ФСТЭК меняет требования по хранению персональных данных — где здесь формальности, а где реальные угрозы?

В России снова меняют требования к защите данных в госорганах и компаниях критической информационной инфраструктуры. Так, в отношении DDoS-атак их ужесточат, а записи о взломах будут хранить дольше.

Есть ощущение, что решение ФСТЭК стало результатом нескольких крупных DDoS-атак, произошедших этим летом — например, в конце июня и на прошлой неделе. Тогда злоумышленникам удалось на несколько часов прекратить работу онлайн-банков и перевести в оффлайн POS-терминалы. Ничего критичного для безопасности страны не случилось, но выводы были сделаны.

Вероятно, стоимость обеспечения защиты КИИ снова вырастет. По сути, каждое решение ФСТЭК — это не только про требования, но и про расходы. Новые траты в той или иной степени переложат на пользователей. Правда, есть проблема — хотя количество требований федеральной службы растет с каждым годом, число утечек тоже увеличивается.

К работе ФСТЭК и раньше были вопросы — например, печально известная лицензия на ТЗКИ уже давно и вполне легально «продается под ключ». При этом сам факт ее наличия даже близко не является гарантией компетенции. Впрочем, тут можно и других регуляторов вспомнить — ЦБ требует, чтобы у банков были три антивируса, при существовании на рынке ... двух.

Так что все эти запросы ФСТЭК, Центробанка и прочих — они про бумажную безопасность. Чтобы уберечь Россию от реальных злоумышленников, нужен совсем другой комплекс мер. А построить такую защиту только на бумаге без участников рынка ИБ и использования их опыта практически невозможно. Поэтому, если любой из регуляторов хочет сделать что-то хорошо, ему стоит начать диалог с индустрией.