Отдохнем от вчерашней длинной заметки по кибербезопасности атомных электростанций и вернемся на грешную землю. За последнюю неделю пришлось ответить нескольким заказчикам и партнерам по поводу применения шифровальных средств для защиты персональных данных (надо или нет). Поэтому, опираясь на новую информацию, полученную от регуляторов, я решил обновить и заодно озвучить свою презентацию по данной теме.
Пара моментов:
ReplyDelete1) "Правильное" определение границы ИС поможет избавиться от шифрования информации только в случае непосредственно сбора их от субъектов ПДн. Во всех остальных случаях, например, в случае разделения удаленных филиалов ИС на 2 разные ИС такой способ не сработает, поскольку тот филиал, который будет осуществлять передачу ИС в другую ИС (другой филиал) должен принять меры по обеспечению конфиденциальности информации при передаче данных по каналам, выходящим за пределы контролируемой зоны (в соответствии с Приказами 17, 21 и 31). В случае же сбора данных от субъектов ПДн действительно можно от шифрования уйти, поскольку субъекты ПДн операторами не являются и на них никаких требования по обеспечению защиты их собственных ПДн не распространяются;
2) Не понял как MPLS может служить обоснованием конфиденциальности передаваемых по каналам связи информации. Это же технология установления виртуальных каналов связи, которая просто обеспечивает разделение пакетов в процессе их коммутации, но никакую конфиденциальность данных в канале не дает - если злоумышленник канал прослушивает, то видит все пакеты (угроза, против которой применяют СКЗИ).
Михаил, не совсем так. Конфиденциальность в 152-ФЗ: "Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом". Не защищая канал связи, я вовсе не раскрываю третьим лицам и не распространяю персональные данные, я просто считаю, что нарушитель, актуальный для меня как оператора, не имеет технических возможностей перехвата данных в открытом канале. Мое право. И никакой регулятор и проверяющий мне не вправе ставить это в вину. Будет утечка - будет повод поговорить, что стало ее причиной. Но как раз утечки наши надзорные органы совершено не интересуют. Банк СПб - яркий тому пример. Так что вполне можно жить без крипты.
ReplyDeleteТогда это иной подход избавления от СКЗИ - "обоснование неактуальности угрозы в ЧМУ", а не "правильное описание границ ИС". Поскольку тут уже совсем другие аргументы.
ReplyDeleteэто какая-то одна часть слона... может Алексей завтра вторую ногу от слона приготовит?
ReplyDeleteМСЭ же ставятся не только для защиты ПДн. есть еще другие задачи.
в общем лично я жду слона целиком.
Согласен с Михаилом Новокрещеновым. И, думаю, тут не стоит рассматривать только одну сторону медали, говоря о конфиденциальности. Все-таки, "не раскрывать третьим лицам" - это не значит, что оператор может раскрыть информацию только своей волей. Несанкционированные действия третьих лиц также приводят к такому раскрытию. Поэтому, оператор должен обеспечить конфиденциальность, в том числе и путем защиты от раскрытия, в случае противоправных действий третьих лиц (злоумышленников).
ReplyDeleteThis comment has been removed by the author.
ReplyDeleteАлексей, добрый день!
ReplyDeleteВопрос по презентации.
Из чего следует, что согласие на передачу ПДн в открытом виде равноценно согласию на распространение ПДн?
А кто говорит про распространение?
ReplyDeleteПаша, слон целиком приготовлен
ReplyDeleteАлексей, прелестно. Когда смотры? :)
ReplyDeleteТы все просмотрел
ReplyDeleteтак это был ОН? ма-ло-ва-то будет!!! :)
ReplyDeleteАлексей, мне показалось, что в вашей презентации именно это имеется в виду.
ReplyDeleteТогда, подскажите, пожалуйста, из чего следует, что согласие на передачу ПДн в открытом виде
будет являться легитимной мерой?
Это я к тому, что ну взял я согласие с субъекта на передачу в открытом виде. А где написано, что если я его взял, то отменяется нужда в защите передачи ПДн? Мне показалось, в презентации вы имеете в виду, что при взятии такого согласия, субъект тем самым отменяет необходимость в конфиденциальность передаваемых данных. Но в ст.7 152-ФЗ о конфиденциальности о таком согласии ни слова, там только про распространение. Вот и встаёт вопрос откуда это берётся? Только из-за того, что портал госуслуг так себе позволяет делать?
ReplyDeleteДобрый день!
ReplyDeleteА где написано что кто то обязывает применяет СКЗИ для защиты ПДн при передачи по каналам связи?
Единственное что нашел:
ReplyDeleteМетодические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденные руководством 8 Центра ФСБ России от 31 марта 2015 года № 149/7/2/6-432:
«К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, относятся:
- передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования)»
ФСБ так считает
ReplyDeleteВроде было какое-то письмо / разъяснение от ФСБ о том, что передача ПДн по e-mail в запароленном архиве - не есть хорошо.
ReplyDeleteПодскажите, было ли, или я что-то путаю?
Если не было, то откуда следует, что архив с паролем является недостаточной защитой ПДн при передече?
Я не видел такого разъяснения. Но допускаю, что устно они могли такое сказать, правда, не приведя никакого юридического обоснования
ReplyDelete