04.10.2013

Опубликован проект приказа ФСБ по защите персональных данных

Вчера появился проект приказа ФСБ "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

Что интересного в этом документе? Я бы выделил несколько моментов:

  1. Даны разъяснения (имеющие характер обязательных) положений ПП-1119. Например, что такое "организация режима обеспечения безопасности помещений", "сохранность персональных данных", "электронный журнал сообщений" и т.п.
  2. Средства криптографической защиты персональных данных могут быть ТОЛЬКО сертифицированными. И это, пожалуй, самая большая засада, которая только возможна. При условии, что для огромного числа сценариев обработки ПДн сертифицированных СКЗИ попросту нет. Я еще три с лишним года назад об этом писал. Как эта коллизия будет разрешаться я даже и не знаю. Точнее знаю - стандартным методом 8-го Центра - "в частном порядке" :-(
  3. По моему скромному мнению 8-й Центр сознательно или несознательно, но ограничил применение для защиты ПДн СКЗИ классом КС3 (!) и выше. Почему я так считаю? Все просто. Если вы считаете, что потенциальный нарушитель может получить доступ к средствам вычислительной техники, на которых установлены СКЗИ, то будьте добры применять СКЗИ не ниже КС3.
  4. Хотя если вдуматься чуть глубже, то вы обязаны будете применять СКЗИ класса КВ1, если вы опасаетесь, что нарушитель может привлечь специалистов, имеющих опыт разработки и анализа СКЗИ. А сейчас нет ограничений на таких специалистов - вот у меня такой опыт есть - я с 92-го по 95-й годы разрабатывал СКЗИ в одном из московских "ящиков". А сейчас с этим ситуация и подавно стала легче - криптографию преподают в 100 с лишним ВУЗах России.
  5. СКЗИ КВ2 применяются, когда могут быть использованы недекларированные возможности в прикладном ПО или у нарушителя есть исходные коды прикладного ПО. Прощай open source ибо наличие исходников сразу повышает класс сертификации до почти недосягаемых высот (в России СКЗИ, сертифицированных по КВ2, раз-два и обчелся). 
  6. Вы уже догадались, что СКЗИ КА1 применяются, когда могут быть использованы недекларированные возможности в системном ПО. И вновь забор для open source операционных систем, распространенных в России. Недокументированных возможностей там может быть выше крыши.
  7. Все помещения, в которых ведется обработка ПДн, должны по окончании рабочего дня не просто закрываться, а опечатываться (!). Это минимум требований для 4-го уровня защищенности. На 1-м уровне от вас потребуют на первых и последних этажах зданий установки решеток или ставень (!). Я могу понять, как такое требование выполнить к зданию ФСБ на Лубянке, но к той же "Стекляшке" на Ярцевской это требование уже неприменимо. А ведь современные бизнес-центры вообще не используют конструкций, к которым можно было бы прикрутить решетки или ставни (достаточно посмотреть на Москва-Сити).
  8. Все носители персональных данных должна учитываться поэкземплярно (!). Все без исключения. Если у ФСТЭК в 21-м приказе речь шла только о машинных носителях, то в 8-м Центре решили под одну гребенку еще и бумажные носители отнести и все остальные.
Здание ФСБ на Ярцевской
Революции не произошло. Год назад я уже примерно говорил о том, к чему стоит готовиться с точки зрения применения сертифицированных СКЗИ, и вот мои слова подтвердились.

Документ достаточно сложен в изучении - очень много не относящейся к делу информации. Например, подробное описание на 4 страницах случаев, когда нужно применять СКЗИ, сертифицированные по классу КС1. Чуть меньше текста для КС2 и т.д. Я бы все это сократил и поставил бы четко - для этого уровня защищенности и типа ИСПДн КС1, для этого - КС2, для этого - КВ и т.д. Хотя вынужден повториться - случаев, когда сертифицированной криптографии нет, вагон и маленькая тележка. И даже ФСБ сама не соблюдает свои же требования. Про другие госорганы я и не говорю даже.

Ну ладно о грустном. Что можно и нужно сделать? Во-первых, самостоятельно проанализировать текст проекта приказа и направить в ФСБ свои мысли и КОНКРЕТНЫЕ предложения по изменению нормативно-правового акта. Подчеркиваю - конкретные! Слова "все плохо" рассматриваться не будут. До 18-го октября можно свои мотивированные отзывы направлять по адресу: pdn@fsb.ru.

Во-вторых, в соответствие с ПП-1119 именно оператор ПДн определяет актуальность типов угроз. Я повторю то, что писал год назад - я считаю угрозы НДВ неактуальными в области ПДн. Не невозможными в теории, а неактуальными на практике. Хотите считать по другому? Ваше право. Не хотите заставлять интеграторов и консультантов переделывать сданные вам проекты с актуальными 1-м и 2-м типами угроз? Ваше право. Тогда вперед - за покупкой СКЗИ классов КВ и КА. На сайте ЦЛСиЗГТ ФСБ вы найдете список сертифицированных СКЗИ. Основная масса продуктов имеет сертификаты на классы не выше КС1-КС2. Кому-то повезло с КС3. КВ и тем более КА - единицы. А вот цена обратно пропорциональна числу сертифицированных изделий и пусть вас не смущает, если вам предложат средство шифрования за 10 и более тысяч долларов (за один экземпляр СКЗИ) :-(

В-третьих... А больше и не надо ничего. Если все мы не сможем убедить 8-й Центр изменить приказ (а надежды, если честно, маловато), то даже с актуальными угрозами 3-го типа, уйти от сертифицированных СКЗИ нам не удастся, а если учесть п.3 этой заметки, то должны они быть не ниже КС3.

ЗЫ. Лишний раз убеждаюсь, что между интересами государства, общества/бизнеса и гражданина лежит огромная пропасть. ФСБ работает во имя интересов государства и об остальном они просто не думают. А жаль :-(

53 коммент.:

Алексей комментирует...

Писать неадекватные неисполнимые требования, которые будут решаться в частном порядке - это «интересы государства»?

Государство должно быть заинтересовано в своём развитии, а не в стагнации.

ZZubra комментирует...

Опять проблемы со скачиванием (((

Evgeniy West комментирует...

Такой вопрос возник, стоит ли считать угрозы перехвата трафика..и др. (то есть связанных с передачей по открытым каналам связи) актуальными, если у провайдера арендован выделенный канал VPN по городской сети? Но не сертифицированными СКЗИ и не по ГОСТу. Нельзя ли уйти тем что канал все таки защищен и не закупать СКЗИ с сертификатом, не дешево встанет на несколько точек))Я так понял, документ ФСБ для тех кто использует СКЗИ, посчитав соответствующие угрозы актуальными! И ПП таких требований нет. У ФСТЭКа в приложении к 21му Приказу «Состав и содержание мер по обеспечению безопасности персональных данных..» входит обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи. Тоже не сказано, что нужны наши СКЗИ. Люди мудрые, вразумите)

Юрий Апарин комментирует...

Evgeniy, достаточно в договоре с провайдером указать, что защиту данных при передаче по каналам связи берёт на себя исполнитель.
Возможно, я ошибаюсь.

ZZubra комментирует...

Опять 25 (((( VPN провайдера - это каналобразование!!! Аналог телефонной пары или канала ТЧ! Всего лишь разделение потоков! Хотите не покупать СКЗИ (если его требуется покупать) и защитить - купите ВЕСЬ кабель и поставьте его под давление. Сомневаюсь что выйдет дешевле. Да и службу специальную создайте по поиску, ремонту и расследованию порывов.

ZZubra комментирует...

2Юрий Апарин
Может я ошибаюсь, но похоже что Вы хотите поручить ОБРАБОТКУ ПДн провайдеру. Если так, то такой фразы мало: в ФЗ152 есть требования к поручению. А если Вы их впишите в договор с провайдером, то провайдер тоже не дурак - переложит затраты на Вас, но с накруткой )))))

Tomas комментирует...

Солидарен с Юрием на счет договора с провайдером, но при условии того, что СКЗИ должен будет предоставить провайдер, обслуживать его (соответственно наличие лицензий ФСБ...). Далее, обязанность задать требования провайдеру все равно за оператором, т.е. если в договоре не будет указано, что требуется предоставить сертифицированные СКЗИ для защиты канала, а при этом по каналу будут "ходить" ПДн - проблемы оператора! Т.е. если в договоре будет все нужное указано, то нормально, если размыто - ждите проблем!

Sergey Soldatov комментирует...

Алексей, из текста приказа не следует, что ФСБ защищает интересы государства :-( Какой смысл издавать невыполнимые приказы? Чтобы у нас медицина встала? Чтобы у нас и без того "закошмаренный" бизнес был еще более "закошмарен"? А может, чтобы права граждан в стране соблюдались?

Скорее всего было так, что руководство прочитало про Сноудена и поручило ФСБ принять меры, ФСБ - приняла меры, как умеет. Причем слеудет сказать, что в свете темы с АНБ и Сноуденом меры абсолютно верные, ...только... сколько не поручай АвтоВАЗу сделать автомобиль, лучше BMW, - одними поручениями не получится.

Евгений Скляр комментирует...

А какое отношение бумажные носители имеют к ИСПДн?

Артем Агеев комментирует...

Если кто не может скачать с сайта правительства, вот прямой линк http://goo.gl/CQhRDe

tomato комментирует...

причем тут Сноуден?
ФСБ специально завысила требования в проекте, чтобы потом принять более мягкий вариант, но с обязаловкой по сертификации СКЗИ.
После первого варианта на второй уже ни у кого лаять сил не останется, заявят мол: поправки внесены, замечания учтены, и вроде как все довольны.

а текст таки не качается, поделитесь люди добрые

Алексей Лукацкий комментирует...

Именно этот текст по сути я видел больше года назад. Еще до Сноудена

Артем Агеев комментирует...

Правильно ли я понимаю, что организациям, не использующим СКЗИ, этот документ можно игнорировать?

Алексей Лукацкий комментирует...

Бумага, имеющая признаки систематизированной обработки, - это ИСПДн. В законе, в первой статье про это говорится

Алексей Лукацкий комментирует...

Артем, при условии, что у тебя нет угроз, которые можно закрыть только СКЗИ, например, передачу по открытым каналам сети Интернет

Алексей Лукацкий комментирует...

Сергей, ты судишь со своей позиции (гражданина или бизнеса), но не с позиции государства

Sergey Soldatov комментирует...

Алексей, ды, вроде нет, после статьи:
http://rusrep.ru/article/2013/06/19/dusha/

в целом, логика понятна.

Алексей Т. комментирует...

2 Алексей: "Бумага, имеющая признаки систематизированной обработки, - это ИСПДн. В законе, в первой статье про это говорится" - ты действительно считаешь, что в первой статье об этом говорится???? Вот это открытие...

arkanoid комментирует...

Ну отлично. Вот типичный пример инициативы, за неучастие в которых ты меня критикуешь. И что? Как я могу посоветовать "изменить" этот документ?

Любому здравомыслящему человеку понятно, что угрозы, закрываемые сертифицированными СКЗИ для ИСПДн неактуальны ВООБЩЕ. То есть от слова "совсем", а если еще точнее, в тех сотых долях процента существующих ИСПДн, где они были бы актуальны, использование сертифицированных СКЗИ уже регламентируется другими документами. Однако у ФСБ логика другая и мы ее прекрасно знаем. Что тут можно ответить кроме "с пидорами не пью"? Никак этот документ невозможно скорректировать, чтобы в нем появился хоть грамм здравого смысла, его можно только выкинуть.

-)гоист комментирует...

Вот и получается, угрозы государству, которое видит ФСБ, оператор сам в свою модель угроз не включит - они ему неинтересны. Потому фсб и выпускает такую бумаженцию.

arkanoid комментирует...

Позиция государства проста -- так как ФСБ действует по поручению государства, все что она делает, делается в интересах государства.

Фин комментирует...

Уважаемые коллеги! В связи с тем, что нынешнем виде приказ УЖЕ абсурдно коррупционно ёмкий, НО недостаточно смешной, давайте предложим ФСБ распорядиться замуровать окна всех этажей, а не только первое и последнее. Если уж ФСБ видит актуальную угрозу в ниньзя с альпинистским снаряжением, то эти самые ниньзя могут на любой этаж спуститься, а не только на последний.
Также непонятно почему надо опечатывать помещения (атавизм же, видеонаблюдение давно как бы) НО ни слова нет про прочие наследия средних веков: не написано какой ширины должен быть РОВ перед зданием, какой высоты СТЕНА, сколько бойниц для ЛУЧНИКОВ, сколько СМОЛЫ запасать. Предлагаю эти предложение тоже выслать. Пусть будут последовательны в своём консерватизме.

Evgeniy West комментирует...

Zubra, Лучше уж предметно. Частный случай, думаю не единичный. Сеть на маршрутизаторах. 20 точек, более 100 пользователей централизованной ИСПДн. Каналы арендованные, на М используется IPsec, передаваемые данные шифруются. И при этом нужно признать угрозы актуальными и навесить еще сертифицированные СКЗИ?)Программные не пойдет, в некоторых местах ПК старинные, на шлюзы 5 миллионов вынь. А ПДн только работников, грубо то не сдались ни кому, да и безопасность их в принципе обеспечивается. Разве нельзя просто в модели угроз, в тех мерах указать это и признать неактуальной угрозы и забыть про документ ФСБ?) Где сказано, что таких мер не достаточно в таком случае, нигде) Вопрос скорее провокационный, нежели по отсутствию знаний как должно быть...интересно мнение)Хочется так с СКЗИ возиться из за ПДн и с ФСБ подружиться))

ZZubra комментирует...

>Zubra, Лучше уж предметно. Частный случай, думаю не единичный. Сеть на маршрутизаторах. 20 точек, более 100 пользователей централизованной ИСПДн. Каналы арендованные, на М используется IPsec, передаваемые данные шифруются.

К сожалению, ничего предметного Вы не сообщили. Вот у меня сразу возник вопрос - что ж это за деятельность в которой более чем 100 пользователей работает с персданными работников? Зачем? Может организация сама себя в петлю загоняет? Ну типа я знаю что при покупке ружья мне нужен будет сейф и разрешение из МВД - но покупаю РПГ-7 и потом возмущаюсь, что меня за такую покупку наказывают. Конкретика должна быть конкретной.

>И при этом нужно признать угрозы актуальными и навесить еще сертифицированные СКЗИ?)

"Надо признать" - Вы используете странный подход. Есть объективная реальность и есть Ваше желание представить ее в нужном Вам свете. Вы можете убедить людей, что камни падают вверх, но объективно они падают на землю. Поставили эксперимент. Камень упал на землю, а Вы говорите - да нет же! Ни о каких "надо признать угрозы актуальными" - никто не говорит - они или актуальные или нет. Да, на такое решение влияет квалификация (профессионализм) определяющего, но никак не величина штрафа за невыполнение чего-то. Это профессиональная сфера. Как производство сыра и рекомендации по его лучшему производству от бухгалтера технологу.

>Программные не пойдет, в некоторых местах ПК старинные, на шлюзы 5 миллионов вынь.

Опять про РПГ?! Вы гарантированно уверены, что Вам нужны именно ЭТИ шлюзы? И нет альтернатив. И Вы готовы при их выборе не учитывая иных факторов ПОТОМ бороться с возникшими проблемами выполнения иного законодательства. А может за 5 лямов компы обновить? Ну как вариант? К сожалению конкретики нет.

>А ПДн только работников, грубо то не сдались ни кому, да и безопасность их в принципе обеспечивается.

У Вас "в принципе" равна "по закону"? В чем измерить Ваше "в принципе". Наглядный пример из жизни: допустим Вы умеете водить машину; объясните мне ЗАЧЕМ Вам получать права??? Ну Вы же умеете водить!!! Права зачем? Вы же уверены, что Вы умеете водить. (перевожу: у меня в виндоусе стоит пароль - зачем мне аттестат? Ведь все же защищено!)

>Разве нельзя просто в модели угроз, в тех мерах указать это и признать неактуальной угрозы и забыть про документ ФСБ?)

Можно все. Но некоторые вещи не законны. Вы можете признать, что угроза быть сбитым на пешеходном переходе при переходе на красный - неактуальна. И потом в Раю долго возмущаться, что Вас сбила машина при переходе на красный (ни дай Бог). Слышал где-то даже памятник есть сбитым пешеходам, которые были правы.

>Где сказано, что таких мер не достаточно в таком случае, нигде)

Вы желаете, чтобы Вам описали АБСОЛЮТНО ВСЕ возможные случаи и ситуации??? Вам мало тех ДЕСЯТКОВ ТЫСЯЧ Федеральных законов? Вы их вообще ВСЕ прочитали? Может там все написано?! Потому я такими фразами, например, не разбрасываюсь. В лучшем случае, говорю "не нашел" или "не знаю". И еще одно. Система законодательства, построенная на канонических текстах - смерть законодательству. Есть СИСТЕМА законодательства, которая рассматривает ВСЕ НПА В СОВОКУПНОСТИ и она и существует в РФ.

>Вопрос скорее провокационный, нежели по отсутствию знаний как должно быть...интересно мнение)Хочется так с СКЗИ возиться из за ПДн и с ФСБ подружиться))

Ну я на Вашу провокацию, думаю ответил. Ваши знания даже не подвергаю сомнению и не считаю, что Вы ничего не понимаете, а я такой весь из себя знающий. Скорее совсем наоборот )))) Все что написано - это просто мое личное мнение.
Вот у ФСБ ВООБЩЕ отличный от ФСТЭК подход к определению необходимости защиты. Потому и непонятки идут. Как это отталкиваться от нарушителя, а не от угроз??? А вот так. Подход у них такой. И он может быть гораздо правильнее чем риски-угрозы, а может и нет. Но он есть. Хотите угодить всем - будьте гибче.

Evgeniy West комментирует...

ZZubra, Сфера деятельности такая, что по разным причинам, как например масса филиалов и доступ тем кто выписывает доверенности используя ПДн (+кадровики, бухгалтера, руководство), получается такое количество пользователей. Это не суть. Я пытался конкретизировать задачу в которой пытаюсь разобраться не только чтением НПА, но и мнениями людей с опытом, потому что приходится одному. Впринципе для меня значило, что защита каналов осуществляется (арендованные каналы провайдера+IPsec на своих маршрутизаторах), но не средствами прошедшими процедуру оценки соответствия. Хотя знаю, что ФЗ 152 это требует, но так же например в 21 приказе ФСТЭК: можно применять иные (компенсирующие)меры с учетом экономической целесообразности, направленные на нейтрализацию актуальных угроз безопасности ПДн. Холивары поддерживать не желаю. Читая НПА у меня сложилось двоякое мнение, поэтому буду рад конкретному мнению, нужно ли в таком случае применять помимо имеющихся мер, сертифицированные СКЗИ, так как актуальность и целесообразность не считаю уместной(в разрез с мнением от НПА). Как по Вашему регулятор на это посмотрит? Если у Вас снова появится масса философских сравнений, оставьте для тех кто лепит листочек с паролем под монитор.Со всем уважением, спасибо за внимание.

ZZubra комментирует...

С регулятором все просто. Если Вы используете СКЗИ (любые) и он к Вам пришел - то все будет строго по нормативке (сертификаты, журналы учета и т.п.). Если регулятор у Вас не найдет СКЗИ или Вы их реально не используете - то и претензий скорее всего не будет. Опять же все зависит от цели проверки и квалификации проверяющих. Слышал о реально крутых проверках, когда сотрудники реально знали в каком коммутационном оборудовании какие криптоалгоритмы используются и какой длинны ключик применяется. Еще очень важно что говорят сотрудники. Если они/Вы скажете, что ЗАЩИЩАЕТЕ не сертифицированными средствами - хана, если скажете, что IPsec используется не для защиты, а как средство каналообразования вопросы должны отпасть.
Ни разу не видел и не слышал (кроме госсистем, разработчиком которой является само ФСБ), чтобы ФСБ поднимало вопрос о необходимости применения СКЗИ для защиты персоналки (хотя все бывает в первый раз). Обычно проверяют то что есть - и так нарушений набегает выше крыши даже по СКЗИ для отчетности и госзакупок.
Мое личное мнение в Вашем случае - СКЗИ применять надо: и профессионально, и по закону, и с точки зрения опасности для бизнеса (коль есть много филиалов - денег хватает->есть деньги значит есть те кто на них зуб точит->хищения по поддельным платежкам с поддельными доверенностями из ПФР тому подтверждение).
А насчет "оставьте философские сравнения" - это из области двойных стандартов, кои не нравятся никому, но к которым сами все прибегают.

Евгений комментирует...

Evgeniy West, кстати, по поводу "арендованные каналы провайдера". Скажите, у вас в договоре написано, что провайдер обеспечивает конфиденциальность передаваемой информации (даже не касаемся ПДн)? Или же только услуга арендованных каналов связи?

Evgeniy West комментирует...

ZZubra, признателен за ответ!Чего то такого и хотелось узнать!)) Терзали смутные сомнения) Есть ли правда в обосновании необходимости проведения данных мер. Спасибо)

Evgeniy West комментирует...

Евгений, нет не прописано. Я так понимаю, если такое в договоре прописывать, они должны будут, точно так же выполнять защиту, а затраты все равно к нам будут адресованы. Они предоставляют канал, как они считают безопасный) Но суть в том что разделены потоки и трафик ходит по их линиям по определенному маршруту.

arkanoid комментирует...

Zzubra, ну конечно, с точки зрения "опасности для бизнеса" очень актуальна угроза, что злоумышленник нападет на неправославный несертифицированный ipsec и будет проводить против него криптографическую атаку.

Смех и грех.

ZZubra комментирует...

Хоу-хоу. Не перевирайте мои слова. Вопрос стоял о применении СКЗИ вообще в такой ситуации. А не о применении сертифицированных СКЗИ поверх ipsec. Сами предположение сделали и других в нем обвинили. Не комильфо.

arkanoid комментирует...

ZZubra, а с точки зрения ФСБ СКЗИ бывают или сертифицированные или неправильные. А с точки зрения здравого смысла и бизнес-потребностей -- скорее наоборот.

А дальше происходит подмена понятий. Криптографическая защита нужна, но в гражданском смысле, а не ФСБшном.

Вряд ли АНБ рассматривается в качестве предполагаемого нарушителя. Так что ФСБ тут делать нечего.

ZZubra комментирует...

У каждого своя правда. Чаще всего она основана на знаниях, которые дает круг общения человека (в широком смысле), или на интересах. Надо ли рассматривать АНБ в качестве нарушителя - дело крайне спорное: слишком от многих факторов это зависит, НАПРИМЕР, от вида деятельности или личности владельца негосударственной организации. У Газпрома, Роснефти, металлургических организаций и т.п. - АНБ в первых рядах; в бизнесе наших олигархов - думаю тоже; в бухгалтерии ООО "РиК", торгующей продуктами в деревне Гадюкино - и нет и да (писать пишут, если попадается в сети, но не используют, но и не выбрасывают, так, на всякий случай). А маленькое ООО, обслуживающее участок связи нефтепровода Роснефти? Они интересны АНБ? Шпионские истории говорят "да" ))))
Предполагаю, что у ФСБ свой железобетонный резон есть подходить к этим вопросам так, как они подходят. Сколько бы у их подхода не было противников, но когда им (противникам) выпадает счастье на эту тему плотно пообщаться с ФСБ - их точка зрения меняется ВСЕГДА (в моем жизненном опыте обратных примеров не встречалось). Тот же наш министр связи - раз и другой человек после посещения занятия должности и посещения заседания совбеза. Почему? Ну дык )))))

Фин комментирует...

>у ФСБ свой железобетонный резон есть подходить к этим вопросам так, как они подходят

подскажите, какой резон опечатывать на ночь помещения в коммерческом ОАО (банке) в собственном здании с собственной охраной с видеонаблюдением с записью во всех коридорах и с СКД на каждый этаж?

ZZubra комментирует...

Ну это диалектика )))) одно маленькое правило для всех или много правил на все случаи жизни ))))) Они выбрали первый путь - точность маленькая зато все просто и понятно (например, для главврача районной больницы - типа СКЗИ хранить как медицинскую наркоту). Вы предлагаете 2 путь - но полномочия выбирать пути у них ))))))

ЗЫ Почему они выбрали 1 путь - история говорит что он более ПРАКТИЧЕН для МАССОВОГО использования НЕКВАЛИФИЦИРОВАННЫМ персоналом, чем сложные правила в каждой ситуации. И тут пока у ФСБ не отнять - практичность у них стоит на первом месте, в отличии от остальных норматворческих органов. И да - это обидно, когда профессионала ровняют под одну гребенку со всеми. Но, например, в авиации правила полетов одинаковы для новичка и для старпера с 20к налета, потому как отступления там от правил нагляднее некуда получаются ((((.

Фин комментирует...

>Почему они выбрали 1 путь - история говорит что он более ПРАКТИЧЕН для МАССОВОГО использования НЕКВАЛИФИЦИРОВАННЫМ персоналом, чем сложные правила в каждой ситуации.

Ага, альтернативные варианты не описаны из-за сложности. Ну, то есть, вы другими словами написали слово ЛЕНЬ.

ZZubra комментирует...

Ну не согласен. Это как М-16 и АК-47. Вы выбираете точный и сложный М-16, ФСБ - неточный но простой АК. Простота АК - из-за лени?

arkanoid комментирует...

ZZubra, когда модель угроз и требования к защите информации от ФСБ, которые настолько принципиально несовместимы с бизнес-требованиями и здравым смыслом, что их даже в самой ФСБ с ее почти неограниченными ресурсами применяют выборочно и абы как, называют ПРАКТИЧНЫМИ ДЛЯ МАССОВОГО ИСПОЛЬЗОВАНИЯ, мне трудно поверить, что человек не троллит.

Фин комментирует...

>ZZubra пишет...Ну не согласен. Это как М-16 и АК-47. Вы выбираете точный и сложный М-16, ФСБ - неточный но простой АК. Простота АК - из-за лени?

Пример не релевантный. Раз уж потянуло вас на военную тематику - есть АК, есть ПКМ. Но нет, мы заставляем пулеметчика таскать и автомат тоже. Второй вариант - есть РПГ-7, есть АГС-17. Но у нас чел с автоматическим гранатомётом будет таскать еще и РПГ.

Войско получилось малоподвижное. А когда у штабистов спросили, откуда такие требования, они сказали, что расписывать про всяких пулеметчиков гранатомётчиков и снайперов это слишком сложно.

Фин комментирует...

А ведь есть еще и танкисты которые с АК в танк не влезут)

ZZubra комментирует...

2арканоид
я Вам про принцип, а Вы мне про частные случаи. фсб у себя не применяет, потому что заражается таким "я профи, потому дляменя законы не писаны". к хорошему это не приведет.а вот в массовом смысле все именно так как я и написал. я миллион раз слышал про "поставить решетки и успокоиться". таких большинство из тех кто ОБЯЗАН защищать.для них такие требования и написали.

2Фин
Будем военным опытом меряться? ))) ак нужен и гранатометчику и тяжелому пулеметчику и птурснику и пзркашнику. про рпг и агс в одном флаконе Вы явно переборщили-ни в документах ни в реале никогда даже не слышал. в конце концов бусв отделения и роты такого не предусматривает.или у нас уже армия не по уставам живет? а для танкистов аксу был придуман.

arkanoid комментирует...

Zzubra, вся бизнес-практика состоит из таких "частных случаев". Они и есть "принцип".

Требование что МСЭ должен заносить в системный журнал информацию о каждом заблокированном IP-пакете, а при невозможности ведения системного журнала -- отключать прохождение трафика, не отменили часом? Думаю, нет. Хи-хи. Принцип!

ZZubra комментирует...

Вот Вы ругались-ругались, а фсб читало-читало да проект приказа вроде и удалила. вот как теперь замечания отправлять?
А чем требование прекращать обработку при выходе из строя сзи Вам не нравится? Что предлагаете Вы?

mike комментирует...

Blogger Sergey Soldatov пишет...
Алексей, ды, вроде нет, после статьи:
http://rusrep.ru/article/2013/06/19/dusha/

смешно читать этот бред. Особенно когда пишет человек абсолютно не понимающий как вообще устроены отношения в госструктурах и силовых ведомствах ....

А проект приказа очень неплохо отражает тенденцию ....
Если внимательно посмотреть кто из "наших" вендоров в класс КС3 и КВ сейчас уползает и гордится этим, то можно и выводы сделать, почему оно так написано ....

Фин комментирует...

>ZZubra пишет...Будем военным опытом меряться? )))

Да запросто. Я стрелял из того что перечислил. И знаю кто чего таскает на маршах. АГС-17 например таскают двое - один пушку, второй треногу. А вы по-моему не очень внимательно читали мой пример. Ну да ладно, еще раз всё объяснять не буду, так как здесь это явно оффтоп.

arkanoid комментирует...

> А чем требование прекращать обработку при выходе из строя сзи Вам не нравится? Что предлагаете Вы?

ZZubra, меряйтесь уж лучше военным опытом, зачем вы пошли в инфобез?

Ну подумайте головой хоть немного? Как вы собираетесь писать в системный журнал 100 миллионов сообщений в секунду? Чем? В какой? Сколько это будет стоить?

ZZubra комментирует...

2Фин
бусв Вас не убедил. ок. ну и ладно.

2арканоид
к сожалению не являюсь узким специалистом по МЭ, потому не могу Вам открыто возразить цифрами и кодом.
Но на концептуальном уровне возникает вопрос - принимать решение о пропуске и блокировке каждого пакета IP со скоростью 100 миллионов в секунду можно, а записывать с такой скоростью нет? И еще: значит на рынке нет ни одного МЭ который выполняет "Требование что МСЭ должен заносить в системный журнал информацию о каждом заблокированном IP-пакете"?
Вообще цифра в 10в8 в секунду - это для МЭ какого масштаба? если оттолкнуться от "Как видно на графике, 300K запросов в секунду примерно соответствуют 500 МБ/с, тогда как в Рунете не раз наблюдались DDoS-атаки в десятки гигабит/с, а самая крупная была в 100 Гбит/с" (взято http://www.xakep.ru/post/58249/), то похоже Вы имели ввиду какой-то немерянный канал ЦОДов. И тогда такая скорость (очень грубо) соответствует каналу в 170 гигабит/с. Опять же если все это примерно так, то количество организаций, гоняющих персданные с такой скоростью не сопоставимо с количеством бухгалтерий и отделов кадров сидящих на 128к или даже на 1 мегабите в секунду. И тогда для МАССОВОГО потребителя такое требование к МЭ вполне реализуемо и разумно. Так? Или я где-то ошибся?

MsSashimi комментирует...

Уважаемый Алексей! Мне нравится ваш грамотный блог, я постоянный читатель, поэтому, желая только лучшего, обращаю ваше внимание на "в соответствиИ с".

MsSashimi комментирует...
Этот комментарий был удален автором.
Els комментирует...

А как же быть с Типовыми требованиями ФСБ и Методическим рекомендациями ФСБ? В проекте нет ни слова о том, что они отменяются.
А некоторые требования указанных документов дублируются (учет всех носителей, решетки на окнах и др.)

Алексей Лукацкий комментирует...

Эти два документа не были приняты и не являются легитимными

Els комментирует...

Получается, что использование криптосредств (при обеспечении безопасности ПДн) должно осуществляться только в соответствии с требованиями эксплуатационной и технической документации к ним (естественно, до вступления в силу обсуждаемого Приказа)? И при проверках не требуются Журналы учета криптосредств, Функциональные обязанности ответственных пользователей криптосредств и проч.?
А как же http://www.fsb.ru/fsb/science/single.htm!id%3D10434826@fsbResearchart.html, http://www.consultant.ru/document/cons_doc_LAW_126991/ ?

Алексей Лукацкий комментирует...

Эти документы не были утверждены в необходимом порядке