Как правильно передавать ПДн?

N K, 4 сентября 2015

Можно ли передавать ПДн по защищенному каналу с помощью SSL-сертификата? Будет ли такая передача достаточной в целях соблюдения законодательства о защите персональных данных? Или обязательно нужно передавать ПДн с помощью ПО, прошедшего лицензирование в ФСТЭК/ФСБ?
Сохранить
Отмена
Сохранить
Отменить
2 1
У меня такой же вопрос У меня такой же вопрос
Ответить  Есть решение
897 просмотров
3 комментария
В избранное
3 комментария Написать свой
при передаче ПДн по канал связи, имеющим выход за границу контролируемой, должны применяться сертифицированные средства криптографической защиты информации (СКЗИ). На рынке существуют сертифицированные СКЗИ, поддерживающие протоколы TLS/SSL и реализующие шифрование по алгоритму ГОСТ 28147-89.
Их применение выполняет требование по защите каналов связи. Однако, помимо выполнения требований по защите каналов связи, оператор должен обеспечивать выполнение мер по обеспечению безопасности персональных данных в соответствии с Моделью актуальных угроз, включая меры по идентификации и аутентификации субъектов доступа и объектов доступа, управлению доступом субъектов доступа к объектам доступа, антивирусной защите и т.д.
Ответить Ответить
Вот Вы говорите, что "должны применяться сертифицированные средства". Тогда расскажите людям в каком нормативном правовом акте об этом говорится и вменяется обязанность использования сертифицированной криптографии при передаче по каналам связи, имеющим выход за границу контролируемой зоны?
А ещё лучше не вводите людей в заблуждение: на сегодняшний день нет ни Федеральных законов, ни Постановлений Правительства, ни Приказов ФСБ и ФСТЭК, которые бы обязывали использовать сертифицированную криптографию при передаче персональных данных по открытым каналам связи при любых обстоятельствах. Правильно составленная Модель угроз - и будет вам счастье.
Ответить Ответить
Теперь Вы не вводите людей в заблуждение. Есть контролируемая зона обработки ПДн. Которая, кстати, обязана быть определена соответствующим порядком. И в случае, если ПДн в процессе своей обработки (т.е. передачи) выходят за границы этой контролируемой зоны, то их необходимо защищать. Об этом нам говорит мера "ЗИС.3" 21-го приказа ФСТЭК. И чаще всего методом защиты является именно шифрование. И не важно - передаём мы ПДн по открытым каналам связи (Интернет) или несём эти ПДн на флешке куда-то. А чтобы доказать, что их не нужно именно шифровать, а будет достаточно каких-то других мер - следует каким-то волшебным образом доказать это в модели угроз и модели нарушителя. Есть такое понятие "кодирование". Возможно есть возможность как-то притянуть за уши его. Но всю работу по определению актуальных угроз и методов обеспечения безопасности обработки ПДн должен делать лицензиат ФСТЭК, имеющий лицензию на ТЗКИ. Про моделирование - согласен. В любом случае понадобятся модель угроз и модель нарушителя. Модель нарушителя по "новому" должна называется "Совокупность предположений..." и далее так как сказано в приказе ФСБ от 10.07.2014 №378.
Ответить Ответить
Спасибо за ваше мнение!
 Вернуться

Похожие вопросы

Показать еще вопросы... Нет подходящего вопроса? — Задайте свой вопрос.

Статьи на эту тему

Ничего не найдено. Задайте свой вопрос

Заполните, пожалуйста, все поля.

Предложение, замечание, просьба или вопрос.