Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] Передача персональных данных по открытым каналам связи
В каком документе указано что передача персональных данных по открытым каналам связи осуществляется с использованием криптографии?
СТР-К
а если СТР-К только рекомендательный характер носит, то для коммерческих организаций передача данных через Интернет может быть не защищённая?
Приказом ФСТЭК России от 5 февраля 2010 г. № 58 утверждено «Положение о методах и способах защиты информации в информационных системах персональных данных», из которого п.2.9 определяет:
«Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем разных операторов через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
создание канала связи, обеспечивающего защиту передаваемой информации;
аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных;
обеспечение предотвращения возможности отрицания пользователем факта отправки персональных данных другому пользователю;
обеспечение предотвращения возможности отрицания пользователем факта получения персональных данных от другого пользователя».


Также п.7 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» устанавливает:
«обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств».

Если найдёте иные тех.средства, помимо криптографии, чтобы защитить канал - попробуйте обойтись ;)
Изменено: Ирина - 12.11.2010 16:04:05
Ну в 58-м как-то не указано что подразумевается под защитой передаваемой информации. Да и что такое "соответствующие организационные меры" и что именно за "технические средства".. Никакого намёка на криптографию

PS
я не докапываюсь, просто начальник хочет обосновать ему что необходима криптография при передачи данных
Не написано про криптографию ничего, зато написано про защиту. А как кроме криптографии защитить передаваемую информацию? Нужно средство с сертификатом. С другой стороны на криптографию сертификаты ФСБ а не ФСТЭК.
Защита ПДн - обеспечение конфиденциальности (если конечно не 4-ая категория), и в соответствии с условиями - целостности, возможно еще какие-то характеристики, связанные с подтверждением сторон взаимодействия и т.д.
Если открытые каналы связи, чем закроете кроме криптографии? Удастся найти способ - пожалуйста. Можно попробовать со всех, кто имеет доступ к такому открытому каналу связи, взять обязательство о неразглашении)))
Посмотрите в сторону след. документов:

ФСБ РФ – «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации». Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/5-144

ФСБ РФ – «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных». Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/6/6-622.

+ Положение ПКЗ-2005

Возможно в них что-то есть.
Если честно, пока до первых двух руки не дошли... Скоро и их прочту :)


UPD:
В ПКЗ-2005 в пункте 3 есть два подходящих условия применения ПКЗ (по отношению к ПДн), а соотв. и СКЗИ

- если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;
...
- если обязательность защиты информации конфиденциального характера возлагается законодательством Российской Федерации на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации;
Изменено: zhylik - 12.11.2010 20:29:53
Ваня Жилин
На сколько я смог уловить мысль... Вот моё решение

Вопрос: почему нужно использовать криптосредства при передаче персональных данных?

Ответ:
Цитата

Постановление 781 ч.2
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
- если не можем обеспечить защиту канала от НСД, то обязательная шифрация канала
Цитата
Постановление 781 ч. 5
Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
Цитата
Технический регламент
- всё это говорит что все ТС и ПО по защите должны быть сертифицированы
Цитата
Приказ ФСТЭК России от 5 февраля 2010 г. № 58 п.2.9
... применяются следующие основные методы и способы защиты информации от несанкционированного доступа... создание канала связи, обеспечивающего защиту передаваемой информации
- ещё раз убеждаемся что защита нужно 100%
Цитата
СТР-К п.5.7.5.
... передаваемой между АС по каналам связи, выходящие за пределы КЗ, необходимо использовать защищённые каналы связи... а при использовании открытых каналов связи - сертифицированные ... криптографические СЗИ...
Цитата
СТР-К п.6.1.4.
Методы обеспечения безопасности при взаимодействии с Сетью.... шифрование информации при её передаче по Сети
- так как всё размыто, то берём за основу требования СТР-К, так как для коммерцеских организаций они нам рекомендую именно это

- далее мы понимает что единственной способ защиты при передаче данных - это шифрование (мы физически не сможем обеспечить защиту сети от НСД), то открывает
Цитата
Методические рекомендации ФСБ России N 149/54-144 от 21 февраля 2008 года
....Методическими рекомендациями необходимо руководствоваться в случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств....
- ну и дальше пошли все ФСБэшные требования к криптосредствам...

Объяснение конечно корявое получилось но почти логическое :) Могли бы чётко написать в законе и не мудрить
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)