Pages - Menu

Страницы

29.7.15

Как обеспечить конфиденциальность ПДн? Можно ли обойтись без сертифицированной криптографии?

Отдохнем от вчерашней длинной заметки по кибербезопасности атомных электростанций и вернемся на грешную землю. За последнюю неделю пришлось ответить нескольким заказчикам и партнерам по поводу применения шифровальных средств для защиты персональных данных (надо или нет). Поэтому, опираясь на новую информацию, полученную от регуляторов, я решил обновить и заодно озвучить свою презентацию по данной теме.

19 комментариев:

  1. Пара моментов:
    1) "Правильное" определение границы ИС поможет избавиться от шифрования информации только в случае непосредственно сбора их от субъектов ПДн. Во всех остальных случаях, например, в случае разделения удаленных филиалов ИС на 2 разные ИС такой способ не сработает, поскольку тот филиал, который будет осуществлять передачу ИС в другую ИС (другой филиал) должен принять меры по обеспечению конфиденциальности информации при передаче данных по каналам, выходящим за пределы контролируемой зоны (в соответствии с Приказами 17, 21 и 31). В случае же сбора данных от субъектов ПДн действительно можно от шифрования уйти, поскольку субъекты ПДн операторами не являются и на них никаких требования по обеспечению защиты их собственных ПДн не распространяются;
    2) Не понял как MPLS может служить обоснованием конфиденциальности передаваемых по каналам связи информации. Это же технология установления виртуальных каналов связи, которая просто обеспечивает разделение пакетов в процессе их коммутации, но никакую конфиденциальность данных в канале не дает - если злоумышленник канал прослушивает, то видит все пакеты (угроза, против которой применяют СКЗИ).

    ОтветитьУдалить
  2. Михаил, не совсем так. Конфиденциальность в 152-ФЗ: "Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом". Не защищая канал связи, я вовсе не раскрываю третьим лицам и не распространяю персональные данные, я просто считаю, что нарушитель, актуальный для меня как оператора, не имеет технических возможностей перехвата данных в открытом канале. Мое право. И никакой регулятор и проверяющий мне не вправе ставить это в вину. Будет утечка - будет повод поговорить, что стало ее причиной. Но как раз утечки наши надзорные органы совершено не интересуют. Банк СПб - яркий тому пример. Так что вполне можно жить без крипты.

    ОтветитьУдалить
  3. Тогда это иной подход избавления от СКЗИ - "обоснование неактуальности угрозы в ЧМУ", а не "правильное описание границ ИС". Поскольку тут уже совсем другие аргументы.

    ОтветитьУдалить
  4. это какая-то одна часть слона... может Алексей завтра вторую ногу от слона приготовит?
    МСЭ же ставятся не только для защиты ПДн. есть еще другие задачи.
    в общем лично я жду слона целиком.

    ОтветитьУдалить
  5. Согласен с Михаилом Новокрещеновым. И, думаю, тут не стоит рассматривать только одну сторону медали, говоря о конфиденциальности. Все-таки, "не раскрывать третьим лицам" - это не значит, что оператор может раскрыть информацию только своей волей. Несанкционированные действия третьих лиц также приводят к такому раскрытию. Поэтому, оператор должен обеспечить конфиденциальность, в том числе и путем защиты от раскрытия, в случае противоправных действий третьих лиц (злоумышленников).

    ОтветитьУдалить
  6. Этот комментарий был удален автором.

    ОтветитьУдалить
  7. Алексей, добрый день!
    Вопрос по презентации.
    Из чего следует, что согласие на передачу ПДн в открытом виде равноценно согласию на распространение ПДн?

    ОтветитьУдалить
  8. А кто говорит про распространение?

    ОтветитьУдалить
  9. Алексей, прелестно. Когда смотры? :)

    ОтветитьУдалить
  10. так это был ОН? ма-ло-ва-то будет!!! :)

    ОтветитьУдалить
  11. Алексей, мне показалось, что в вашей презентации именно это имеется в виду.
    Тогда, подскажите, пожалуйста, из чего следует, что согласие на передачу ПДн в открытом виде
    будет являться легитимной мерой?

    ОтветитьУдалить
  12. Это я к тому, что ну взял я согласие с субъекта на передачу в открытом виде. А где написано, что если я его взял, то отменяется нужда в защите передачи ПДн? Мне показалось, в презентации вы имеете в виду, что при взятии такого согласия, субъект тем самым отменяет необходимость в конфиденциальность передаваемых данных. Но в ст.7 152-ФЗ о конфиденциальности о таком согласии ни слова, там только про распространение. Вот и встаёт вопрос откуда это берётся? Только из-за того, что портал госуслуг так себе позволяет делать?

    ОтветитьУдалить
  13. Добрый день!

    А где написано что кто то обязывает применяет СКЗИ для защиты ПДн при передачи по каналам связи?

    ОтветитьУдалить
  14. Единственное что нашел:
    Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденные руководством 8 Центра ФСБ России от 31 марта 2015 года № 149/7/2/6-432:
    «К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, относятся:
    - передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования)»

    ОтветитьУдалить
  15. Вроде было какое-то письмо / разъяснение от ФСБ о том, что передача ПДн по e-mail в запароленном архиве - не есть хорошо.
    Подскажите, было ли, или я что-то путаю?
    Если не было, то откуда следует, что архив с паролем является недостаточной защитой ПДн при передече?

    ОтветитьУдалить
  16. Я не видел такого разъяснения. Но допускаю, что устно они могли такое сказать, правда, не приведя никакого юридического обоснования

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.