Más contenido relacionado
La actualidad más candente (20)
Similar a Можно ли обойтись без шифрования при защите персональных данных (20)
Más de Aleksey Lukatskiy (20)
Можно ли обойтись без шифрования при защите персональных данных
- 1. Нужно ли использовать СКЗИ
при защите ПДн?
Алексей Лукацкий
Бизнес-консультант по безопасности
8 October 2014
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
- 2. ФЗ-152 не требует шифрования
§ Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4
§ Согласно ст.7 под конфиденциальностью ПДн понимается обязанность
операторами и иными лицами, получивших доступ к персональным данным:
Не раскрывать ПДн третьим лицам
Не распространять ПДн без согласия субъекта персональных данных
Если иное не предусмотрено федеральным законом
§ Оператор при обработке персональных данных обязан принимать
необходимые правовые, организационные и технические меры или
обеспечивать их принятие для защиты персональных данных от
неправомерного или случайного доступа к ним…
Ст.19
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
- 3. Как обеспечить конфиденциальность ПДн?
§ Получить согласие субъекта на передачу ПДн в открытом виде
§ Сделать ПДн общедоступными
§ Обеспечить контролируемую зону
§ Использовать оптические каналы связи
§ Использовать соответствующие механизмы защиты от НСД, исключая
шифрование
§ Переложить задачу обеспечения конфиденциальности на оператора связи
§ Передавать в канал связи обезличенные данные
§ Использовать СКЗИ для защиты ПДн
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
- 4. Как поступают в органах по защите прав субъектов ПДн?
§ Многие госорганы
постулируют на своих
сайтах защиту ПДн в
соответствие с
требованиями
законодательства
Без детализации
И без СКЗИ
§ Минкомсвязь и
ФСТЭК
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
- 5. Как поступает регулятор по защите ПДн?
§ ФСБ на своем сайте требует указания
полного спектра идентификационных
данных, включая паспортные
§ Никаких оговорок про выполнение
требований законодательства
§ Никакой защиты передаваемых данных
§ Если это позволено регулятору в области
защиты (и в частности шифрования)
персональных данных, то почему это не
позволено вам?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
- 6. Как поступают в органах по защите прав субъектов ПДн?
§ РКН собирает персональные данные через форму
обратной связи на своем сайте
§ Стандартная оговорка о соблюдении
законодательства в области персональных
данных
§ Никакой защиты передаваемых данных
§ Если это позволено уполномоченному органу по
защите прав субъектов персональных данных, то
почему это не позволено вам?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
- 7. Вы можете принудить субъекта отказаться от
конфиденциальности его ПДн
§ РКН раньше на своем
сайте, а портал
госуслуг до сих пор
вынуждает вас
отказаться от
конфиденциальности
§ У вас есть выбор –
или соглашаться, или
не использовать
соответствующий
сервис
§ Шифрование в таком
случае не нужно Ответ Роскомнадзора
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
- 8. А если сделать их общедоступными?
§ РЖД делает
регистрационные
данные пользователей
своего сайта
общедоступными
§ РКН не против
§ Шифрование в таком
случае не нужно
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
- 9. А где у вас проходит граница ИСПДн?
§ Вы имеет полное право
самостоятельно
провести границы
ИСПДн там, где считаете
нужным
§ Сеть Интернет может не
входить в вашу ИСПДн
§ Если это позволено
Правительству, то
почему не позволено
вам?
§ Шифрование в таком
случае не нужно
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
- 10. Еще четыре сценария
Обезличивание
• Обезличивание из
персональных данных
делает неперсональные
• Они выпадают из под
ФЗ-152
• Не требуется даже
конфиденциальность
Оператор связи
• Оператор связи по
закону «О связи»
обязан обеспечивать
тайну связи
• Почему бы в договоре с
оператором явно не
прописать обязанность
обеспечить
конфиденциальность
всех передаваемых
данных, включая и ПДн
Оптика
• Снять информацию с
оптического канала
связи возможно, но
непросто и недешево
• Почему бы не
зафиксировать в
модели угроз
соответствующую
мысль
Виртуальные сети
• Для защиты от
несанкционированного
доступа на сетевом
уровне могут
применяться различные
технологии; не только
шифрование
• Например, MPLS,
обеспечивающая
разграничение доступа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
- 11. Если вы патриот и готовы поднимать российскую
экономику, то
§ В России разработано и предлагается
немалое количество
сертифицированных средств
криптографической защиты информации
(СКЗИ)
§ Долг каждого патриота – использовать
эти решения
§ Использование таких решений поможет
поднять экономику России
Стоимость таких устройств в десятки раз
больше стоимость барреля нефти!
Модуль Cisco NME-RVPN
(сертификат ФСБ по классам КС1/КС2/КС3)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
- 12. Применение СКЗИ регулируется приказом №378 ФСБ
§ Настоящий документ устанавливает состав и
содержание необходимых для выполнения
установленных Правительством Российской
Федерации требований к защите ПДн для
каждого из уровней защищенности
организационных и технических мер по
обеспечению безопасности ПДн при их
обработке в ИСПДн
§ Принят 10 июля 2014 года, вступил в силу с 28
сентября 2014 года
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12