29.7.15

Как обеспечить конфиденциальность ПДн? Можно ли обойтись без сертифицированной криптографии?

Отдохнем от вчерашней длинной заметки по кибербезопасности атомных электростанций и вернемся на грешную землю. За последнюю неделю пришлось ответить нескольким заказчикам и партнерам по поводу применения шифровальных средств для защиты персональных данных (надо или нет). Поэтому, опираясь на новую информацию, полученную от регуляторов, я решил обновить и заодно озвучить свою презентацию по данной теме.

19 коммент.:

Михаил Новокрещенов комментирует...

Пара моментов:
1) "Правильное" определение границы ИС поможет избавиться от шифрования информации только в случае непосредственно сбора их от субъектов ПДн. Во всех остальных случаях, например, в случае разделения удаленных филиалов ИС на 2 разные ИС такой способ не сработает, поскольку тот филиал, который будет осуществлять передачу ИС в другую ИС (другой филиал) должен принять меры по обеспечению конфиденциальности информации при передаче данных по каналам, выходящим за пределы контролируемой зоны (в соответствии с Приказами 17, 21 и 31). В случае же сбора данных от субъектов ПДн действительно можно от шифрования уйти, поскольку субъекты ПДн операторами не являются и на них никаких требования по обеспечению защиты их собственных ПДн не распространяются;
2) Не понял как MPLS может служить обоснованием конфиденциальности передаваемых по каналам связи информации. Это же технология установления виртуальных каналов связи, которая просто обеспечивает разделение пакетов в процессе их коммутации, но никакую конфиденциальность данных в канале не дает - если злоумышленник канал прослушивает, то видит все пакеты (угроза, против которой применяют СКЗИ).

Михаил Юрьевич Емельянников комментирует...

Михаил, не совсем так. Конфиденциальность в 152-ФЗ: "Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом". Не защищая канал связи, я вовсе не раскрываю третьим лицам и не распространяю персональные данные, я просто считаю, что нарушитель, актуальный для меня как оператора, не имеет технических возможностей перехвата данных в открытом канале. Мое право. И никакой регулятор и проверяющий мне не вправе ставить это в вину. Будет утечка - будет повод поговорить, что стало ее причиной. Но как раз утечки наши надзорные органы совершено не интересуют. Банк СПб - яркий тому пример. Так что вполне можно жить без крипты.

Михаил Новокрещенов комментирует...

Тогда это иной подход избавления от СКЗИ - "обоснование неактуальности угрозы в ЧМУ", а не "правильное описание границ ИС". Поскольку тут уже совсем другие аргументы.

p.a.kulikov комментирует...

это какая-то одна часть слона... может Алексей завтра вторую ногу от слона приготовит?
МСЭ же ставятся не только для защиты ПДн. есть еще другие задачи.
в общем лично я жду слона целиком.

Бельцов К. комментирует...

Согласен с Михаилом Новокрещеновым. И, думаю, тут не стоит рассматривать только одну сторону медали, говоря о конфиденциальности. Все-таки, "не раскрывать третьим лицам" - это не значит, что оператор может раскрыть информацию только своей волей. Несанкционированные действия третьих лиц также приводят к такому раскрытию. Поэтому, оператор должен обеспечить конфиденциальность, в том числе и путем защиты от раскрытия, в случае противоправных действий третьих лиц (злоумышленников).

Константин комментирует...
Этот комментарий был удален автором.
Константин комментирует...

Алексей, добрый день!
Вопрос по презентации.
Из чего следует, что согласие на передачу ПДн в открытом виде равноценно согласию на распространение ПДн?

Алексей Лукацкий комментирует...

А кто говорит про распространение?

Алексей Лукацкий комментирует...

Паша, слон целиком приготовлен

p.a.kulikov комментирует...

Алексей, прелестно. Когда смотры? :)

Алексей Лукацкий комментирует...

Ты все просмотрел

p.a.kulikov комментирует...

так это был ОН? ма-ло-ва-то будет!!! :)

Константин комментирует...

Алексей, мне показалось, что в вашей презентации именно это имеется в виду.
Тогда, подскажите, пожалуйста, из чего следует, что согласие на передачу ПДн в открытом виде
будет являться легитимной мерой?

Константин комментирует...

Это я к тому, что ну взял я согласие с субъекта на передачу в открытом виде. А где написано, что если я его взял, то отменяется нужда в защите передачи ПДн? Мне показалось, в презентации вы имеете в виду, что при взятии такого согласия, субъект тем самым отменяет необходимость в конфиденциальность передаваемых данных. Но в ст.7 152-ФЗ о конфиденциальности о таком согласии ни слова, там только про распространение. Вот и встаёт вопрос откуда это берётся? Только из-за того, что портал госуслуг так себе позволяет делать?

Unknown комментирует...

Добрый день!

А где написано что кто то обязывает применяет СКЗИ для защиты ПДн при передачи по каналам связи?

Unknown комментирует...

Единственное что нашел:
Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденные руководством 8 Центра ФСБ России от 31 марта 2015 года № 149/7/2/6-432:
«К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, относятся:
- передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования)»

Алексей Лукацкий комментирует...

ФСБ так считает

IBShnik комментирует...

Вроде было какое-то письмо / разъяснение от ФСБ о том, что передача ПДн по e-mail в запароленном архиве - не есть хорошо.
Подскажите, было ли, или я что-то путаю?
Если не было, то откуда следует, что архив с паролем является недостаточной защитой ПДн при передече?

Алексей Лукацкий комментирует...

Я не видел такого разъяснения. Но допускаю, что устно они могли такое сказать, правда, не приведя никакого юридического обоснования