Персональные данные и лицензия на ТЗКИ ФСТЭК

Всем привет! Сегодняшний пост — в основном стенограмма видео ниже…На конференции «Обеспечение технической защиты персональных данных при их обработке в информационных системах персональных данных» выступает Алексей Волков. Первые минуты несомненно забавные — детальный разбор нашего законодательства в области персональных данных, с диаметрально противоположными решениями судов, показывает не паханное (хотя нет, уже вспаханное) поле для традиционной коррупционной составляющей. Если есть возможность, поверни закон хоть к лесу, хоть…

С 11:25 идет проблематика составления модели угроз. Согласно методологии ФСТЭК используется понятие ОПА. Это не ошибка, ОПА — это опасность. Отличие от ПУ (Потенциальный ущерб) в том,  что ОПА никогда не может быть равна нулю (ха-ха в зале и президиуме). Приводится пример расчета риска нападения инопланетян на Московский Кремль (замените на свою информационную систему). Возможность очень низкая, но ОПА очень высокая и угроза получается очень актуальной. Оператору нужно предпринимать меры по ее нейтрализации.

Примерно с 14 минуты идет разбор методов социальной инженерии. Говорится об отсутствии легитимного способа защититься от инсайдера даже в процессе его приема на работу.

На 15 минуте обсуждается необходимость получения лицензии на ТЗКИ ФСТЭК. Нужна ли она оператору для защиты своей ИСПДн? Позиция регуляторов в каждом федеральном округе разная. Из «Основных мероприятий…» следует, что большинству она нужна. Проблема уже в ее названии. На сегодняшний момент в законодательстве нет понятия «конфиденциальная информация». Получается, что требуется получить лицензию на деятельность, по защите чего-то. А если мы это что-то не защищаем? :)

В ответе ФСТЭК на запрос Центробанка написано, что операторам лицензию получать не обязательно, а в ответе Минсоцздравразвитию — что обязательно. Вопрос остается открытым.

Но самый фейерверк начинается на 18:50.

Стоимость лицензии на ТЗКИ оценивается докладчиком в три миллиона рублей. Лицензию не нужно получать, если мероприятия по защите вам проводит лицензиат. В вологодской области таких организаций — три. В нашей — две, но одна из них, насколько я понял из нагугленной информации, получила лицензию для возможности заниматься своей основной деятельностью в гос.учреждениях, касаясь там конфиденциальной информации. Вторая — известный и уважаемый даже за пределами нашей области игрок на рынке ЗИ.

Такой порядок цифр вызвал недоумение у регуляторов. По их мнению, получение лицензий на гос.тайну встанет в общем порядка 60000 рублей. На получение лицензий на ТЗКИ затрат, кроме формирования документов, вообще нет. На 22:20 человек встает и рассказывает, откуда берутся три миллиона.

Во-первых, если организация не будет заниматься ПЭМИН, то и дорогостоящего специализированного оборудования ей не требуется. Но такой подход не прокатывает и в лицензии отказывают.

Во-вторых, взять его в аренду практически нереально. В вологодской области, например, как утверждает выступающий, есть запрет на сдачу оборудования всем тем, кто им обладает. Приходится оборудование закупать, даже если вы им пользоваться не планировали в принципе.

Для наглядности загоним в табличку:

Статья затрат Стоимость
Оборудование для измерений 1 200-1 800 т.р.
Аттестованное помещение (включает получение лицензий на гос.тайну и оборудование помещения средствами защиты, при условии наличия собственного помещения и большой контролируемой зоны) 350-400 т.р.
Обучение персонала 800 т.р.
Пошлина, распечатка документов и курьерская доставка 5  т.р.
Итого 2 355 — 3 005 т.р.

Далее идет блок про систему сертификации средств защиты информации. Из представленного докладчиком действующего законодательства (Постановление Правительства РФ №330 — ДСП, не зарегистрирован в минюсте, ФСТЭК его не предоставляет) следует, что оценка соответствия = обязательная сертификация. который в свою очередь, в силу своей закрытости, не может быть обязателен для исполнения оператором.

На 34 минуте интересный рассказ про одно из СЗИ. Для корректного функционирования этого СЗИ, оказывается, необходимо подождать некоторое время перед копированием конфиденциальной информации для того, чтоб механизмы защиты включились. Это сертифицированное СЗИ, которое стоит денег. Хотел включить его в один из проектов, кстати.

37 минута. Сертифицированная криптография. Она у нас, как известно, = ГОСТ. Другая запрещена. Но не для банков, например. Приводится пример одной из систем ДБО, работающей на алгоритме RSA, хотя таких систем в принципе море.
40 минута, заключение. Горькая правда о персональных данных по-русски :). 152 закон, по мнению докладчика, состоит из туманных формулировок, противоречит конституции и т.п. и меньше всего заботится о самих субъектах ПДн.
Из приятного: дорабатывается процедура оценки соответствия, вопросы принятия международных сертификатов, отмена обязательной сертификации. Разрабатываются поправки в закон о лицензировании в части криптографии, механизмы регулирования защиты ПДн в коммерческих организациях.

Одним словом, очень рекомендую для просмотра, чтобы понять актуальное состояние дел в области защиты персональных данных.

Связанные записи

Метки: , , , , , , , , ,