Нужно ли использовать СКЗИ при защите ПДн?
TRANSCRIPT
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Нужно ли использовать СКЗИ при защите ПДн? Алексей Лукацкий Бизнес-консультант по безопасности 8 October 2014
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
ФЗ-152 не требует шифрования § Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4
§ Согласно ст.7 под конфиденциальностью ПДн понимается обязанность операторами и иными лицами, получивших доступ к персональным данным: Не раскрывать ПДн третьим лицам
Не распространять ПДн без согласия субъекта персональных данных
Если иное не предусмотрено федеральным законом
§ Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним… Ст.19
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Как обеспечить конфиденциальность ПДн? § Получить согласие субъекта на передачу ПДн в открытом виде
§ Сделать ПДн общедоступными
§ Обеспечить контролируемую зону
§ Использовать оптические каналы связи
§ Использовать соответствующие механизмы защиты от НСД, исключая шифрование
§ Переложить задачу обеспечения конфиденциальности на оператора связи
§ Передавать в канал связи обезличенные данные
§ Использовать СКЗИ для защиты ПДн
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Как поступают в органах по защите прав субъектов ПДн?
§ Многие госорганы постулируют на своих сайтах защиту ПДн в соответствие с требованиями законодательства Без детализации
И без СКЗИ
§ Минкомсвязь и ФСТЭК
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Как поступает регулятор по защите ПДн?
§ ФСБ на своем сайте требует указания полного спектра идентификационных данных, включая паспортные
§ Никаких оговорок про выполнение требований законодательства
§ Никакой защиты передаваемых данных
§ Если это позволено регулятору в области защиты (и в частности шифрования) персональных данных, то почему это не позволено вам?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Как поступают в органах по защите прав субъектов ПДн?
§ РКН собирает персональные данные через форму обратной связи на своем сайте
§ Стандартная оговорка о соблюдении законодательства в области персональных данных
§ Никакой защиты передаваемых данных
§ Если это позволено уполномоченному органу по защите прав субъектов персональных данных, то почему это не позволено вам?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
§ РКН раньше на своем сайте, а портал госуслуг до сих пор вынуждает вас отказаться от конфиденциальности
§ У вас есть выбор – или соглашаться, или не использовать соответствующий сервис
§ Шифрование в таком случае не нужно
Ответ Роскомнадзора
Вы можете принудить субъекта отказаться от конфиденциальности его ПДн
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
А если сделать их общедоступными?
§ РЖД делает регистрационные данные пользователей своего сайта общедоступными
§ РКН не против
§ Шифрование в таком случае не нужно
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
А где у вас проходит граница ИСПДн?
§ Вы имеет полное право самостоятельно провести границы ИСПДн там, где считаете нужным
§ Сеть Интернет может не входить в вашу ИСПДн
§ Если это позволено Правительству, то почему не позволено вам?
§ Шифрование в таком случае не нужно
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Еще четыре сценария
Обезличивание
• Обезличивание из персональных данных делает неперсональные
• Они выпадают из под ФЗ-152
• Не требуется даже конфиденциальность
Оператор связи
• Оператор связи по закону «О связи» обязан обеспечивать тайну связи
• Почему бы в договоре с оператором явно не прописать обязанность обеспечить конфиденциальность всех передаваемых данных, включая и ПДн
Оптика
• Снять информацию с оптического канала связи возможно, но непросто и недешево
• Почему бы не зафиксировать в модели угроз соответствующую мысль
Виртуальные сети
• Для защиты от несанкционированного доступа на сетевом уровне могут применяться различные технологии; не только шифрование
• Например, MPLS, обеспечивающая разграничение доступа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Если вы патриот и готовы поднимать российскую экономику, то § В России разработано и предлагается немалое количество сертифицированных средств криптографической защиты информации (СКЗИ)
§ Долг каждого патриота – использовать эти решения
§ Использование таких решений поможет поднять экономику России Стоимость таких устройств в десятки раз больше стоимость барреля нефти!
Модуль Cisco NME-RVPN (сертификат ФСБ по классам КС1/КС2/КС3)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Применение СКЗИ регулируется приказом №378 ФСБ
§ Настоящий документ устанавливает состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите ПДн для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн
§ Принят 10 июля 2014 года, вступил в силу с 28 сентября 2014 года