Новые правила защиты личных данных от ФСБ – практически невыполнимы

Новые требования к криптозащите персональных данных, разработанные ФСБ, являются практически невыполнимыми для большей части интернет-компаний, сообщает РБК daily.

/articles/1017Согласно тексту финального проекта приказа, опубликованного на сайте regulation.gov.ru, для защиты персональных данных компании и их клиенты должны использовать сертифицированные ФСБ средства. Проблема заключается в том, что для большого числа устройств их попросту не существует. Например, такие криптоалгоритмы не поддерживают ни iOS, ни Android.

Согласно закону №152-ФЗ «О защите персональных данных», компании сами определяют уровень угрозы безопасности и решают, использовать средства шифрования или нет. В случае принятия положительного решения интернет-компании вынуждены использовать лишь сертифицированные крипто-алгоритмы, которые, кроме всего прочего, еще являются платными. Например, стоимость программы «КриптоПРо CSP» для одного компьютера составляет порядка 1 800 руб.

Также в приказе приведены особые требования к серверным комнатам: металлические решетки, сигнализация и другие средства. Жесткий диск с персональными данными предписывается хранить в нерабочее время в специальном сейфе.

Эксперты считают, что требования нового приказа почти невыполнимы по нескольким причинам. Не существует криптографических средств для кабельного телевидения и интернет-магазинов, система сертификации не позволяет получать адекватно быстрых обновлений, а жесткий диск никто из компьютера в сейф перекладывать не станет. Они приводят аналогии с банковской сферой, в которой банки имеют относительную свободу в этом вопросе, но в случае чего отвечают по полной. Вопрос в самом подходе спецслужб к инфобезопасности. Поэтому экспертное сообщество ожидает, что компании продолжат работать как раньше и после вступления приказа в силу.

В случае прохождения независимой антикоррупционной экспертизы приказ вступит в действие в течение нескольких месяцев после утверждения Минюстом.