Страницы

Криптоскрепы


Молодой специалист, только постигающий азы толкования нормативных документов, столкнувшись с задачей обеспечения безопасности персональных данных с помощью средств шифрования, тут же наткнется на новый приказ ФСБ №378, который так и называется: "Cостав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации".

И невдомек ему, зеленому, что по старой престарой традиции к одному новому приказу могут идти в довесок ещё несколько старых или закрытых, но при этом полностью действующих руководящих документа.



378 приказ ФСБ все ждали, скрестив пальцы, но чуда не произошло, и на свет появился очередной документ с решетками на окнах и призраками ИТР, но всё же, стоит признать, чуть мягче, чем предыдущие.
Вот только одно меня смущало: старые документы то не отменили. А раз так, то какой смысл в новом приказе, если старые требования остаются в силе?
Поэтому в начале ноября я написал запрос в ФСБ, воспользовавшись интернет-приёмной (само собой,  HTTPS нет, политки обработки ПДн нет, согласия на обработку тоже нет).
Звучал он примерно так:
Обязан ли я соблюдать требования старых документов ФСБ (ФАПСИ), регламентирующих использование средств шифрования, для защиты персональных данных в ИСПДн, или достаточно одного 378 приказа?
Два месяца прошло, и я уже забыл про свой запрос. Каково же было мое удивление, когда на почте мне вручили большой конверт от ФСБ, умудрившись его чуть не потерять.
Вот так выглядит ответ 8 центра ФСБ России на электронный запрос, направленный через веб-приемную :)

Нужно, конечно, отдать должное 8 центру, ответ прямой и не допускает двойных толкований.



Таким образом нормативные документы несуществующего уже 11 лет ведомства до сих пор живы и обязательны к применению. Поэтому если у вас есть ViPNet или КриптоПро, не забудьте создать орган криптографической защиты в своей компании, организовать обучение пользователей и сдачу зачётов, оформите на каждого сотрудника, допущенного к випнету, заключение и лицевой счёт и т.д. (подробней про всё это я уже однажды писал). И запаситесь пластелином!

Ещё один вывод из письма дублирует аналогичный по ФСТЭКу: вместо того, чтобы разводить бесконечные споры в соц.сетях или курилках, задайте свой вопрос через веб-приемную напрямую в 8 центр ФСБ! Это просто как два бита переслать.
Ответы 8 центра обязательно публикуйте, ибо эти знания могут пригодится кому-нибудь ещё. Если некуда выложить - присылайте сканы мне (root@itsec.pro)!

8 комментариев:

  1. Спасибо за инфу.
    Тоже задал пару вопросов ФСБ и ФСТЭК месяц назад. Жду кто первый ответит.

    ОтветитьУдалить
  2. Ну ничего нового в ответе же нет :-) "Розовую инструкцию" никто и не отменял. Слухи ходят о ее переделке в 2015-м году. Замены ПКЗ-2005 тоже нет. Так что все логично :-)

    ОтветитьУдалить
    Ответы
    1. Ну Вас, Алексей, сложно чем то новым удивить :)

      Я вот хотел подвтерждения, что "Типовые требования.. " и "Методические рекомендации..." 8 центра больше не имеют силы. Да и мне не ясно было зачем делать более мягкий 378 приказ, если старые документы всё равно в силе.

      Удалить
    2. И даже если бы "решетки на окнах" в 378 не указали, они, получается, все равно нужны бы были по "розовой книжечке".

      Удалить
  3. даже фстэк 21 не указали

    ОтветитьУдалить
    Ответы
    1. ФСТЭК не регламентирует требования к защите информации с применением средств криптографической защиты. Такие требования регламентирует и проверяет ФСБ.

      Удалить
    2. ФСТЭК не регламентирует требования к защите информации с применением средств криптографической защиты. Такие требования регламентирует и проверяет ФСБ.

      Удалить
  4. Мы занимаемся разработкой программного обеспечения. В данный момент у нас подписан контракт согласно которому необходимо провести работы по информационной безопасности. Помимо подготовки документов по ИБ, результатом работ должно быть заключение 8 Центра ФСБ России по оценке влияния Системы на выполнение предъявленных к СКЗИ требований. Подскажите какая компания предоставляет подобные услуги?

    ОтветитьУдалить