Разработанная Минфином методология создания единого реестра,
содержащего сведения о населении России, с точки зрения ФСБ, никак не описывает
реалистичные способы решения сложнейших проблем информационной безопасности. В
Минфине по факту это признали: на втором году существования проекта «говорить о
каких-то конкретных решениях преждевременно».Вопросы ФСБ без
ответов
У ФСБ появилось множество вопросов к создаваемому в России единому
информационному ресурсу, аккумулирующему сведения обо всем населении страны. Эти
вопросы касаются информационной безопасности, и в Минфине, который руководит
проектом в части методологии и координации действий других органов власти, ответов
на них сейчас не оказалось.
Это стало ясно по итогам эмоциональной дискуссии,
состоявшейся между замначальника центра ФСБ Николаем Мурашовым и замдиректора департамента ИТ в сфере
управления государственными и муниципальными финансами и информационного
обеспечения бюджетного процесса Минфина Еленой
Громовой. Обмен мнениями, свидетелем которого стал CNews, произошел в
рамках прошедшего в июне 2017 г. международного ИТ-форума с участием стран
БРИКС и ШОС в Ханты-Мансийске.
Что за реестр создается
Напомним, что в соответствии с разработанной Минфином в
середине 2016 г. концепцией, создаваемый информационный ресурс будет содержать актуальные персональные
данные населения, которые органы власти станут использовать для обеспечения
прав граждан, выполнения своих функций и оказания населению госуслуг.
Елена Громова (слева): «О том, что такой ресурс необходим, я надеюсь, ни у кого вопросов не возникает». Николай Мурашов (справа): «Нет! Возникают очень крупные».
В систему будут включены как базовые данные (имя, дата и
место рождения, место жительства и пребывания, гражданство), так и
дополнительные — касающиеся образования, отношения к воинской обязанности,
дееспособности и судимости, а также персональные данные родственников. Кроме того,
реестр включит информацию о документах граждан, данные о постановке на учет в
налоговых органах, сведения о регистрации в системе обязательного пенсионного,
медицинского, социального страхования и пр.
В систему смогут вноситься только сведения, которые уже и так
содержатся в других государственных и муниципальных информсистемах. Основу
ресурса будут составлять данные Единого государственного реестра записей актов
гражданского состояния.
В чем заключаются
претензии ФСБ
По мнению Николая Мурашова, описанный ресурс в предлагаемом
виде не может быть создан, потому что принципиально не сможет обеспечить защиту
информации от внутреннего нарушителя — авторизованного сотрудника, например,
МФЦ, у которого появятся какие-либо злонамеренные планы.
Мурашов не представляет, как без такой защиты можно
создавать ресурс, содержащий в том числе сведения о негласных сотрудниках ФСБ,
МВД, внешней разведки и пр. (А если данные о них в систему не включить, то их
принадлежность к спецслужбам будет автоматически идентифицироваться.) Мурашов
даже не сомневается, что ресурс будет отнесен к критической информационной
инфраструктуре, потому что его выход из строя может повлечь серьезные
последствия.
В понимании Мурашова, распределенность ресурса,
обезличенность данных и использование квалифицированных электронных подписей общую
картину несостоятельности проекта не меняют. «Я сам автор стандарта на цифровую
подпись и прекрасно знаю, где она работает, а в каких случаях подлежит
элементарной компрометации», — отмечает сотрудник ФСБ. С его точки зрения проблему
можно было бы решить, организовав спецпроверку по уровню доступа к гостайне
всех сотрудников МФЦ и пр., кто станет работать с информацией. Однако Мурашов
понимает, что это нереально и противоречит закону о гостайне. Но тогда в МФЦ «любого
судимого можно устроить».
Опыт других стран (Финляндии, Швеции и пр.), на который в
ходе беседы сослалась Елена Громова для Мурашова не аргумент: «есть
государства, которые не ведут определенного рода деятельность». При этом он
приводит контрпример развитой в цифровом отношении Великобритании, в которой,
по его словам, любая справка со значимой информацией о человеке выдается (даже
спецслужбам) только с разрешения шерифа той местности, где родился человек, — по
письменному запросу.
По мнению сотрудника ФСБ, ресурс может быть создан только с
использованием принципиально новых и даже революционных подходов к обеспечению
безопасности информации. «Окончательного решения, насколько я помню, не принято
о создании подобной системы. Необходимость ее создания также вызывает, у меня
например, глубочайшие сомнения. И у моих коллег, насколько я знаю, тоже, —
сказал Мурашов в разговоре с Громовой. — Но эти сомнения могут быть развеяны,
если вы нам расскажете что-то новое».
Комментарии Минфина
В рамках дискуссии Елена Громова удовлетворить своими
ответами представителя ФСБ не смогла, поэтому CNews обратился за комментариями
в Минфин. Ответ пресс-службы ведомства примерно совпал с ответами Громовой.
Респонденты CNews подчеркнули, что концепция создания
ресурса подразумевает обязательное выполнение требований о защите информации,
содержащейся в ГИС, установленные госорганами, уполномоченными в области
обеспечения безопасности, противодействия техническим разведкам и технической
защиты информации.
В пресс-службе напомнили, что реализацию концепции
предлагается осуществлять поэтапно. «При этом выполнение работ по
проектированию информационной системы ведения ресурса и работ по формированию
требований к подсистеме защиты информации, в том числе определение угроз, в
соответствии с проектом концепции относится ко второму этапу механизма ее
реализации, проведение которого запланировано на 2019 г., — подчеркнули в
пресс-службе. — В 2017 г. говорить о каких-то конкретных решениях
преждевременно».
На вопрос CNews, может ли, в понимании Минфина, обозначенная
позиция ФСБ сорвать проект, в пресс-службе ведомства заметили, что проект концепции
был одобрен рабочим органом при Совете безопасности России, в который входят, в
том числе, представители ФСБ.