Алексей Лукацкий

Бизнес-консультант Cisco по информационной безопасности

Вопрос обеспечения конфиденциальности ПДн очень важен и постоянно всплывает на повестке дня. К сожалению, за три года, что пишется указанный приказ ФСБ, регулятор так и не смог не только разработать требования, адекватные современному уровню развития IT, но и не прислушался к мнению многочисленных экспертов. Выбранный 8-м Центром ФСБ подход слишком жесток в отношении 99% операторов ПДн. Требования ФСБ не в состоянии не то что выполнить, но и понять абсолютное большинство поликлиник, детсадов, школ, собесов, муниципальных учреждений, предприятий малого и среднего бизнеса. Худо-бедно требования 8-го Центра способны понять и местами попробовать выполнить только крупные организации, имеющие и бюджеты, и выделенных людей на ИБ. Да и то даже они не всегда способны взять и перевести все свои взаимодействия, в рамках которых осуществляется передача ПДн, на рельсы исключительно сертифицированных СКЗИ. Особенно тогда, когда сертифицированных СКЗИ нет и даже не предвидится, а таких сценариев существуют десятки. Никакой возможности использовать несертифицированную криптографию – даже по согласованию с ФСБ. Практический запрет применения любых open-source-решений (точнее, не запрет, но обязательство использовать с ними СКЗИ класса КА). Даже при использовании проприетарного ПО с закрытыми исходниками минимально возможный класс СКЗИ – КС3, так как вы не можете гарантировать, что злоумышленник в каком-нибудь торговом или бизнес-центре не получит физического доступа к СВТ, на которых стоят СКЗИ. Это в здании на Лубянке я могу хоть как-то это гарантировать, а в местах, открытых для свободного посещения неограниченного круга лиц, – никакой гарантии. И это если еще оператор ПДн по глупости или под давлением интегратора не решил признать у себя актуальными угрозы 1-го или даже 2-го типа. В этом случае минимально возможный класс используемого СКЗИ – КВ, а при использовании СКЗИ на базе Linux – КА.

За три года работы над проектом приказа ситуация так и не сдвинулась с мертвой точки. Как тянул 8-й Центр своими требованиями всех назад, во времена ЗАСов и вертушек, так и тянет. Ни современный бизнес, ни современные госуслуги не смогут жить по предлагаемым требованиям 8-го Центра, который явно или неявно толкает всех операторов ПДн на признание угрозы нарушения конфиденциальности в принципе неактуальной (даже если на самом деле это не так). Права субъектов ПДн с выходом данного приказа будут опять нарушены, но все в рамках действующего законодательства.