вторник, 9 сентября 2014 г.

Торжество маразума

То, что туго и медленно сочиняли авторы, о чем много писали блогеры и чего мучительно долго ожидали операторы, наконец, почти произошло: 18 августа Минюст зарегистрировал приказ ФСБ от 10.07.2014 с длинным названием "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством РФ требований к защите ПДн для каждого из уровней защищенности" и коротким номером 378. Осталось только подождать официальной публикации - и растянувшуюся на "стопицот" вариантов эпопею можно считать завершенной.

Об одной из них, по сути мало чем отличающейся от финальной редакции, я уже писал, о других (в том числе и о финальной) писали коллеги - Александр Бондаренко, Сергей Борисов и Алексей Лукацкий, который пытается ответить на вопрос, что теперь с ним делать. Отвечает, на мой взгляд, неправильно, пытаясь "натянуть" этот документ на всех без исключения операторов ПДн и найти ответы в ведомственном нормативном акте на вопросы, заданные в  постановлении Правительства РФ № 1119. Кто бы что из авторов этого труда не говорил и как бы его не позиционировал, само название документа и пункт 2 приложения к нему говорят о том, что вся эта "лабуда", то есть документ (цитата) "предназначен для операторов, использующих средства криптографической защиты информации для обеспечения безопасности ПДн при их обработке в информационных системах".

Поэтому если вы не используете СКЗИ для обеспечения безопасности ПДн, то есть в уведомлении, поданном в Роскомнадзор, в разделе "Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", чуть ниже графы "средства обеспечения безопасности" вы не кликнули чекбокс "использование шифровальных (криптографических) средств" и не заполнили раскрывшиеся поля - приложение к приказу 378 дальше второго пункта можете читать только в развлекательных целях. Если указали и используете - вам, увы, не повезло. Оперирование моделью угроз не даст вам ничего, кроме возможности использования средств защиты информации, не прошедших процедуру оценки соответствия - только это предусмотрено п. 5Г документа. Но всем давно известно, как ФСБ относится к таким манипуляциям - поэтому ставьте решетки, закупайте сейфы, готовьте тубусы и вазелин пластилин.

Комментариев нет :

Отправить комментарий