В проекте приказа «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите персональных данных для каждого из уровней защищенности» дан ряд разъяснений и обозначены ограничения, которые необходимо учитывать при использовании средств криптографической защиты информации.
В целом проект во многом схож с предыдущими документами ФСБ России. Принципиальные отличия заключаются в дополнениях, касающихся двух пунктов:
– о доступе, регистрации и ведении электронного журнала сообщений;
– об опечатывании сейфов и всех помещений, в которых ведется обработка персональных данных.
В первом случае, чтобы следовать букве закона, придется модифицировать имеющиеся информационные системы. А во втором - конструкция многих современных зданий препятствует выполнению требования, изложенного в проекте.
Эксперт проекта «Контур-Безопасность», обладатель статуса CISSP Игорь Луканин: «После утверждения этот документ будет обязательным для исполнения компаниями, которые в соответствии с новыми приказами ФСТЭК России по защите персональных данных решили использовать криптографические средства защиты информации для защиты персональных данных. Документ устанавливает, что такие криптографические средства должны быть сертифицированными. Но критерии определения требуемого класса этих средств (КС1, КС2, КС3, КВ1, КВ2, КА1) размыты и могут толковаться неоднозначно. Это грозит компаниям излишними расходами на внедрение средств защиты. Кроме того, некоторые предлагаемые документом защитные меры могут оказаться неприменимыми в большом числе компаний. Примером такой защитной меры является поэкземплярный учет носителей персональных данных».