ФСБ выпустило приказ, описывающий набор мер по обеспечению безопасности персональных данных при их обработке с использованием средств криптозащиты. Большая часть его положений осталась неизменной по отношению к тексту проекта, в отношении которого ведомство еще год назад консультировалась с отраслью. Главная проблема, по мнению экспертов, — необходимость применения исключительно сертифицированных средств криптографии. «Российская газета» опубликовала приказ ФСБ от 10 июля 2014 г., утверждающий состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке с использованием средств криптозащиты — для каждого из четырех существующих уровней защищенности. Документ вступит в силу 28 сентября текущего года. Как прокомментировал текст приказа управляющий директор «Лаборатории Касперского» в России, странах Закавказья и Средней Азии Сергей Земков, речь в нем в основном идет об организационных мерах (безопасности помещений, использовании сейфов, ведении журнала учета машинных носителей персональных данных и пр.), а также о самой необходимости применения шифрования (криптографии). Проект данного приказа был опубликован ФСБ еще в начале октября 2013 г., и ведомство как на этапе его подготовки, так и в течение двух недель после размещения текста в интернете собирало предложения отрасли. Специалисты по безопасности считают, что для весьма существенного числа сценариев обработки персональных данных таких средств криптографии просто нет. Как сообщил ведущий эксперт InfoWatch по информационной безопасности Андрей Прозоров, его компания также направляла в ФСБ свои замечания по поводу проекта приказа. Помимо вышеупомянутых подходов и требований к использованию сертифицированных средств шифрования InfoWatch предлагала пересмотреть и требования по физической безопасности. В сумме эти меры могли бы решить вопрос сложности исполнения требований ФСБ операторами персональных данных. Кроме того компания предлагала пересмотреть саму структуру документа. «К сожалению, замечания были практически не учтены в финальной версии приказа», — говорит Прозоров. В принятом документе, кроме уже описанных узких мест, операторам, как считает Прозоров, также следует особое внимание уделить положениям приказа, касающимся использования электронных журналов (безопасности и сообщений). С тем, что очень многие первоначальные требования ФСБ остались в неизменном виде, соглашается и Сергей Земков. «К сожалению, выполнение части из них достаточно нетривиальный процесс, и не очень понятно, как это поможет защите персональных данных», — говорит он.
Источник