Передача персональных данных по открытым каналам связи — СКБ Контур

Как правильно передавать ПДн?

N K, 4 сентября 2015
Как правильно передавать ПДн?
Можно ли передавать ПДн по защищенному каналу с помощью SSL-сертификата? Будет ли такая передача достаточной в целях соблюдения законодательства о защите персональных данных? Или обязательно нужно передавать ПДн с помощью ПО, прошедшего лицензирование в ФСТЭК/ФСБ?
Сохранить
Отменить
4 3
У меня такой же вопрос У меня такой же вопрос
11902 просмотра
В избранное
4 комментария
СШ
Станислав Шиляев 8 сентября 2015
при передаче ПДн по канал связи, имеющим выход за границу контролируемой, должны применяться сертифицированные средства криптографической защиты информации (СКЗИ). На рынке существуют сертифицированные СКЗИ, поддерживающие протоколы TLS/SSL и реализующие шифрование по алгоритму ГОСТ 28147-89.
Их применение выполняет требование по защите каналов связи. Однако, помимо выполнения требований по защите каналов связи, оператор должен обеспечивать выполнение мер по обеспечению безопасности персональных данных в соответствии с Моделью актуальных угроз, включая меры по идентификации и аутентификации субъектов доступа и объектов доступа, управлению доступом субъектов доступа к объектам доступа, антивирусной защите и т.д.
АС
Алексей Санников 1 апреля 2016
Вот Вы говорите, что "должны применяться сертифицированные средства". Тогда расскажите людям в каком нормативном правовом акте об этом говорится и вменяется обязанность использования сертифицированной криптографии при передаче по каналам связи, имеющим выход за границу контролируемой зоны?
А ещё лучше не вводите людей в заблуждение: на сегодняшний день нет ни Федеральных законов, ни Постановлений Правительства, ни Приказов ФСБ и ФСТЭК, которые бы обязывали использовать сертифицированную криптографию при передаче персональных данных по открытым каналам связи при любых обстоятельствах. Правильно составленная Модель угроз - и будет вам счастье.
ДП
Дмитрий Проскурин 20 апреля 2017
Теперь Вы не вводите людей в заблуждение. Есть контролируемая зона обработки ПДн. Которая, кстати, обязана быть определена соответствующим порядком. И в случае, если ПДн в процессе своей обработки (т.е. передачи) выходят за границы этой контролируемой зоны, то их необходимо защищать. Об этом нам говорит мера "ЗИС.3" 21-го приказа ФСТЭК. И чаще всего методом защиты является именно шифрование. И не важно - передаём мы ПДн по открытым каналам связи (Интернет) или несём эти ПДн на флешке куда-то. А чтобы доказать, что их не нужно именно шифровать, а будет достаточно каких-то других мер - следует каким-то волшебным образом доказать это в модели угроз и модели нарушителя. Есть такое понятие "кодирование". Возможно есть возможность как-то притянуть за уши его. Но всю работу по определению актуальных угроз и методов обеспечения безопасности обработки ПДн должен делать лицензиат ФСТЭК, имеющий лицензию на ТЗКИ. Про моделирование - согласен. В любом случае понадобятся модель угроз и модель нарушителя. Модель нарушителя по "новому" должна называется "Совокупность предположений..." и далее так как сказано в приказе ФСБ от 10.07.2014 №378.
SB
Sergey Beketov 14 января 2021
Станислав Шиляев, Станислав, добрый день. Подскажите пожалуйста, планируются передаваться ПДн по открытому каналу связи между двумя серверами (ОС Linux) по FTPS. Как правильно выполнить требование безопасности о защите ПДн уровнем защиты не ниже КС2. Какие есть варианты по решению требования
 Вернуться

Похожие вопросы

Показать еще вопросы... Нет подходящего вопроса? — Задайте свой вопрос.

Статьи на эту тему

Ничего не найдено. Задайте свой вопрос
Безопасность

Комплекс услуг по обеспечению информационной безопасности предприятия. Подключение к ГИС: АИСТ ГБД, ЕГИСМ и др.

Узнать больше