Контакты
Подписка
МЕНЮ
Контакты
Подписка

ФСБ: новые правила криптозащиты данных

ФСБ: новые правила криптозащиты данных

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций

ФСБ: новые правила криптозащиты данных

Федеральная служба безопасности предложила свою версию правил по защите персональных данных. Они оказались невыполнимыми для большинства интернет-компаний.

Финальный проект приказа ФСБ опубликован на сайте regulation.gov.ru. Если компания для защиты хочет использовать средства шифрования, эти средства должны быть сертифицированы ФСБ. Сертификат же получают только те технические средства, которые реализуют отечественные криптоалгоритмы. Их не поддерживают ни Android, ни iOS.

Приказ также устанавливает правила безопасности для помещений, в которых хранятся серверы криптозащиты: их окна и двери должны быть оборудованы "металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц".

Многие эксперты рынка ИБ считают, что данные правила ФСБ для некоторых компаний могут быть невыполнимыми.

Например, для большинства операторов ПДн (интернет-магазинов, систем кабельного телевидения) средств криптографии, сертифицированных ФСБ, просто не существует. Кроме того, сама система сертификации устроена таким образом, что сертификат выдается конкретной версии системы шифрования, это значит, что пользователи "почти никогда не получают адекватных и быстрых обновлений".

Приказ ФСБ дополняет Федеральный закон № 152-ФЗ "О персональных данных" в соответствии с поправками, принятыми в 2011 г. В этом законе в ст. 19 "Меры по обеспечению безопасности персональных данных при их обработке" разработка требований к криптозащите поручена ФСБ, и приказ должен их утвердить. После прохождения независимой антикоррупционной экспертизы, которая закончилась 5 июня, приказ должен подписать директор ФСБ Александр Бортников. Он вступит в силу через пару месяцев после того, как его утвердит Минюст.

По материалам Slon.ru и РБК
www.slon.ru
www.rbk.ru

Комментарий эксперта
Алексей Лукацкий
Бизнес-консультант Cisco по информационной безопасности

Вопрос обеспечения конфиденциальности ПДн очень важен и постоянно всплывает на повестке дня. К сожалению, за три года, что пишется указанный приказ ФСБ, регулятор так и не смог не только разработать требования, адекватные современному уровню развития IT, но и не прислушался к мнению многочисленных экспертов. Выбранный 8-м Центром ФСБ подход слишком жесток в отношении 99% операторов ПДн. Требования ФСБ не в состоянии не то что выполнить, но и понять абсолютное большинство поликлиник, детсадов, школ, собесов, муниципальных учреждений, предприятий малого и среднего бизнеса. Худо-бедно требования 8-го Центра способны понять и местами попробовать выполнить только крупные организации, имеющие и бюджеты, и выделенных людей на ИБ. Да и то даже они не всегда способны взять и перевести все свои взаимодействия, в рамках которых осуществляется передача ПДн, на рельсы исключительно сертифицированных СКЗИ. Особенно тогда, когда сертифицированных СКЗИ нет и даже не предвидится, а таких сценариев существуют десятки. Никакой возможности использовать несертифицированную криптографию – даже по согласованию с ФСБ. Практический запрет применения любых open-source-решений (точнее, не запрет, но обязательство использовать с ними СКЗИ класса КА). Даже при использовании проприетарного ПО с закрытыми исходниками минимально возможный класс СКЗИ – КС3, так как вы не можете гарантировать, что злоумышленник в каком-нибудь торговом или бизнес-центре не получит физического доступа к СВТ, на которых стоят СКЗИ. Это в здании на Лубянке я могу хоть как-то это гарантировать, а в местах, открытых для свободного посещения неограниченного круга лиц, – никакой гарантии. И это если еще оператор ПДн по глупости или под давлением интегратора не решил признать у себя актуальными угрозы 1-го или даже 2-го типа. В этом случае минимально возможный класс используемого СКЗИ – КВ, а при использовании СКЗИ на базе Linux – КА.

За три года работы над проектом приказа ситуация так и не сдвинулась с мертвой точки. Как тянул 8-й Центр своими требованиями всех назад, во времена ЗАСов и вертушек, так и тянет. Ни современный бизнес, ни современные госуслуги не смогут жить по предлагаемым требованиям 8-го Центра, который явно или неявно толкает всех операторов ПДн на признание угрозы нарушения конфиденциальности в принципе неактуальной (даже если на самом деле это не так). Права субъектов ПДн с выходом данного приказа будут опять нарушены, но все в рамках действующего законодательства.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2014

Приобрести этот номер или подписаться

Статьи про теме