среда, 9 октября 2013 г.

Проект приказа ФСБ по применению СКЗИ для защиты ПДн

Наконец-то у меня дошли руки и голова ознакомиться с этим замечательным проектом приказа. Про него уже написали Алексей Лукацкий и Евгений Шауро. Пересказывать сих авторов не буду, однако некоторыми мыслями поделюсь.
Сказать, что документ лёгок в прочтении у меня не получается. Лично я брался за его чтение 3 раза, однако первые два раза результата не принесли. Есть впечатление, что документ как-то специально усложнен. В этом ФСБ нужно взять пример со ФСТЭК. У этих ребят и понятнее будет, и пояснения есть (точнее, скоро будут).А у ФСБ чего только стоит пункт 22 (подобными формулировками приказ изобилует):
 
...Для выполнения требования, указанного в подпункте «г» пункта 5 настоящего документа, необходимо вместо мер, предусмотренных подпунктом «в» пункта 9 и пунктом 19 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе:...

И это учитывая то, что п.5 и п.9 описывают меры для четвертого уровня защищенности, п.19 меры для третьего уровня, а п.22 для второго. 
 
Описание классов СКЗИ тоже растянуто на весь приказ, хотя можно было сначала дать классификацию, а после расписать, какие классы для чего применяются.
 
Если говорить о самой соли документа, а именно о  сертифицированных СКЗИ для защиты ПДн, то оно вполне оправдано. Но ФСБ говорит: уж если шифровать, так всё! Во многих случаях, на мой взгляд, можно хотя бы не требовать сертифицированных. Ведь если учитывать те поправки в штрафы, которые могут появиться, то операторы сами будут стараться защититься "по уму", а не на бумаге.
 
Сам проект был здесь, но сейчас удален, к моему великому сожалению.

Комментариев нет:

Отправить комментарий