СЗПДн. Анализ. Вопросы применения СКЗИ для защиты ПДн
В конце прошлого года у меня
подобралось несколько вопросов в рамках защиты ПДн, по которым не было
однозначного ответа. При этом ряд знакомых экспертов (Артем Агеев, Николай
Домуховский и д.р.) советовали не заниматься публичными рассуждениями, а писать
письма регуляторам.
Письма были написаны, давайте
посмотрим что получилось с вопросами к ФСБ России:
Вопрос 1. На основании чего (какого мероприятия, документа)
Оператор персональных данных должен определять необходимость использования СКЗИ
или отсутствие необходимости использования СКЗИ для защиты ПДн?
(примечание автора – данный вопрос возник с связи с наличием различных
трактовок ПП 1119 и приказа №378 ФСБ в части необходимости применения СКЗИ для
защиты ИСПДн. Одно из мнений экспертов - необходимость применения СКЗИ остается на усмотрение Оператора который указывает, актуальная или нет угроза нарушения
конфиденциальности. Другое мнение – если ПДн передаются по неконтролируемым
каналам связи нужно применять СКЗИ в любом случае)
Ответ 1 Регулятора.
Вопрос 2. Если оператор определил отсутствие необходимости
использования СКЗИ для защиты ПДн, должен ли он выполнять меры приведенные в
приказе №378, например часть 8 пенкт а) и б)
(примечание автора – опять имеют
место разные трактовки. Одно из мнений экспертов – требования приказа №378 необходимо выполнять, даже если вы не применяете СКЗИ. Другое мнение – учитываем
требования приказа №378 только если применяем СКЗИ для защиты ПДн)
Ответ 2 Регулятора.
Вопрос 3. Потенциал нарушителя и класс СКЗИ должен определяться для
всей ИСПДн в целом или для каждой отдельной атаки/угрозы?
a) Соответственно, можно ли использовать СКЗИ разных классов в
рамках защиты одной ИСПДн?
(примечание автора – после выхода приказа №378 я написал в блоге небольшую заметку про возможность определения класса СКЗИ для отдельных угроз, в
комментариях к которой отметились сомневающиеся специалисты)
Ответ 3 Регулятора.
Вопрос 4. Какие меры должен принять оператор персональных данных,
который определил необходимость использования СКЗИ для защиты ПДн, но на рынке
отсутствуют СКЗИ подходящего класса или СКЗИ подходящие для среды Заказчика,
например, VPN клиенты класса КВ1, мобильные VPN клиенты класса КС2?
a) Может ли оператор персональных данных начинать обработку ПДн,
если необходимые СКЗИ находятся в процессе сертификации?
(примечание автора – сталкивался с мнением, что если сертифицированные
ФСБ решения отсутствуют для какой-то технологии, то можно спокойно обрабатывать
и ждать пока появятся или пока закончится сертификация)
Ответ 4 Регулятора.
Комментарии
но в связи со следующим
"Настоящие Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (далее – Методические рекомендации) разработаны в соответствии с п. 2 постановления Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»."
и с выходом приказа №378
считаю что МД применять больше не следует
альтернативные организационные и/или технические меры для защиты"
Обезличивание при помощи IPsec? :)
Есть непонимание по первому вопросу.
Если данные передаются по открытом каналу связи (Интернет) и защищаются с помощью несертифицированного SSL, это допустимо?
Если нет, то как работают сервисы гос.услуг, электронных дневников и т.д.?
Во вторых - решение о необходимости или отсутствии необходимости применения СКЗИ всётаки принимает оператор. Так некоторые сервисы гос. услуг и электронных дневников и поступают
И отдадим должное госуслугам и СМЭВ - сертифицированная криптография там применяется. https://www.gosuslugi.ru/pgu/content/120/290/269