Замечания общего характера, которые применимы к обоим документам

сразу
1. Утвердить их в МинЮсте и выполнить другие требования Постановления Правительства
1009 по подготовке нормативных актов федеральными органами исполнительной власти,
чтобы не возникало вопросов об их легитимности.
2. Привязать требования к классам согласно "приказу трех", чтобы дифференцировать
требования в зависимости от класса ИСПДн.
3. Дифференцировать требования и рекомендации по масштабу оператора. Речь именно о
масштабе оператора, а не числе обрабатываемых им ПДн. Т.к. очевидно, что Газпром или
Интернет-магазин всего с одним сотрудником - это операторы, различающиеся по своей
сложности и возможностям финансирования на порядки, а требования для них
одинаковы. Может быть вообще парадоксальная ситуация - Интернет-магазин с одним
сотрудником может обрабатывать больше персданных, чем Газпром. И вообще,
подразделение или сотрудник, ответственные за ИБ, существует не во всех банках. Я уже
не говорю про ЖЭКи, поликлиники и другие аналогичные небольшие предприятия.
4. Также необходимо дать разъяснение по поводу обнаружения вторжений. В документах
ФСТЭК эта область отдана в компетенцию ФСБ.

Предложения по Типовым требованиям

1. п.1.3 - убрать из области действия требований технические средства, которые
находятся за пределами РФ. Во-первых, этот пункт невозможно проверить, а во-
вторых, это накладывает очень серьезные ограничения на экспорт шифровальных
средств, заставляя оператора получать лицензию на внешнеэкономическую
деятельность и т.п.
2. п.2.2 - прояснить ситуацию с лицензией на обслуживание. По постановлению,
предшествующему 957-му постановлению, обслуживание СКЗИ для собственных нужд
не требовало лицензии. По 957-му постановлению оговорка про "собственные нужды"
исчезла и возникают вопросы, надо ли организации получать лицензию на
обслуживание СКЗИ при защите персданных только своих сотрудников.
3. п.2.3 - уточнить требования к обучению. Какой документ об обучении будет
достаточным для выполнения этого требования.
4. п.2.6 - уточнить, что такое "необходимый уровень квалификации"
5. п.2.10 и 2.11 противоречат друг другу. В одном пункте контроль СКЗИ возлагается на
оператора, в другом - согласно законодательству (т.е. на ФСБ).
6. п.3.1 - я бы заменил термин "ПЭВМ" на что-то более современное. В тех же
"Рекомендациях" используется термин "СВТ".
7. п.3.1 - надо учитывать, что ключевые документы могут пересылать курьерской почтой
в распечатенном виде (пункт 3.18 это разрешает, а пункт 3.1 запрещает их печать).
8. п.3.5 - Если следовать имеющемуся определению термина "пользователь", то
получается, что каждый сотрудник, допущенный к компьютеру, должен расписываться
в журнале поэкземплярного учета СКЗИ и учитываться в некоем лицевом счете, что
малоприменимо на практике, особенно в территориально-распределенной
организации с тысячами сотрудников.
9. п.3.9 тоже невыполним, т.к. я не представляю себе отключение VPN-решений и
убирание их в опечатываемые помещения в нерабочее время. Тоже самое относится и
к другим СКЗИ, которые могут быть установлены на компьютере каждого
пользователя. Также непонятно, как я буду опломбировать смартфон или принтер?
10. п.3.11 нереализуем в организациях, где нельзя останавливать бизнес-процессы даже
на несколько часов. А пункт требует не только отправки ключей (в случае
компрометации) почтой или курьером, а перед этим послать предупредительное
письмо. На это уйдет для удаленных филиалов или допофисов не менее двух суток.
Иными словами, в течение этого срока бизнес будет стоят. А не дай … в процессе
пересылки упаковка будет нарушена. Еще трое суток на повторную высылку.
11. п.3.14 касается изготовителя или оператора?
12. п.3.26 принуждает оператора получать лицензию ФСБ на техобслуживание (генерацию
ключей). ФСБ для коммерческих предприятий эту функцию реализовывать не может, а
передавать эту функцию посторонней организации (даже имеющей лицензию ФСБ) не
будет ни одна организация, которая заботится о своей безопасности. Только
представьте себе, что банк с оборотом в сотни миллионов долларов передаст задачу
генерации ключей компании с оборотом в несколько миллионов? Нереально. Никто не
будет ставить свой бизнес в зависимость и под удар. Поэтому остается только вариант
всем 7 миллионам операторам получать лицензию ФСБ. Готовы ли вы к этому?
13. Раздел 4 очень сложно выполнять для небольших предприятий или предприятий,
проповедующих открытость и использующих концепцию «open space». Как
операционный зал банк или оперкассу или обменный пункт оборудовать в
соответствие с требованиями? Это почти нереально.
14. п.4.5 очень сложно выполнить в условиях, когда ключом доступа в помещение
является персонализированная смарт-карта или бесконтактная карта. По этому пункту
придется иметь дубликат каждой карты, что слишком накладно.
15. п.4.3. невозможно выполнить в операционных залах, где компьютеры операционистов
оснащены СКЗИ и также присутствуют клиенты – «посторонние» лица
16. п.4.4. Если номер банковской карты, ФИО и фото на карте считать персональными
данными, то банкомат тоже подпадает под требования и рекомендации ФСБ. Но
банкомат часто размещается в полностью неконтролируемом помещении, где
определить правила допуска невозможно.
Предложения по Методическим рекомендациям

1. п.3.1, принцип 7. Каким-то образом учесть, что сертифицированные СКЗИ сегодня очень
сильно ограничено областью применения. Их нет для высоскоростных каналов,
используемых как операторами связи, так и банками для создания собственной
банковской сети или объединения основного и резервного центра обработки данных. Это
могут быть каналы, работающие на скоростях до 10 Гбит/сек. В России нет
сертифицированных СКЗИ для такого сценария. Также нет сертифицированных СКЗИ для
AIX, Oracle, SAP, биллинговых систем, Siebel, систем видеоконференцсвязи, IP-телефонии и
многих других прикладных систем, обрабатывающих ПДн. Также надо каким-то образом
учесть, что сертификат на тот же КриптоПро теряет свою силу, если я не использую Аккорд-
АМДЗ или Соболь-PCI. Но эти электронные замки, например, нельзя поставить на ноутбук,
который тоже может обрабатывать ПДн. Я уже не говорю про смартфоны и КПК. Мне
кажется, в данной ситуации надо дать послабления в части использования
несертифицированной криптографии, т.к. выполнить требования сертификации сегодня
нереально для многих приложений.
2. п.3.1, принцип 7. Рекомендация разработки СКЗИ в случае отсутствия сертифицированной
СКЗИ на данный момент трудновыполнима, т.к. процесс согласования ТЗ занимает не
менее полугода, разработка СКЗИ не менее года, а ее последующая сертификации еще не
менее 6 месяцев. Итого около 2-х лет (оптимистично) для разработки новой
сертифицированной СКЗИ.
3. п.3.1, принцип 7. Для новой или только создаваемой ИСПДн рекомендация разработки
новой СКЗИ очевидна. А вот что делать в случае уже существующей ИСПДн? Может быть
ввести переходный период, разрешающий
a. использование несертифицированной криптографии до момента разработки СКЗИ
или
b. самостоятельное встраивание СКЗИ КС1/КС2 без контроля со стороны ФСБ, даже
если в формуляре на встраиваемое СКЗИ написано иное
4. п.5.1. Если рассматривать ситуацию с сертифицированными CSP, то в формулярах почти
всех из них, есть требование о проверки корректности встраивания для защиты
конфиденциальной информации, подлежащей защите по законам РФ, т.е. и для
персданных тоже. Следовательно, все "клиент-банки" и т.п. приложения должны быть
отданы на проверку корректности встраивания, что опять же сильно увеличит время на
приведения всех в соответствие с требованиями документов. Банковских систем у нас
немало, а иных приложений, работающих с ПДн еще больше.