9.9.14

Что делать с новым приказом ФСБ по персданным?

Как-то незаметно для всех прошла регистрация в середине августа приказа ФСБ "по персданным" (он же приказ №378 от 10.07.2014), о котором я писал не раз (в частности, тут и тут). И поскольку текст финального варианта ничем не отличается от проекта, о котором я писал, то много говорить о приказе не хочется. Тем более, что про него уже отписались Саша Бондаренко и Сергей Борисов. Но так как меня просили высказаться, то не могу не сказать пару слов :-)

Во-первых, я бы хотел развенчать заблуждение о том, что это приказ о применении СКЗИ для защиты персданных. Это не так. Приказ делится на две части - применение СКЗИ и ответ на до недавнего времени непонятные моменты, связанные с ПП-1119. Что такое режим безопасности помещений? Что такое электронный журнал сообщений? Что такое сохранность ПДн? На все это в приказе №378 даны ответы. Поэтому, даже если вы не применяете СКЗИ, то уйти от выполнения этого приказа ФСБ не удастся, как и от опечатывания помещений, учета машинных носителей ПДн и другой лабуды, которая мало кому помогает в деле защиты ПДн, а в ряде случаев и вовсе неисполнима.

Но приказ есть и с ним надо что-то делать. Что? Могу посоветовать ровно то, что советовали представители 8-го Центра на одном из заседании в Совете Федерации в конце прошлого года, когда мы подняли тему невыполнимости этого приказа. Сказали оно одну простую вещь - "не хотите выполнять приказ, творчески подойдите к процессу формирования модели угроз". Иными словами, представители регулятора решили вовсе не заморачиваться с защитой ПДн, дав всем операторам простой совет - исключите угрозу нарушения конфиденциальности из актуальных и вам не понадобится применение СКЗИ вовсе. Ни сертифицированных, ни несертифицированных. Понятно, что это малость противоречит духу ФЗ-152 в части защиты прав субъектов, но кого эти субъекты и их права волнуют? На них давно уже забили болт даже в Роскомнадзоре, который благополучно разрешил РЖД считать паспортные данные общедоступными. И Правительство вполне легально и согласно букве закона не заморачивается применением СКЗИ. Да что уж там. Закон о защите прав субъектов ПДн давно уже переименовали (даже регуляторы) в закон о защите ПДн, подменив суть и закона и его содержания. Но вернемся, к 378-му приказу.

Итак, я рекомендовал бы исключить нарушение конфиденциальности из числа актуальных угроз. Имеете ли вы на это право? Да, вполне. Отраслевых моделей угроз у нас пока нет. Поэтому пишите свои, устраивающие вас. Рекомендую ли я отказаться от защиты прав субъектов ПДн? Нет, не рекомендую. Просто формальный отказ от конфиденциальности, дает вам право также формально отказаться от применения сертифицированных СКЗИ. Иными словами, уйти из под действия регулятора, который за 3 года так и не смог родить адекватные требования по защите ПДн. А вот уйдя из под регулятора, вы уже в своем праве применять любые средства защиты, включая и несертифицированную, но официально ввезенную криптографию.

Вот только от оргмер, прописанных в 378-м приказе и разъясняющих ПП-1119 уйти не удастся - они не зависят от модели угроз. Единственное, что могу посоветовать - исключить из списка типов актуальных угроз первый и второй тип. Тогда вы в 99% случаев попадете под 4-й класс защищенности, который наименее жесток с точки зрения выполнения требований ФСБ.

ЗЫ. Обратите внимание, что приказ пока официально не опубликован, но вспоминая, что последний приказ ФСТЭК (№31) ждал публикации около месяца с момента регистрации, то и с приказом ФСБ, видимо, будет такая же эпопея - к середине-концу сентября, думаю, стоит ждать официального вступления в силу.

9 коммент.:

Анонимный комментирует...

>> А вот уйдя из под регулятора, вы уже в своем праве применять любые средства защиты, включая и несертифицированную, но официально ввезенную криптографию.

Алексей, а если криптография не является официально ввезенной, а например, неофициально скачана, есть какие-то препятствия к ее использованию?

Михаил Новокрещенов комментирует...

Ну 1 капитальный ляп ФСБ в своем проекте документа все-таки исправили. Если раньше предлагалось в сейфах хранить все носители персональных данных, что, мягко говоря, вызывало недоумение, то теперь это требование относится только к мобильным носителям, если на них не используется шифрование хранящихся данных. Что вполне логично, обоснованно, и синхронизируется с требованиями ФСТЭК.

Сергей Борисов комментирует...

И если не ошибаюсь, то требования к помещениям раньше были для всех помещений ИСПДн, а теперь только для помещений с СКЗИ

-)гоист комментирует...

Да, только для СКЗИ же теперь. О всех ИСПДн речи нет в приказе.

Алексей Лукацкий комментирует...

Евгений: этот вопрос не урегулирован законодательно :-( Лучше получить разрешение ФСБ на ввоз и использовать его применительно к скачиваемому ПО

Михаил: а как IP-телефон хранить в сейфе?

Сергей: да, это в последней редакции исправили

Эгоист: это так кажется

Михаил Новокрещенов комментирует...

А какие на IP-телефоне хранятся персональные данные? Если подразумевался смартфон, то можно либо исключить хранение ПД на нем, либо шифровать их, используя в том числе западную крипту, да даже возможности антивирусов для мобильных средств как компенсирующие меры в виду отсутствия сертифицированных под мобильных средства СКЗИ с данным функционалом

Tomas комментирует...

Михаил, компенсирующие меры - это про ФСТЭК, не про ФСБ.

Unknown комментирует...

>>Итак, я рекомендовал бы исключить нарушение конфиденциальности из числа актуальных угроз.

Алексей, а как быть с соблюдением ст. 7 ФЗ-152 ("Конфиденциальность персональных данных"). Правомерно ли будет игнорировать угрозы, позволяющие нарушить эту статью? :-)
Второе. А почему рекомендуется исключить только нарушение конфиденциальности? Чем это поможет не применять сертифицированные СКЗИ если, например, останется еще и угроза целостности персональных данных?

Алексей Лукацкий комментирует...

1. В ст.7 не говорится об обеспечении конфиденциальности в виде применения шифровальных средств и вообще о конфиденциальности в техническом ее понимании.

2. Целостность можно и без СКЗИ контролировать.