Мемуары о будущем

Дмитрий Беляев

Подготовленные ФСБ проекты правительственных постановлений не устроили участников рынка информационной безопасности

Опубликовано: 15 июня 2012 года






Подготовленные ФСБ проекты правительственных постановлений не устроили участников рынка ИБ. Эксперты говорят о правильном векторе движения, но большом количестве недоработок в документах.

Эксперты рынка ИБ проанализировали два подготовленных Федеральной службой безопасности (ФСБ) проекта постановления правительства: документ об определении уровней защищенности персональных данных (ПД) и требованиях к их защите. Подробно о результатах анализа можно прочесть в самом отчете.

Появилось ли управление рисками?

Анализ провели председатель правления «Андэк» Владимир Гайкович и заместитель директора компании Вячеслав Максимов. Плюсом документов они называют то, что предложения основаны на современном подходе к управлению рисками.

«Рассматриваемые проекты реально направлены в сторону обеспечения безопасности ПД на основе оценки рисков», — говорится в отчете.

Впрочем, с этим категорически не согласен управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников «По-прежнему речь идет о классификации по сугубо формальным признакам и возможности для оценки рисков такой подход не оставляет совсем», — говорит он CNews.

Что нужно менять?

Эксперты «Андэк» в своем анализе заявляют, что документы ФСБ нуждаются в доработке.

В определении уровней защищенности ПД авторы отчета увидели несоответствие, которое помешает реализации задуманного на практике. Если во 2 пункте документа об уровнях их определение основывается на угрозах безопасности («комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности»), то в 16 — уже на категории нарушителя.

Сами категории нарушителей, предложенные во втором документе, тоже не устроили авторов анализа.

«Само по себе определение категории нарушителя можно только приветствовать, поскольку это вводит новую размерность при определении требований к защите, — считают авторы отчета. — Предложенные в проектах категории нарушителей пока не обеспечивают желаемой гибкости требований к защите. Категорирование нарушителей фактически вводит новую систему классификации, которая не согласуется с уже известной моделью нарушителей ФСБ России (Методические рекомендации от 21.02.2008), что может привести к необходимости построения операторами ПД нескольких различных моделей нарушителей в случае, если для защиты данных будут использоваться криптографические средства защиты».

Емельянников же считает, что и само введение в качестве дополнительного параметра категорий нарушителей сделано зря и делает документы практически невыполнимыми для абсолютного большинства операторов ПД.

«В соответствии с данными Роскомнадзора приблизительно 25% зарегистрированных операторов — это учреждения образования. Значительную долю составляют учреждения здравоохранения и прочие, — говорит он. — Представляете себе заведующую детсадом, моделирующую нарушителя? А ведь определение уровня — обязанность оператора!».

«Оба обсуждаемые проекта постановлений так и не дают однозначных ответов на вопросы, связанные с оценками соответствия средств защиты и эффективности принимаемых мер защиты», — говорит CNews руководитель направления по защите персональных данных компании «Инфосистемы Джет» Юрий Черкас.

ЦБ придется подвинуться?

Авторы анализа предупреждают о том, что вступление документов в силу в сегодняшнем виде повлияет на банки — выведет их из под крыла ЦБ.

«Перечень защитных мер, обеспечивающих заданные правительством уровни защищенности, определяют ФСТЭК и ФСБ, — говорится в отчете. — Таким образом, Банк России не уполномочен выдвигать требования по защите персональных данных, использующихся в рамках банковских технологических процессов».

Емельянников называет одним из самых серьезных недостатков новой редакции закона о персональных данных то, что в ней нет места отраслевым стандартам организации обработки и обеспечения безопасности ПД.

«Существует лишь возможность разработки нормативно-правовых актов органами власти и Банком России, а также определения ими и объединениями операторов дополнительных угроз по отношению к тем, которые будет установлены ФСБ и ФСТЭК», — говорит он CNews.

Как регуляторы взаимодействуют с рынком ИБ?

Опрошенные CNews эксперты говорят, что взаимодействуют с ФСБ.

«Проекты постановлений вызвали серьезную дискуссию среди специалистов, в ходе которой был высказан целый ряд предложений по доработке проектов, уточнению их отдельных формулировок и положений, — заявил CNews советник гендиректора по работе с регулирующими и госорганами Leta Group Сергей Акимов. — На наш взгляд, в целом, указанные проекты соответствуют духу Федерального закона, но, естественно, требуют определенной корректировки, в том числе и с учетом мнения профессионального сообщества».

«Безусловным положительным моментом явился сам факт обсуждения проектов подобных документов с экспертным сообществом, — считает Юрий Черкас. — В адрес регуляторов были направлены предложения различных участников рынка, часть из которых была учтена в постановлениях в виде соответствующих поправок».

Со ссылкой на данные эксперта в области ИБ Алексея Лукацкого, Акимов говорит о нескольких десятках предложений, направленных сообществом в ФСБ.

«Сколько из них внесено в проекты документов покажет время, — добавляет он. — Не следует забывать, что после опубликования проекты документов должны пройти согласование в Минкомсвязи и Минюсте. Надеемся, что все заслуживающие внимания предложения специалистов будут приняты регуляторами».

Емельянников не поддерживает радужные ожидания своих коллег по рынку ИБ: «Нет оснований рассчитывать на то, что мнение экспертного сообщества будет как-то учтено при доработке документов».

Источник: CNews

Подробнее с документами можно ознакомиться, скачав zip-архив (~ 1.8 Мб) по нижеследующей ссылке:

http://bda-expert.ru/doc/2012-06-15-urovni-pdn-doc.zip



1 звезда2 звезды3 звезды4 звезды5 звезд (1 голосов, средний: 5.00 из 5)
Loading ... Loading ...
Google Bookmarks Digg Reddit del.icio.us Ma.gnolia Technorati Slashdot Yahoo My Web News2.ru БобрДобр.ru RUmarkz Ваау! Memori.ru rucity.com МоёМесто.ru Mister Wong





Записи с теми же метками:

Оставить комментарий

:wink: :-| :-x :twisted: :) 8-O :( :roll: :-P :oops: :-o :mrgreen: :lol: :idea: :-D :evil: :cry: 8) :arrow: :-? :?: :!:

ВНИМАНИЕ! Все комментарии, содержащие явные оскорбления (в адрес автора статьи или собеседника-комментатора), спам и очевидную рекламу сторонних ресурсов, будут удалены. Также не рекомендуется злоупотреблять матом (такие сообщения будут отмодерированы или удалены).


Другие материалы: