Криптоскрепы

04 декабря 2014
Криптоскрепы

Молодой специалист, только постигающий азы толкования нормативных документов, столкнувшись с задачей обеспечения безопасности персональных данных с помощью средств шифрования, тут же наткнется на новый приказ ФСБ № 378 , который так и называется: «Cостав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации».

И невдомек ему, зеленому, что по старой престарой традиции к одному новому приказу могут идти в довесок ещё несколько старых или закрытых, но при этом полностью действующих руководящих документа.

378 приказ ФСБ все ждали, скрестив пальцы, но чуда не произошло, и на свет появился очередной документ с решетками на окнах и призраками ИТР, но всё же, стоит признать, чуть мягче, чем предыдущие.
Вот только одно меня смущало: старые документы то не отменили. А раз так, то какой смысл в новом приказе, если старые требования остаются в силе?
Поэтому в начале ноября я написал запрос в ФСБ, воспользовавшись интернет-приёмной (само собой, HTTPS нет, политки обработки ПДн нет, согласия на обработку тоже нет).
Звучал он примерно так:

Обязан ли я соблюдать требования старых документов ФСБ (ФАПСИ), регламентирующих использование средств шифрования, для защиты персональных данных в ИСПДн, или достаточно одного 378 приказа?

Два месяца прошло, и я уже забыл про свой запрос. Каково же было мое удивление, когда на почте мне вручили большой конверт от ФСБ, умудрившись его чуть не потерять.
Вот так выглядит ответ 8 центра ФСБ России на электронный запрос, направленный через веб-приемную :)

Нужно, конечно, отдать должное 8 центру, ответ прямой и не допускает двойных толкований.

Таким образом нормативные документы несуществующего уже 11 лет ведомства до сих пор живы и обязательны к применению. Поэтому если у вас есть ViPNet или КриптоПро, не забудьте создать орган криптографической защиты в своей компании, организовать обучение пользователей и сдачу зачётов, оформите на каждого сотрудника, допущенного к випнету, заключение и лицевой счёт и др. (подробней всё что нужно сделать я описывал тут ). И запаситесь пластелином!

Ещё один вывод из письма дублирует аналогичный по ФСТЭКу: вместо того, чтобы разводить бесконечные споры в соц.сетях или курилках, задайте свой вопрос через веб-приемную напрямую в 8 центр ФСБ! Это просто как два бита переслать.
Ответы 8 центра обязательно публикуйте, ибо эти знания могут пригодится кому-нибудь ещё.

Автор: Агеев Артем.

Источник: SecurityLab

Читайте также:

03 декабря 2014

Переоценка приоритетов

В современном мире люди всё чаще используют преимущества электронных устройств. Начиная с телевидения с сетевым адаптером и переводов денежных средств через интернет и заканчивая автоматизацией бизнес-процессов на работе.