Как обеспечить конфиденциальность ПДн? Можно ли обойтись без сертифицированной криптографии? ~ Бизнес без опасности

29.7.15

Как обеспечить конфиденциальность ПДн? Можно ли обойтись без сертифицированной криптографии?

29.7.15 законодательство, криптография, персональные данные, ФСБ 19 comments

Отдохнем от вчерашней длинной заметки по кибербезопасности атомных электростанций и вернемся на грешную землю. За последнюю неделю пришлось ответить нескольким заказчикам и партнерам по поводу применения шифровальных средств для защиты персональных данных (надо или нет). Поэтому, опираясь на новую информацию, полученную от регуляторов, я решил обновить и заодно озвучить свою презентацию по данной теме.

19 comments:

Михаил Новокрещенов said...: Пара моментов:
1) "Правильное" определение границы ИС поможет избавиться от шифрования информации только в случае непосредственно сбора их от субъектов ПДн. Во всех остальных случаях, например, в случае разделения удаленных филиалов ИС на 2 разные ИС такой способ не сработает, поскольку тот филиал, который будет осуществлять передачу ИС в другую ИС (другой филиал) должен принять меры по обеспечению конфиденциальности информации при передаче данных по каналам, выходящим за пределы контролируемой зоны (в соответствии с Приказами 17, 21 и 31). В случае же сбора данных от субъектов ПДн действительно можно от шифрования уйти, поскольку субъекты ПДн операторами не являются и на них никаких требования по обеспечению защиты их собственных ПДн не распространяются;
2) Не понял как MPLS может служить обоснованием конфиденциальности передаваемых по каналам связи информации. Это же технология установления виртуальных каналов связи, которая просто обеспечивает разделение пакетов в процессе их коммутации, но никакую конфиденциальность данных в канале не дает - если злоумышленник канал прослушивает, то видит все пакеты (угроза, против которой применяют СКЗИ).; July 29, 2015 at 12:11 PM
Михаил Юрьевич Емельянников said...: Михаил, не совсем так. Конфиденциальность в 152-ФЗ: "Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом". Не защищая канал связи, я вовсе не раскрываю третьим лицам и не распространяю персональные данные, я просто считаю, что нарушитель, актуальный для меня как оператора, не имеет технических возможностей перехвата данных в открытом канале. Мое право. И никакой регулятор и проверяющий мне не вправе ставить это в вину. Будет утечка - будет повод поговорить, что стало ее причиной. Но как раз утечки наши надзорные органы совершено не интересуют. Банк СПб - яркий тому пример. Так что вполне можно жить без крипты.; July 29, 2015 at 1:07 PM
Михаил Новокрещенов said...: Тогда это иной подход избавления от СКЗИ - "обоснование неактуальности угрозы в ЧМУ", а не "правильное описание границ ИС". Поскольку тут уже совсем другие аргументы.; July 29, 2015 at 1:13 PM
p.a.kulikov said...: это какая-то одна часть слона... может Алексей завтра вторую ногу от слона приготовит?
МСЭ же ставятся не только для защиты ПДн. есть еще другие задачи.
в общем лично я жду слона целиком.; July 29, 2015 at 1:18 PM
Бельцов К. said...: Согласен с Михаилом Новокрещеновым. И, думаю, тут не стоит рассматривать только одну сторону медали, говоря о конфиденциальности. Все-таки, "не раскрывать третьим лицам" - это не значит, что оператор может раскрыть информацию только своей волей. Несанкционированные действия третьих лиц также приводят к такому раскрытию. Поэтому, оператор должен обеспечить конфиденциальность, в том числе и путем защиты от раскрытия, в случае противоправных действий третьих лиц (злоумышленников).; July 29, 2015 at 2:03 PM
Константин said...: This comment has been removed by the author.; July 29, 2015 at 4:25 PM
Константин said...: Алексей, добрый день!
Вопрос по презентации.
Из чего следует, что согласие на передачу ПДн в открытом виде равноценно согласию на распространение ПДн?; July 29, 2015 at 4:27 PM
Алексей Лукацкий said...: А кто говорит про распространение?; July 30, 2015 at 2:18 AM
Алексей Лукацкий said...: Паша, слон целиком приготовлен; July 30, 2015 at 2:30 AM
p.a.kulikov said...: Алексей, прелестно. Когда смотры? :); July 30, 2015 at 8:52 AM
Алексей Лукацкий said...: Ты все просмотрел; July 30, 2015 at 9:40 AM
p.a.kulikov said...: так это был ОН? ма-ло-ва-то будет!!! :); July 30, 2015 at 9:54 AM
Константин said...: Алексей, мне показалось, что в вашей презентации именно это имеется в виду.
Тогда, подскажите, пожалуйста, из чего следует, что согласие на передачу ПДн в открытом виде
будет являться легитимной мерой?; July 30, 2015 at 11:19 AM
Константин said...: Это я к тому, что ну взял я согласие с субъекта на передачу в открытом виде. А где написано, что если я его взял, то отменяется нужда в защите передачи ПДн? Мне показалось, в презентации вы имеете в виду, что при взятии такого согласия, субъект тем самым отменяет необходимость в конфиденциальность передаваемых данных. Но в ст.7 152-ФЗ о конфиденциальности о таком согласии ни слова, там только про распространение. Вот и встаёт вопрос откуда это берётся? Только из-за того, что портал госуслуг так себе позволяет делать?; July 30, 2015 at 11:33 AM
Unknown said...: Добрый день!

А где написано что кто то обязывает применяет СКЗИ для защиты ПДн при передачи по каналам связи?; August 11, 2015 at 2:04 PM
Unknown said...: Единственное что нашел:
Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденные руководством 8 Центра ФСБ России от 31 марта 2015 года № 149/7/2/6-432:
«К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, относятся:
- передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования)»; August 11, 2015 at 2:07 PM
Алексей Лукацкий said...: ФСБ так считает; August 11, 2015 at 2:22 PM
IBShnik said...: Вроде было какое-то письмо / разъяснение от ФСБ о том, что передача ПДн по e-mail в запароленном архиве - не есть хорошо.
Подскажите, было ли, или я что-то путаю?
Если не было, то откуда следует, что архив с паролем является недостаточной защитой ПДн при передече?; September 6, 2019 at 1:46 PM
Алексей Лукацкий said...: Я не видел такого разъяснения. Но допускаю, что устно они могли такое сказать, правда, не приведя никакого юридического обоснования; September 6, 2019 at 5:49 PM