SlideShare una empresa de Scribd logo

Можно ли обойтись без шифрования при защите персональных данных

Aleksey Lukatskiy
Aleksey Lukatskiy

Можно ли обойтись без шифрования при защите персональных данных. Описание различных сценариев

Tecnología
1 de 13
Descargar para leer sin conexión
Нужно ли использовать СКЗИ при защите ПДн? Алексей Лукацкий Бизнес-консультант по безопасности 8 October 2014 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
ФЗ-152 не требует шифрования § Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4 § Согласно ст.7 под конфиденциальностью ПДн понимается обязанность операторами и иными лицами, получивших доступ к персональным данным: Не раскрывать ПДн третьим лицам Не распространять ПДн без согласия субъекта персональных данных Если иное не предусмотрено федеральным законом § Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним… Ст.19 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Как обеспечить конфиденциальность ПДн? § Получить согласие субъекта на передачу ПДн в открытом виде § Сделать ПДн общедоступными § Обеспечить контролируемую зону § Использовать оптические каналы связи § Использовать соответствующие механизмы защиты от НСД, исключая шифрование § Переложить задачу обеспечения конфиденциальности на оператора связи § Передавать в канал связи обезличенные данные § Использовать СКЗИ для защиты ПДн © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Как поступают в органах по защите прав субъектов ПДн? § Многие госорганы постулируют на своих сайтах защиту ПДн в соответствие с требованиями законодательства Без детализации И без СКЗИ § Минкомсвязь и ФСТЭК © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Как поступает регулятор по защите ПДн? § ФСБ на своем сайте требует указания полного спектра идентификационных данных, включая паспортные § Никаких оговорок про выполнение требований законодательства § Никакой защиты передаваемых данных § Если это позволено регулятору в области защиты (и в частности шифрования) персональных данных, то почему это не позволено вам? © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Как поступают в органах по защите прав субъектов ПДн? § РКН собирает персональные данные через форму обратной связи на своем сайте § Стандартная оговорка о соблюдении законодательства в области персональных данных § Никакой защиты передаваемых данных § Если это позволено уполномоченному органу по защите прав субъектов персональных данных, то почему это не позволено вам? © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Вы можете принудить субъекта отказаться от конфиденциальности его ПДн § РКН раньше на своем сайте, а портал госуслуг до сих пор вынуждает вас отказаться от конфиденциальности § У вас есть выбор – или соглашаться, или не использовать соответствующий сервис § Шифрование в таком случае не нужно Ответ Роскомнадзора © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
А если сделать их общедоступными? § РЖД делает регистрационные данные пользователей своего сайта общедоступными § РКН не против § Шифрование в таком случае не нужно © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
А где у вас проходит граница ИСПДн? § Вы имеет полное право самостоятельно провести границы ИСПДн там, где считаете нужным § Сеть Интернет может не входить в вашу ИСПДн § Если это позволено Правительству, то почему не позволено вам? § Шифрование в таком случае не нужно © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Еще четыре сценария Обезличивание • Обезличивание из персональных данных делает неперсональные • Они выпадают из под ФЗ-152 • Не требуется даже конфиденциальность Оператор связи • Оператор связи по закону «О связи» обязан обеспечивать тайну связи • Почему бы в договоре с оператором явно не прописать обязанность обеспечить конфиденциальность всех передаваемых данных, включая и ПДн Оптика • Снять информацию с оптического канала связи возможно, но непросто и недешево • Почему бы не зафиксировать в модели угроз соответствующую мысль Виртуальные сети • Для защиты от несанкционированного доступа на сетевом уровне могут применяться различные технологии; не только шифрование • Например, MPLS, обеспечивающая разграничение доступа © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Если вы патриот и готовы поднимать российскую экономику, то § В России разработано и предлагается немалое количество сертифицированных средств криптографической защиты информации (СКЗИ) § Долг каждого патриота – использовать эти решения § Использование таких решений поможет поднять экономику России Стоимость таких устройств в десятки раз больше стоимость барреля нефти! Модуль Cisco NME-RVPN (сертификат ФСБ по классам КС1/КС2/КС3) © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Применение СКЗИ регулируется приказом №378 ФСБ § Настоящий документ устанавливает состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите ПДн для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн § Принят 10 июля 2014 года, вступил в силу с 28 сентября 2014 года © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Благодарю за внимание © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13

Recomendados

Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Aleksey Lukatskiy
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
Aleksey Lukatskiy
 
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеЭкспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Aleksey Lukatskiy
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для бирж
Aleksey Lukatskiy
 
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Aleksey Lukatskiy
 
Моделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIМоделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFI
Aleksey Lukatskiy
 
Тренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м годуТренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м году
Aleksey Lukatskiy
 
Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасностиВнутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасности
Aleksey Lukatskiy
 

Recomendados

Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Aleksey Lukatskiy
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
Aleksey Lukatskiy
 
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеЭкспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Aleksey Lukatskiy
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для бирж
Aleksey Lukatskiy
 
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Aleksey Lukatskiy
 
Моделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIМоделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFI
Aleksey Lukatskiy
 
Тренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м годуТренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м году
Aleksey Lukatskiy
 
Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасностиВнутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасности
Aleksey Lukatskiy
 
Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхПоследние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данных
Aleksey Lukatskiy
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
Cisco Russia
 
Дискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VIДискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VI
Aleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
 
Последние изменения в законодательстве по персональным данным
Последние изменения в законодательстве по персональным даннымПоследние изменения в законодательстве по персональным данным
Последние изменения в законодательстве по персональным данным
Aleksey Lukatskiy
 
Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?
Aleksey Lukatskiy
 
ИБ-игрища "А что если..."
ИБ-игрища "А что если..."ИБ-игрища "А что если..."
ИБ-игрища "А что если..."
Aleksey Lukatskiy
 
Анализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасностиАнализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасности
Aleksey Lukatskiy
 
Информационная безопасность и фактор времени
Информационная безопасность и фактор времениИнформационная безопасность и фактор времени
Информационная безопасность и фактор времени
Aleksey Lukatskiy
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Aleksey Lukatskiy
 
Последние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииПоследние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденции
Aleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
 
Информационная безопасность современного автомобиля
Информационная безопасность современного автомобиляИнформационная безопасность современного автомобиля
Информационная безопасность современного автомобиля
Aleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
Российская rasputitsa как объяснение будущего отечественной отрасли ИБ
Российская rasputitsa как объяснение будущего отечественной отрасли ИБРоссийская rasputitsa как объяснение будущего отечественной отрасли ИБ
Российская rasputitsa как объяснение будущего отечественной отрасли ИБ
Aleksey Lukatskiy
 
Информационная безопасность на базе open source: есть ли смысл?
Информационная безопасность на базе open source: есть ли смысл?Информационная безопасность на базе open source: есть ли смысл?
Информационная безопасность на базе open source: есть ли смысл?
Aleksey Lukatskiy
 
Применение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данныхПрименение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данных
Aleksey Lukatskiy
 
Киберучения
КиберученияКиберучения
Киберучения
Aleksey Lukatskiy
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
 
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
 
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовФинансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсов
Aleksey Lukatskiy
 
Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Архитектура и дизайн распределенной корпоративной сети высокой доступности. Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Cisco Russia
 

Más contenido relacionado

La actualidad más candente

Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
Cisco Russia
 

La actualidad más candente (20)

Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхПоследние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данных
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
 
Дискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VIДискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VI
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
Последние изменения в законодательстве по персональным данным
Последние изменения в законодательстве по персональным даннымПоследние изменения в законодательстве по персональным данным
Последние изменения в законодательстве по персональным данным
 
Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?
 
ИБ-игрища "А что если..."
ИБ-игрища "А что если..."ИБ-игрища "А что если..."
ИБ-игрища "А что если..."
 
Анализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасностиАнализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасности
 
Информационная безопасность и фактор времени
Информационная безопасность и фактор времениИнформационная безопасность и фактор времени
Информационная безопасность и фактор времени
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
 
Последние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииПоследние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденции
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
Информационная безопасность современного автомобиля
Информационная безопасность современного автомобиляИнформационная безопасность современного автомобиля
Информационная безопасность современного автомобиля
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
Российская rasputitsa как объяснение будущего отечественной отрасли ИБ
Российская rasputitsa как объяснение будущего отечественной отрасли ИБРоссийская rasputitsa как объяснение будущего отечественной отрасли ИБ
Российская rasputitsa как объяснение будущего отечественной отрасли ИБ
 
Информационная безопасность на базе open source: есть ли смысл?
Информационная безопасность на базе open source: есть ли смысл?Информационная безопасность на базе open source: есть ли смысл?
Информационная безопасность на базе open source: есть ли смысл?
 
Применение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данныхПрименение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данных
 
Киберучения
КиберученияКиберучения
Киберучения
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
 
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 

Destacado

Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Архитектура и дизайн распределенной корпоративной сети высокой доступности. Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Cisco Russia
 
Принципы построения катастрофоустойчивых ЦОД
Принципы построения катастрофоустойчивых ЦОДПринципы построения катастрофоустойчивых ЦОД
Принципы построения катастрофоустойчивых ЦОД
Cisco Russia
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Aleksey Lukatskiy
 
Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?
Aleksey Lukatskiy
 
M&A For Executives
M&A For ExecutivesM&A For Executives
M&A For Executives
Bill Snow
 

Destacado (12)

Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовФинансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсов
 
Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Архитектура и дизайн распределенной корпоративной сети высокой доступности. Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Архитектура и дизайн распределенной корпоративной сети высокой доступности.
 
Принципы построения катастрофоустойчивых ЦОД
Принципы построения катастрофоустойчивых ЦОДПринципы построения катастрофоустойчивых ЦОД
Принципы построения катастрофоустойчивых ЦОД
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
 
Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
 
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФКакой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
 
Крупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годКрупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 год
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
Борьба с целенаправленными угрозами
Борьба с целенаправленными угрозамиБорьба с целенаправленными угрозами
Борьба с целенаправленными угрозами
 
M&A For Executives
M&A For ExecutivesM&A For Executives
M&A For Executives
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Small
 

Similar a Можно ли обойтись без шифрования при защите персональных данных

CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
Expolink
 
17 приказ ФСТЭК
17 приказ ФСТЭК17 приказ ФСТЭК
17 приказ ФСТЭК
Алексей Кураленко
 
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Cisco Russia
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данных
Demian Ramenskiy
 
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"
Expolink
 
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Cisco Russia
 

Similar a Можно ли обойтись без шифрования при защите персональных данных (20)

Нужно ли использовать СКЗИ при защите ПДн?
Нужно ли использовать СКЗИ при защите ПДн?Нужно ли использовать СКЗИ при защите ПДн?
Нужно ли использовать СКЗИ при защите ПДн?
 
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?
 
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?
 
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для гос
 
Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...
Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...
Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...
 
Хостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхХостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данных
 
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
 
Тенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБТенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБ
 
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииОсновные направления регулирования ИБ в России
Основные направления регулирования ИБ в России
 
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
 
17 приказ ФСТЭК
17 приказ ФСТЭК17 приказ ФСТЭК
17 приказ ФСТЭК
 
Криптография в Интернете вещей
Криптография в Интернете вещейКриптография в Интернете вещей
Криптография в Интернете вещей
 
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
 
Как защитить персональные данные в "облаке"?
Как защитить персональные данные в "облаке"?Как защитить персональные данные в "облаке"?
Как защитить персональные данные в "облаке"?
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данных
 
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"
 
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
 
BioNT. Защита конфиденциальной информации и аттестация информационных систем...
BioNT. Защита конфиденциальной информации и аттестация информационных систем...BioNT. Защита конфиденциальной информации и аттестация информационных систем...
BioNT. Защита конфиденциальной информации и аттестация информационных систем...
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
 

Más de Aleksey Lukatskiy

Más de Aleksey Lukatskiy (20)

Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
 

Можно ли обойтись без шифрования при защите персональных данных

  • 1. Нужно ли использовать СКЗИ при защите ПДн? Алексей Лукацкий Бизнес-консультант по безопасности 8 October 2014 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
  • 2. ФЗ-152 не требует шифрования § Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4 § Согласно ст.7 под конфиденциальностью ПДн понимается обязанность операторами и иными лицами, получивших доступ к персональным данным: Не раскрывать ПДн третьим лицам Не распространять ПДн без согласия субъекта персональных данных Если иное не предусмотрено федеральным законом § Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним… Ст.19 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
  • 3. Как обеспечить конфиденциальность ПДн? § Получить согласие субъекта на передачу ПДн в открытом виде § Сделать ПДн общедоступными § Обеспечить контролируемую зону § Использовать оптические каналы связи § Использовать соответствующие механизмы защиты от НСД, исключая шифрование § Переложить задачу обеспечения конфиденциальности на оператора связи § Передавать в канал связи обезличенные данные § Использовать СКЗИ для защиты ПДн © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
  • 4. Как поступают в органах по защите прав субъектов ПДн? § Многие госорганы постулируют на своих сайтах защиту ПДн в соответствие с требованиями законодательства Без детализации И без СКЗИ § Минкомсвязь и ФСТЭК © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
  • 5. Как поступает регулятор по защите ПДн? § ФСБ на своем сайте требует указания полного спектра идентификационных данных, включая паспортные § Никаких оговорок про выполнение требований законодательства § Никакой защиты передаваемых данных § Если это позволено регулятору в области защиты (и в частности шифрования) персональных данных, то почему это не позволено вам? © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
  • 6. Как поступают в органах по защите прав субъектов ПДн? § РКН собирает персональные данные через форму обратной связи на своем сайте § Стандартная оговорка о соблюдении законодательства в области персональных данных § Никакой защиты передаваемых данных § Если это позволено уполномоченному органу по защите прав субъектов персональных данных, то почему это не позволено вам? © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
  • 7. Вы можете принудить субъекта отказаться от конфиденциальности его ПДн § РКН раньше на своем сайте, а портал госуслуг до сих пор вынуждает вас отказаться от конфиденциальности § У вас есть выбор – или соглашаться, или не использовать соответствующий сервис § Шифрование в таком случае не нужно Ответ Роскомнадзора © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
  • 8. А если сделать их общедоступными? § РЖД делает регистрационные данные пользователей своего сайта общедоступными § РКН не против § Шифрование в таком случае не нужно © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
  • 9. А где у вас проходит граница ИСПДн? § Вы имеет полное право самостоятельно провести границы ИСПДн там, где считаете нужным § Сеть Интернет может не входить в вашу ИСПДн § Если это позволено Правительству, то почему не позволено вам? § Шифрование в таком случае не нужно © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
  • 10. Еще четыре сценария Обезличивание • Обезличивание из персональных данных делает неперсональные • Они выпадают из под ФЗ-152 • Не требуется даже конфиденциальность Оператор связи • Оператор связи по закону «О связи» обязан обеспечивать тайну связи • Почему бы в договоре с оператором явно не прописать обязанность обеспечить конфиденциальность всех передаваемых данных, включая и ПДн Оптика • Снять информацию с оптического канала связи возможно, но непросто и недешево • Почему бы не зафиксировать в модели угроз соответствующую мысль Виртуальные сети • Для защиты от несанкционированного доступа на сетевом уровне могут применяться различные технологии; не только шифрование • Например, MPLS, обеспечивающая разграничение доступа © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
  • 11. Если вы патриот и готовы поднимать российскую экономику, то § В России разработано и предлагается немалое количество сертифицированных средств криптографической защиты информации (СКЗИ) § Долг каждого патриота – использовать эти решения § Использование таких решений поможет поднять экономику России Стоимость таких устройств в десятки раз больше стоимость барреля нефти! Модуль Cisco NME-RVPN (сертификат ФСБ по классам КС1/КС2/КС3) © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
  • 12. Применение СКЗИ регулируется приказом №378 ФСБ § Настоящий документ устанавливает состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите ПДн для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн § Принят 10 июля 2014 года, вступил в силу с 28 сентября 2014 года © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
  • 13. Благодарю за внимание © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13