28.10.2015

Как ФСБ меня дураком назвала - часть третья, возможно заключительная

Вчерашняя заметка в ТАСС об ответе ФСТЭК на запрос депутата Костунова по поводу защиты персональных данных на сайтах госорганов наделала немного шума. Еще бы - в одном материале намешали в кучу и 21-й и 17-й приказы ФСТЭК, и 260-й Указ Президента, и 378-й приказ ФСБ вместе с ПКЗ-2005... Попробуем разобраться и понять, что же имел ввиду депутат и что ему ответили.

Не видя исходного запроса Костунова сложно понять, что он спросил, но судя по всему, он заинтересовался тем, как персональные данные граждан России защищаются в рамках оказания государственных или муниципальных услуг. Свой запрос он направил в ФСТЭК, что само по себе удивительно, так как обычно депутаты не всегда знакомы с этой аббревиатурой, считая, что безопасностью, включая и информационную, у нас в России занимается ФСБ. Но запрос ушел в сторону ФСТЭК и ФСТЭК ответила... Ответ их был достаточно интересен. Если верить  ТАСС, то ФСТЭК ни слова не сказав про незащищенность госорганов сайтов, переведя стрелки в плоскость незащищенности персданных в процессе передачи данных. По сути, ФСТЭК переложила всю ответственность на 8-й Центр ФСБ, который и отвечает у нас за вопросы шифрования персональных данных.

Зная про "любовь" двух ведомств друг к другу, такой ответ ФСТЭК, да еще и публичный (было очевидно, что депутат обязательно доведет его до СМИ), выглядит это немного странно. Раньше регуляторы не любили выносить сор из избы и старались все свои конфликты или иные несогласия не выносить на публику. Можно, конечно, предположить, что это пир во время чумы, то есть во время административной реформы, во время которой ФСТЭК прекратит свое существование. Но это будет совсем уж конспирологическая версия. Да и что гадать; правды мы все равно не узнаем.

Возможно просто ФСТЭК больше нечего было сказать. Ведь то, что сайты, и не только госорганов, уязвимы известно давно. Та же Positive Technologies выпускает ежегодные свои отчеты по защищенности веб-приложений и положительной динамики в них не наблюдается. То есть дыры есть и через них можно проникнуть на сайт в том числе и госоргана и украсть персданные граждан. Почему тогда ФСТЭК не упоминает про защиту сайтов, сославшись только на свой 17-й приказ? Тут все просто. Слишком много разных требований ложится на сайт госоргана с точки зрения информационной безопасности. Я уже как-то писал про это. И писали эти требования не только в ФСТЭК, но и в ФСБ, Минкомсвязи, Минэкономразвития... А как известно у семи нянек дитя без глазу. По сути, никаких специальных документов по защите сайтов госорганов и органов местного самоуправления в России до сих пор не принято и каждый защищает их во что горазд.

Дальше больше. ФСТЭК упоминает про майский Указ Президента о госсегменте сети Интернет, управляемом ФСО. Я про него тоже уже писал. Почему-то ФСТЭК и депутат Костунов считают, что реализация этого приказа должна улучшить состояние защищенности персональных данных россиян. Но это так только в случае передачи этих данных между госорганами или от госоргана до "гособлака", о котором я писал недавно (и то, при соответствующей модели нарушителя). К сайту госоргана этот шифрованный канал никакого отношения не имеет. На сайте-то у нас данные не шифруются (если только не на уровне СУБД). И уж тем более странно было читать высказывание депутата про якобы вытекающее из приказа ФСТЭК №21 и Указа Президента №260 шифрование от сайта госоргана до компьютера или мобильного устройства гражданина. В документах этого нет.

Я скажу больше. Госорганы как черт от ладана бегут от использования сертифицированного шифрования при защите персональных данных граждан. Три года назад я уже пытался выяснить этот вопрос в госорганах, направив соответствующие запросы в ФСТЭК, Роскомнадзор, Правительство, ФСБ и другим. Самым корректным был ответ от Минпромторга, который я не ленюсь демонстрировать до сих пор. В отличие от ответов РКН (слайды 28 и 29) на запросы субъектов ПДн относительно отсутствия шифрования на сайте РЖД и госуслуг, ответ Минпромторга полностью логичен и юридически корректен. Ну а то, что при этом нарушается дух закона о персональных данных, ну так это давно уже никого не волнует. Особенно орган по защите этих самых прав, который сам первый и не соблюдает законодательство по персданным, не защищая то, что ему отправляют граждане через форму обращения.

Что касается уравнивания сайта и государственной информационной системы, которое сделал депутат Костунова, то я это оставлю на его совести. Он, видимо, считает, что они равнозначны, следуя общепринятой позиции. Вот тут, как мне кажется, депутатам бы и поработать - давно уже пора внести ясность в этот термин и дать пояснения по нему. Почему бы все информационные системы в госорганах не отнести к ГИС?.. Было бы гораздо проще. Но нет...

Депутат вышел на ФСТЭК (!) и Минэкономразвития (!!) с инициативой по введению обязательного шифрования персданных россиян при общении с госорганами. Ну а так, как эта тема явно уйдет в ФСБ, а 8-й Центр этой уважаемой структуры уже неоднократно высказывался, что они против отказа от поголовной сертификации СКЗИ и против разделения криптографии на гражданскую и государственную, то в интересах государства требование шифрования ПДн от граждан до сайтов госорганов у нас может перерасти в более жесткую форму 378-го приказа ФСБ с его обязательной сертификацией СКЗИ. И вот тогда мало не покажется. Шутки про создание шифроргана в отдельно взятой квартире уже не будут казаться такими уж и шутками.

Зато требования 8-го Центра по решеткам или ставням на окнах помещений, в которых ведется обработка ПДн, сразу снизят преступность в стране. И это единственный позитивный момент в этой заметке :-)

3 коммент.:

Gmshik комментирует...

Похоже на подготовку к запросу на выделение бюджетных средств на "правильный" проект, и о результатах спрашивать потом запретят

Алексей Лукацкий комментирует...

Не уверен

Иван Петров комментирует...

"МОСКВА, 27 октября. /ТАСС/. Федеральная служба по техническому и экспертному контролю (ФСТЭК..."
"Замечательно" когда ТАСС такие ошибки делает.