01.09.2010

Нужно ли шифрование для защиты ПДн?

Чего-то понесло меня в тему шифрования в последнее время... Видимо постоянное "окружение" влияет ;-) Но обратимся к непростому, как оказывается, вопросу: "А нужно ли шифровать ПДн?" Многие операторы ПДн почему-то считают, что убрав из текста закона фрагмент "в т.ч. использовать шифровальные средства", законодатели сказали, что это самое шифрование теперь необязательно. И да и нет. Оно и раньше было необязательным, но находились "читатели", которые в словах после "т.ч." видели обязательство применения шифрования. И вот по инициативе ФСБ фрагмент убрали и многие "читатели" ринулись в другую крайность.

Но дело даже не в этом, а в том, что все почему-то ставят знак равенства между термином "конфиденциальность", указанном в ФЗ-152, и термином "шифрование". Но ведь это не одно и тоже. Совсем не одно и тоже. Что говорит ФЗ-152 про конфиденциальность? "Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания". Где тут слово "шифрование"? Это всего лишь требование не допускать распространения ПДн без согласия их субъекта или иного законного основания. Достаточно всего лишь вписать в договор с субъектом, что ПДн передаются в открытом виде по Интернет (утрирую малость, но суть остается прежней) и вот вы уже чисты перед законом - согласие субъекта есть. Или передача данных в ФНС, ФМС, ФОМС и т.п. Обязаны передавать? Обязаны. Вот и передавайте без обеспечения конфиденциальности ;-)

Но если все-таки и согласия у нас нет, и законных оснований тоже. Остается только шифрование? Опять нет. Требование не допускать распространения может быть достигнуто разными способами. Например, передачей ПДн в контролируемой зоне. Или передачей ПДн в среде, в которой перехват данных признан в результате экспертной оценки неактуальной угрозой. Или заключением договора с оператором связи на обеспечение конфиденциальности (перекладывание рисков на чужие плечи). И только в последнюю очередь речь идет о шифровании ПДн. А если вспомнить про связку "шифрование - обезличивание", то и вовсе весело становится ;-)

8 коммент.:

Евгений Родыгин комментирует...

Я считаю, что шифрование - всего лишь один из механизмов защиты, который нужно применять в 3х случаях:
1 - при наличии требования
2 - при практической необходимости
3 - для повышения защищенности (если есть возможность) или отнесу к этому же пункту для престижа (рекламы и т.п. ну Вы понимаете)

Mr. Stas комментирует...

Здесь надо смотреть суть понятия "распространение Пдн":
распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Посчитает ли регулятор, что "ПДн передаются в открытом виде по Интернет" = "размещение в информационно-телекоммуникационных сетях"?

Mr. Stas комментирует...

Провожу аналогию (может не совсем корректно):
Есть комп А и есть комп Б, необходимо перенести информацию с А на Б.
1-й способ: используем среду передачи - флешка. Информацию с А временно размещаем на флешке, переносим и информацию с флешки сливаем в Б.
2-й способ: используем среду передачи - Интернет (сеть). Информацию с А временно размещаем в сети, переносим по сети и информацию с сети сливаем в Б.
Т.е., по-моему, происходит размещение в информационно-телекоммуникационных сетях (хоть и временное), а если есть размещение в сети, то есть общий доступ к данным. Вопрос в том, доступ к каким данным: открытым или шифрованным. Если к открытым, значит имеет место распространение персональных данных, следовательно нарушена конфиденциальность.
Вывод у меня такой: при передаче ПДн по информационно-телекоммуникационным сетям - необходимо шифрование информации.

Mr. Stas комментирует...

Предложенные Алексеем способы избежать шифрования:
1. Согласие субъекта на передачу его ПДн в открытом виде по Интернет;
2. Передача внутри КЗ;
3. Перехват - неактуальная угроза;
4. Обеспечение конфиденциальности оператором связи.

На мой взгляд (по пунктам):
1. Не все согласятся;
2. Не рассматривается Интернет;
3. Перехватить может тот же оператор связи и другие;
4. Как оператор связи обеспечит конфиденциальность данных, передаваемых по сети?: использовать физически защищенный канал передачи данных или используя шифрование.

Т.о. шифрование - наиболее вероятный способ защиты информации при передачи данных через интернет.
Используйте OpenVPN (но не для ИСПДн К1) :-)

doom комментирует...

>4. Как оператор связи обеспечит конфиденциальность данных, передаваемых по сети?

Например, предоставит клиенту виртуальную частную сеть (IP VPN).

>Используйте OpenVPN (но не для ИСПДн К1) :-)

Думаете ФСБ устроит OpenVPN для ИСПДн К2-К4 - у вас будет долгий спор с проверяющими :)

Евгений Родыгин комментирует...

Последний пост от Чугунова.
Для тех кто не умеет и не хочет учиться общаться с ФСТЭК.
http://www.itsec.ru/forum.php?sub=4865&from=-1

Алексей Лукацкий комментирует...

Зачет!!! Чугунов - душка ;-)

Александр Шелипов комментирует...

Столкнулся на практике с интересной ситуацией.
Есть больница, которая пересылает данные о здоровье граждан в страховую компанию для соответствующих финансовых операций в пользу пациентов. Пересылка идёт через интернет.
Как в этом случае строить систему защиты?
Если ставить шифрованный канал, то придётся каждой страховой компании делать отдельный канал с каждой больницей, а это немаленькие затраты с обеих сторон.

Как вариант рассматриваем передачу обезличенных ПД. Но это требует скорее масштабной постоянной организационной работы для того, чтобы такое взаимодействие между страховщиками и больницами наладить.

Либо в масштабах страны (региона/города нужное подчеркнуть) создавать защищённую сеть для передачи подобного рода сведений, на которую денег нет.

Какие будут ещё предложения выхода из ситуации?