Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Передача персональных данных по открытым каналам связи
В каком документе указано что передача персональных данных по открытым каналам связи осуществляется с использованием криптографии?
СТР-К
а если СТР-К только рекомендательный характер носит, то для коммерческих организаций передача данных через Интернет может быть не защищённая?
Приказом ФСТЭК России от 5 февраля 2010 г. № 58 утверждено «Положение о методах и способах защиты информации в информационных системах персональных данных», из которого п.2.9 определяет:
«Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем разных операторов через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
создание канала связи, обеспечивающего защиту передаваемой информации;
аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных;
обеспечение предотвращения возможности отрицания пользователем факта отправки персональных данных другому пользователю;
обеспечение предотвращения возможности отрицания пользователем факта получения персональных данных от другого пользователя».


Также п.7 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» устанавливает:
«обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств».

Если найдёте иные тех.средства, помимо криптографии, чтобы защитить канал - попробуйте обойтись ;)
Изменено: Ирина - 12.11.2010 16:04:05
Ну в 58-м как-то не указано что подразумевается под защитой передаваемой информации. Да и что такое "соответствующие организационные меры" и что именно за "технические средства".. Никакого намёка на криптографию

PS
я не докапываюсь, просто начальник хочет обосновать ему что необходима криптография при передачи данных
Не написано про криптографию ничего, зато написано про защиту. А как кроме криптографии защитить передаваемую информацию? Нужно средство с сертификатом. С другой стороны на криптографию сертификаты ФСБ а не ФСТЭК.
Защита ПДн - обеспечение конфиденциальности (если конечно не 4-ая категория), и в соответствии с условиями - целостности, возможно еще какие-то характеристики, связанные с подтверждением сторон взаимодействия и т.д.
Если открытые каналы связи, чем закроете кроме криптографии? Удастся найти способ - пожалуйста. Можно попробовать со всех, кто имеет доступ к такому открытому каналу связи, взять обязательство о неразглашении)))
Посмотрите в сторону след. документов:

ФСБ РФ – «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации». Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/5-144

ФСБ РФ – «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных». Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/6/6-622.

+ Положение ПКЗ-2005

Возможно в них что-то есть.
Если честно, пока до первых двух руки не дошли... Скоро и их прочту :)


UPD:
В ПКЗ-2005 в пункте 3 есть два подходящих условия применения ПКЗ (по отношению к ПДн), а соотв. и СКЗИ

- если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;
...
- если обязательность защиты информации конфиденциального характера возлагается законодательством Российской Федерации на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации;
Изменено: zhylik - 12.11.2010 20:29:53
Ваня Жилин
На сколько я смог уловить мысль... Вот моё решение

Вопрос: почему нужно использовать криптосредства при передаче персональных данных?

Ответ:
Цитата

Постановление 781 ч.2
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
- если не можем обеспечить защиту канала от НСД, то обязательная шифрация канала
Цитата
Постановление 781 ч. 5
Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
Цитата
Технический регламент
- всё это говорит что все ТС и ПО по защите должны быть сертифицированы
Цитата
Приказ ФСТЭК России от 5 февраля 2010 г. № 58 п.2.9
... применяются следующие основные методы и способы защиты информации от несанкционированного доступа... создание канала связи, обеспечивающего защиту передаваемой информации
- ещё раз убеждаемся что защита нужно 100%
Цитата
СТР-К п.5.7.5.
... передаваемой между АС по каналам связи, выходящие за пределы КЗ, необходимо использовать защищённые каналы связи... а при использовании открытых каналов связи - сертифицированные ... криптографические СЗИ...
Цитата
СТР-К п.6.1.4.
Методы обеспечения безопасности при взаимодействии с Сетью.... шифрование информации при её передаче по Сети
- так как всё размыто, то берём за основу требования СТР-К, так как для коммерцеских организаций они нам рекомендую именно это

- далее мы понимает что единственной способ защиты при передаче данных - это шифрование (мы физически не сможем обеспечить защиту сети от НСД), то открывает
Цитата
Методические рекомендации ФСБ России N 149/54-144 от 21 февраля 2008 года
....Методическими рекомендациями необходимо руководствоваться в случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств....
- ну и дальше пошли все ФСБэшные требования к криптосредствам...

Объяснение конечно корявое получилось но почти логическое :) Могли бы чётко написать в законе и не мудрить
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку