16.09.2009

Новая версия документов ФСБ по ПДн

Вчера, 15-го сентября наступил последний объявленный срок подготовки проекта приказа ФСБ России по персональным данным. После этого он должен пройти процедуры согласования в ФСБ России, ФСТЭК России и будет в конце ноября - начале декабря направлен на регистрацию в Минюст России.

Что появилось в новом документе неизвестно ;-( Я свои предложения подавал в ФСБ еще в июне. Надеюсь, что-то из них было учтено в новой версии документов ФСБ. Жаль, что ФСТЭК не просил, пусть и односторонней, но все-таки обратной связи.

Предложения для ФСБ по персданным

ЗЫ. На bankir.ru можно найти и другие предложения в ФСБ по теме персданных.

12 коммент.:

VSB комментирует...

Вот это я понимаю - самомнение :)
"п. 9.3. тоже невыполним, т.к. я не представляю себе..."

VSB комментирует...

А почему сертификат на КриптоПро пропадает без АПМДЗ? Там что, даже по КС1 он обязателен? И помнится была версия 2.0 под архитектуру SPARK (если не путаю), под неё АПМДЗ вообще не было в природе, а сертификат по КС2 был (при условии опечатывания с/б с ног до головы) - хотя тогда ещё прошлые Требования были, сейчас конечно может и нельзя по КС2.

VSB комментирует...

По корректности встраивания.
Что необходимо проверить, как разработчик СКЗИ сделал допустим CSP ты не споришь? А чем это отличается о необходимости проверить, что разработчик прикладухи вызывает вообще функции провайдера?
Первому - доверяй, но проверяй, а второму - просто доверяй? Тогда зачем первого проверять?

Алексей Лукацкий комментирует...

VSB: Причем тут самомнение? Я это примеряю на себя и множество организаций, с которыми работаю ;-) Еще хоть как-то физически это можно сделать для аппаратных средств построения VPN. А как быть с ПО КриптоПРО? Как его изъять и убрать в сейф?

Я по КриптоПро смотрю имеющиеся у меня формуляры на 3-ю версию, имхо.

По поводу разработку криптухи - это прерогатива ФСБ и пусть они это проверяют. Но разработка прикладухи - это не их тема. Более того, риски за ее неиспользование - это риски оператора ПДн. Может он готов судиться с каждым субъектом? Или отдать все на аутсорсинг? Или застраховать риски? Так зачем ему проверять корректность встраивания? Излишне. Не говоря уже о том, что для большинства систем это невыполнимо в реальной жизни.

VSB комментирует...

про самомнение - я не зря вырвал из контекста, ты прав по сути, но оформил как-то очень авторитарно имхо

а на сайте их
"Настоящий сертификат удостоверяет, что средство криптографической защиты информации (СКЗИ) "КриптоПро CSP (версия 3.0)" в составе согласно формуляру ЖТЯИ.00015-01 30 01 соответствует требованиям ГОСТ 28147-89, ГОСТ Р34.10-94, ГОСТ Р34.10-2001, ГОСТ Р34.11-94 и требованиям ФСБ России к СКЗИ класса КС1 (КС2 при использовании совместно с сертифицированными аппаратно-программными модулями доверенной загрузки ЭВМ "Аккорд-АМДЗ" или "Соболь-PCI")"

Т.е. я так понимаю, что это для КС2 обязателен АПМДЗ

Про корректность у меня в тексте аж четыре знака вопроса. На второй ответь плиз. И ещё
"Но разработка прикладухи - это не их тема. Более того, риски за ее неиспользование - это риски оператора ПДн." - аргумента про неиспользование не понял.

Алексей Лукацкий комментирует...

Потому что одно дело проверить реализацию одного CSP и совсем другое дело проверить как к этому CSP обращаются сотни тысяч различных приложений. Особенно если ты не знаешь, как это приложение работает. Когда у тебя такой требование есть, то разработчик прикладухи становится заложником лаборатории, в которой просто нет специалистов по этой прикладухе. Замкнутый круг?

Алексей Лукацкий комментирует...

Ну а авторитарность связана с тем, что я высказывал свое экспертное мнение.

VSB комментирует...

Получается, что разработчику приклада доверия больше, чем разработчику СКЗИ - а с какой стати?
Только из-за трудоёмкости проверки?

Алексей Лукацкий комментирует...

Речь не о доверии, а о останове бизнеса. Хочешь проверять все - набери и обучи людей, найди железо/софт для проверок, создай сеть центров проверки, пропиши четко процедуру и сроки, гарантируй защищенность кодов и все это предложи за адекватные деньги. Вот тогда и запускай такие требования.

VSB комментирует...

А раз ничего этого нет - встраивай абы как на коленке вызовы функций криптобиблиотек, гордо размахивай сертификатом на криптоядро с криптопримитивами и рассказывай, что всё бы сертифицировали, да долго, исходники боимся уплывут к конкурентам, в нашем продукте никто кроме нас разобраться не может, зато у нас первоклассные специалисты/программисты, они без ошибок пишут, им контроль не нужен...
А вообще, по твоему, нужна ли обязательная сертификация средств защиты информации (включая и не включая криптосредства) для не гостайны?

VSB комментирует...

смайл забыл поставить
я тут в роли адвоката дьявола, ибо сами сертифицируем криптоядрышки по возможности :)

Алексей Лукацкий комментирует...

Я считаю, что не нужна - нужна для гостайны и КСИИ. Все остальные способны сами взвешивать риски и управлять ими. Как это сделано на Западе.