Федеральная служба безопасности разработала правила, которым российским компаниям необходимо следовать при работе с персональными данными в цифровом виде, пишет РБК daily. Финальный проект приказа, впервые появившегося в конце 2013 года, опубликован на Едином портале раскрытия информации.
В документе говорится, что в случае, если компания планирует использовать средства шифрования, то эти средства должны иметь сертификат ФСБ. При этом получить его могут только те технические средства, которые реализуют отечественные криптоалгоритмы. Их, в свою очередь, не поддерживают ни Android, ни iOS. К тому же стоимость использования этих алгоритмов весьма велика, например установка "КриптоПРо CSP" на один компьютер обойдется почти в две тысячи рублей.
Кроме того, в документе сказано, что серверы с криптозащитой необходимо на ночь опечатывать в зданиях с решетками на окнах. Данное требование многие интернет-компании не смогут выполнить хотя бы потому, что они работают круглосуточно.
Специалисты по информационной безопасности сочли новые правила практически невыполнимыми. Так, по словам эксперта по безопасности крупной международной корпорации Алексея Лукацкого, не существует сертифицированных ФСБ средств криптографии для интернет-магазинов и систем кабельного телевидения. С этим мнением согласился и ведущий эксперт по инфобезопасности компании Infowatch Андрей Прозоров.
Директор по маркетингу компании по инфобезопасности Zecurion Александр Ковалев отметил, что сертификат получают конкретные версии систем шифрования, а потому их пользователи почти никогда не получают адекватных и быстрых обновлений.
Алексей Лукацкий в связи с этим отметил, что в результате крупные госпроекты приуменьшают уровень угроз и просто предупреждают пользователей о пересылке данных в незашифрованном виде, поскольку не хотят использовать сертифицированные ФСБ средства шифрования. Именно по такой схеме сейчас работает портал госуслуг и сервис продажи билетов на поезда на сайте РЖД.
В целом эксперты полагают, что проблема заключается в самом подходе ФСБ к проблеме инфобезопасности. "Дело в подходе запрета - в той же банковской сфере не запрещают 99% активности банков, а дают относительную свободу, но потом спрашивают по полной", - сообщил Ковалев.
Издание напоминает, что опубликованный приказ ФСБ дополняет федеральный закон N152-ФЗ "О персональных данных" в соответствии с поправками, принятыми в 2011 году. После прохождения независимой антикоррупционной экспертизы, которая закончится 5 июня, приказ должен подписать директор ФСБ Александр Бортников, после чего он попадет на утверждение в Минюст и, в случае положительного решения, вступит в силу.