращаются сотни тысяч различных приложений. Особенно если ты не знаешь, как это приложение работает. Когда у тебя такой требование есть, то разработчик прикладухи становится заложником лаборатории, в которой просто нет специалистов по этой прикладухе. Замкнутый круг?

    Ответить
  7. Алексей Лукацкий

    Ну а авторитарность связана с тем, что я высказывал свое экспертное мнение.

    Ответить
  8. Unknown

    Получается, что разработчику приклада доверия больше, чем разработчику СКЗИ — а с какой стати?
    Только из-за трудоёмкости проверки?

    Ответить
  9. Алексей Лукацкий

    Речь не о доверии, а о останове бизнеса. Хочешь проверять все — набери и обучи людей, найди железо/софт для проверок, создай сеть центров проверки, пропиши четко процедуру и сроки, гарантируй защищенность кодов и все это предложи за адекватные деньги. Вот тогда и запускай такие требования.

    Ответить
  10. Unknown

    А раз ничего этого нет — встраивай абы как на коленке вызовы функций криптобиблиотек, гордо размахивай сертификатом на криптоядро с криптопримитивами и рассказывай, что всё бы сертифицировали, да долго, исходники боимся уплывут к конкурентам, в нашем продукте никто кроме нас разобраться не может, зато у нас первоклассные специалисты/программисты, они без ошибок пишут, им контроль не нужен…
    А вообще, по твоему, нужна ли обязательная сертификация средств защиты информации (включая и не включая криптосредства) для не гостайны?

    Ответить
  11. Unknown

    смайл забыл поставить
    я тут в роли адвоката дьявола, ибо сами сертифицируем криптоядрышки по возможности 🙂

    Ответить
  12. Алексей Лукацкий

    Я считаю, что не нужна — нужна для гостайны и КСИИ. Все остальные способны сами взвешивать риски и управлять ими. Как это сделано на Западе.

    Ответить