Статьи

Передача персональных данных без защиты канала связи

С учетом вышеизложенного, передача (подготовка передачи) персональных данных по электронной почте без использования СКЗИ не обеспечивает защиту персональных данных от раскрытия, модификации и навязывания (ввода ложной информации). Таким образом, ЗАПРЕЩЕНО операторам персональных данных осуществлять передачу (подготовку к передаче) персональных данных по электронной почте без использования СКЗИ. Передача (подготовка к передаче) персональных данных по электронной почте без использования СКЗИ является фактом разглашения персональных данных и нарушением требований к защите персональных данных, установленных Законом о персональных данных.

Передача персональных данных по открытым каналам связи

По сути вы можете хранить у себя даже отпечатки пальцев, снимки радужной оболчки глаза или рентгенорафию головного мозга — если это дело не используется для аутентификации, то это не биометрия. 🙂 То есть всё зависит исключительно от целей оператора при обработке этих персональных данных. Конечно, о здравом смысле забывать не стоит. Вопрос №5.


Как снизить необходимый уровень защищённости ИСПДн и избавиться от ряда «ненужных требований» 21-го приказа? Очень просто: составить «нужную» конкретно вам модель актуальных угроз. Или попросить того, кто эту модель составляет (и имеет лицнзию по ТЗКИ, как мы выяснили в самом начале), о том, чтобы она соответствовала конкретно Вашим целям.

Я давно этим стараюсь заниматься и на сайте уже есть некоторые материалы, которые в этом могут помочь:

  1. Суть антивирусной защиты — как использовать компьютер без антивируса. Здесь я постарался подробно раскрыть вопросы о том, что такое вредоносное ПО и вирусы и как жить не находясь в постоянном страхе чем-то «заразить» свой компьютер, даже без антивируса.
  2. Как придумать сложные, но легкозапоминающиеся пароли — описывал свой, довольно простой метод генерации сильных паролей «из головы».

Я думаю, после прочтения данной статьи и этих мануалов вы будете знать об информационной безопасности больше, чем 90% людей 🙂 По крайней мере, вы сможете задавать уже более конкретные вопросы и находить чёткую информацию.

А тем временем, у меня есть новость, друзья.

Как правильно передавать пдн?

Содержание:

  • Как правильно передавать пдн?
  • Пересылка персональных данных по электронной почте
  • Как передавать пдн по открытым каналам связи без шифрования
  • № 3. как защищать персональные данные?
  • Передача персональных данных по открытым каналам связи
  • Передача персональных данных по открытым каналам связи запрещена
  • Передача персональных данных по открытым каналам связи интернет
  • Передача персональных данных по открытым каналам связи без согласия
  • Передача персональных данных по открытым каналам связи ответственность

Как правильно передавать пдн? Важно В этом случае нам на первом шаге потребуется спроектировать всю систему защиты ИСПДн, составить модель угроз, определить актуальные угрозы и т.д.. Делать это придётся, т.к.

Можно ли обойтись без шифрования при передаче пдн по каналам связи?

Вниманиеattention
При этом все активно обсуждали (а кто-то и сейчас использует) именно проект, а не его конечную версию. В итоге, до сих пор много слухов про обязательность сертификации СКЗИ.

Инфоinfo
Сейчас этого пункта нет, а сам новый приказ существенно отличается от проекта. Что интересно, в современной действующей версии этого документа нет пункта 5.

🙂 Зато в новом 21-ом приказе есть требования по сертификации всего остального (в проекте их не было): в п.12 — там требования по классам антивирусов, систем обнаружения и предотвращения вторжений, межсетевым экранам и средствам вычислительной техники — про СКЗИ там ничего нет. Есть ещё пункт 4, в котором говорится, что если у нас есть актуальные угрозы утечки информации по техническим каналам, то мы в том числе можем применять СЗИ, прошедшие процедуру оценки соответствия.

Как защитить передаваемую информацию?

На лицо явная аутентификация по биометрическим признакам (фото физиономии). Т.е. фотография в данном случае хранится в ИСПДн и используется для идентификации личности.

Важноimportant
Это на 100% соответствует 11 статье 152-го закона и в этом случае Вы обрабатываете биометрические ПДн, для обработки которых — не забудьте — требуется обязательное получение письменного согласия субъекта. Случай №2. Оператор оказывает какие-либо услуги и фотографирует клиента при получении банковской карты, пропуска, при заполнении анкеты и т.д..

Далее просто эти данные хранит и использует их в чисто информационных целя (не для аутентификации при входе или чём-то в этом роде). В этом случае никакой биометрии нет и быть не может.

Никаких дополнительных обязательств на оператора не налагается. Думаю, на этих 2 примерах ясна вся суть и все позиции регуляторов.

Кстати, в примерах речь шла о фотографиях.
Какой же вывод из ситуации и что делать рядовым операторам ПДн? Всё очень просто: на этапе построения системы нанять того, кто лицензию по ТЗКИ имеет: он вам за 1 раз и одну фиксированную разовую плату всё сделает и далее вы пользуетесь, налаживаете и переоборудуете всё своё хозяйство по своему усмотрению и главное, совершенно бесплатно и законно. Подробнее я всё это дело описал в отдельной статье здесь.
Передача персональных данных по открытым каналам связи без согласия ФСБ РФ – «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации». Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г.

Передача персональных данных без защиты канала связи

Я ткну пальцем в небо и моя цифра взята «с потолка», но по моему мнению и опыту 98% всех хищений и взломов происходят либо по халатности пользователей, либо умышленно, но опять же изнутри. Поэтому, бОльшую часть усилий стоит направить именно на внутреннюю безопасность.

Самое интересное, что я читал по этому поводу, это одно из суждений учителя Инь Фу Во: Суть защиты информации Другими словами, мотивы для утечки информации и способы её устроить, рождаются именно изнутри, и чаще всего в таком деле фигурируют те люди, которые уже и так имеют доступ к этой информации. Кстати, я рекомендую весь свод притч по вышеприведенной ссылке.

Это лучшее, что мне встречалось об информационной безопасности, особенно из доступного и понятного не IT-специалисту. Сюда же можно отнести и всевозможные вирусы, трояны, зловредные расширения для браузеров.

Обязательность отсюда не вытекает.Также есть п.13.г в ПП №1119 говорится о том, что для обеспечения 4-го уровня защищённости (самого низкого) требуется использовать сертифицированные СЗИ в случае, когда они нужны для защиты от актуальных угроз. Абсолютно тот же смысл, что и в новом Приказе 21: обязательность отсюда не вытекает, соответствующие угрозы мы можем легко признать неактуальными (правда, с привлечением лицензиата по ТЗКИ).

Больше про СКЗИ и его сертификацию нигде не говорится.В итоге, обязательных требований по сертификации СКЗИ теперь нет. А вот прочие виды СЗИ должны иметь сертификат. Вопрос №4.

Что такое биометрические ПДн и как определить, есть ли биометрия у вас? Как от неё избавиться? Животрепещущая в своё время была тема. 🙂 Наконец-то представители власти и операторы пришли к единому заключению, которое можно почитать в разъяснительном письме Роскомнадзора вот тут.
Липецкая область49 – Магаданская область50 – Московская область51 – Мурманская область52 – Нижегородская область53 – Новгородская область54 – Новосибирская область55 – Омская область56 – Оренбургская область57 – Орловская область58 – Пензенская область59 – Пермский край60 – Псковская область61 – Ростовская область62 – Рязанская область63 – Самарская область64 – Саратовская область65 – Сахалинская область66 – Свердловская область67 – Смоленская область68 – Тамбовская область69 – Тверская область70 – Томская область71 – Тульская область72 – Тюменская область73 – Ульяновская область74 – Челябинская область75 – Забайкальский край76 – Ярославская область77 – Москва78 – Санкт-Петербург79 – Еврейская АО83 – Ненецкий АО86 – Ханты-Мансийский АО87 – Чукотский АО89 – Ямало-Ненецкий АО91 – Республика Крым92 – Севастополь99 – Байконур Вопрос: * Напишите нам Предложение, замечание, просьба или вопрос.
И только если вам не подошел ни один из описанных выше сценариев, вы можете задуматься о средствах шифровании ПДн. № 3. как защищать персональные данные? Все вышесказанное ни в коем случае не означает, что я категорически против шифрования. Просто в рамках действующих требований ФСБ по использованию шифровальных средств для защиты персональных данных, это становится очень нетривиальной и очень дорогостоящей задачей. Как минимум возникает вопрос – а что мне дает применения сертифицированных средств криптографической защиты (СКЗИ), стоящих не одну тысячу долларов, если у меня и так есть бесплатный VPN в маршрутизаторе Cisco? Ведь ни производитель, ни сертификационная лаборатория, ни ФСБ никаких гарантий не дает и ответственности за взлом сертифицированного продукта не несет.
В последнее время достаточно часто задается вопрос о необходимости передачи (отправки) персональных данных по электронной почте (E-mail), в том числе и к осуществлению подготовки к передаче персональных данных через веб-интерфейс почтового Интернет-сервиса. Особенно этот вопрос актуален, когда речь заходит о выполнении комплекса мероприятий по защите персональных данных.
В соответствии с ч.1 ст.19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» оператор персональных данных при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Вам также может понравиться...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *