+7 (495) 980-23-45 (*04)
edu@itsecurity.ru

Мы обучили

6 6 7 4 3
специалистов

Сертификация СКЗИ Да, нет или может быть.

|
Просмотров 1917 Комментариев 0 0
Суть происходящего.
Шаг № 1
Недавно появилась новая статья 13.6 КОАП «использование не сертифицированных средств кодирования/шифрования » штраф до 300.000 рублей.

Шаг № 2
18.07.2016 к данной статье появились новые разъяснения ФСБ http://www.fsb.ru/fsb/science/single.htm%21id%3D10437738%40fsbResearchart.html (рекомендована для ознакомления, если еще не читали).
Где в заключительном абзаце говорится:
«Обязательной сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет, массово применяемых для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании информационно-телекоммуникационной сети Интернет, на соответствие требованиям по безопасности информации не требуется

Шаг № 3
Специалисты ИБ и т.п. устроили «холивар» на тему как трактовать данное заявление.

Варианты трактовки:
1. Оптимисты. ФСБ сказало что сертификация только для Гос. тайны значит только для ГОС тайны. Остальное домыслы.

2. Пессимисты

a. (ФСБ забыли о другом законодательстве и своем 378 приказе)

Говоря о "законодательстве" они упомянули только закон «О государственной тайне», и НЕ упомянули ФЗ № 152 « О ПДн», в котором также установлено, что согласно
«Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
2. Обеспечение безопасности персональных данных достигается, в частности:
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
Аналогичное требование есть и в Постановлении правительства 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
И в 378 приказе ФСБ сказано, что для выполнения указанного требования необходимо
ч. 9. п. в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.
Таким образом получается что для исполнения требований ФЗ № 152 «О ПДн» также необходимо использовать сертифицированные СКЗИ.


b. Дела говорят громче слов. (Не важно что ФСБ пишет, важно как они поступают при проверках)
При проверках ФСБ отсутствие сертифицированных СКЗИ при защите ПДн трактуется как нарушение.

Несколько примеров http://sborisov.blogspot.ru/2016/07/blog-post_20.html

c. «Нео, ложки нет!» (Матрица).
"Под покровом ночи" в разъяснениях ФСБ (по указанному выше адресу) произошли изменения. Поменяли всего одно слово.
Законодательством Российской Федерации обязательная сертификация средств шифрования и других средств защиты информации определена только для средств, предназначенных для защиты сведений, содержащих государственную тайну (статья 28 Закона Российской Федерации «О государственной тайне»).
Стало
Законом Российской Федерации «О государственной тайне» обязательная сертификация средств шифрования и других средств защиты информации определена только для средств, предназначенных для защиты сведений, содержащих государственную тайну (ст. 28).

Таким образом, получается что остальное «законодательство» (пресловутые ПДн) в рамках данного извещения не рассматривалось.
Учитывая, что для защиты ПДн в соответствии с 378 приказом ФСБ может использоваться только СКЗИ класса КС 1 и выше, нет оснований отказываться от сертификации.

Вместо вывода.
ФСБ сделал очевидный вывод про обязательную сертификацию СКЗИ для гсотайны, не сообщив ничего нового.

П.С.
Представьте ситуацию, что молодой человек встает на одно колено перед своей любимой и спрашивает. "Выйдешь ли ты за меня замуж?"
Но вместо ответа (да/нет/дай подумать) получает цитату из семейного кодекса ст. 10 "заключение брака",
Он смотрит на нее непонимающим взглядом и думает, "Может она меня бросила".

П.С.С.
Разница только в том, что ФСБ это суровые мужики и они нас не бросят.
Комментарии 0

Присоединяйтесь к нам
на Facebook!