+7 (499) 110-86-37Москва и область +7 (812) 426-14-07 Доб. 366Санкт-Петербург и область

Передача персональных данных по открытым каналам связи

Бизнес безопасности или безопасность бизнеса? О том и о другом в одном блоге А сегодня мы имеем то, что имеем. Низы ю. Мне кажется много опасней не сама иностранная криптография как таковая и в этом плане Баранов прав - лучше RSA чем ничего , а то что управление жизненным циклом ключей выполняет импортная компания например Тавт для ЕСИА а это означает что в самый неподходящий момент тот же Тавт может обвалить всю работу ЕСИА, а на минуточку на помню - это единая система идентификации и авторизации и на ней работает ФЗ И именно в этом есть угроза, причём реальная и не видеть этого преступно!!!

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь в форму онлайн-консультанта справа или звоните по телефонам, представленным на сайте. Это быстро и бесплатно!

Содержание:
ПОСМОТРИТЕ ВИДЕО ПО ТЕМЕ: "Утро России": незаконная передача персональных данных клиентов сотовых операторов

Миф №92 «Конфиденциальность персональных данных может быть обеспечена только шифрованием»

В рамках рубрики "Клуб экспертов" мы продолжаем публикацию книги А. Лукацкого "Мифы и заблуждения информационной безопасности". Алексей Лукацкий - менеджер по развитию бизнеса Cisco Systems. Собственно это не то, чтобы миф, просто расхожее мнение, особенно остро обсуждаемое в последнее время, в преддверие 1-го января го года, когда вступит в силу ст. Даже в Википедии эта коллизия нашла отражение. И хотя, действительно, очень часто конфиденциальность обеспечивается шифрованием, на самом деле это не одно и тоже.

Совсем не одно и тоже. Что говорит ФЗ про конфиденциальность? Это всего лишь требование не допускать распространения ПДн без согласия их субъекта или иного законного основания. Достаточно всего лишь вписать в договор с субъектом, что ПДн передаются в открытом виде по Интернет и вот вы уже чисты перед законом - согласие субъекта есть. А ведь ФСБ четко придерживается мнения, что при передаче ПДн по открытым каналам связи требуется шифрование. Кстати, сама ФСБ нарушает свои же требования, никак не шифруя персональные данные граждан, обратившихся в Федеральную службу безопасности через Web-приемную.

Другой пример, когда конфиденциальностью можно пренебречь, - законные основания для передачи ПДн, когда согласие субъекта можно не запрашивать. Обязаны передавать? По закону. Следовательно об обеспечении конфиденциальности, не говоря уже о шифровании, и речи не идет. А ведь законных оснований не требовать согласия субъекта ПДн существуют несколько десятков если не больше.

Тот же Роскомнадзор утверждает, что в России свыше федеральных законов и иных нормативно-правовых актов, определяющих вопросы обработки различных персональных данных. А в соответствие со ст. Но если все-таки и согласия субъекта персональных данных у нас нет, и законных оснований тоже, то как обеспечить требование конфиденциальности? Только ли шифрованием?

Опять нет. Требование не допускать распространения ПДн может быть достигнуто разными способами. Например, передачей персональных данных в контролируемой зоне. Если вы можете контролировать посторонних лиц или исключить их пребывание на территории, по которой передаются ПДн, то вам также не понадобится применять шифровальные средства. Разумеется, число таких ситуаций не велико, но и полностью исключать такой сценарий не стоит. Следующим сценарием является правильное выстраивание процесса моделирования угроз, согласно которому перечень актуальных угроз формируется путем экспертной оценки.

И если эксперты посчитали угрозу нарушения конфиденциальности неактуальной в тех или иных технологических процессах, то и внедрять шифровальные средства нам не понадобится. Перехватить данные в оптическом кабеле возможно, но слишком дорого на современном этапе развития технологий. А о перехвате в сетях мобильных операторов я уже писал. Вот и получается, что в случае с персональными данными именно с ними применением средств шифрования в данных сценариях можно пренебречь.

Если бы речь шла о другом виде защищаемой информации, например, о гостайне, то ситуация бы поменялась. Потенциальный ущерб от реализации перехвата данных превышает затраты злоумышленников и в данном случае угроза нарушения конфиденциальности становится актуальной. Эти технологии мы рассмотрим в одном из мифов. К последней ситуации, когда можно на законных основаниях обойтись без шифрования, является перекладывание риска на чужие плечи. В этом случае обеспечением конфиденциальности будет заниматься совершенно другая компания и вам уже не так важно, как она это будет делать.

И только если вам не подошел ни один из описанных выше сценариев, вы можете задуматься о средствах шифровании ПДн. Все вышесказанное ни в коем случае не означает, что я категорически против шифрования. Просто в рамках действующих требований ФСБ по использованию шифровальных средств для защиты персональных данных, это становится очень нетривиальной и очень дорогостоящей задачей.

Как минимум возникает вопрос — а что мне дает применения сертифицированных средств криптографической защиты СКЗИ , стоящих не одну тысячу долларов, если у меня и так есть бесплатный VPN в маршрутизаторе Cisco?

Ведь ни производитель, ни сертификационная лаборатория, ни ФСБ никаких гарантий не дает и ответственности за взлом сертифицированного продукта не несет. Так стоит ли тогда платить за то, что можно получить бесплатно и без особых проблем? А вторая проблема с сертифицированным СКЗИ — их для многих сценариев обработки персональных данных просто не существует и не появиться в ближайшие годы. Вот список только нескольких таких сценариев:. Работа представительств иностранных компаний в России.

Они действуют в рамках корпоративных стандартов и применяют западные СКЗИ. Экспорт же отечественных СКЗИ зарубеж невозможен по той причине, что ради одной страны западная компания не будет менять свои стандарты и не будет экспортировать отечественные СКЗИ во все страны, где западная компания представлена.

Стандарт беспроводной связи Стандарты мобильной связи 2. Доступ к российским Интернет-банкам с компьютера в Интернет-кафе на заграничном отдыхе на нем нет никакого российского криптопровайдера.

Доступ из-за границы к любой российской платежной системе Assist, ChronoPay, Яндекс. Деньги, Рапида и т. Шифрование в протоколе FibreChannel при передаче данных внутри центра обработки данных или между разными центрами.

Новая модель SaaS Cloud Computing , когда вся обработка осуществляется через Интернет и, возможно, где-то за границей. Сейчас законодатели и регуляторы думают над решением описанной проблемы, но пока надо помнить, что конфиденциальность и шифрование — это не синонимы. Макроэкономика Регулирование Стратегии Управление. Банкоматы, терминалы Переводы, pp платежи Пластиковые карты Платежные системы. О разном. Банки России Рейтинг банков Отозванные лицензии. Мероприятия Организаторы Условия. Что нового в мобильном банкинге?

Еженедельные обзоры. Главная Публикации Алексей Лукацкий - менеджер по развитию бизнеса Cisco Systems Собственно это не то, чтобы миф, просто расхожее мнение, особенно остро обсуждаемое в последнее время, в преддверие 1-го января го года, когда вступит в силу ст. Вот список только нескольких таких сценариев: 1. Системы IP-видеонаблюдения, которые также не поддерживают отечественные криптоалгоритмы. Чиповые смарткарты для платежных систем Visa и MasterCard.

Шифрование в смартфонах, iPhone и т. Шифрование в протоколе FibreChannel при записи на ленточку в центре обработке данных. Аутсорсинг Доступ к российскому фондовому рынку из зарубежа.

Оценить: 1 0. Сейчас на главной. Пока не все дома. Когда наступит правильный момент для покупки жилья в ипотеку? Биометрия, день пятисотый. Где открыть счет с помощью лица? Уязвимое киберпространство, или Что надо знать, чтобы правильно обезопаситься от киберугроз.

Разбор Банки. Как клиенты банков выжимают максимум из программ лояльности. Бизнес-карта Сбербанка: как правильно пользоваться. Комментарии: 2 Гость. Вход Регистрация. Ответственность за оценки, информацию и факты, изложенные в комментариях, несут авторы комментариев. Администрация Bankir. Ru оставляет за собой право удалять комментарии в соответствии с Правилами модерации комментариев.

Как передавать ПДн по открытым каналам связи без шифрования

В рамках рубрики "Клуб экспертов" мы продолжаем публикацию книги А. Лукацкого "Мифы и заблуждения информационной безопасности". Алексей Лукацкий - менеджер по развитию бизнеса Cisco Systems. Собственно это не то, чтобы миф, просто расхожее мнение, особенно остро обсуждаемое в последнее время, в преддверие 1-го января го года, когда вступит в силу ст. Даже в Википедии эта коллизия нашла отражение. И хотя, действительно, очень часто конфиденциальность обеспечивается шифрованием, на самом деле это не одно и тоже.

Для обеспечения безопасности персональных данных при брать согласие на передачу моих ПДн по открытым каналам связи.

Как правильно передавать ПДн?

Вобще то - определение достаточности технических мер защиты это не совсем компетенция Роскомнадзора. Надо было подать заявление госуслугам на отзыв согласия на передачу по открытым каналам связи. Подождать положенный срок, проверить что личный портал всё ещё доступен через интернет и после этого подать жалобу в роскомнадзор. В РКН я писал скорее с вопросом правомерно ли с меня брать согласие на передачу моих ПДн по открытым каналам связи. Да и нравится мне этот сайт. Время экономит и в очередях можно не стоять. Вроде наличие любого согласия не освобождает от выполнения требований закона "о защите прав субъекта" в т. Они же не признают данные общедоступными, что могло бы увести под 4-й класс.

На один из наших сайтов пришел следующий запрос от его пользователя: "Почему процесс авторизации в личном кабинете и все изменения персональных данных проходят в нешифрованном канале http, хотя согласно Федеральному закону РФ от 27 июля года N ФЗ "О персональных данных", глава 4 , цитирую: "Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. У нас действительно процесс регистрации происходит по нешифрованному каналу, хотя все финансовые данные ходят по каналу зашифрованному либо на сайте банка, либо в мобильном приложении. При этом в пользовательском соглашении, размещенном на нашем сайте, написано: "Пользователь соглашается на передачу третьим лицам персональных и иных данных, в том числе для целей их обработки, для обеспечения функционирования ресурса сайта, реализации партнерских и иных программ, при условии обеспечения сайта в отношении передаваемых данных режима, аналогичного режиму, существующему на Ресурсе". Как мы правильно понимаем этот пункт, здесь пользователи соглашаются с тем, что данные везде передаются в том режиме, в котором существует сайт, то есть без шифрации.

Если вам есть, что сказать сообществу профессионалов ИБ и ИТ — заведите здесь свой блог. Войти Регистрация.

Доброго дня, уважаемые читатели! Сегодня я снова решил поднять тему работы с персональными данными, так как считаю, что далеко не все вопросы разъяснены ранее, да и нововведения в нашем динамичном законодательстве не заставляют себя долго ждать. Особенности действительно есть и их много. Всё это требует некоторого пересмотра имеющихся вглядов в соответствии с текущими позициями регуляторов на нашу нынешнюю действительность. Конечно, это отнюдь не полный перечень всего, но начнём, как говорится, с малого.

N K 4 сентября Как правильно передавать ПДн? Будет ли такая передача достаточной в целях соблюдения законодательства о защите персональных данных? В избранное. Их применение выполняет требование по защите каналов связи.

Новые особенности в защите персональных данных: связанные с передачей персональных данных по открытым каналам связи.

Нам необходимо обмениваться персональными данными по открытым каналам связи, а точнее говоря просто по электронной почте, если персональные данные будут в запаролированном архиве, это не будет нарушать закон по защите персональных данных? Или нужно искать другие способы передачи персональных данных? Если да, то какие? Согласно ст.

Купить систему Заказать демоверсию. Передача персональных данных. Передача персональных данных субъектов персональных данных без их согласия допускается, если это необходимо для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве, по мотивированным запросам правоохранительных органов и иных органов государственной власти в рамках установленных полномочий, а также в иных случаях предусмотренных федеральными законами. Передача персональных данных субъектов персональных данных третьим лицам осуществляется с их письменного согласия, составленного по форме согласно приложению N 12 , за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, предусмотренных Федеральным законом "О персональных данных", Трудовым кодексом Российской Федерации и иными федеральными законами. Передача персональных данных третьим лицам осуществляется только после получения от третьего лица заверенных в установленном порядке документов, подтверждающих выполнение условий соблюдения конфиденциальности и обеспечения безопасности персональных данных при их обработке.

.

.

.

Комментарии 2
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий

  1. progrosle

    Все финансовые пирамиды рано или поздно заканчиваются. Это атрибуты капитализма. Без них он просто не может существовать, это как сопутствующий товар, как приложение для подкормки общества.

  2. websdiser74

    Адвокаты круглосуточно. Консультирование по телефону. 89265115360. Москва . Область.