Отдохнем от вчерашней длинной заметки по кибербезопасности атомных электростанций и вернемся на грешную землю. За последнюю неделю пришлось ответить нескольким заказчикам и партнерам по поводу применения шифровальных средств для защиты персональных данных (надо или нет). Поэтому, опираясь на новую информацию, полученную от регуляторов, я решил обновить и заодно озвучить свою презентацию по данной теме.
Тут в одном закрытом клубе по ИБ зашла речь о регуляторах
Я стараюсь в последнее время не писать о законодательстве
Как будут защищаться электронные выборы или парафраз о разработанном в России гомоморфном шифровании
Пригласили меня тут помодерировать заседание экспертов
На портале правовой информации приказ ФСБ от 11.
На Магнитке традиционно проводилась закрытая сессия
Пара моментов:
1) "Правильное" определение границы ИС поможет избавиться от шифрования информации только в случае непосредственно сбора их от субъектов ПДн. Во всех остальных случаях, например, в случае разделения удаленных филиалов ИС на 2 разные ИС такой способ не сработает, поскольку тот филиал, который будет осуществлять передачу ИС в другую ИС (другой филиал) должен принять меры по обеспечению конфиденциальности информации при передаче данных по каналам, выходящим за пределы контролируемой зоны (в соответствии с Приказами 17, 21 и 31). В случае же сбора данных от субъектов ПДн действительно можно от шифрования уйти, поскольку субъекты ПДн операторами не являются и на них никаких требования по обеспечению защиты их собственных ПДн не распространяются;
2) Не понял как MPLS может служить обоснованием конфиденциальности передаваемых по каналам связи информации. Это же технология установления виртуальных каналов связи, которая просто обеспечивает разделение пакетов в процессе их коммутации, но никакую конфиденциальность данных в канале не дает — если злоумышленник канал прослушивает, то видит все пакеты (угроза, против которой применяют СКЗИ).
Михаил, не совсем так. Конфиденциальность в 152-ФЗ: "Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом". Не защищая канал связи, я вовсе не раскрываю третьим лицам и не распространяю персональные данные, я просто считаю, что нарушитель, актуальный для меня как оператора, не имеет технических возможностей перехвата данных в открытом канале. Мое право. И никакой регулятор и проверяющий мне не вправе ставить это в вину. Будет утечка — будет повод поговорить, что стало ее причиной. Но как раз утечки наши надзорные органы совершено не интересуют. Банк СПб — яркий тому пример. Так что вполне можно жить без крипты.
Тогда это иной подход избавления от СКЗИ — "обоснование неактуальности угрозы в ЧМУ", а не "правильное описание границ ИС". Поскольку тут уже совсем другие аргументы.
это какая-то одна часть слона… может Алексей завтра вторую ногу от слона приготовит?
МСЭ же ставятся не только для защиты ПДн. есть еще другие задачи.
в общем лично я жду слона целиком.
Согласен с Михаилом Новокрещеновым. И, думаю, тут не стоит рассматривать только одну сторону медали, говоря о конфиденциальности. Все-таки, "не раскрывать третьим лицам" — это не значит, что оператор может раскрыть информацию только своей волей. Несанкционированные действия третьих лиц также приводят к такому раскрытию. Поэтому, оператор должен обеспечить конфиденциальность, в том числе и путем защиты от раскрытия, в случае противоправных действий третьих лиц (злоумышленников).
Этот комментарий был удален автором.
Алексей, добрый день!
Вопрос по презентации.
Из чего следует, что согласие на передачу ПДн в открытом виде равноценно согласию на распространение ПДн?
А кто говорит про распространение?
Паша, слон целиком приготовлен
Алексей, прелестно. Когда смотры? 🙂
Ты все просмотрел
так это был ОН? ма-ло-ва-то будет!!! 🙂
Алексей, мне показалось, что в вашей презентации именно это имеется в виду.
Тогда, подскажите, пожалуйста, из чего следует, что согласие на передачу ПДн в открытом виде
будет являться легитимной мерой?
Это я к тому, что ну взял я согласие с субъекта на передачу в открытом виде. А где написано, что если я его взял, то отменяется нужда в защите передачи ПДн? Мне показалось, в презентации вы имеете в виду, что при взятии такого согласия, субъект тем самым отменяет необходимость в конфиденциальность передаваемых данных. Но в ст.7 152-ФЗ о конфиденциальности о таком согласии ни слова, там только про распространение. Вот и встаёт вопрос откуда это берётся? Только из-за того, что портал госуслуг так себе позволяет делать?
Добрый день!
А где написано что кто то обязывает применяет СКЗИ для защиты ПДн при передачи по каналам связи?
Единственное что нашел:
Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденные руководством 8 Центра ФСБ России от 31 марта 2015 года № 149/7/2/6-432:
«К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, относятся:
— передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования)»
ФСБ так считает
Вроде было какое-то письмо / разъяснение от ФСБ о том, что передача ПДн по e-mail в запароленном архиве — не есть хорошо.
Подскажите, было ли, или я что-то путаю?
Если не было, то откуда следует, что архив с паролем является недостаточной защитой ПДн при передече?
Я не видел такого разъяснения. Но допускаю, что устно они могли такое сказать, правда, не приведя никакого юридического обоснования