Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Можно ли обойтись без шифрования при защите персональных данных

13,374 views

Published on

Можно ли обойтись без шифрования при защите персональных данных. Описание различных сценариев

Published in: Technology

Можно ли обойтись без шифрования при защите персональных данных

  1. 1. Нужно ли использовать СКЗИ при защите ПДн? Алексей Лукацкий Бизнес-консультант по безопасности 8 October 2014 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
  2. 2. ФЗ-152 не требует шифрования § Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4 § Согласно ст.7 под конфиденциальностью ПДн понимается обязанность операторами и иными лицами, получивших доступ к персональным данным: Не раскрывать ПДн третьим лицам Не распространять ПДн без согласия субъекта персональных данных Если иное не предусмотрено федеральным законом § Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним… Ст.19 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
  3. 3. Как обеспечить конфиденциальность ПДн? § Получить согласие субъекта на передачу ПДн в открытом виде § Сделать ПДн общедоступными § Обеспечить контролируемую зону § Использовать оптические каналы связи § Использовать соответствующие механизмы защиты от НСД, исключая шифрование § Переложить задачу обеспечения конфиденциальности на оператора связи § Передавать в канал связи обезличенные данные § Использовать СКЗИ для защиты ПДн © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
  4. 4. Как поступают в органах по защите прав субъектов ПДн? § Многие госорганы постулируют на своих сайтах защиту ПДн в соответствие с требованиями законодательства Без детализации И без СКЗИ § Минкомсвязь и ФСТЭК © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
  5. 5. Как поступает регулятор по защите ПДн? § ФСБ на своем сайте требует указания полного спектра идентификационных данных, включая паспортные § Никаких оговорок про выполнение требований законодательства § Никакой защиты передаваемых данных § Если это позволено регулятору в области защиты (и в частности шифрования) персональных данных, то почему это не позволено вам? © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
  6. 6. Как поступают в органах по защите прав субъектов ПДн? § РКН собирает персональные данные через форму обратной связи на своем сайте § Стандартная оговорка о соблюдении законодательства в области персональных данных § Никакой защиты передаваемых данных § Если это позволено уполномоченному органу по защите прав субъектов персональных данных, то почему это не позволено вам? © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
  7. 7. Вы можете принудить субъекта отказаться от конфиденциальности его ПДн § РКН раньше на своем сайте, а портал госуслуг до сих пор вынуждает вас отказаться от конфиденциальности § У вас есть выбор – или соглашаться, или не использовать соответствующий сервис § Шифрование в таком случае не нужно Ответ Роскомнадзора © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
  8. 8. А если сделать их общедоступными? § РЖД делает регистрационные данные пользователей своего сайта общедоступными § РКН не против § Шифрование в таком случае не нужно © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
  9. 9. А где у вас проходит граница ИСПДн? § Вы имеет полное право самостоятельно провести границы ИСПДн там, где считаете нужным § Сеть Интернет может не входить в вашу ИСПДн § Если это позволено Правительству, то почему не позволено вам? § Шифрование в таком случае не нужно © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
  10. 10. Еще четыре сценария Обезличивание • Обезличивание из персональных данных делает неперсональные • Они выпадают из под ФЗ-152 • Не требуется даже конфиденциальность Оператор связи • Оператор связи по закону «О связи» обязан обеспечивать тайну связи • Почему бы в договоре с оператором явно не прописать обязанность обеспечить конфиденциальность всех передаваемых данных, включая и ПДн Оптика • Снять информацию с оптического канала связи возможно, но непросто и недешево • Почему бы не зафиксировать в модели угроз соответствующую мысль Виртуальные сети • Для защиты от несанкционированного доступа на сетевом уровне могут применяться различные технологии; не только шифрование • Например, MPLS, обеспечивающая разграничение доступа © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
  11. 11. Если вы патриот и готовы поднимать российскую экономику, то § В России разработано и предлагается немалое количество сертифицированных средств криптографической защиты информации (СКЗИ) § Долг каждого патриота – использовать эти решения § Использование таких решений поможет поднять экономику России Стоимость таких устройств в десятки раз больше стоимость барреля нефти! Модуль Cisco NME-RVPN (сертификат ФСБ по классам КС1/КС2/КС3) © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
  12. 12. Применение СКЗИ регулируется приказом №378 ФСБ § Настоящий документ устанавливает состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите ПДн для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн § Принят 10 июля 2014 года, вступил в силу с 28 сентября 2014 года © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
  13. 13. Благодарю за внимание © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13

×