25.08.2010

Как законно неиспользовать сертифицированные СКЗИ при передаче ПДн через Интернет?

Позиция ФСБ на использование СКЗИ достаточно давно озвучена и выглядит примерно следующим образом - необходимость применения средств шифрования определяется исходя из модели угроз, но... при передаче через Интернет единственным механизмом защиты ПДн является шифрование. При этом средства шифрования должны быть сертифицированными. Логика понятна, но согласиться с ней бывает трудно. Особенно, когда для принятого в организации способа передачи данных отсутствуют сертифицированные решения или когда организация уже использует IPSec в маршрутизаторах и не готова платить миллионы рублей за то, что и так уже работает (ведь сертификация в ФСБ на уровень защиты не влияет никак). Как быть?

Недавно услышал один из таких сценариев. Идея проста - передавать все ПДн через заграницу ;-) Как это облегчает задачу? Все просто. Согласно ст.4.4 ФЗ-152 "Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора". При этом в ст.12.2 ратифицированной нами Евроконвенции написано: "Сторона не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой Стороны, с единственной целью защиты частной жизни". А т.к. в Европе нет требования использования сертифицированных в ФСБ СКЗИ, то такой сценарий вполне себе работоспособен.

Правда, в ст.12 есть 3 исключения, когда могут быть наложены свои локальные правила:
  • Передача отдельных категорий ПДн в силу характера этих данных
  • Передача на территорию государства, не являющегося стороной Конвенции
  • Передача через территорию государства , не являющегося стороной Конвенции.
Т.е. чтобы не попасть в исключения достаточно передавать ПДн через страны, ратифицировавшие Конвенцию.

15 коммент.:

Andy комментирует...

Правильно ли я понимаю, что если ПДн в городе РФ, уходят из этого города через канал транс или ростелеком, то шифрование сертифицированное ФСБ сразу становится обязательным?

Алексей Волков комментирует...

Идею эту я тоже слышал, и слышал такое вот возражение.

Учитывая особенности маршрутизации в сети Интернет, когда один пакет может идти через соседний роутер, а другой - через роутер в ЮАР, получается, что ни отправитель, ни получатель, где бы он ни находился, не могут гарантировать ни отсутствия трансгранички, ни уж тем более трансграничку через "правильные" государства. Более того, "до границы" пакет должен каким-то образом "доползти", и сделать это он должен в зашифрованном сертифицированными средствами виде.

Маразм крепчал :)

Алексей Корюкалов комментирует...

По логике конфиденциальная информация должна шифроваться при пересечении границ ИСПДн (или ее части, ограниченной границами контролируемой зоны). А от этой границы до границы с правильным далековато (в общем случае).

Алексей Корюкалов комментирует...

С правильным государством, я имел в виду

pushkinist комментирует...

"и сделать это он должен в зашифрованном сертифицированными средствами виде."

лол.
а в момент пересечения границы он должен расшифроваться чтоли?

Алексей Волков комментирует...

to pushkinist: то, что с ним будет происходить при пересечении - никому не важно. я сам ржунимагу.

Алексей Лукацкий комментирует...

Andy: Неправильно ;-)

Алексей Лукацкий комментирует...

Алексею Волкову: Отчасти да, но решить эту проблему можно, заключив договор с зарубежной компанией. И тогда уже неважно, как это все передается на уровне пакетиков

-)гоист комментирует...

По-моему, притягивать к тексту ст. 12.2 Евроконвенции техническую реализацию передачи ПДн - неверно. Статья Евроконвенции говорит о запрете или установлении каких-либо условий при трансграничной передаче ПДн. Причем здесь шифрование?
Нашим ФЗ установлены требования по передаче ПДн в другие государства: это согласие при необходимости, а также необходимость убедиться в адекватности защиты прав субъектов.
Никаких требований по шифрованию нет. Соответственно отсюда не может вытекать право оператора ПДн на неприменение шифрования для защиты ПДн.

Алексей Лукацкий комментирует...

Это здравый смысл, но не мнение регулятора. ФСБ считает, что при передаче по Интернет надо использовать сертифицированные СКЗИ. И им не важно, куда вы передаете. И использование сертифицированных СКЗИ - это как раз условие для обработки ПДн, о котором и говорит 12.2 Евроконвенции.

Kirion комментирует...

Нужен облачный сервис во Франции, в котором российские компании могли бы вести обработку ПДн и уходить от наших регуляторов.

Сергей Тихомиров комментирует...

Здравствуйте,
Скажите требование комитета по здравоохранению о предоставлении ежедневной сводки по летальности(умерших) через интернет (на почтовый ящик yandex)в открытом доступе правомерно?
На какие документы можно сослаться,что передавать ПДн нужно по защищенным каналам связи в 152 этого нет?
Если это умершие это ведь не отменяет обязанность защищать ПДн(их ПДн могут нанести ущерб родственникам)?

Алексей Лукацкий комментирует...

Так спросите у тех, кому посылаются данные? А еще можно в РКН сделать запрос на эту тему

Сергей Тихомиров комментирует...

Дак мне нужно как раз тем кому посылаю данные сказать,что данные умерших тоже необходимо защищать.
Нужно аргументированная ссылка на требование закона или постановления?

Алексей Лукацкий комментирует...

Так и скажите им, что умерший гражданин тоже является субъектом ПДн. И можно запросить разъяснение РКН