Начну я с краткого экскурса в законодательство о персональных данных. В соответствие с частью 1 статьи 19 Федерального закона от 27 июня 2006 года «О персональных данных» оператор персональных данных обязан принимать технические меры для защиты персональных данных от несанкционированного доступа.
В соответствие с пунктом 7 положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного Постановлением Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств. В соответствие с 3-м пунктом данного Положения методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
В соответствие с пунктом 2.8 приказа Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. N 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) применяется наряду с другими обязательными защитными мерами создание канала связи, обеспечивающего защиту передаваемой информации.
В соответствие с «Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденными ФСБ России 21 февраля 2008 г. N 149/54-144 и являющихся обязательными к применению при обработке персональных данных в государственных информационных системах, защита персональных данных в каналах связи обеспечивается с помощью средств криптографической защиты информации.
В соответствие с частью 2 статьи 19 Федерального закона от 27 июня 2006 года «О персональных данных» и пунктом 5 положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного Постановлением Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. А согласно «Методическим рекомендациям по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденным ФСБ России 21 февраля 2008 г. N 149/54-144, оценка соответствия проводится в форме обязательной сертификации в системе сертификации средств криптографической защиты информации, разработанной и утвержденной ФСБ России.
А теперь зададимся риторическим вопросом - как соблюдают это законодательство наши гаранты и оплоты, а также регуляторы в лице ФСТЭК, ФСБ и Роскомнадзора. С последнего и начнем. В форме, в которой возможно обращение гражданина к госоргану указывается полный букет персональных данных. И все эти данные уходят в неизвестность по незащищенным каналам.
Поразительно то, что в разделе, посвященному ПДн (за него отвечает соответствующее управление РКН по защите прав субъектов), ситуация в корне иная. Там тоже никто не защищает ПДн с помощью шифровальных средств, но зато с субъекта берут согласие на то, что его данные пойдут по Интернет в открытом виде. Просто и незатейливо субъекта заставляют отказаться от своего права на конфиденциальность. В противном случае взаимодействовать с РКН он просто не сможет. Данный подход интересен тем, что он полностью в рамках закона. Вот только о реальных правах субъекта ПДн опять не подумали. И применительно к основному защитнику этих прав, это обидно вдвойне.
На сайте Правительства России меня встретила бойкая фраза о том, что мои персональные данные обрабатываются с полным соблюдением требований российского законодательства. Все! Больше ничего. Никакого disclaimer об отказе от конфиденциальности. Эта же фраза присутствует на сайте Президента России и на сайте головного органа в области защиты ПДн - Минкомсвязи.
Почти все госорганы живут также - никто не соблюдает требование конфиденциальности, но все пишут о соблюдении законодательства о персональных данных. Или вообще ничего не пишут.
Больше всего меня поразила ФСБ. Она не только не имеет disclaimer, но и вообще про персональные данные не упоминает. Мол, заполняй форму, и все! Еще и дураком обозвали (если внимательно посмотреть на CAPTCHA).
Куда мои персональные данные пойдут? Вспоминая нередкую практику использования почтовых ящиков наших чиновников на публичных почтовых серверах (mail.ru, gmail.com и т.д.), не хочется думать, что ПДн также попадают на такие сервера и там складируются.
А что ФСТЭК? А ФСТЭК вообще не имеет формы для работы с обращениями граждан - они с ними только по обычной почте работают. Зато и претензий к ним по поводу нарушения требований конфиденциальности нет ;-) Правда на новой версии сайта ФСТЭК, работающей пока в тестовом режиме, приводится та же фраза - "Персональные данные пользователей информации хранятся и обрабатываются с соблюдением требований российского законодательства". Но Web-формы нет и там. Зато есть адреса e-mail, по которым можно общаться с разными региональными управлениями ФСТЭК. Но e-mail-то у нас ходит тоже по каналам связи через сетя связи общего пользования. Т.е. к e-mail должны применятся те же принципы обеспечения конфиденциальности (только для другого протокола) на базе сертифицированных СКЗИ. Но если с Web-взаимодействием по принципу "клиент-сервер" еще можно что-то придумать (например, разрешить SSL на AES), то что делать с электронной почтой; как ее шифровать?
На прошлой неделе был я на конференции ИнфоБЕРЕГ в Сочи. Замечательное мероприятие, замечательное место. Но больше всего меня поразил Баранов Александр Павлович, бывший первый замначальника 8-го Центра ФСБ, а ныне служащий ГНИВЦ ФНС России. Он говорил потрясающие вещи, полностью противоречающие тому, что он же говорил еще год назад, будучи основным регулятором в области криптографии. Он говорил, что ФСБ медленно работает, что система сертификации СКЗИ устарела и не поспевает за тенденциями, что ФСБ надо менять парадигму в отношении защиты конфиденциальной информации и т.д. Среди прочего он рассказал о том, как клиенты ФНС используют для взаимодействия с налоговой SSL на базе американского стандарта шифрования AES! Это делается на страх и риск клиента, которому предоставляется альтернатива в виде сертифицированных СКЗИ, но все равно - делается открыто и официально. Более того, по словам Баранова они получили на это разрешение ФСБ.
Может пора нашим регуляторам задуматься об этом же и разрешить использование встроенной в ОС и браузеры криптографии для ряда случаев? Фактически это и так происходит. Тот же Баранов на ИнфоБЕРЕГе заявил, что "SSL на AES лучше чем вообще без криптографии". И я разделяю эту позицию. Может стоит уже зафиксировать эту позицию официально?
ЗЫ. У коллеги обсуждается аналогичная тема, но немного в другом контексте.
В соответствие с пунктом 7 положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного Постановлением Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств. В соответствие с 3-м пунктом данного Положения методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
В соответствие с пунктом 2.8 приказа Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. N 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) применяется наряду с другими обязательными защитными мерами создание канала связи, обеспечивающего защиту передаваемой информации.
В соответствие с «Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденными ФСБ России 21 февраля 2008 г. N 149/54-144 и являющихся обязательными к применению при обработке персональных данных в государственных информационных системах, защита персональных данных в каналах связи обеспечивается с помощью средств криптографической защиты информации.
В соответствие с частью 2 статьи 19 Федерального закона от 27 июня 2006 года «О персональных данных» и пунктом 5 положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного Постановлением Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. А согласно «Методическим рекомендациям по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденным ФСБ России 21 февраля 2008 г. N 149/54-144, оценка соответствия проводится в форме обязательной сертификации в системе сертификации средств криптографической защиты информации, разработанной и утвержденной ФСБ России.
А теперь зададимся риторическим вопросом - как соблюдают это законодательство наши гаранты и оплоты, а также регуляторы в лице ФСТЭК, ФСБ и Роскомнадзора. С последнего и начнем. В форме, в которой возможно обращение гражданина к госоргану указывается полный букет персональных данных. И все эти данные уходят в неизвестность по незащищенным каналам.
Поразительно то, что в разделе, посвященному ПДн (за него отвечает соответствующее управление РКН по защите прав субъектов), ситуация в корне иная. Там тоже никто не защищает ПДн с помощью шифровальных средств, но зато с субъекта берут согласие на то, что его данные пойдут по Интернет в открытом виде. Просто и незатейливо субъекта заставляют отказаться от своего права на конфиденциальность. В противном случае взаимодействовать с РКН он просто не сможет. Данный подход интересен тем, что он полностью в рамках закона. Вот только о реальных правах субъекта ПДн опять не подумали. И применительно к основному защитнику этих прав, это обидно вдвойне.
На сайте Правительства России меня встретила бойкая фраза о том, что мои персональные данные обрабатываются с полным соблюдением требований российского законодательства. Все! Больше ничего. Никакого disclaimer об отказе от конфиденциальности. Эта же фраза присутствует на сайте Президента России и на сайте головного органа в области защиты ПДн - Минкомсвязи.
Почти все госорганы живут также - никто не соблюдает требование конфиденциальности, но все пишут о соблюдении законодательства о персональных данных. Или вообще ничего не пишут.
Больше всего меня поразила ФСБ. Она не только не имеет disclaimer, но и вообще про персональные данные не упоминает. Мол, заполняй форму, и все! Еще и дураком обозвали (если внимательно посмотреть на CAPTCHA).
Куда мои персональные данные пойдут? Вспоминая нередкую практику использования почтовых ящиков наших чиновников на публичных почтовых серверах (mail.ru, gmail.com и т.д.), не хочется думать, что ПДн также попадают на такие сервера и там складируются.
А что ФСТЭК? А ФСТЭК вообще не имеет формы для работы с обращениями граждан - они с ними только по обычной почте работают. Зато и претензий к ним по поводу нарушения требований конфиденциальности нет ;-) Правда на новой версии сайта ФСТЭК, работающей пока в тестовом режиме, приводится та же фраза - "Персональные данные пользователей информации хранятся и обрабатываются с соблюдением требований российского законодательства". Но Web-формы нет и там. Зато есть адреса e-mail, по которым можно общаться с разными региональными управлениями ФСТЭК. Но e-mail-то у нас ходит тоже по каналам связи через сетя связи общего пользования. Т.е. к e-mail должны применятся те же принципы обеспечения конфиденциальности (только для другого протокола) на базе сертифицированных СКЗИ. Но если с Web-взаимодействием по принципу "клиент-сервер" еще можно что-то придумать (например, разрешить SSL на AES), то что делать с электронной почтой; как ее шифровать?
На прошлой неделе был я на конференции ИнфоБЕРЕГ в Сочи. Замечательное мероприятие, замечательное место. Но больше всего меня поразил Баранов Александр Павлович, бывший первый замначальника 8-го Центра ФСБ, а ныне служащий ГНИВЦ ФНС России. Он говорил потрясающие вещи, полностью противоречающие тому, что он же говорил еще год назад, будучи основным регулятором в области криптографии. Он говорил, что ФСБ медленно работает, что система сертификации СКЗИ устарела и не поспевает за тенденциями, что ФСБ надо менять парадигму в отношении защиты конфиденциальной информации и т.д. Среди прочего он рассказал о том, как клиенты ФНС используют для взаимодействия с налоговой SSL на базе американского стандарта шифрования AES! Это делается на страх и риск клиента, которому предоставляется альтернатива в виде сертифицированных СКЗИ, но все равно - делается открыто и официально. Более того, по словам Баранова они получили на это разрешение ФСБ.
Может пора нашим регуляторам задуматься об этом же и разрешить использование встроенной в ОС и браузеры криптографии для ряда случаев? Фактически это и так происходит. Тот же Баранов на ИнфоБЕРЕГе заявил, что "SSL на AES лучше чем вообще без криптографии". И я разделяю эту позицию. Может стоит уже зафиксировать эту позицию официально?
ЗЫ. У коллеги обсуждается аналогичная тема, но немного в другом контексте.
Алексей! Вы подняли очень важную тему, которая назревала уже очень давно, а именно введение политики «открытых интерфейсов» со стороны госорганов. Именно они должны быть «буксиром», который ведет за собой целый караван организаций и предприятий, причем за ним идут все, кто установил с ним связь, т.е. создав образцовый режим защиты ПД, регулятор как бы заявляет: «Хотите со мной работать – защищайте как Я!, не хотите – доступ к Федеральным ресурсам Вам ЗАКРЫТ!». А сегодня мы имеем то, что имеем. Низы (ю. и ф. лица) – не хотят (исполнять «сырые» законодательные акты от лукавого), а верхи (регуляторы, с несвойственными им порой функциями) не хотят (…а потому что НЕ МОГУТ! – признание собственных ошибок - нонсенс!)
ОтветитьУдалитьМне кажется много опасней не сама иностранная криптография как таковая (и в этом плане Баранов прав - лучше RSA чем ничего), а то что управление жизненным циклом ключей выполняет импортная компания (например Тавт для ЕСИА) а это означает что в самый неподходящий момент тот же Тавт может обвалить всю работу ЕСИА, а на минуточку на помню - это единая система идентификации и авторизации и на ней работает 223-ФЗ ... И именно в этом есть угроза, причём реальная и не видеть этого преступно !!!
ОтветитьУдалитьКак же поступать простым смертным (юр. лицам)?
ОтветитьУдалитьСейчас стоит вопрос - покупать сертификат от Крипто-ПРО или от американских ЦС для веб-сервера. 1 вариант - дорого, но удовлетворяет законодательству. 2 вариант - дешего и просто, но...
Я одного не пойму - как наши регуляторы могут требовать от фирм выполнения этих требований (касательно СКЗИ), если сами их не выполняют?!?
Ну да, ну да! Ежели супостату позволить замостить сельскую дорогу импортным асфальтом, то в самый неподходящий момент , он (супостат) нажмет кнопку и она (дорога) перестанет существовать …… Не путайте информацию составляющую ГТ с информацией о ПД, посмотрите в среднестатистическую ЧМУ, среднестатистического оператора и если там у Вас прописан внешний (совсем внешний) то тогда конечно ….., что то я не встречал таких моделей. Если таковые модели и есть, то это процент стремящийся к «0»!
ОтветитьУдалитьНа сайте ЦБ можно отправить резюме:
ОтветитьУдалитькрасными буквами тоже веселая фраза)
http://www.cbr.ru/Ankets/MailForm.aspx?PartID=staff&pid=staff_res&sid=itm_15457
Алексей, есть небольшой момент в такой передаче ПДн операторам (в том числе и госам) - пока информация не передана в ИС оператора - он её не обрабатывает, верно? Так вот, когда мы отправляем обращение на сайте, то ПДн передаются на обработку не когда мы вводим данные в своем браузере и не тогда, когда нажимаем "отправить", а лишь тогда, когда сообщение поступает на сервер (ну или граничный маршрутизатор) оператора. Так вот, получается, что если после этого субъект не обращается, например, в личный кабинет, где есть доступ к Пдн или не меняет их, то и защищать такую разовую передачу Оператор не обязан. А то это получается как если я хочу сделать вклад в банке, а по дороге в банк меня грабят и отнимают деньги, которые я несу, то что, банк должен мне выплачивать компенсацию или давать охрану всем потенциальным вкладчикм?
ОтветитьУдалитьИнтересная позиция - я про нее слышал. Только для этого госорган должен сказать, что у них проведена классификация ИСПДн, очерчены их границы и клиентский ПК в эту ИСПДн не входит. Тогда на этом же основании любая организация может отказаться от защиты данных, передаваемых на их сайты. И тогда банки смогут отказаться от применения СКЗИ в системах ДБО. Лафа... Затрат ноль. Лицензию на шифрование получать не надо. А как же субъект ПДн? Как же его права? А на них всем уже давно начихать ;-(
ОтветитьУдалитьОпределить ИСПДн и т.д. они и так должны по закону.
ОтветитьУдалитьПро отказ защиты передаваемых данных - все верно. Если это разовая преедача без последующей обработки, типа в кабинете и т.д., то можно без СКЗИ, так ка обработки нет с передачей по незащищенным каналам (обработка начинается позже).
По поводу банков и ДБО и иных схожих систем: там идет двухсторонняя передача, то есть тот же банк обратно клиенту передает данные, содержащие ПДн, то есть инициирует передачу (обработку) по каналам связи, поэтому защищать их и нужно (клиент обращается в кабинет). Ну и раз цели обработки определяет банк (ну там на самом деле могут быть разные варианты, особенно если не банки, а другой сектор, но сейчас не об этом), то требования по ИБ от него (а точнее из нормативки) и обязанность по защите на нем.
интереснее, если взаимодействие не с субъектом напрямую, а между организациями, например та же бух отчетность, когда организации отправляют отчетность по своим сотрудникам, скажем в ФНС или ещё куда. Передача может быть односторонней и можно сказать, что неужели и тут защищать не нужно? но обычно такие системы рассматриваются как единая распределенная ИСПДн, так как хоть и обрабатывает юр лицо данные своих работников, но цель такой обработки идет из ФЗ и оператор в итоге - AYC/ Поэтому он же и определяет требования по защите и так как обработка есть на обоих концах. то такая передача должна быть защищена.
А передача - это один из видов обработки ПДн (по ФЗ-152). И по поводу разовой передачи я не видел в нормативке слов - есть передача, будь добр, шифруй.
ОтветитьУдалить2Ronin
ОтветитьУдалитьМне кажется вы привели не совсем удачную аналогию с внесением денег в банк. В данном случае услуга (которая представляет из себя обработку данных) автоматически включает в себя и транспорт данных до электронной площадки, они просто неотделимы. Если приводить аналогию - билет на самолет включает в себя в том числе и услугу по предоставлению трапа к самолету ))
Ronin: я бы тогда еще добавил пример ФНС (а там личный кабинет с двусторонним взаимодействием), Госуслуги (с личным кабинетом) и многие другие госресурсы с личным кабинетом. Например, у РКН есть закрытая площадка для обсуждения определенных вопросов. Да и не только у них.
ОтветитьУдалить2Алексей
ОтветитьУдалитьВсе верно, если есть передача (обработка) оператором, то он шифрует.
2Михаил Новокрещенов
Да, пожалуй и так. Хотя в данном случае такой транспорт обучлавливается реализацией 2-стороннего обмена.
Также не согласен с вольной трактовкой термина обработки ПДн. Этот термин определен в 152-ФЗ и никакие связанные или неотделимые услуги не входят в это понятие, если обработки не осуществляется, как таковой, соответственно, и требования 152-ФЗ на деятельность, не подпадающую под 152-ФЗ не распространяются, а то так можно очень далеко зайти.
2Алексей Лукацкий
ОтветитьУдалитьДа, про продолжение услуг никто и не спорит. Изначально ведь писал, что это верно только для односторонней передачи.
Если 2-сторонняя, то защищать нужно и да, можно на злодеев спускать собак :)
Этот комментарий был удален автором.
ОтветитьУдалитьКак ни прискорбно, но принимая обращения граждан через POST или email в незащищенном виде гос. органы не нарушают законодательство в области ПДн. И выходит их, совершенно не заботит сохранность ПДн граждан, раз они это допускают.
ОтветитьУдалитьЧто делать? Писать жалобы в РКН, в том числе на РКН.
Необходимо обязать регуляторов защищать собственные сервисы по работе с гражданами.
На основании чего сделан такой вывод?
ОтветитьУдалить2Ronin
ОтветитьУдалитьХорошо, если мы берем точные формулировки из ФЗ, то в обработку в том числе входит и сбор данных. Как вы себе это представляете без обеспечения транспорта? Сбор ИМХО это и есть предоставление транспорта для заполнения хранилища
Михаил, +1
ОтветитьУдалитьПотому, что при отправке сообщения (1-го сообщения) обработку ПДн осуществляет только сам гражданин.
ОтветитьУдалитьПроблема в том, что контролируемая зона гос. органа в данном случае действительно не включает рабочее место гражданина.
2Олег Хрусталево: если я ОТПРАВИЛ пусть и 1 одно сообщение, то оно никак не может быть только моей обработкой. Его обрабатывает как минимум оператор связи, по чьей сети оно передается, и тот госорган, к которому это сообщение пришло с его же сайта, на котором форма и заполнена.
ОтветитьУдалитьНу а насчет невключения моего рабочего места в КЗ - это еще доказать надо. Я даже не хочу поднимать вопрос о том, что сайт госоргана стоит не на территории госоргана, а где-нить на площадке Ростелекома или в ином ЦОДе. И когда мое сообщение попадает на сайт, то потом оно куда идет? Правильно, в сам госорган, конкретному чиновнику или в их ИС. И тут тоже не должно быть СКЗИ?
Михаил,
ОтветитьУдалитьНу почему же раз сбор, то сразу транспорт? Примеры сбора: сидит тетенька на ресепшене или в окошке и собирает заявления, кадровики собирают анкеты, то есть предоставление некоторого интерфейса для осуществления передачи данных от лица оператору. А в электронном виде пример организации такого интерфейса - публикация web-сайта с формами, предназначенными для заполнения или предоставление почтового сервиса, через который можно передать. Но сбор - это только с момента получения ПДн, а не то что там роисходило до.
Все остальное - домыслы и трактовка. Я так могу утверждать, что организацией сбора занимается и Microsoft, раз вы используете её браузер для ввода данных :).
И вообще, давайте тогда и дальше продолжать - передача-то у нас происходит по каналам связи, то есть через некоторое оборудование, которое пренадлежит провайдерам - вот они скорее и осуществляют обработку данных до момента поступления данных на оборудование конечного оператора.
Алексей скажу больше заставить наказать за то что твои ПД обрабатываются с нарушениями невозможно))))))) ни один регулятор не заставишь.........по моей заяве проверили 4 конторы связанные между собой очень тесно(обработка ПД перекрестная-бухгалтерия, зарплата, чоп итд итп),ПД порядка нескольких тысяч........))))))))роскомнадзор нарушений не нашли))))))ну понятно что заплатили и кстати данную проверку не опубликовали, доки у меня есть на руках.....сейчас пытаюсь фстэк натравить(лицензий на тзки нет, хотя обработка пд на коммерческой основе)........посмотрим)))))) так что могу вам сказать не стоит боятся у них есть цена ))))))
ОтветитьУдалитьАлексей,
ОтветитьУдалитьНе понимаю, зачем очевидные вещи оспаривать. Вы же сами сказали - данные идут по каналам оператора связи, то есть транспорт и обработка предоставляется им. Мы заполняем форму в браузере у себя на ПК - это только наше дело как субъекта, пока этот текст вбит в окно, он обрабатывается ТОЛЬКО на нашем ПК, например в ОЗУ. Оператор ещё даже не подозревает, что мы что-то там отправляем.
Нажимаем на "отправить" - сообщение формируется и отправляется с нашего ПК. Снова оператор ещё ничего об этом не знает, никакой обработки им нет. Но данные пошли через сети операторов - нашего провайдера, какого-нибудь Ростелекома и потом чере провайдера нашего многострадального Оператора. Но Оператор опять все ещё не в курсе и обработки не осуществляет - её осуществляют скорее операторы связи, так как их оборудование используется для передачи.
И вот, наконец, сообщение приходит на сервер, в ЦОД или ещё куда-то там. Это уже оборудование Оператора и только в данном случае начинается обработка, правильно, со сбора, то есть получение пакетов данных, формирование сообщений и занесение в БД или перенаправление ещё куда-то там. Только с этого момента можно говорить об обязаностях по защите - раньше защищать просто НЕЧЕГО.
Если из ЦОДа передается куда-то дальше - на другой почтовый сервер, клиент сотрудников и т.д., то Оператор обязан осуществить защиту - СКЗИ и т.д., так как эта передача осуществляется уже им, в рамках обработки Пдн. Если передача осуществляется и обратно - предоставляется возможность зайти в кабинет и посмотреть свои данные, то опять же передача и обработка осуществляется Оператором и он обеспечивает защиту.
Не знаю куда уж подробнее все расписать.
Остаются вопросы что делать с операторами связи и будут ли они вообще Операторами с точки зрения ПДн, так как никакой цели у них по обработке нет своей, а передавать по этим каналам мы можем все что захотим.
Мне доводы Ronin представляются почти безупречными, если бы не это "почти"...
ОтветитьУдалитьДело в том, что пользователю в общем случае не известны тайны IP-маршрутизации, границы ИСПДн оператора и т.п. Пользователю не заметна разница между локальным криптоАРМ-ом, заSSLенным клиент-банком и web-формой с уверениями госоргана о защите в соответствии с суровым законом.
Впрочем, на Страшном Суде этот госорган будут судить, скорее, не за нарушение 152ФЗ, а на недобросовестную рекламу или небезопасную услугу...
LAY,
ОтветитьУдалитьДа, все так, но вопрос же изначально был про соблюдение буквы закона, а не про то, что по-хорошему нужно сделать. Это уже другой вопрос и тут да - нужно описать все в некотором дисклеймере и использовать даже в описываемых случаях тот же SSL, как это делают многие зарубежные организации.
Ну а Закон уже перетерт и это не самый большой вопрос по нему и не самое белое пятно в реальной жизни, к сожалению
2Ronin
ОтветитьУдалитьНу я кажется понимаю в чем наша принципиальная разница. Мы видимо сейчас углубимся в понимание термина сбора. Для меня сбор начинается не с момента прихода данных к оператору, а с момента передачи их владельцем, поскольку сбор это не состояние, а процесс, и брать в рассмотрение только его конечную фазу некорректно.
И я кстати тоже могу сказать, что все остальное домыслы и трактовка.
Вашу аналогию по поводу Microsoft я не понял, по моей интерпретации как раз говорить о том, что кто-то обрабатывает данные можно только в том случае, если пойдет реальная передача данных от клиента к оператору, а не по факту запуска браузера или доступа на сайт.
2 Михаил Новокрещенов
ОтветитьУдалитьИзвините, что встреваю в дискуссию. Но очень сложно согласиться с Вашей позицией по поводу процесса сбора. Так можно дойти до того, что в момент, когда гражданин опускает свое обращение в почтовый аналоговый :) ящик, начинается обработка его персональных данных тем гос.органом, куда это обращение было адресовано.
На мой взгляд опять не совсем корректная аналогия. Услуги почты (реальной я имею ввиду) обусловлены невозможностью интерактивного взаимодействия между сторонами, в этом их принципиальное отличие от нашего случая, поэтому сервис доставки (и ответственность за неё) мы вынуждены полностью передавать сторонней организации. В IT-технологиях же возможность установки прямого защищенного соединения средствами взаимодействующих сторон есть и ответственность за неё они могут нести (и несут).
ОтветитьУдалитьА теперь ещё немного рассуждений - если рассматривать сбор только в момент получения информации, то получается что передачу по аналогии - только в момент отправки. При такой интерпретации непосредственно транспорт данных вообще исключается из регламентируемых ФЗ действий и вроде как выводится из зоны ответственности взаимодействующих сторон. Но скажите мне, почему тогда требование по установке защищенных каналов в РД присутствует?
2 Михаил Новокрещенов
ОтветитьУдалитьЯ понимаю о чем Вы говорите. Но давайте посмотрим на это с другой стороны. Я сейчас буду говорить исключительно только о простых электронных формах для отправки обращений. Гражданин может отправить обращение со своего собственного электронного почтового ящика. В этом случае, я надеюсь Вы согласитесь, сложно что-либо требовать с гос.органа, куда это письмо адресовано, кроме как рассмотрения в срок и ответа на обратный электронный адрес. Если считать, что электронная форма служит всего лишь для упрощения указанного процесса, то все вопросы по поводу защиты снимаются.
Хорошо, поговорим об электронной почте. Электронная почта тоже отличается тем, что не устанавливается прямое соединение между сторонами. С этим принципом она и была спроектирована. Соответственно при её применении требование ответственности от отправителя и получателя за безопасность транспорта в общем случае не выполнимо (если только не идет прямой коннект до сервера оператора). НО существуют ведь и другие IT-технологии, которые позволяют организовать VPN и осуществлять прием данных, т.е. ситуации технической нереализуемости требований регулятора нет. Поэтому в данном случае для оператора вариант действий однозначен - собирать данные не по электронной почте, а другими средствами, что они и делают.
ОтветитьУдалитьЯ к чему, невозможность какой-то технологии выполнить требование регулятора - ещё не аргумент того, что требование выполнять не нужно. Всегда есть альтернативные варианты, которые обеспечат и функционал и выполнят требование.
ОтветитьУдалить2 Михаил Новокрещенов
ОтветитьУдалитьПравильно ли я понял, что основной Ваш аргумент состоит в том, что можно конечно и так, но есть технологии и лучше. А раз таковые есть, то ими и должно пользоваться. Вы простите, что опять буду использовать аналогию с обычной почтой. Ваше утверждение равносильно тому, что направление обращений в гос.орган должно быть организованно исключительно посредством курьерской службой, а то и аналога фельдъегерской службы. Ведь есть же такая возможность, в принципе.
В данном случае гражданин сам, осознанно, выбирает каким образом направить свое обращение. Хочет, по обыкновенной почте, хочет по электронной, хочет через форму на сайте, а то может и лично принести.
Нет. Я имел ввиду другое. Аргумент нерассмотрения транспорта как составляющей обработки привели Вы, упоминая в виде аналогии электронную почту. А я просто указал, что невозможность в некоторых случаях технологически обеспечить защиту, отнюдь не аргумент для вывода о том, что это делать не надо. В этом случае нужно менять технологию.
ОтветитьУдалитьГражданин может конечно посылать данные, как он хочет. Это его законное право, на него обязанности по обеспечению защиты не накладываются. Но оператор обязан предоставить ему возможность сделать это защищенным способом.
Я вам приведу свою аналогию. Пристяжные ремни в самолетах необходимы для соблюдения требований безопасности пассажиров. Пользоваться ими или нет пассажиры в конечном счете решают сами, но в самолете они быть должны.
ОтветитьУдалить2 Михаил Новокрещенов
ОтветитьУдалить>Но оператор обязан предоставить ему возможность сделать это защищенным способом.
Не понятно только, эта обязанность возникает из соображений "высокой морали" или все таки требования НПА?
Конкретно обсуждаемый нами вопрос возникает, исходя из семантического анализа термина "сбор". Абстрагироваться на этот счет можно бесконечно, кто в данном случае прав, а кто нет видимо сможет решить только суд ))
ОтветитьУдалитьУважаемые коллеги! Вы не затронули еще одного закона "О связи", а там определена "тайна связи". Теоретически она должна гарантировать доставку с защитой
ОтветитьУдалитьВ вопросе SSL или неSSL я вижу только одно: оператор перекладывает ответственность за утечку ПД на траспорт, самого пользователя и готовит себе крупную отмазку: САМ по открытым каналам отправлял - САМ и виноват. Этим он сохраняет себе нервы и деньги против исков об утечке сведений.
ОтветитьУдалить