Спецпроекты

ФСБ в приказе для операторов персональных данных так и не учла мнение отрасли

Безопасность Госрегулирование Маркет
ФСБ выпустило приказ, описывающий набор мер по обеспечению безопасности персональных данных при их обработке с использованием средств криптозащиты. Большая часть его положений осталась неизменной по отношению к тексту проекта, в отношении которого ведомство еще год назад консультировалась с отраслью. Главная проблема, по мнению экспертов, — необходимость применения исключительно сертифицированных средств криптографии.

«Российская газета» опубликовала приказ ФСБ от 10 июля 2014 г., утверждающий состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке с использованием средств криптозащиты — для каждого из четырех существующих уровней защищенности.

Документ вступит в силу 28 сентября текущего года.

Как прокомментировал CNews пространный текст приказа управляющий директор «Лаборатории Касперского» в России, странах Закавказья и Средней Азии Сергей Земков, речь в нем в основном идет об организационных мерах (безопасности помещений, использовании сейфов, ведении журнала учета машинных носителей персданных и пр.), а также о самой необходимости применения шифрования (криптографии).

Проект данного приказа был опубликован ФСБ еще в начале октября 2013 г., и ведомство как на этапе его подготовки, так и в течение двух недель после размещения текста в интернете собирало предложения отрасли. Судя по обсуждениям на тематических форумах годичной давности и по сегодняшним комментариям экспертов, пожелавших выразить своих мнение без указания их имен, главной претензией к документу было то, что в нем устанавливалась необходимость использовать исключительно сертифицированную криптографию. Специалисты по безопасности считают, что для весьма существенного числа сценариев обработки персональных данных таких средств криптографии просто нет.

Как сообщил CNews ведущий эксперт InfoWatch по информационной безопасности Андрей Прозоров, его компания также направляла в ФСБ свои замечания по поводу проекта приказа. Помимо вышеупомянутых подходов и требований к использованию сертифицированных средств шифрования InfoWatch предлагала пересмотреть и требования по физической безопасности. В сумме эти меры могли бы решить вопрос сложности исполнения требований ФСБ операторами персональных данных. Кроме того компания предлагала пересмотреть саму структуру документа. «К сожалению, замечания были практически не учтены в финальной версии приказа», — говорит Прозоров.

В принятом документе, кроме уже описанных узких мест, операторам, как считает Прозоров, также следует особое внимание уделить положениям приказа, касающимся использования электронных журналов (безопасности и сообщений).

С тем, что очень многие первоначальные требования ФСБ остались в неизменном виде, соглашается и Сергей Земков. «К сожалению, выполнение части из них достаточно нетривиальный процесс, и не очень понятно, как это поможет защите персональных данных», — говорит он.

Андрей Прозоров уточняет, что защита персональных данных с использование криптографических средств регламентировалась ФСБ России и ранее. «До этого операторы выполняли положения двух документов: "методические рекомендации..." и "типовые требования..." (оба от 2008 г). Однако эти документы устарели и стали требовать пересмотра с момента появления постановления Правительства РФ № 1119. Оно определило новые подходы по защите персональных данных, а регуляторам (ФСТЭК и ФСБ) пришлось совершенствовать свои регламенты, — говорит Прозоров. — Подразделения ФСТЭК справились намного быстрее и разработали приказ № 21 на замену приказу № 58», — заключает он.