Как передавать ПДн по открытым каналам связи без шифрования

Аватар пользователя merced2001
Автор: Агеев Артем, itsec.pro
(0)
()

Одной из сложностей реализации 152-ФЗ "О персональных данных" является организация защищенного вебсайта, собирающего персональные данные, т.к. передаваемые персональные данные сайту необходимо скрывать от посторонних (т.е. шифровать).
Из Постановления Правительства 781:
7. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.
5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
Из 58 приказа ФСТЭК:
2.8 Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
...
создание канала связи, обеспечивающего защиту передаваемой информации.
Техническое средство, реализующее защищенный канал связи, должно быть сертифицировано ФСБ в качестве средства шифрования. Получить сертификат ФСБ могут только те технические средства, которые реализуют отечественные криптоалгоритмы (ГОСТ 28147-89).

Т.о. facebook или gmail могут обеспечивать безопасность ПДн с помощью https и ssl, построенных на западных криптоалгоритмах, но нашим же сайтам обязательно нужно использовать ГОСТ: ставить на всех клиентов КриптоПро CSP или аналоги (КриптоПро стоит 1800р и не на всех платформах работает (iOS)); использовать дорогие решения StoneGate SSL и т.д.

В результате требования к шифрованию веб трафика выполнить зачастую невозможно, т.к. круг посетителей вебсайта обычно не ограничен.

Давайте посмотрим, как из этой ситуации выкручивается сайт gosuslugi.ru:
Все просто! Субъект даёт согласие (галка обязательна!) на передачу своих перс.данных по открытым (незащищённым) каналам связи Интернет. Т.о. портал госуслуги снимает с себя ответственность за возможное разглашение ваших перс.данных (ФИО, СНИЛС, паспорт, контакты, фото и т.д.) по пути от вашего ПК до сервера гос.услуг (или еще хуже - использует несертифицированную криптографию (AES 256 бит + RSA) для защиты персональных данных).
Видя такую несправедливость, я написал жалобу в Роскомнадзор через тот же портал гос.услуг и получил такой вот ответ:

Т.е. использовать западную криптографию для защиты персональных данных в К1 системах или не защищать их вовсе - "соответствует требованиям законодательства..".

Как всё-таки порой обидно, что право у нас не прецедентное и этим решением нельзя будет отмахиваться от регуляторов, если они вдруг начнут задавать один из своих любимых вопросов "А покажите сертификат!".

[UPDATE] вот и на Инфобереге как раз эту тему обсуждают.

 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.