Как передавать ПДн по открытым каналам связи без шифрования
Т.е. использовать западную криптографию для защиты персональных данных в К1 системах или не защищать их вовсе — «соответствует требованиям законодательства..».
Как всё-таки порой обидно, что право у нас не прецедентное и этим решением нельзя будет отмахиваться от регуляторов, если они вдруг начнут задавать один из своих любимых вопросов «А покажите сертификат!».
[UPDATE] вот и на Инфобереге как раз эту тему обсуждают.
Не ждите, пока хакеры вас взломают — подпишитесь на наш канал и станьте неприступной крепостью!
Как безопасно пересылать персональные данные
Мы постоянно пересылаем свои и чужие персональные данные — когда устраиваемся на работу, записываемся в спортивную секцию или к врачу, регистрируемся на сайте госучреждения или покупаем одежду в интернет-магазине. Относиться к этому стоит серьёзно, поскольку небезопасная передача данных может привести к тому, что они попадут в чужие руки.
Увы, нет ни одного способа, который бы на 100% гарантировал безопасность передачи персональных данных. Однако есть ряд мер предосторожности, соблюдая которые, вы значительно снизите риск утечки.
Можно ли пересылать персональные данные по электронной почте
Электронная почта — один из самых распространённых способов передачи персональных данных. При этом он далеко не самый безопасный: нельзя быть полностью уверенным в том, что никто, кроме вас и вашего собеседника, не получит доступ к данным. Злоумышленники могут взломать как ваш аккаунт, так и аккаунт получателя. Напомним, что взлом почты — это очень распространенное явление, ежедневно злоумышленники взламывают по несколько тысяч аккаунтов. И это относится не только к кинозвёздам и политикам.
Тем не менее, при условии соблюдения правил безопасности пересылать персональные данные посредством электронной почты можно.
Пересылайте важные данные только посредством защищенного вложения в электронное письмо. На вложение (например, на заархивированную папку) установите пароль и сообщите его получателю другим способом — через мессенджер или по телефону.
Никогда не пересылайте ценную информацию в теле письма
Распространённым способом пересылки данных также стала отправка ссылки на документ, хранящийся в облачном сервисе. Важно понимать, что, в зависимости от возможностей «облака» и от заданных вами настроек доступа, такая ссылка в любом может стать общедоступной — то есть перейти по ней сможет любой получатель.
В связи с этим не рекомендуется пересылать персональные данные таким образом. Конечно, после пересылки можно закрыть доступ, удостоверившись, что получатель воспользовался данными. Ссылка станет недействительной, и даже в случае взлома почты злоумышленник не сможет добраться до информации. Но между моментом, когда вы отправили ссылку, и моментом, когда вы закрыли доступ, может пройти несколько дней — и всё это время ваши данные будут в опасности.
В чём опасность пересылки персональных данных по электронной почте
- Их можно случайно отправить не тому получателю.
Почти каждый человек хоть раз в жизни отправлял электронное письмо не туда, куда нужно: путал буквы, выбирал не тот адрес из списка или случайно нажимал кнопку «отправить всем». Если вы ошиблись при отправке рядового письма, не содержащего важной информации, то ничего страшного не случится. Однако если в письме содержались чьи-то персональные данные, вы рискуете раскрыть их человеку, которому их видеть не следует. - При взломе аккаунта злоумышленник получит доступ к информации в папке «Отправленные».
Некоторые целенаправленно хранят персональные данные в почте, другие просто забывают, что кому-то отправляли номер банковской карты или паспорта. Если злоумышленник получит доступ к вашей почте, он обязательно заглянет в папку «Отправленные» и найдёт там ваши данные.
Отправить не туда: история Университета Восточной Англии
В июне 2018 года в Университете Восточной Англии (Норидж, графство Норфолк) произошла неприятность. По электронной почте была отправлена таблица, содержащая информацию о болезнях, личных проблемах (в том числе пережитом сексуальном насилии) и семейных утратах 191 студента программы American Studies.
Таблица создавалась на основе уважительных причин, которые студенты сообщали при отсутствии на занятиях и задержках в написании эссе. Сложно сказать, для каких целей предназначалось письмо, но его получили. все студенты программы, почти 300 человек.
В итоге тем студентам, чьи данные были отправлены сотням одногруппников, университет выплатил суммарную компенсацию в размере 140 тысяч фунтов (более €160000) и принёс извинения. Однако впоследствии некоторые студенты, чьи данные были раскрыты, признавались, что забыть о случившемся и смотреть в глаза одногруппникам стало практически невозможно.
Меры предосторожности при передаче данных электронной почтой
Удаляйте письма с персональными данными из любых папок почтового сервиса — «Отправленные», «Полученные» и др.
Тщательно проверяйте адрес получателя, а при общей переписке внимательно следите за тем, чтобы не нажать кнопку «Отправить всем».
Не размещайте персональные данные в теле письма. Используйте архив с паролем.
Можно ли пересылать персональные данные через мессенджеры
Как ни странно, передача персональных данных посредством мессенджеров может быть вполне безопасной. Давайте разберёмся, почему.
Важнейшее свойство безопасного мессенджера — сквозное шифрование, которое обеспечивает конфиденциальность переписки. Суть его в том, что у отправителя и получателя есть по два специальных ключа: личный и открытый. Личный ключ позволяет читать сообщение, а открытый — отправлять. Оба этих ключа генерируются мессенджером автоматически при ведении переписки, пользователь никак не участвует в этом процессе. Шифрование повторяется в течение нескольких миллисекунд для каждого сообщения. Никто, кроме вас с получателем, даже разработчик мессенджера, не сможет прочитать вашу переписку, не зная соответствующих ключей.
И это хороший метод защиты любых данных.
Помимо наличия сквозного шифрования, при выборе мессенджера стоит обратить внимание ещё на несколько опций:
возможность самоудаления сообщений через заданное время;
блокировка пользователей, от которых вы не хотите получать сообщения;
вход в приложение мессенджера по паролю или, что ещё лучше, с помощью двухфакторной аутентификации.
Сквозное шифрование сегодня есть почти у всех известных мессенджеров (iMessage, Telegram, Whatsapp и др.), а вот другими защитными функциями может похвастаться не каждый. Так, упомянутый Whatsapp по состоянию на 2022-й год так и не обзавёлся опции блокировки с помощью пароля.
Самым защищённым общедоступным мессенджером на 2022 год считался Signal. Помимо перечисленных функций, Signal предлагает и многие другие, включая сквозное шифрование SMS-сообщений с помощью синхронизации приложения с SMS.
Есть одна тонкость: мессенджеры автоматически создают папки в памяти вашего компьютера или телефона. В этих папках остаются все вложения, которые вы и ваш собеседник отправляли друг другу.
Если вы не хотите, чтобы данные сохранялись, то можете отключить эту функцию в настройках. И на всякий случай проверьте, не лежат ли сейчас в этих папках ваши персональные данные — например, документы или фото, которые вы не хотели бы сохранять.
Будьте осторожны, если открываете мессенджер с чужого устройства. Так вы можете случайно сохранить ваши персональные данные там, где им совершенно не место
Как нельзя пересылать персональные данные
Онлайн-чаты и мессенджеры социальных сетей.
Это самый опасный способ передачи персональных данных. Как минимум потому что соцсети очень часто становятся объектами взлома. Если вам предлагают отправить персональные данные сообщением в соцсети, всегда отказывайтесь и выбирайте более безопасный вариант.
Приложения соцсетей.
То же касается и приложений социальных сетей. Многие из них (например, Snapchat) не имеют сквозного шифрования, что делает их уязвимыми для хакеров.
В некоторых мессенджерах эта функция есть, но она неактивна по умолчанию и её нужно настроить самостоятельно. Будьте бдительны и проверяйте, работает ли сквозное шифрование в том или ином мессенджере (это можно уточнить с помощью поисковой системы).
Можно ли пересылать персональные данные через облачные сервисы
Как мы уже писали, можно открыть доступ к документу, лежащему в облачном сервисе, получить сгенерированную ссылку на него и отправить эту ссылку получателю. Но есть ещё более безопасный способ — воспользоваться встроенными функциями самого облачного сервиса.
- Загрузите нужные документы в «облако» и откройте доступ конкретному получателю. Используя доступ по ссылке, вы не сможете контролировать, кто просматривал ваши данные. А выдав права на просмотр через встроенную функцию — сможете.
- Некоторые облачные системы (например Dropbox) предлагают возможность поставить пароль на документ, которым вы делитесь. Если это возможно — поставьте.
Не забудьте о мерах безопасности, которые следует принять после отправки данных нужному пользователю:
- после того, как получатель использовал или скопировал данные, закройте доступ или удалите документ;
- попросите получателя удалить данные со своего компьютера после того, как он выполнил свою задачу — вы ведь не знаете, предпринимает ли ваш собеседник меры предосторожности, способные предотвратить утечку.
А как же физические носители?
Конечно, вы можете передавать данные и с помощью физических носителей, будь то диск или «флешка». Однако важно понимать, что если вы посылаете носитель по почте, он точно так же может быть украден или потерян.
Наиболее безопасный способ передачи данных — самостоятельно приехать к получателю и принести ему «флешку» или диск. Но будем честны: сейчас так почти никто не поступает, поскольку это неудобно, особенно при передаче данных в другой город или страну. Поэтому смело передавайте данные через интернет. Соблюдая, конечно, правила безопасности.
Где можно посмотреть перечень защищенных каналов связи которые следует использовать для передачи пдн
Где можно посмотреть перечень защищенных каналов связи которые следует использовать для передачи пдн?
Для получения быстрых ответов поделитесь вопросом.
Где можно посмотреть перечень защищенных каналов связи которые следует использовать для передачи пдн
Напишите ответ если знаете. Возможно вопрос был задан не правильно, поправьте, в таком случае, его в комментариях.
Ещё вопросы:
. Где можно посмотреть перечень защищенных каналов связи которые следует использовать для передачи пдн?
Это вопрос или просто предложение уточните. Вы можете добавить «новый вопрос» или ответить (выше) на этот.
Вы находитесь на странице вопроса: Где можно посмотреть перечень защищенных каналов связи которые следует использовать для передачи пдн? Помогите проекту и ответьте на него в специальной форме ответов.
Ответы на вопрос оставляют все пользователи сайта, после регистрации.
11 июня 2020 года снимаются основные ограничения по карантину из за коронавируса CoviD-19 (ковид-19)
На счет черного моря по Краснодарскому краю предварительно губернатор снимет 21 июня 2020 года, это означает что без 14-ех дневного карантина.
С 1 июля 2020 для россиян в Крыму можно будет отдыхать спокойно без 14 дней карантина. Иностранцам будет строже с отдыхом — придется 14 дней посидеть на карантине — что весьма правильно.
За границу пока что 100% не известно выезд с 1 июля свободен станет но въезд смотря в какую страну — у всех свои ограничения. Можно предположить что к 1 августу все наладиться
Ответ ФСБ по поводу необходимости применения сертифицированных СКЗИ для защиты ПДн
Законодательство
В следующем абзаце говорится о том, что определение актуальных угроз осуществляется оператором ПДн (и никем иным). В последующих абзацах повторяется классическая фраза 8-го Центра, что СКЗИ надо применять, если определенные угрозы могут быть нейтрализованы только СКЗИ. К таким угрозам 8-й Центр относит только две ситуации:
Я по-прежнему придерживаюсь позиции, отраженной в презентации, — информацию в каналах связи можно защитить различными способами, а не только СКЗИ, что вытекает из 19-й статьи ФЗ-152.
Ну и по поводу сертификации — в ответе 8-го Центра нет ни слова про сертифицированные СКЗИ. От слова «вообще».
Добрый день, Алексей!
А можно получить полный ответ?
Алексей, добрый день!
В ответе 8-го Центра ничего не указано про необходимость использования именно сертифицированных СКЗИ. Но ведь есть "Методические рекомендации…" утвержденные руководством 8 Центра ФСБ России от 31.03.2015 №149/7/2/6-432, в которых есть во второй части такой абзац:
— для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия. Перечень СКЗИ, сертифицированных ФСБ России, опубликован на официальном сайте Центра по лицензированию, сертификации и защите государственной тайны ФСБ России (www.clsz.fsb.ru). Дополнительную информацию о конкретных средствах защиты информации рекомендуется получать непосредственно у разработчиков или производителей этих средств и, при необходимости, у специализированных организаций, проводивших тематические исследования этих средств;
Далее идет абзац, в котором говорится, что в случае отсутствия подходящего сертифицированного СКЗИ нужно разрабатывать средство в соответствии с ПКЗ-2005.
Чем это не требование использовать сертифицированные СКЗИ?
Есть приказ ФСБ России от 10.07.2014 №378, в котором в подпункте "г" пункта 5 указано: " использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз."
Немного сбивает с толку вот это "когда применение таких средств необходимо для нейтрализации актуальных угроз". Но вся эта необходимость должна быть описана в модели нарушителя.
Но в этом случае опять же в разделе 3 "Методических рекомендаций…" от 2015 года указано, что "При использовании каналов (линий) связи, с которых невозможен перехват передаваемой по ним защищаемой информации и (или) в которых невозможно осуществление несанкционированных воздействий на эту информацию, при общем описании информационных систем необходимо указывать:
— описание методов и способов защиты этих каналов от несанкционированного доступа к ним;
— выводы по результатам исследований защищенности этих каналов (линий) связи от несанкционированного доступа к передаваемой по ним защищенной информации организацией, имеющей право проводить такие исследования, со ссылкой на документ, в котором содержатся эти выводы."
Я всё это к чему — да, нет необходимости использовать СКЗИ всегда и везде при обеспечении безопасности обработки ПДн. Но для этого нужно сформировать модель нарушителя, где всё это описать и доказать. Про два случая, когда нужно их использовать Вы писали. Но то, что для обеспечения безопасности обработки ПДн по открытым каналам связи, или если обработка этих ПДн выходит за границы контролируемой зоны, можно использовать несертифицированные СКЗИ — тут не всё так просто. И может так случиться, что проще использовать сертифицированные СКЗИ и соблюдать все требования при их эксплуатации и хранении, чем использовать несертифицированные средства и бодаться с регулятором, который видя такую ситуацию, будет очень стараться ткнуть носом.
Cлучай, когда применение таких средств необходимо для нейтрализации актуальных угроз: требование Приказа ФСТЭК России № 17 от 11 февраля 2013 г. (требования к государственными и муниц. ИСПДн),
пункт 11. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».
Proximo: рекомендации ФСБ нелегитимны. 378-й приказ легитимен, но должен рассматриваться в контексте всего законодательства, а оно говорит, что особенности оценки соответствия устанавливаются Правительством или Президентом. Ни то, ни другой таких НПА не выпускали т
Антон: в госах требование сертификации установлено законом, 17-й приказ их просто повторяет. А мы про ПДн говорим
Алексей Лукацкий: №рекомендации ФСБ нелегитимны" Как нелегитимны? Я про документ от 19.05.2015 №149/7/2/6-432 ( http://www.fsb.ru/fsb/science/single.htm!id%3D10437608%40fsbResearchart.html ), но не про документ от 21.02.2008 №149/54-144.
Другой специалист также ранее делал запрос в ФСБ по похожей теме, и ему ответили, что "Методику…" и "Рекомендации…" ФСБ от 2008 года не нужно использовать, если Вы говорите про эти документы. Но опять же — официально эти документы не отменили. И легитимны эти документы или нет, полагаю, будут решать проверяющие от ФСБ уже на месте в ходе проверки.
Закон говорит, что нужно защищать ПДн. Подзаконные акты от Правительства, ФСБ, ФСТЭК определяют, как именно нужно их защищать. В НПА от ФСБ говорится: "Используйте сертифицированное. Если не хотите сертифицированное — докажите, что можете использовать такое. И будьте добры — приложите заключение на это от фирмы, у которой есть лицензия на право выдачи таких заключений". Как-то так…
1. Любая рекомендация — это рекомендация, а не обязательное к исполнению требование.
2. Методичка 2015-го года не имеет отношения к операторам ПДн — она относится к госам, которые пишут модели угроз для подведомственных учреждений (с учетом п.1).
3. ФСБ не имеет права проводить проверки коммерческим операторов ПДн, а для госов вопрос применения несертифицированных СКЗИ и не стоит — они обязаны применять сертифицированные решения, независимо от наличия ПДн — это требования ФЗ-149.
4. Подзаконные акты говорят как защищать и это нормально. А вот форму оценку средств защиты они определять не могут — это может сделать только НПА Правительства или Президента. ФСБ не уполномочено это делать
В соответствии с Постановлением 1119:
4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".
13.г. Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Каким образом обосновать не актуальность угрозы при передачи ПДн через каналы оператора связи?
Т.е. если не СКЗИ, то видимо,
— терминальный доступ и тонкие клиенты, но при этом данные СЗИ терминального
доступа должны быть сертифицированы.
— защиты каналов оператором связи, ответственность на оператора связи (провайдера).