Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] Пересылка ПДн по электронной почте, Пересылка ПДн по электронной почте
Добрый день, форумчане!

У нас в организации производится онлайн бронирование номеров и путевок. Делает это сторонняя фирма. Так вот она пересылает нам ПДн бронирующих по электронной почте на ящик расположенный в gmail.ru. Никакой шифрации или паролирования не используется при этом.

Мне кажется это не совсем правильно.

Во первых: mail-server (gmail) находится у 3 стороны, фиг знает где может за рубежом. И они могут свободно посмотреть эти ПДн пересылаемые по почте.

Во вторых: электронная почта сама по себе не шифруется и ее можно свободно где нибудь перехватить на промежуточном узле.
___________________________________________________________

Что можно сделать чтобы обезопасить пересылаемые по почте данные обезопасить?


Я думаю:
1) Поднять свой mail-server, находящийся непосредственно в нашей организации.
2) Использовать какую то программу для шифрации и паролирования почты содержащей ПДн.

Правильно ли я мыслю? Или может и не стоит заморачиваться с этим, пусть шлют как шлют?

Кто знает программы или почтовые клиенты которые могут шифравать и паролировать эл.почту напишите пожалуйста. Пока нашел для клиента Thunderbird плагин Enigmail. Можно ли им пользоваться, или нужны программы с сертификатами ФСБ и ФСТЭК? Мы не гос. орган, мы частная организация.
В письмах подтверждения бронирования пересылается следующая информация: Ф.И.О, Гражданство, тел, Email, номер брони, дата заезда и выезда, тариф (проживание с лечением или без), стоимость бронирования - Обладателя ПДн.

Конечно не ахти какая информация с которой можно причинить вред обладателю, но все же. Оператором наверное все же является фирма через которую осуществляется бронирование, а мы уже 3 лицом которому эти данные передаются.
Пользователи заходят на наш сайт и там через некую форму вносят свои ПДн для бронирования. Которые пересылаются фирме занимающейся бронированием. А они уже нам тоже через их сайт по протоколу https. Ну и на нашу почту приходят подтверждения брони.

На сайте имеются ссылки на "Пользовательские соглашения с этой фирмой" и "Политикой конфиденциальности" где написано:

Защита информации

а) Данные, введенные клиентом, передаются в средство размещения в объеме, необходимом для бронирования номеров (услуг) в средствах размещения. Кроме того, данные, введенные клиентом, могут быть использованы для передачи третьей стороне. Такая третья сторона может связаться с клиентом посредством e-mail, на пример, в целях получения отзывов и качестве сервиса, забронированного клиентом средства размещения. При этом при получении первого электронного письма от такой третьей стороны клиент имеет возможность отказаться от последующей рассылки.

б) Соглашаясь с условиями настоящего Пользовательского соглашения, клиент дает свое согласие на сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу в адрес средства размещения и обозначенных в пункте а параграфа 8 третьих лиц, обезличивание, уничтожение своих персональных данных: фамилия, имя, отчество, адрес электронной почты, номер телефона, гражданство. Указанные персональные данные запрашиваются с целью предоставления клиентам запрошенных услуг, либо ответа на запросы клиента. Данные отображаются в Ваучере, отчетной и бухгалтерской документации. Такие данные, как адрес электронной почты используются для получения отзывов о качестве сервиса средства размещения. Настоящее согласие предоставляется клиентом для осуществления любых не противоречащих законодательству Российской Федерации действий в отношении персональных данных, направленных на достижение указанных в Пользовательском соглашении целей, в том числе: онлайн бронирование клиентом выбранного средства размещения, составления отчетной и бухгалтерской документации, получение отзывов о качестве сервиса, забронированного средства размещения.

В случае предоставления клиенту рекламных и маркетинговых материалов, ему также предоставляется возможность отказа от получения таких материалов в будущем
Вот это темку я поднял :D :D :D :D

Никто даже не знает что делать. Или боится написать, так как у каждого наверняка на рабочем месте есть такая электронная почта...по которой передают ПДн без всякой защиты.
Цитата
Дмитрий пишет:
Вот это темку я поднял

Никто даже не знает что делать. Или боится написать, так как у каждого наверняка на рабочем месте есть такая электронная почта...по которой передают ПДн без всякой защиты.
Не писали, потому что вопрос совсем несложный.
1. Так как Вы обрабатываете ПДн с помощью компьютеров, то ВЫ Оператор ИСПДн.
2. Вам нужно классифицировать ИСПДн, разработать организационно-распорядительную документацию и т.д.
3. Получить в Удостоверяющем центре (УЦ) закрытый ключ шифрования и сертификат открытого ключа и корневой сертификат УЦ
4. Установить криптопровайдер типа КриптоПРо (бевплатно VIPNET)или аналогичный
5. Использовать почтовый клиент (Outlook, The Bat...)
6. Передать сертификаты Вашему партнеру
7. Шаги с 3-6 выполняет партнер по переписке
Или, например, воспользоваться The BAT, который может использовать другую технологию распространения ключей шифрования (бесплатно)
Пишите в stertur@mail.ru с темой BAT- у меня все разработанное.
Спасибо! Хоть кто то, что то написал.
1) Мы не являемся оператором, этих данных, так как мы их непосредственно не получаем а нам их предают. Скорее мы являемся третей стороной которой фирма занимающаяся бронирование делегирует обработку этих ПДн. И по идее она и должна бы нам инструкцию предоставить как эти ПДн должны передаваться и хранится. Но как я понимаю там такие же спецы как и я работают. ;) :D :D :D

2) По второму пункту: все уже сделано и реализовано, даже проверку РОСКОМНАДЗОРА прошли 3 года назад. Правда они только бумажки смотрят, а что там да как им знать не положено, да и что они могут знать две тетки одна лет 18, другая лет 50. :D

3-6 пункты было бы интересно разобрать.
Например кто запрещает пользоваться той же Enigmail в Thunderbirde? Она также создает сертификаты и при помощи них подписывает и кодирует письма. Так же передаешь партнеру свой открытый сертификат и он может получать письма и расшифровывать и проверить что это действительно я послал.

Смущает только вопрос того, что за криптографию отвечает ФСБ, и не придерется ли проверяющие при проверке к тому, что сертификат создан самостоятельно и шифрация не по госту...и т.д.

То есть как я понимаю:
Шифровать и подписывать письма содержащие ПДн все же нужно, если они передаются по открытым каналам связи, даже если обладатель дал свое согласие на их передачу третьим лицам по открытым каналам связи. Это так?

Если да, то остается вопрос нужно ли использовать для этого сертифицированные ФСБ, ФСТЭК и т.д средства или можно обойтись бесплатными? Обосновать это тем что эти данные при их утечке принесут минимальный вред обладателю, поэтому выделять на их защиту н-ное кол-во денег является не выгодным. Но для их защиты все же применяется бесплатное средство с подобным функционалом, без сертификатов и лицензий.
Цитата
Дмитрий пишет:
Мы не являемся оператором, этих данных, так как мы их непосредственно не получаем а нам их предают
1. Вы можете быть Оператором, даже если вам их передают.
Цитата
Дмитрий пишет:
Шифровать и подписывать письма содержащие ПДн все же нужно, если они передаются по открытым каналам связи, даже если обладатель дал свое согласие на их передачу третьим лицам по открытым каналам связи. Это так?
2.Вы можете не шифровать, если субъекты письменно разрешат вам включить их ПДн в общедоступные. Подписывать нужно, если требуется свойство "неотрекаемости"
3. Шифрование конфиденциальной информации не обязательно платными, но (мое мнение) обязательно по ГОСТовским алгоритмам
1. Это ладно, на своей стороне мы их защищаем эти ПДн, но передачу то мы не защищаем так как это должна организовать фирма бронировщик, и потом уже от нас этого потребовать в договоре на обслуживание. Спрос то от обладателей ПДн в первую очередь с них идет...а уж фирма бронировщик с нас должна спросить.

2. В общедоступные источники, по моему, обладатели ПДн нигде не дают согласие на это. Вот на передачу по открытым каналам связи и третим лицам в онлайн форме фигурирует.

3. Алгоритмы в Enigmail OpenPNG. Хотелось бы все же бумажку почитать где написано что требуется защищать информацию гостовским шифрованием. Наверное у ФСБ такая есть. Если знает где ееможно посмотреть напишите пожалуйста.
Никто не встречал такой приказ или постановление от регулятора, где черным по белому было бы написано: Для передачи ПДн по открытым источникам связи, необходимо использовать прошедшие соответствующую проверку программы, осуществляющие шифрацию по гост. стандартам? Программы использующиеся для шифрации и кодирования должны быть сертифицированными регуляторами?

Если Обладатель ПДн дал согласие на передачу своих ПДн по открытым каналам связи и для передачи 3 лицам, то фирма получившая эти ПДн должна ли отправлять их 3 стороне с применением защиты (криптографии и шифрации)?
Ну так никто не встречал такого документа? Значит можно забить на это все пусть шлют как шлют?
Страницы: 1
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)