ИБ-эксперты просят ФСБ доработать требования к защите персональных данных
Подготовленные ФСБ проекты правительственных постановлений не устроили участников рынка ИБ. Эксперты говорят о правильном векторе движения, но большом количестве недоработок в документах.
Эксперты рынка ИБ проанализировали два подготовленных Федеральной службой безопасности (ФСБ) проекта постановления правительства: документ об определенииуровней защищенности персональных данных(ПД) итребованиях к их защите. Подробно о результатах анализа можно прочесть всамом отчете.
Появилось ли управление рисками
Анализ провели председатель правления «Андэк»Владимир Гайковичи заместитель директора компанииВячеслав Максимов. Плюсом документов они называют то, что предложения основаны на современном подходе к управлению рисками. «Рассматриваемые проекты реально направлены в сторону обеспечения безопасности ПД на основе оценки рисков», - говорится в отчете.
Впрочем, с этим категорически не согласен управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры»Михаил Емельянников«По-прежнему речь идет о классификации по сугубо формальным признакам и возможности для оценки рисков такой подход не оставляет совсем», - говорит он CNews.
Что нужно менять
Эксперты «Андэк» в своем анализе заявляют, что документы ФСБ нуждаются в доработке. В определении уровней защищенности ПД авторы отчета увидели несоответствие, которое помешает реализации задуманного на практике. Если во 2 пункте документа об уровнях их определение основывается на угрозах безопасности («комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности»), то в 16 - уже на категории нарушителя.
Сами категории нарушителей, предложенные во втором документе, тоже не устроили авторов анализа. «Само по себе определение категории нарушителя можно только приветствовать, поскольку это вводит новую размерность при определении требований к защите, - считают авторы отчета. - Предложенные в проектах категории нарушителей пока не обеспечивают желаемой гибкости требований к защите. Категорирование нарушителей фактически вводит новую систему классификации, которая не согласуется с уже известной моделью нарушителей ФСБ России (Методические рекомендации от 21.02.2008), что может привести к необходимости построения операторами ПД нескольких различных моделей нарушителей в случае, если для защиты данных будут использоваться криптографические средства защиты».
Емельянников же считает, что и само введение в качестве дополнительного параметра категорий нарушителей сделано зря и делает документы практически невыполнимыми для абсолютного большинства операторов ПД. «В соответствии с данными Роскомнадзора приблизительно 25% зарегистрированных операторов – это учреждения образования. Значительную долю составляют учреждения здравоохранения и прочие, - говорит он. - Представляете себе заведующую детсадом, моделирующую нарушителя? А ведь определение уровня – обязанность оператора!».
«Оба обсуждаемые проекта постановлений так и не дают однозначных ответов на вопросы, связанные с оценками соответствия средств защиты и эффективности принимаемых мер защиты», - говорит CNews руководитель направления по защите персональных данных компании «Инфосистемы Джет»Юрий Черкас.
ЦБ придется подвинуться
Авторы анализа предупреждают о том, что вступление документов в силу в сегодняшнем виде повлияет на банки – выведет их из под крыла ЦБ. «Перечень защитных мер, обеспечивающих заданные правительством уровни защищенности, определяют ФСТЭК и ФСБ, - говорится в отчете. - Таким образом, Банк России не уполномочен выдвигать требования по защите персональных данных, использующихся в рамках банковских технологических процессов».
Емельянников называет одним из самых серьезных недостатков новой редакции закона о персональных данных то, что в ней нет места отраслевым стандартам организации обработки и обеспечения безопасности ПД. «Существует лишь возможность разработки нормативно-правовых актов органами власти и Банком России, а также определения ими и объединениями операторов дополнительных угроз по отношению к тем, которые будет установлены ФСБ и ФСТЭК», - говорит он CNews.
Как регуляторы взаимодействуют с рынком ИБ
Опрошенные CNews эксперты говорят, что взаимодействуют с ФСБ. «Проекты постановлений вызвали серьезную дискуссию среди специалистов, в ходе которой был высказан целый ряд предложений по доработке проектов, уточнению их отдельных формулировок и положений, - заявил CNews советник гендиректора по работе с регулирующими и госорганами Leta GroupСергей Акимов. - На наш взгляд, в целом, указанные проекты соответствуют духу Федерального закона, но, естественно, требуют определенной корректировки, в том числе и с учетом мнения профессионального сообщества».
«Безусловным положительным моментом явился сам факт обсуждения проектов подобных документов с экспертным сообществом, - считает Юрий Черкас. - В адрес регуляторов были направлены предложения различных участников рынка, часть из которых была учтена в постановлениях в виде соответствующих поправок».
Со ссылкой на данные эксперта в области ИБАлексея Лукацкого, Акимов говорит о нескольких десятках предложений, направленных сообществом в ФСБ. «Сколько из них внесено в проекты документов покажет время, - добавляет он. - Не следует забывать, что после опубликования проекты документов должны пройти согласование в Минкомсвязи и Минюсте. Надеемся, что все заслуживающие внимания предложения специалистов будут приняты регуляторами».
Емельянников не поддерживает радужные ожидания своих коллег по рынку ИБ: «Нет оснований рассчитывать на то, что мнение экспертного сообщества будет как-то учтено при доработке документов».