⚖️ MAX и Минцифры: получен ответ на запрос Чем больше вникаю в удивительный продукт со странным названием, тем больше возникает вопросов. Получен официальный ответ Минцифры на запрос об интеграции мессенджера MAX с ЕПГУ и ЕСИА. Было задано 7 конкретных вопросов. На три с половиной — ответили. Остальные, видимо, потерялись где-то между серверами. Что спрашивали: 1. Правовое основание интеграции MAX с ЕПГУ/ЕСИА. Есть ли договор с ООО «Коммуникационная платформа»? 2. Какие требования к защите информации предъявлены к оператору? 3. Проводилась ли оценка соответствия ИБ? Кем? Результаты? 4. Какие СЗИ используются? Есть ли сертификаты ФСТЭК/ФСБ? 5. Как защищаются персональные данные? Является ли ООО оператором ПДн? 6. Есть ли SLA (Документ, фиксирующий обязательства поставщика услуг перед заказчиком) между Минцифры и оператором? 7. Можно ли отказаться от уведомлений через MAX? Что ответили: Правовое основание — есть. 156-ФЗ, Распоряжение № 1880-р. Тут вопросов нет. Статус оператора персональных данных — подтверждён. ООО «Коммуникационная платформа» действует «в полном соответствии с законодательством». Как, впрочем, и любое юрлицо — до первой проверки. Система защиты — «соответствует требованиям 152-ФЗ». Каким именно требованиям, какого уровня защищённости — государственная тайна. Точнее, коммерческая. Технический паспорт MAX — конфиденциален. Сведения о средствах защиты «не подлежат предоставлению». То есть: доверяй, но проверить не получится. Отправка кодов без согласия — да, законно. Часть 8 статьи 1 156-ФЗ. Установил MAX — согласие на получение кодов презюмируется. Элегантно. Что НЕ ответили: ❌ Договор между Минцифры и ООО «Коммуникационная платформа» — существует ли он? Молчание. ❌ Кто проводил оценку ИБ — какой орган, какие результаты? Тишина. ❌ Сертификаты ФСТЭК/ФСБ — есть или нет? Отсылка к секретному техпаспорту. Удобно: нельзя критиковать то, чего нельзя увидеть. ❌ SLA — параметры доступности, отказоустойчивости, время реагирования на инциденты. Вопрос проигнорирован полностью. Видимо, понятие «уровень сервиса» для интеграции с Госуслугами — излишняя роскошь. ❌ Возможность отказа от MAX — можно ли вернуться на SMS/email? Вопрос проигнорирован полностью. Вероятно, сама постановка показалась абсурдной: зачем отказываться от такого удобства? Арифметика ответа 7 вопросов. 3 ответа по существу. 2 отсылки к секретным документам. 2 вопроса проигнорированы. Конверсия — 43%. Для воронки продаж — катастрофа. Для ответа госоргана — норма. Что имеем Де-юре: всё законно. 156-ФЗ работает, оператор назначен, ответственность определена. Де-факто: система, интегрированная с КИИ и обрабатывающая данные миллионов граждан, защищена документом, который нельзя показать, сертификатами, которые нельзя подтвердить, и SLA, которого, возможно, не существует. Это не обвинение. Это констатация архитектуры доверия, построенной на принципе «вам не нужно это знать». Отказ в раскрытии технической документации делает независимую верификацию архитектуры безопасности не просто желательной — императивной. Что и добавим в задачи. Параллельно ждём ответов ФАС и Роспотребнадзора по «национальному» статусу мессенджера. И позицию ФСТЭК по Критической информационной инфраструктуре.