Шифрование и обезличивание

Всем известно требование нормативных документов ФСБ по персданным, согласно которому: «Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства«. Выполнить это требование непросто, ввиду отсутствия сертифицированных решения для большого количества сценариев обработки ПДн. Но даже в том случае, если такое решение существует, немногие готовы его покупать. И из-за дороговизны, и из-за непонятности требования — ведь уровень защиты ПДн при этом не изменяется. Какая разница, чем зашифрованы ПДн — ГОСТом или AESом? Ни ФСБ, ни производитель, ни сертификационная лаборатория все равно никакой ответственности не несет. Так зачем, как говорилось в одной рекламе: «платить больше?»

Есть сценарий ухода от использования сертифицированных шифровальных средств при обработке ПДн. Но использовать его можно только в том случае, если вы готовы его обосновывать перед проверяющими (если таковые появятся на горизонте). Итак идея проста — вы не шифруете, вы обезличиваете 😉

В приведенной выше формулировке ФСБ речь идет о защите ПДн. Обезличивание же никакого отношение к безопасности ПДн не имеет. Его цель — вывести данные из разряда персональных, тем самым снизив требования к оператору ПДн и его издержки. И шифрование по существующим международным документам (а также рекомендациям ЦБ и АРБ) является идеальным механизмом обезличивания. И ведь никто никогда не утверждал, что шифровальные средства ограничиваются только одной сферой применения — защитой. Их можно использовать для множества других задач — обеспечения целостности информации (и никто не требует сертификации средств, использующих CRC) или проверки подлинности информации. Почему нельзя использовать шифровальные средства для обезличивания информации? Запрет есть? Нет! Значит можно.

А что вытекает из этого? То, что для обезличивания вы можете использовать любые средства шифрования — даже, о, крамола, несертифицированные. Можно пойти дальше и спокойно применять IPSec на пограничных маршрутизаторах с целью не защиты данных, а их обезличивания. А для этого не надо ни сертификации шифровального средства, ни лицензии на его техобслуживание.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. JChan

    То есть, если я правильно понял, возможно шифровать(обезличивать) данные на местах, используя любой алгоритм шифрования, а после передавать их с использование несертифицированных СЗ?

    Ответить
  2. Алексей Лукацкий

    Ну это моя версия исходя из чтения законодательства. Но подозреваю, что у регулятора будут к ней претензии — это же крамола 😉

    Ответить
  3. magicandy

    Гениальная и вместе с тем простая идея, и как она раньше не пришла в голову? 🙂

    Ответить
  4. Baevsky

    Идея очень нравиться! Остается так обосновать, чтобы, при необходимости, выиграть в суде.:)

    Ответить
  5. Unknown

    Итак, представим картинку. ФСБ приходит к оператору с проверкой, тычет пальцем в Cisco ASA и говорит: это что у Вас такое? VPN сделали? Данные шифруете? Почему несертифицировано? И оператор проводит им шоу-представление: гаснет свет, включаются софиты, с лазерные лучи, дым, выезжает на постаменте черный ящик, с одной и с другой стороны в него включаются ноутбуки, и начинается: с одного ноута через черный ящик передаются паспортные данные в открытом виде, упакованные в TCPIP, а на другой стороне ставится сниффер и… барабанная дробь… о чудо! Ползут кракозябры — данные обезличены! Что в черном ящике? Сексапильная красотка подходит к нему, но свет сконцентрирован на ящике: крышка открывается… и своими нежными руками красотка достает из него Cisco ASA! Фанфары! Конфети! Аплодисменты! Ну и конечно же, банкет.

    Вот как-то так, наверное, и можно убедить регуляторов, что при помощи железки, на которой построен VPN, данные не шифруются, а обезличиваются.

    Ответить
  6. Unknown

    Мне кажется "обезличенные" данные — это когда их невозможно восстановить до исходного состояния… А при шифровании само собой возможно.

    Ответить
  7. Andy_AiF

        Идея, бесспорно, красивая 😉
        А если я всю SQL-ную базу с ПДн'ами заRARю с паролем и шифрованием заголовков (авторы пишут, что AES-128 пользуют), а потом назову resource.rar?
        Получится, что нету у меня ПДн'ов в пересылаемой информации?..

    Ответить
  8. JChan

    To Александр
    Ст. 3 ФЗ-152:
    8) обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

    Ответить
  9. Unknown

    > обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных

    А у нас получается, что невозможно определить что там — персональные данные или нет — степень обезличивания на порядок выше 🙂

    Ответить
  10. Анна

    Мне эта идея кажется сомнительной. Согласна с Александром. "Обезличивание персональных данных — действия, в результате которых невозможно определить
    принадлежность персональных данных конкретному субъекту персональных данных". При шифровании определить принадлежность конкретному лицу можно. Путем дешифрования.

    Не раз слышала утверждение, что обезличивание — это необратимый процесс, т.е. нельзя по исходным данным определить конкретного субъекта ни с помощью ID, ни с помощью расшифровки данных.
    Это мое мнение. В любом случае оспорить в суде такую точку зрения мне представляется нереальным 😉

    Ответить
  11. Maksim Ku

    ФЗ 152 даёт определение: "обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных"

    Можно ли обесличить ПДн с помощью такого действия: подмена ПДн некими кодами по таблице замены? (тривиальная кодировка).
    Наверное нет, если эти таблицы не уничтожить сразу после кодирования (а где гарантия что они сразу будут уничтожен?). Иначе остаётся теоретическая возможность у злоумышленника выполнить обратную замену и установить принадлежность ПДн…)

    Ответить
  12. Алексей Лукацкий

    Алексею Волкову: Я же не подменял обезличивание и шифрование. Я всего лишь заметил, что в России регулируется шифрование для ЗАЩИТЫ, а не для обезличивания.

    Александру: Нигде не сказано, что обезличивание должно быть необратимым. Европейская практика говорит даже обратное. И документы Минздрава и ЦБ, согласованные с регуляторами, также.

    Andy_AiF: Да. В том-то и фишка 😉

    Анна: Ни в одном нормативном акте не написано про необратимость. И есть ответ РКН, что механизмы обезличивания вообще определяет оператор самостоятельно.

    Эта точка зрения не лучше и не хуже любой другой 😉

    Ответить
  13. -)гоист

    Алексей, это лукавство =)
    Такое же, как и
    "Автоматизированные системы, в которых обрабатываются персональные данные, но целью работы которых не является обработка персональных данных, включаются в перечень систем, обрабатывающих персональные данные, но не классифицируются как ИСПДн."

    Ответить
  14. Алексей Лукацкий

    Никакого лукавства. Раз регулятор не хочет идти на компромисс, операторы будут выискивать слабости в законодательстве. ФСБ уже проиграло несколько дел по требованию наличия лицензии ФСБ на деятельность в области шифрования. И тут при правильном подходе проиграет.

    Ответить
  15. Unknown

    > что в России регулируется шифрование для ЗАЩИТЫ, а не для обезличивания.

    Следуя этой логике, можно вообще представить ситуацию, когда ФСБ приходит с проверкой и видит, что на том месте, где по идее должен стоять VPN router, стоит забор из колючей проволоки, за ним — черный ящик, на нем — табличка, на котором белыми буквами написано: ОБЕЗЛИЧИВАТЕЛЬ ПДН — НЕ ВЛЕЗАЙ УБЪЕТ. А сотрудники обходят это место стороной…

    > Раз регулятор не хочет идти на компромисс, операторы будут выискивать слабости в законодательстве

    Подписываюсь

    >и при правильном подходе регулятор проиграет
    >Эта точка зрения не лучше и не хуже любой другой 😉

    Чем приведенный выше подход неправильный? Не хуже Вашего, Алексей 🙂

    Ответить
  16. Анонимный

    Думаю нужно учитывать еще 351 Указ президента.
    http://document.kremlin.ru/doc.asp?ID=044662

    Ответить
  17. Анонимный

    Доказать, что шифрование — не обезличивание, довольно просто. Надо доказать факт восстановления зашифрованных данных. Надо доказать, что по "обесличенным" данным кто-то смог "определить принадлежность".

    Вы же их будете шифровать не ради спортивного интереса, а для передачи кому-то с какой-то целью. Когда этот "кто-то" свою цель осуществит (например, разошлёт спам вашим клиентам), вот тут-то и будет доказательство, что данные не обезличены.

    Ответить
  18. pushkinist

    дык это будет обычное разглашение.
    этот "кто-то" получит анальные данные на основании договора в котором есть пункт с требованием конфиденциальности и нераспространения.
    нарушение будет на нем, а не на том от кого данные получены

    Ответить
  19. Алексей Лукацкий

    Евгению Родыгину: А ПП-351 относится к госам 😉

    Ответить
  20. -)гоист

    > этот "кто-то" получит анальные данные на основании договора в котором есть пункт с требованием конфиденциальности и нераспространения

    а это будет еще одним доказательством того, что передаются не обезличенные данные, а самые что ни на есть ПДны.

    Ответить
  21. pushkinist

    у вас неправильные представления об обезличенных данных.
    в момент передачи данные обезличены.

    точно так же данные могут быть обезличены только при хранении например.

    а при использовании они становятся необезличенными.

    Ответить
  22. LAY

    Вы же их будете шифровать не ради спортивного интереса, а для передачи кому-то с какой-то целью. Когда этот "кто-то" свою цель осуществит (например, разошлёт спам вашим клиентам), вот тут-то и будет доказательство, что данные не обезличены.

    А почему обезличивание не может приследовать ту же цель, т.е. "для передачи кому-то с какой-то целью"? В таком случае и без "лукавого шифрования" "кто-то" получит данные вида: Id, проч., и восстановит недостающее по Id.
    Ну и чем шифрование хуже?

    Ответить
  23. -)гоист

    pushkinist,
    если данные обезличены, то нет необходимости обеспечивать их конфиденциальность по закону, а передающему оператору не имеет смысла ссылаться в этом случае на положения фз-152 при включении пункта о конфиденциальности в такой договор.

    Ответить
  24. pushkinist

    договор-то требует конфиденциальности в момент использования, а обезличены в момент передачи.

    Ответить
  25. -)гоист

    А передаются-то как вы говорите "обезличенные" данные. Какая тогда на вас ответственность? Никакой. Третье лицо само там как-то восстанавливает, или придумывает, к кому эти "обезличенные" ПДн относятся, так что ответственность и так на нем — без всяких условий по договору. А Вы же больше ничего им не сообщаете, только "обезличенные" данные.

    Ответить
  26. pushkinist

    бессмысленный спор.
    считайте как хотите.
    бессонница из-за того, что "в интернете кто-то не прав" меня мучить не будет.

    Ответить
  27. Alexander

    Здравствуйте Алексей. Хотел у вас узнать насчет использования хэширования при обезличивание ПДн.
    В одной из своих работ вы утверждаете: "Что идеальным вариантом для обезличивания является использование алгоритмов криптографического хэширования, но в России это относиться к криптографии и является лицензируемым видом деятельности, что связано с определенными трудностями".
    Хотел уточнить, почему вместо хэширования ПДн нельзя, для уменьшения временных и денежных затрат, просто данные убрать, или заменить их некоторым идентификатором, показывающим, что данные были обезличены?
    Я не представляю, как значение хэшированных обезличенных данных можно использовать для контроля целостности. Единственные преимущесва хеширования, которые я вижу:
    1 Фиксированная длинна свертки хэш-функции дает удобство хранения данных в базе.
    2 Возможно значение хэша показывает, что данные были обезличены, а не просто их нет.(Хотя можно было использовать один индентификатор обезличивания, например data_was_depers).
    3 Проверка целостности хэшированных записей в БД, но остальная часть Бд не защищеня от модификации.
    Моя почта: KukinAU@darklogic.ru

    Ответить
  28. anton

    Господа, а не кажется ли вам, что вы забыли , в какой стране вы живете. И что если проверяющий захочет — ему будет плевать на ваши формулировки "обезличивания"
    Использовать несертифицированный софт на предприятии очень и очень чревато. Я молчу про гос. структуры, которые шифруют ГОСТом и тупо не в состоянии применять никаких других программ, которые его не поддерживают. Они как раз и используют программы Крипто ПРО и CyberSafe поскольку обе имеют сертификаты и алгоритм шифрования ГОСТ им доступен.

    Ответить