Вчера я должен был выступать на конференции по защите персональных данных, проводимых компанией «Авангард-Про». Так случилось, что здоровье подкачало и выступить я не смог. Но в любом случае я выкладываю свою презентацию по такой непростой теме, как обязательность применения средств шифрования для защиты персональных данных.
Тема, безусловно, дискуссионная, но думаю, что в презентации вы сможете найти какие-либо полезные мысли 🙂
А чем использование оптических каналов связи помогает в обеспечении конфиденциальности перс.данных?
Модель угроз правильная. Типа снятие данные с оптики неактуальная угроза ввиду сложности и дороговизны данной процедуры
немного странная модель получается — мы никогда не сможем однозначно предсказать среду передачи данных от клиента (более того, с большой долей вероятности часть маршрута пройдет по радиоканалу — либо WiFi, либо 3/4G, ну любят клиенты быть мобильными) — и вдруг выпячиваем оптику…
И к тому-же разделу презентации. С каким оператором связи мы должны заключать договор? Возьмем несколько высосанный из пальца пример, но все-ж. Пользователь имеет VPN до Японии. И через него зашел на сайт с формой для ввода ПДн. С кем должен быть договор? KDDI? Ростелеком? Оператор последней мили?
Оптические каналы связи помогают только в схеме, когда эти каналы проложены между зданиями, а не в том случае, когда у вас оптика до провайдера и вам теперь совсем не надо защищать ПДн по интернету.
На всех указанных сайтах используется, как минимум, https. Значит, какая никакая, а криптография обеспечивается?
А ФСБ, если уж на то пошло, не требует обязательно указывать паспорт или телефон.
https не является криптографией по мнению ФСБ
Aelin, тем не менее указываются ФИО и адрес, иначе рассматривать обращение не будут.
Алексей, по РЖД может быть другой вариант, почему ПДн рассматриваются как общедоступные: чтобы снизить УЗ для ИСПДн (АСУ Экспресс, например).
И небольшой коммент к презентации 3 слайд: "общедоступление" персональных данных это всё же не способ обеспечить их конфиденциальность.
Алексей добрый день!
Хочу задать вам два вопроса как краеведу.
1. Одна организация (А) обрабатыает ПДН сотрудников другой организации (В) по договору. Обработка — выгрузка из тахографов и хранение. ПДн — ФИО, дата рождения и номер водительского удостоверения. Организации В это велено законодательством. Как правильно взять согласие на обработку и нужно ли оно.
2. Выгрузка идет по каналу gprs — данные в открытом виде, но с цифровой подписью. Можем ли мы отсутствие шифрования в данном случае аргументировать неактуальностью угрозы съема-потери и модификации (съем никому не нужен, потери малореальны и передача идет пока не передаст и не получит подтверждение,а отсутствие модификации проверяется ЭЦП)
Спасибо!