Анализ нового приказа ФСБ по защите ПДн
После прочтения проекта нового приказа ФСБ России «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» у меня сложилось четкое впечатление, что «жизнь-боль»! Сейчас объясню почему.
Начнем пожалуй с того, что теперь нам более подробно расшифровали требования по обеспечению безопасности ПДн, которые прописаны в 1119 Постановлении правительства РФ для разных уровней защищенности. Однако самое интересное осталось нераскрытым. Например, мы теперь знаем, что в электронном журнале сообщений фиксируются «запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам», но четкого определения, что это за журнал мы так и не получили. Прошло больше года с выхода ПП 1119, но ничего страшного, мы еще подождем! С электронным журналом безопасности такая же ситуация, но хотя бы мы теперь знаем, что это разные журналы, а не опечатка в ПП 1119!
Теперь о главном, на мой взгляд, изменении. Есть 6 классов средств криптографической защиты информации (далее — СКЗИ). Класс необходимого для использования СКЗИ раньше определялся исходя из возможностей нарушителя по реализации атаки, то есть на основании модели нарушителя. Теперь класс СКЗИ привязан к уровню защищенности и типу актуальных угроз:
|
1 УЗ |
2 УЗ |
3 УЗ |
4 УЗ |
|
|
АУ 1 типа |
КА1 |
КВ2+ |
— |
— |
|
АУ 2 типа |
КВ2+ |
КВ2+ |
КВ2+ |
— |
|
АУ 3 типа |
— |
КС1+ |
КС1+ |
КС1+ |
УЗ — уровень защищенности; АУ — актуальные угрозы.
Раньше мы могли понизить класс используемых СКЗИ с помощью модели нарушителя, то теперь этот фокус не пройдет. Теперь всё зависит только от классификации ИСПДн по 1119 ПП.
Стоит отметить, что в пункте 5, подпункт г) «использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз»
в явном виде прописано, что теперь необходимо использовать только сертифицированные СКЗИ.
Обратимся к перечню средств защиты информации, сертифицированных ФСБ России.
С помощью поиска можно найти, что СКЗИ класса КА1 всего 6, а класса КВ2 — 13. Не густо. Есть подозрение, что чем меньше СКЗИ одного класса, тем выше их цена…
Ну и на последок моё любимое:
«26. Для выполнения требования, указанного в подпункте «а» пункта 5 настоящего документа, для обеспечения 1 уровня защищенности необходимо:
а) оборудовать окна Помещений, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;
б) оборудовать окна и двери Помещений, в которых размещены серверы информационной системы, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.»
Я так понимаю, в ФСБ России опасаются, что Человек-паук или ниндзя-альпинисты захотят похитить ценные ПДн, действительно актуальная угроза… Очень хотелось бы увидеть такие конструкции, например, на последних этажах зданий комплекса Москва-Сити.
