ФСБ поспорила с Минфином о правомерности создания новой ГИС министерства

Вопросы ФСБ безответов У ФСБ появилось множество вопросов к создаваемому в России единомуинформационному ресурсу, аккумулирующему сведения обо всем населении страны. Этивопросы касаются информационной безопасности, и в Минфине, который руководитпроектом в части методологии и координации действий других органов власти, ответовна них сейчас не оказалось. Это стало ясно по итогам эмоциональной дискуссии,состоявшейся между замначальника центра ФСБ Николаем Мурашовым и замдиректора департамента ИТ в сфереуправления государственными и муниципальными финансами и информационногообеспечения бюджетного процесса Минфина ЕленойГромовой. Обмен мнениями, свидетелем которой стал CNews, осуществился врамках прошедшего в июне 2017 г. международного ИТ-форума с участием странБРИКС и ШОС в Ханты-Мансийске. Что за реестр создается Напомним, что в соответствии с разработанной Минфином всередине 2016 г. концепцией, создаваемый информационный ресурс будет содержать актуальные персональныеданные населения, которые органы власти станут использовать для обеспеченияправ граждан, выполнения своих функций и оказания населению госуслуг. http://filearchive.cnews.ru/img/news/2017/07/05/fsbminfin.jpg"> Елена Громова (слева): «О том, что такой ресурс необходим, я надеюсь, ни у кого вопросов не возникает». Николай Мурашов (справа): «Нет! Возникают очень крупные». В систему будут включены как базовые данные (имя, дата иместо рождения, место жительства и пребывания, гражданство), так идополнительные — касающиеся образования, отношения к воинской обязанности,дееспособности и судимости, а также персональные данные родственников. Кроме того,реестр включит информацию о документах граждан, данные о постановке на учет вналоговых органах, сведения о регистрации в системе обязательного пенсионного,медицинского, социального страхования и пр. В систему смогут вноситься только сведения, которые уже и таксодержатся в других государственных и муниципальных информсистемах. Основуресурса будут составлять данные Единого государственного реестра записей актовгражданского состояния. [b]В чем заключаютсяпретензии ФСБ[/b] По мнению Николая Мурашова, описанный ресурс в предлагаемомвиде не может быть создан, потому что принципиально не сможет обеспечить защитуинформации от внутреннего нарушителя — авторизованного сотрудника, например,МФЦ, у которого появятся какие-либо злонамеренные планы. Мурашов не представляет, как без такой защиты можносоздавать ресурс, содержащий в том числе сведения о негласных сотрудниках ФСБ,МВД, внешней разведки и пр. (А если данные о них в систему не включить, то ихпринадлежность к спецслужбам будет автоматически идентифицироваться.) Мурашовдаже не сомневается, что ресурс будет отнесен к критической информационнойинфраструктуре, потому что его выход из строя может повлечь серьезныепоследствия. В понимании Мурашова, распределенность ресурса,обезличенность данных и использование квалифицированных электронных подписей общуюкартину несостоятельности проекта не меняют. «Я сам автор стандарта на цифровуюподпись и прекрасно знаю, где она работает, а в каких случаях подлежитэлементарной компрометации», — отмечает сотрудник ФСБ. С его точки зрения проблемуможно было бы решить, организовав спецпроверку по уровню доступа к гостайневсех сотрудников МФЦ и пр., кто станет работать с информацией. Однако Мурашовпонимает, что это нереально и противоречит закону о гостайне. Но тогда в МФЦ «любогосудимого можно устроить». Опыт других стран (Финляндии, Швеции и пр.), на который входе беседы сослалась Елена Громова для Мурашова не аргумент: «естьгосударства, которые не ведут определенного рода деятельность». При этом онприводит контрпример развитой в цифровом отношении Великобритании, в которой,по его словам, любая справка со значимой информацией о человеке выдается (дажеспецслужбам) только с разрешения шерифа той местности, где родился человек, — пописьменному запросу. По мнению сотрудника ФСБ, ресурс может быть создан только сиспользованием принципиально новых и даже революционных подходов к обеспечениюбезопасности информации. «Окончательного решения, насколько я помню, не принятоо создании подобной системы. Необходимость ее создания также вызывает, у менянапример, глубочайшие сомнения. И у моих коллег, насколько я знаю, тоже, —сказал Мурашов в разговоре с Громовой. — Но эти сомнения могут быть развеяны,если вы нам расскажете что-то новое». [b]Комментарии Минфина[/b] В рамках дискуссии Елена Громова удовлетворить своимиответами представителя ФСБ не смогла, поэтому CNews обратился за комментариямив Минфин. Ответ пресс-службы ведомства примерно совпал с ответами Громовой. Респонденты CNews подчеркнули, что концепция созданияресурса подразумевает обязательное выполнение требований о защите информации,содержащейся в ГИС, установленные госорганами, уполномоченными в областиобеспечения безопасности, противодействия техническим разведкам и техническойзащиты информации. В пресс-службе напомнили, что реализацию концепциипредлагается осуществлять поэтапно. «При этом выполнение работ попроектированию информационной системы ведения ресурса и работ по формированиютребований к подсистеме защиты информации, в том числе определение угроз, всоответствии с проектом концепции относится ко второму этапу механизма еереализации, проведение которого запланировано на 2019 г., — подчеркнули впресс-службе. — В 2017 г. говорить о каких-то конкретных решенияхпреждевременно». На вопрос CNews, может ли, в понимании Минфина, обозначеннаяпозиция ФСБ сорвать проект, в пресс-службе ведомства заметили, что проект концепциибыл одобрен рабочим органом при Совете безопасности России, в который входят, втом числе, представители ФСБ.[img]http://filearchive.cnews.ru/img/news/2017/07/05/fsbminfin.jpg"> Елена Громова (слева): «О том, что такой ресурс необходим, я надеюсь, ни у кого вопросов не возникает». Николай Мурашов (справа): «Нет! Возникают очень крупные». В систему будут включены как базовые данные (имя, дата иместо рождения, место жительства и пребывания, гражданство), так идополнительные — касающиеся образования, отношения к воинской обязанности,дееспособности и судимости, а также персональные данные родственников. Кроме того,реестр включит информацию о документах граждан, данные о постановке на учет вналоговых органах, сведения о регистрации в системе обязательного пенсионного,медицинского, социального страхования и пр. В систему смогут вноситься только сведения, которые уже и таксодержатся в других государственных и муниципальных информсистемах. Основуресурса будут составлять данные Единого государственного реестра записей актовгражданского состояния. В чем заключаютсяпретензии ФСБ По мнению Николая Мурашова, описанный ресурс в предлагаемомвиде не может быть создан, потому что принципиально не сможет обеспечить защитуинформации от внутреннего нарушителя — авторизованного сотрудника, например,МФЦ, у которого появятся какие-либо злонамеренные планы. Мурашов не представляет, как без такой защиты можносоздавать ресурс, содержащий в том числе сведения о негласных сотрудниках ФСБ,МВД, внешней разведки и пр. (А если данные о них в систему не включить, то ихпринадлежность к спецслужбам будет автоматически идентифицироваться.) Мурашовдаже не сомневается, что ресурс будет отнесен к критической информационнойинфраструктуре, потому что его выход из строя может повлечь серьезныепоследствия. В понимании Мурашова, распределенность ресурса,обезличенность данных и использование квалифицированных электронных подписей общуюкартину несостоятельности проекта не меняют. «Я сам автор стандарта на цифровуюподпись и прекрасно знаю, где она работает, а в каких случаях подлежитэлементарной компрометации», — отмечает сотрудник ФСБ. С его точки зрения проблемуможно было бы решить, организовав спецпроверку по уровню доступа к гостайневсех сотрудников МФЦ и пр., кто станет работать с информацией. Однако Мурашовпонимает, что это нереально и противоречит закону о гостайне. Но тогда в МФЦ «любогосудимого можно устроить». Опыт других стран (Финляндии, Швеции и пр.), на который входе беседы сослалась Елена Громова для Мурашова не аргумент: «естьгосударства, которые не ведут определенного рода деятельность». При этом онприводит контрпример развитой в цифровом отношении Великобритании, в которой,по его словам, любая справка со значимой информацией о человеке выдается (дажеспецслужбам) только с разрешения шерифа той местности, где родился человек, — пописьменному запросу. По мнению сотрудника ФСБ, ресурс может быть создан только сиспользованием принципиально новых и даже революционных подходов к обеспечениюбезопасности информации. «Окончательного решения, насколько я помню, не принятоо создании подобной системы. Необходимость ее создания также вызывает, у менянапример, глубочайшие сомнения. И у моих коллег, насколько я знаю, тоже, —сказал Мурашов в разговоре с Громовой. — Но эти сомнения могут быть развеяны,если вы нам расскажете что-то новое». Комментарии Минфина В рамках дискуссии Елена Громова удовлетворить своимиответами представителя ФСБ не смогла, поэтому CNews обратился за комментариямив Минфин. Ответ пресс-службы ведомства примерно совпал с ответами Громовой. Респонденты CNews подчеркнули, что концепция созданияресурса подразумевает обязательное выполнение требований о защите информации,содержащейся в ГИС, установленные госорганами, уполномоченными в областиобеспечения безопасности, противодействия техническим разведкам и техническойзащиты информации. В пресс-службе напомнили, что реализацию концепциипредлагается осуществлять поэтапно. «При этом выполнение работ попроектированию информационной системы ведения ресурса и работ по формированиютребований к подсистеме защиты информации, в том числе определение угроз, всоответствии с проектом концепции относится ко второму этапу механизма еереализации, проведение которого запланировано на 2019 г., — подчеркнули впресс-службе. — В 2017 г. говорить о каких-то конкретных решенияхпреждевременно». На вопрос CNews, может ли, в понимании Минфина, обозначеннаяпозиция ФСБ сорвать проект, в пресс-службе ведомства заметили, что проект концепциибыл одобрен рабочим органом при Совете безопасности России, в который входят, втом числе, представители ФСБ.