Согласно тексту финального проекта приказа, опубликованного на сайте regulation.gov.ru, для защиты персональных данных компании и их клиенты должны использовать сертифицированные ФСБ средства. Проблема заключается в том, что для большого числа устройств их попросту не существует. Например, такие криптоалгоритмы не поддерживают ни iOS, ни Android.
Согласно Федеральному закону от 27.07.2006 № 152-ФЗ, компании сами определяют уровень угрозы безопасности и решают, использовать средства шифрования или нет. В случае принятия положительного решения интернет-компании вынуждены использовать лишь сертифицированные крипто-алгоритмы, которые, кроме всего прочего, еще являются платными. Например, стоимость программы «КриптоПРо CSP» для одного компьютера составляет порядка 1 800 руб.
Также в приказе приведены особые требования к серверным комнатам: металлические решетки, сигнализация и другие средства. Жесткий диск с персональными данными предписывается хранить в нерабочее время в специальном сейфе.
Эксперты считают, что требования нового приказа почти невыполнимы по нескольким причинам. Не существует криптографических средств для кабельного телевидения и интернет-магазинов, система сертификации не позволяет получать адекватно быстрых обновлений, а жесткий диск никто из компьютера в сейф перекладывать не станет. Они приводят аналогии с банковской сферой, в которой банки имеют относительную свободу в этом вопросе, но в случае чего отвечают по полной. Вопрос в самом подходе спецслужб к инфобезопасности. Поэтому экспертное сообщество ожидает, что компании продолжат работать как раньше и после вступления приказа в силу.
В случае прохождения независимой антикоррупционной экспертизы приказ вступит в действие в течение нескольких месяцев после утверждения Минюстом.
