Как обеспечить конфиденциальность ПДн? Можно ли обойтись без сертифицированной криптографии?

Отдохнем от вчерашней длинной заметки по кибербезопасности атомных электростанций и вернемся на грешную землю. За последнюю неделю пришлось ответить нескольким заказчикам и партнерам по поводу применения шифровальных средств для защиты персональных данных (надо или нет). Поэтому, опираясь на новую информацию, полученную от регуляторов, я решил обновить и заодно озвучить свою презентацию по данной теме.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Михаил Новокрещенов

    Пара моментов:
    1) "Правильное" определение границы ИС поможет избавиться от шифрования информации только в случае непосредственно сбора их от субъектов ПДн. Во всех остальных случаях, например, в случае разделения удаленных филиалов ИС на 2 разные ИС такой способ не сработает, поскольку тот филиал, который будет осуществлять передачу ИС в другую ИС (другой филиал) должен принять меры по обеспечению конфиденциальности информации при передаче данных по каналам, выходящим за пределы контролируемой зоны (в соответствии с Приказами 17, 21 и 31). В случае же сбора данных от субъектов ПДн действительно можно от шифрования уйти, поскольку субъекты ПДн операторами не являются и на них никаких требования по обеспечению защиты их собственных ПДн не распространяются;
    2) Не понял как MPLS может служить обоснованием конфиденциальности передаваемых по каналам связи информации. Это же технология установления виртуальных каналов связи, которая просто обеспечивает разделение пакетов в процессе их коммутации, но никакую конфиденциальность данных в канале не дает — если злоумышленник канал прослушивает, то видит все пакеты (угроза, против которой применяют СКЗИ).

    Ответить
  2. Михаил Юрьевич Емельянников

    Михаил, не совсем так. Конфиденциальность в 152-ФЗ: "Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом". Не защищая канал связи, я вовсе не раскрываю третьим лицам и не распространяю персональные данные, я просто считаю, что нарушитель, актуальный для меня как оператора, не имеет технических возможностей перехвата данных в открытом канале. Мое право. И никакой регулятор и проверяющий мне не вправе ставить это в вину. Будет утечка — будет повод поговорить, что стало ее причиной. Но как раз утечки наши надзорные органы совершено не интересуют. Банк СПб — яркий тому пример. Так что вполне можно жить без крипты.

    Ответить
  3. Михаил Новокрещенов

    Тогда это иной подход избавления от СКЗИ — "обоснование неактуальности угрозы в ЧМУ", а не "правильное описание границ ИС". Поскольку тут уже совсем другие аргументы.

    Ответить
  4. p.a.kulikov

    это какая-то одна часть слона… может Алексей завтра вторую ногу от слона приготовит?
    МСЭ же ставятся не только для защиты ПДн. есть еще другие задачи.
    в общем лично я жду слона целиком.

    Ответить
  5. Бельцов К.

    Согласен с Михаилом Новокрещеновым. И, думаю, тут не стоит рассматривать только одну сторону медали, говоря о конфиденциальности. Все-таки, "не раскрывать третьим лицам" — это не значит, что оператор может раскрыть информацию только своей волей. Несанкционированные действия третьих лиц также приводят к такому раскрытию. Поэтому, оператор должен обеспечить конфиденциальность, в том числе и путем защиты от раскрытия, в случае противоправных действий третьих лиц (злоумышленников).

    Ответить
  6. Константин

    Этот комментарий был удален автором.

    Ответить
  7. Константин

    Алексей, добрый день!
    Вопрос по презентации.
    Из чего следует, что согласие на передачу ПДн в открытом виде равноценно согласию на распространение ПДн?

    Ответить
  8. Алексей Лукацкий

    А кто говорит про распространение?

    Ответить
  9. Алексей Лукацкий

    Паша, слон целиком приготовлен

    Ответить
  10. p.a.kulikov

    Алексей, прелестно. Когда смотры? 🙂

    Ответить
  11. Алексей Лукацкий

    Ты все просмотрел

    Ответить
  12. p.a.kulikov

    так это был ОН? ма-ло-ва-то будет!!! 🙂

    Ответить
  13. Константин

    Алексей, мне показалось, что в вашей презентации именно это имеется в виду.
    Тогда, подскажите, пожалуйста, из чего следует, что согласие на передачу ПДн в открытом виде
    будет являться легитимной мерой?

    Ответить
  14. Константин

    Это я к тому, что ну взял я согласие с субъекта на передачу в открытом виде. А где написано, что если я его взял, то отменяется нужда в защите передачи ПДн? Мне показалось, в презентации вы имеете в виду, что при взятии такого согласия, субъект тем самым отменяет необходимость в конфиденциальность передаваемых данных. Но в ст.7 152-ФЗ о конфиденциальности о таком согласии ни слова, там только про распространение. Вот и встаёт вопрос откуда это берётся? Только из-за того, что портал госуслуг так себе позволяет делать?

    Ответить
  15. Unknown

    Добрый день!

    А где написано что кто то обязывает применяет СКЗИ для защиты ПДн при передачи по каналам связи?

    Ответить
  16. Unknown

    Единственное что нашел:
    Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденные руководством 8 Центра ФСБ России от 31 марта 2015 года № 149/7/2/6-432:
    «К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, относятся:
    — передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования)»

    Ответить
  17. Алексей Лукацкий

    ФСБ так считает

    Ответить
  18. IBShnik

    Вроде было какое-то письмо / разъяснение от ФСБ о том, что передача ПДн по e-mail в запароленном архиве — не есть хорошо.
    Подскажите, было ли, или я что-то путаю?
    Если не было, то откуда следует, что архив с паролем является недостаточной защитой ПДн при передече?

    Ответить
  19. Алексей Лукацкий

    Я не видел такого разъяснения. Но допускаю, что устно они могли такое сказать, правда, не приведя никакого юридического обоснования

    Ответить