Документ обсуждает необходимость использования средств криптографической защиты информации (СКЗИ) для защиты персональных данных (ПДн) в соответствии с российским законодательством. Основное внимание уделяется различным способам обеспечения конфиденциальности ПДн, включая получение согласия субъектов и использование обезличенных данных. В нем также рассматриваются требования к защите ПДн, установленные ФСБ и другими государственными органами.

1. Нужно ли использовать СКЗИ
при защите ПДн?
Алексей Лукацкий
Бизнес-консультант по безопасности
8 October 2014
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1

2. ФЗ-152 не требует шифрования
§ Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4
§ Согласно ст.7 под конфиденциальностью ПДн понимается обязанность
операторами и иными лицами, получивших доступ к персональным данным:
Не раскрывать ПДн третьим лицам
Не распространять ПДн без согласия субъекта персональных данных
Если иное не предусмотрено федеральным законом
§ Оператор при обработке персональных данных обязан принимать
необходимые правовые, организационные и технические меры или
обеспечивать их принятие для защиты персональных данных от
неправомерного или случайного доступа к ним…
Ст.19
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2

3. Как обеспечить конфиденциальность ПДн?
§ Получить согласие субъекта на передачу ПДн в открытом виде
§ Сделать ПДн общедоступными
§ Обеспечить контролируемую зону
§ Использовать оптические каналы связи
§ Использовать соответствующие механизмы защиты от НСД, исключая
шифрование
§ Переложить задачу обеспечения конфиденциальности на оператора связи
§ Передавать в канал связи обезличенные данные
§ Использовать СКЗИ для защиты ПДн
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3

4. Как поступают в органах по защите прав субъектов ПДн?
§ Многие госорганы
постулируют на своих
сайтах защиту ПДн в
соответствие с
требованиями
законодательства
Без детализации
И без СКЗИ
§ Минкомсвязь и
ФСТЭК
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4

5. Как поступает регулятор по защите ПДн?
§ ФСБ на своем сайте требует указания
полного спектра идентификационных
данных, включая паспортные
§ Никаких оговорок про выполнение
требований законодательства
§ Никакой защиты передаваемых данных
§ Если это позволено регулятору в области
защиты (и в частности шифрования)
персональных данных, то почему это не
позволено вам?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5

6. Как поступают в органах по защите прав субъектов ПДн?
§ РКН собирает персональные данные через форму
обратной связи на своем сайте
§ Стандартная оговорка о соблюдении
законодательства в области персональных
данных
§ Никакой защиты передаваемых данных
§ Если это позволено уполномоченному органу по
защите прав субъектов персональных данных, то
почему это не позволено вам?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6

7. Вы можете принудить субъекта отказаться от
конфиденциальности его ПДн
§ РКН раньше на своем
сайте, а портал
госуслуг до сих пор
вынуждает вас
отказаться от
конфиденциальности
§ У вас есть выбор –
или соглашаться, или
не использовать
соответствующий
сервис
§ Шифрование в таком
случае не нужно Ответ Роскомнадзора
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7

8. А если сделать их общедоступными?
§ РЖД делает
регистрационные
данные пользователей
своего сайта
общедоступными
§ РКН не против
§ Шифрование в таком
случае не нужно
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8

9. А где у вас проходит граница ИСПДн?
§ Вы имеет полное право
самостоятельно
провести границы
ИСПДн там, где считаете
нужным
§ Сеть Интернет может не
входить в вашу ИСПДн
§ Если это позволено
Правительству, то
почему не позволено
вам?
§ Шифрование в таком
случае не нужно
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9

10. Еще четыре сценария
Обезличивание
• Обезличивание из
персональных данных
делает неперсональные
• Они выпадают из под
ФЗ-152
• Не требуется даже
конфиденциальность
Оператор связи
• Оператор связи по
закону «О связи»
обязан обеспечивать
тайну связи
• Почему бы в договоре с
оператором явно не
прописать обязанность
обеспечить
конфиденциальность
всех передаваемых
данных, включая и ПДн
Оптика
• Снять информацию с
оптического канала
связи возможно, но
непросто и недешево
• Почему бы не
зафиксировать в
модели угроз
соответствующую
мысль
Виртуальные сети
• Для защиты от
несанкционированного
доступа на сетевом
уровне могут
применяться различные
технологии; не только
шифрование
• Например, MPLS,
обеспечивающая
разграничение доступа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10

11. Если вы патриот и готовы поднимать российскую
экономику, то
§ В России разработано и предлагается
немалое количество
сертифицированных средств
криптографической защиты информации
(СКЗИ)
§ Долг каждого патриота – использовать
эти решения
§ Использование таких решений поможет
поднять экономику России
Стоимость таких устройств в десятки раз
больше стоимость барреля нефти!
Модуль Cisco NME-RVPN
(сертификат ФСБ по классам КС1/КС2/КС3)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11

12. Применение СКЗИ регулируется приказом №378 ФСБ
§ Настоящий документ устанавливает состав и
содержание необходимых для выполнения
установленных Правительством Российской
Федерации требований к защите ПДн для
каждого из уровней защищенности
организационных и технических мер по
обеспечению безопасности ПДн при их
обработке в ИСПДн
§ Принят 10 июля 2014 года, вступил в силу с 28
сентября 2014 года
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12

13. Благодарю
за внимание
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13