суббота, 13 ноября 2010 г.

Как корабль назовете - так и поплывет


Просила намедни одна знакомая помочь ей с заполнением уведомления в Роскомнадзор. Магазин у нее небольшой по продаже парфюмерно-косметической продукции и, хоть работает он под вывеской известного бренда, в реальности это - обычная франшиза. Таким образом, мы имеем отдельное, самостоятельное юридическое лицо со всеми вытекающими. И все бы ничего, но юрлицо это обязано по договору франшизы оформлять клиентам дисконтные карты, с передачей их персональных данных, что называется, в "центр".

Надо отдать должное этому самому "центру" - во всех анкетах предусмотрены соответствующие пункты-согласия, разработан полный комплект документации ("центр" прислал типовые формы - она только подписывала), на рабочих станциях - пароли и антивирус, а с "центром" организован VPN через железку, выполняющую и функции межсетевого экрана. Правда, приобреталось и настраивалось все это добро за кровные хозяйки магазина - но ничего не поделаешь: иначе, по ее словам, "центр" лишил бы ее франшизы.

Проблема заключалась в том, что в комплекте документов, присланных "центром", было все (даже образец акта классификации), кроме типовой формы уведомления. "Центр" сообщил, что уведомление можно заполнить на сайте Роскомнадзора, все исходные данные для этого есть в документах. Вот этим, собственно, мы и стали заниматься.

Исходные данные действительно были в документах. Дойдя до пункта "Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке", в документе под названием "Политика информационной безопасности" я отыскал следующее:

11. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Защита персональных данных физических лиц организуется в соответствии с требованиями законодательства РФ и достигается с помощью организационных мер и технических средств.
11.2. Организационные меры защиты персональных данных определяются "Положением по организации системы защиты персональных данных".
11.3. Защита ПДн, обрабатываемых в ИСПДн организации, осуществляется техническими средствами, реализующими:
  • защиту СВТ ИСПДн от несанкционированного доступа (см. п. 7.1);
  • защиту СВТ ИСПДн от вредоносного кода (см. п. 7.3);
  • защиту ИСПДн от внешних угроз посредством межсетевого экранирования (см. п. 7.2);
  • защиту каналов связи, по которым передаются ПДн (см. п. 7.4);
Пункт 7.1 Политики говорит о парольной защите рабочих станций: в нем указаны требования, предъявляемые к сложности пароля, частоте его смены и аудите событий ОС. Пункт 7.3, как многие уже догадались - об антивирусном ПО. С пунктом 7.2 все понятно.

Самый большой интерес вызывает пункт 7.4, я привожу его с небольшими изменениями:

Для предотвращения несанкционированного доступа в корпоративную сеть "центра" используются средства защиты каналов связи, основанные на технологии VPN. Создание и администрирование защищенных каналов связи для организации удаленного доступа в корпоративную сеть является исключительной прерогативой "центра". Использование средств удаленного доступа в корпоративную сеть "центра" любыми другими лицами в любых целях не допускается.

Тут же в моей памяти пронеслось все прочитанное мной на форумах и блогах про криптографию, VPN-ы, SSL-и связанные со всем этим баталии. Тут же я вспомнил требования ФСБ, для обеспечения безопасности персональных данных при их обработке в информационных системах предписывающие использовать криптосредства, сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации), и один из постов Алексея Лукацкого под названием "шифрование и обезличивание", где Алексей предлагает поиграть терминологией. И поразился красоте решения...

Оказывается, VPN построен не для того, чтобы обеспечивать безопасность ПДн - он был организован ДЛЯ ЗАЩИТЫ КАНАЛОВ СВЯЗИ, а это, в свою очередь, необходимо ДЛЯ ПРЕДОТВРАЩЕНИЯ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В КОРПОРАТИВНУЮ СЕТЬ. А это означает, что железка эта находится не в ведомстве ФСБ, так как формально не предназначена для шифрования данных, а в ведомстве ФСТЭК, поскольку цель ее установки - защищать канал от НСД. Вот и получается, что благодаря VPN, персональные данные по Интернету НЕ передаются, а благодаря такому целеуказанию - шифровальные (криптографические) средства для защиты данных НЕ используются! Кроме того, немного изменив формулировки, аналогичную логику можно использовать и для SSL.

Если бы у меня на фото в профиле была надета шляпа, я бы поработал в Фотошопе и "снял"ее: браво, коллеги из "центра"!

А что думаете Вы, дорогие читатели блога?

45 комментариев :

  1. 1. Смотрим Приказ ФСТЭК 58. в пункте 1.1 явно указано "В настоящем Положении не рассматриваются ... а также вопросы применения криптографических методов и способов защиты информации".
    2. Смотрим Типовые требования ФСБ (21 февраля 2008 года № 149/6/6-622). пункт 1.3 "Настоящие Требования являются обязательными ... обработке в информационной системе с использованием криптосредств".
    3. Средства построения VPN обеспечивают защиту каналов связи с использованием криптосредств (криптографических способов защиты информации). В документах ФСТЭК и ФСБ явно указано, что этот вопрос находится в ведении ФСБ (а не ФСТЭК).

    PS. Кстати, вспоминая http://www.fz-152.org/forum/viewtopic.php?f=67&t=204 , "центр" то имеет право распространять средства "защиты каналов связи" (а заодно и ключевую информацию к ним)?

    ОтветитьУдалить
  2. Мое ИМХО по вопросам любой , как вы это называете, "игры с терминологией" - сможете обосновать ее проверяющему органу и после суду, флаг в руки..
    А нет - все это пустые разговоры..
    Конкретно по данному вопросу - не согласен.

    ОтветитьУдалить
  3. to Валентин Хотько: тут "центр", я полагаю, чисто "буквоедческий" подход, ибо с бюрократами нужно бороться именно так (за что ему и "браво"). Если первые 2 пункта явно указаны, то вот этот:

    > Средства построения VPN обеспечивают защиту каналов связи с использованием криптосредств (криптографических способов защиты информации).

    явно в каком-либо документе не указано (хозяйка магазина знать не знает что это за железка и как она работает), и это первое, на чем сыграно. Второй момент - принцип "цель первична, методы вторичны": не для защиты ДАННЫХ, а дла защиты КАНАЛА. Ну и третье, полагаю, подход "криптографическим средством считается то, что сертифицировано ФСБ, все остальное - это не криптография".

    Про PS - не знаю, но наверное имеет, раз распространяет, или у них есть какая-то своя логика, аналогичная приведенной ;)

    ОтветитьУдалить
  4. to tiger-66: дык это понятно, но почему не согласны? Посыл такой же как у Валентина?

    ОтветитьУдалить
  5. РКН будет слушать не ваши рассуждения, а оперировать цитатами из приказов, законов и актов.. типа как раз того ряда, что приведен Валентином. Ваши аргументы на доводы такого рода должны также быть ЦИТАТАМИ определенных пунктов российской нормативной базы. Сможете ТАКИМ ОБРАЗОМ ответить Валентину? ;)

    ОтветитьУдалить
  6. 1. "Незнание закона не освобождает от ответственности"
    2. Защита межобъектового взаимодействия: а) защита данных (информации) передаваемых по каналам связи; б) защита самих каналов связи (физическая целостность, корректность настроек и работы коммутационного оборудования и т.п.). в) прочее. Если "центр" реализовал пункт б) с использованием VPN - хотелось бы взглянуть на это решение :)
    3. Смотрим ПКЗ-2005, раздел 1, пункт 2, определение СКЗИ. Нет в нем ограничений, что СКЗИ - это только сертифицированные средства.

    ОтветитьУдалить
  7. "явно в каком-либо документе не указано"
    В эксплуатационной документации на Континент, ViPNet, S-Terra явно указано что данные средства (построения VPN) обеспечивают защиту передаваемых данных путем шифрования.

    ОтветитьУдалить
  8. > Сможете ТАКИМ ОБРАЗОМ ответить Валентину?

    Для того и запостил в блог :)

    > В эксплуатационной документации на Континент, ViPNet, S-Terra

    Там стоит другая железяка, импортная, взята в аренду у "центра" ;)

    > РКН будет слушать не ваши рассуждения

    Думаю, можно раскрыть инфу, которую я оставил "на сладкое": когда оформляли уведомление, я им звонил. Разговаривали со мной недолго и не охотно (видать, блог еще не настолько популярен :), и мне было сказано буквально следующее: "всю нашу документацию и технические решения разрабатывала компания, имеющая все необходимые лицензии и сертификаты. Класс информационной системы и категория обрабатываемых в ней ПДн не предполагает использования средств криптографической защиты, поэтому с точки зрения законодательства о ПДн органы, контролирующие его соблюдение, не имеют права предьявить претензии относительно их наличия или отсутствия, тем более - проверять правильность их использования - в нашем случае это вне их юрисдикции. С точки зрения бизнеса, мы используем VPN для организации внутренней корпоративной сети для наших внутренних нужд, а с точки зрения защиты ПДн мы исключаем передачу ПДн по сети Интернет".

    Вот так вот. То есть, коллеги говорят о том, что каждый орган имеет право проверять только то, что он имеет право проверять. Никакой РКНовец, ФСБшник или ФСТЭКовец не имеет права придти и, махая ксивой, нагибать оператора за использование им VPN-роутера, если это не регламентировано законодательством.

    ОтветитьУдалить
  9. topless_freak13.11.10

    Насчет "передачи по сети Интернет" можно поспорить - с "буквоедческой" точки зрения она осуществляется, с точки зрения здравого смысла и технологии - нет, так как используется защищенный канал связи. Наши законодатели запутались сами и запутывают других: смысл в классификационном признаке "передача по Интернет" был такой, чтобы определить, есть ли передача ПДН в открытом виде по публичным сетям, но его извратили как и все остальное. Под этим "Никакой РКНовец, ФСБшник или ФСТЭКовец не имеет права придти и, махая ксивой, нагибать оператора за использование им VPN-роутера, если это не регламентировано законодательством" - подписываюсь

    ОтветитьУдалить
  10. "Класс информационной системы и категория обрабатываемых в ней ПДн не предполагает использования средств криптографической защиты".
    Оригинальный подход. Классифицируем систему, например, как 1Г/К2 смотрим РД АС и 58 приказ ФСТЭК, видим что требований по криптографии не предъявляется и говорим что ее в системе нет. Молодцы.
    Дело только в том, что помимо документов ФСТЭК есть документы ФСБ по ПДн, где явно указано что требования документов ФСБ должны выполняться если оператор определил (сам определил!) необходимость обеспечения безопасности ПДн с использованием криптосредств.
    По поводу зарубежного VPN - в документации на VPN наверняка есть слова "encrypt, DES" и т.п. (а заодно и инструкции по настройке VPN и генерации ключевой информации).

    ОтветитьУдалить
  11. > оператор определил (сам определил!) необходимость обеспечения безопасности ПДн с использованием криптосредств

    Вот ИМЕННО! У них посыл такой: безопасность ПДн с помощью криптосредств в их ИСПДн не нужна, а VPN не для защиты ПДн, а для "внутренних бизнес-нужд" (кстати, железяка там стоит с 2005 года). Ну и, видимо, понимают "бредовость" нормативов и связанные с ними риски. Молодцы.

    ОтветитьУдалить
  12. Под "бизнес-нуждами" понимается торговая система, система заказов и отчетности и внутренняя корпоративная электронная почта, по которой, собственно, и передаются анкеты.

    ОтветитьУдалить
  13. VPN не для защиты ПДн, а для "внутренних бизнес-нужд"
    Отключаете шифрование в VPN и получаете средство организации внутренних бизнес-процессов. А вот с шифрованием - это все же средство защиты (что скорее всего подтвердит эксплуатационная документация).

    ОтветитьУдалить
  14. > Отключаете шифрование в VPN

    Это как? Типа использовать IP вместо IPSEC? :)

    > средство защиты

    Да. Канала связи :)

    На мой взгляд, у многих спецов от требований регуляторов очень сильный ступор, а от громких названий (вроде Эф Эс Бэ) реакция, схожая с реакцией кролика перед удавом. Требования их ничем не обоснованы, и тот факт, что в данном случае проще анкеты с ПДн передавать по открытой электронной почте в чистом виде - еще одно тому подтверждение. Только вот субъект ПДн явно этому будет не рад. "Центр" в этом случае делает правильно.

    ОтветитьУдалить
  15. Анонимный13.11.10

    Анкеты с ПДн передавать по открытой электронной почте в чистом виде и нужно, по-другому они не могут их читать! :-)

    ОтветитьУдалить
  16. topless_freak13.11.10

    "Центр" в этом случае делает правильно

    Учитывая излагаемое В.Хотько, правильно с точки зрения соблюдения прав субъекта, но не требований регулятора. Отсюда неоднократно подтвержденная мораль - последнее ничего общего не имеет с первым.

    ОтветитьУдалить
  17. > но не требований регулятора

    ФСБ сами говорят о том, что никого ни разу не наказали за использование несертифицированной криптографии в случае, аналогичном тому, как использует ее "центр". Конечно, другое дело, если, например, это банк или ИСПДн класса К1 (да и то, в последнем случае, регулятору надо крепко подумать). Наверное, никто не будет спорить о том, что если использование VPN для организации корпоративной сети "заодно" дает некие дополнительные плюсы к защите ПДн - то для субъектов это только хорошо. Регулятору, видимо, плохо... Поэтому, в случае получения предписания, "центр", скорее всего, издаст "циркуляр" об обязательности пересылки анкетных данных в открытом виде по открытой электронной почте.

    ОтветитьУдалить
  18. Анонимный13.11.10

    Давно блог смотрю, да же захотелось вставит свои 5 копеек.
    Скорее всего в договоре франшизы указанно что магазин собирает ПДн и передает их центру причем с высокой долей вероятности указанно каким способом (если указан способ передачи по электронной почте, или по защищенному каналу), то требования по защите ПДн идут в сторону обеспечить целостность, безопасность, и так далее. Где они дружно приходят к нормативке ФСБ, а там их дружно встречает криптография. Если используется не ГОСТ, то безопасность не обеспеченна, у нас акромя Госта официальной криптографии нет.
    Далее, если в договоре нет требования к способу передачи информации и магазин говорит возим на флешке, у проверяющих возникает законный вопрос, как часто возите, где акты передачи конфиденциальных данных, и тд, тут магазин и попадает в неприятную ситуацию.
    Далее, к вопросу что ФСТЭК с ФСБ не могут придти просто так, конечно не могут, они с Роскомнадзором ходят. А если нужно прейти самим, то у нас есть возможность получить письмо с заявлением от Васи Пупкина что такая то организация Проводит работы по защите конфиденциальных данных, использует криптографию и т.д. и наши доблестные органы обязаны прейти и проверить эту информацию.
    Ну а то что работы проводила компания имеющие все лицензии регуляторов, это вовсе не означает что компания понимает что она собственно делает и как нужно делать.
    Ну а уж то что у нас не наказывали за использовании несертифицированной криптографии, это несколько не точно, было несколько судебных случаев связанных с шифрованием жёстких дисков, точно не помню как там проходил процесс, но было несколько судебных слушаний по итогам которой компанию сильно так тормошили, за 1) защиту конфиденциальных данных 2) за работу без лицензии. Конечно, очень высока вероятность что просто пальчиком погрозят, когда придет проверка, но он нужен риск что и не погрозят, а нарушение то серьезное.

    Priest

    ОтветитьУдалить
  19. такое ощущение что некоторые думают, что весь мир отныне существует только для защиты персональных данных :)

    ОтветитьУдалить
  20. to pushkinist: я всегда знал - регуляторы зомбируют грамотных спецов - они ведь тоже люди. Надо учиться противостоять этому. Надеюсь, я смогу внести свою посильную лепту в эту извечную борьбу - хоть даже блогом :)

    ОтветитьУдалить
  21. to priest: с почином, рад знакомству :)

    > Скорее всего в договоре франшизы

    Нет, не в нем. У них там вообще все круто - с точки зрения принципа добросовестности оператора у меня лично, как у "продвинутого" субъекта, нет никаких претензий.

    Это прописано в анкете, в согласии - там указано, что данные, содержащиеся в анкете, будут переданы в "центр" по электронной почте (!), и я с этим типа согласен. Вообще анкета заслуживает отдельного разговора, вкратце пробегусь по основным моментам.

    Из критических (обязательных) данных для заполнения - ФИО, _контактный_ телефон, адрес _доставки корреспонденции_, _контактный_ адрес e-mail и ВСЕ. Далее идут необязательные поля - типа возраст, образование, какую продукцию предпочитаете итд. Так вот: под каждым полем - прописана мелким шрифитом ЦЕЛЬ его сбора оператором. Обратите внимание на формулировки: не адрес прописки (проживания), а АДРЕС ДОСТАВКИ КОРРЕСПОНДЕНЦИИ, не мобильный телефон - а КОНТАКТНЫЙ телефон. Все сделано для того, чтобы обезличить сведения о клиенте: ведь в качестве этих данных я могу, безо всякой лжи, указать вообще любые сведения. Укажу достоверные - до меня дозвонятся или пришлют письмо с количеством баллов, нет - не пришлют. Все на мой выбор! Если я потерял карту или захотел оформить другую на себя - не проблема, напротив одного из полей необходимо поставить чек-галку, которая будет указана в качестве контрольного поля - того, которое мне необходимо запомнить и назвать в таких случах. Я могу указать дополнительную контрольную фразу для "усиления" безопасности - рекомендуют указывать серию и номер паспорта. Продавцы вышколены и вымуштрованы - консультируют покупателей четко.

    Ну а если считаешь, что тебе будут нанесены какие-то риски при обработке твоих ПДн и не согласен - извини, но карту ты не получишь, зато получишь УСЛУГУ: хочешь купить со скидкой - приноси каждый раз кучу чеков и заполненный купон. Все довольны - и оператор, и субъекты!

    И вот теперь, как Вы говорите, приходят они в магазин все в троем, и говорят - неееее, ты недостаточно защищаешь данные субъектов: давай-ка ставь сертифицированный роутер - а иначе ты не достаточно защищаешщь данные субъектов. Вы им возражаете: уважаемые, ВЫ ЧТО ПРИШЛИ ПРОВЕРЯТЬ - ОБРАБОТКУ ПДн? Так мой VPN к ней отношения никакого не имеет - у меня и в согласии написано обычная почта, и система К3. И будете абсолютно правы. Они развернутся и уйдут.

    ЗЫ: государство всегда пытается все решить за собственных граждан, правда всегда себе на пользу.

    ОтветитьУдалить
  22. to Priest: "дубли" постов позволил себе удалить :)

    ОтветитьУдалить
  23. Анонимный14.11.10

    В отношении данного оператора - я бы всё-таки не заявлял что передаю информацию по открытым каналам связи без всякой защиты, тем более не стал бы писать что передаю по электронной посте, сразу появляется вопрос, а что у вас с почтовой системой (небольшой магазин пользуется скорее всего либо бесплатной почтой, либо почтой провайдера) а с почтой все плохо, она вообще не заявлена как ИСПДн. Отсюда высока вероятность появление предписания в месячный срок устранить нарушение (потратить денег на настройку и внедрение своей почтовой системы, либо идти в сторону хостера который у себя это защитит, что опять затраты). Как я уже писал выше втроем регуляторы очень редко ходят, а роскомнадзор не проверяет техническую защиту (верит на слово). А если пришли втроем то они пришли проверять и обработку и защиту персональных данных.
    В отношение защиты каналов связи, нужно всё-таки понять, заявлена передача ПДн по каналам связи в центр, или не заявлена, если не заявлена то проблем нет, если заявлена – то мы пока перестановим вам обработку ПДн, а вы можете идти в сторону суда, если суд скажет что мы не правы, с удовольствием разрешим вам обрабатывать, а пока ни ни.
    Хотя странно, что передача информации по электронной почте является безопасной.
    Далее если посмотреть со стороны владельца персональных данных: отдал я эти данные, и далее оператор делает с ними что хочет, отдает в кол центры, которые передают их еще кому то, а потом начинают названивать и предлагать всякую – да чего только не предлагать, оно мне надо? А скидка является конкурентным преимуществом, магазин выгодно давать карты ,а не мне, при выборе пойти в магазин который что бы дать карту соберет кучу информации обо мне и в том магазине где мне дадут по имени и номеру телефона карту, выберу второй.
    Зачем этому магазину мои ФИО полные, зачем ему мои паспортные данные(если конечно они не разыгрывают чего нибуть, тогда по закону требуется), накой ему эта информация? По практике, общаясь с операторами, после начала работ более половины информации ими в течении 5 лет не использовалась ни разу.
    Priest

    ОтветитьУдалить
  24. Анонимный14.11.10

    что то посты не постятся :-(

    ОтветитьУдалить
  25. to Priest: прошу прощения за Гугл - поместил Вас в спам.

    > Зачем этому магазину мои ФИО полные

    А как общаться менеджеру торговой компании - здравствуйте, абонент 456352?

    Паспортные данные они не собирают - разве что сам гражданин их предоставит, и то - серия и номер паспорта, по решению суда, НЕ ПДн - это данные самого бланка паспорта.

    > а с почтой все плохо, она вообще не заявлена как ИСПДн

    Тут, очевидно, такой сюжет. На вопрос - что за почта - Роскомнадзору будет ответ: внутренняя, корпоративная, передается по закрытому каналу связи. ФСТЭКу - сказано то же самое, однако он и спрашивать не будет - посмотрит на то, что по 58-му приказу все сделано (но средства не сертифицированы), посмотрит на VPN, посмотрит на копию лицензии на ТЗКИ конторы, которая все это придумала, и решит, что судебный прецедент им не нужен, так как и без того шаткое положение их "лицензирования" может быть ухудшено. Придет ФСБ проверять ПДн - им будет сказано, что класс системы и категория ПДн не предусматривает использования криптографии, и та железка, которая стоит у них - для других целей. Ну а если придет проверять не ПДн - тогда и без VPN можно всех пересажать, так как у них стоит Win7 с BitLocker.

    > магазин выгодно давать карты ,а не мне, при выборе пойти в магазин который что бы дать карту соберет кучу информации обо мне и в том магазине где мне дадут по имени и номеру телефона карту, выберу второй.

    Надо понимать, что дисконтная карта - это обоюдное согласие. Магазин дает Вам скидку, однако взамен ему необходимо иметь некоторые сведения, чтобы вести с Вами диалог (нормальный) и формировать свою маркетинговую политику, развивать бизнес и стараться удовлетворить покупательский спрос. Поэтому в данном случае магазин собирает минимум сведений, а те, что собирает - ну никак не могут Вам навредить, если Вы не иностранный шпион или уголовник в бегах. Но и в этом случае Вы вправе не оформлять никаких дисконтных карт.

    ОтветитьУдалить
  26. И еще. Регуляторы - не роботы с заложенными текстами законов и нормативов и алгоритмами их проверки - а такие же люди, в большинстве своем - адекватные и нормальные, и с ними нужно уметь вести диалог, а не бычить. Все все понимают - и ущербность нормативной базы, и то, что раз никто ничего не хочет менять - значит это кому-то выгодно. Так что главное - не лебезить, не бычить и быть готовым отстаивать свои права в суде.

    ОтветитьУдалить
  27. topless_freak14.11.10

    ИМХО наиболее вероятный сценарий: РКН проверяет все до акта классификации включительно, за исключением ЧМУ. ФСТЭК - все после акта до крипты, плюч ЧМУ. Здесь первый затык - РКН в VPN сунуться прав немаэ, а ФСТЭК по уму не станет, так как VPN - крипта, как не крути. ФСБ глянет что крипты к К3 быть по идее не дОлжно, данные передаются - фуфло, и забьет, они ведь не наказывают. Вероятность того, что придут все в троем, близка к нулю, иначе все они друг с другом перепазгаются, спихивая VPN друг на друга, потому счастливого плавания этому кораблю.

    ОтветитьУдалить
  28. Анонимный14.11.10

    > А как общаться менеджеру торговой компании - здравствуйте, абонент 456352?
    Достаточно имени и фамилии? По крайней мере последние звонки операторов обходились без отчества.

    >Паспортные данные они не собирают - разве что сам гражданин их предоставит, и то - серия и номер паспорта, по решению суда, НЕ ПДн - это данные самого бланка паспорта.
    В данной торговой сети это так, но есть и другие примеры, когда у меня супруга меняла карточку летуал, то продавец выдал ее после заполнения всех данных в том числе и паспортные данные ( в данном случаи имеется в виду не только номер и сери, но и кем, когда выдан, дата выдачи и нместо прописки)

    >Тут, очевидно, такой сюжет. На вопрос - что за почта - Роскомнадзору будет ответ: внутренняя, корпоративная, передается по закрытому каналу связи. ФСТЭКу - сказано то же самое, однако он и спрашивать не будет - посмотрит на то, что по 58-му приказу все сделано (но средства не сертифицированы), посмотрит на VPN, посмотрит на копию лицензии на ТЗКИ конторы, которая все это придумала, и решит, что судебный прецедент им не нужен, так как и без того шаткое положение их "лицензирования" может быть ухудшено. Придет ФСБ проверять ПДн - им будет сказано, что класс системы и категория ПДн не предусматривает использования криптографии, и та железка, которая стоит у них - для других целей. Ну а если придет проверять не ПДн - тогда и без VPN можно всех пересажать, так как у них стоит Win7 с BitLocker.

    Когда я говорил на слово- имел в виду как написано в документах.
    Акт категорирования там ИСПДн нераспределенная К3 - в форме разрешения передача по электронной почте – акт категорирования неправильно сделан.
    Несертифицированные средства – где подтверждение что VPN выполняет заявленные функции – в лицензионном договоре – в лицензионном договоре нет подтверждения (Как пример фальшивый антивирус)
    По поводу лицензии на ТЗКИ – ФСТЭК их и приостанавливает и отбирает, нормальная практика, причем не только на ТЗКИ, но аккредитацию органа по аттестация ,и лаборатории
    ФСБ толковые ребята, они знают что смотреть последний раз столкнулся в одном бюро кредитных историй (все сервера в дата центре) не наказывали некого, была настойчивая рекомендация убрать касяки в настройки МЭ, и поставить гост на канал

    >> магазин выгодно давать карты ,а не мне, при выборе пойти в магазин который что бы дать карту соберет кучу информации обо мне и в том магазине где мне дадут по имени и номеру телефона карту, выберу второй.

    >Надо понимать, что дисконтная карта - это обоюдное согласие. Магазин дает Вам скидку, однако взамен ему необходимо иметь некоторые сведения, чтобы вести с Вами диалог (нормальный) и формировать свою маркетинговую политику, развивать бизнес и стараться удовлетворить покупательский спрос. Поэтому в данном случае магазин собирает минимум сведений, а те, что собирает - ну никак не могут Вам навредить, если Вы не иностранный шпион или уголовник в бегах. Но и в этом случае Вы вправе не оформлять никаких дисконтных карт.
    В идеальном варианте, но если посмотреть ,косяков более чем достаточно – использование ПДн для получения кредита в банке реальные случаи, на сколько они тесно связанны с торговыми сетями другой вопрос, но с ними случаи были.

    Согласитесь, безопасностью юридические лица в Росси занимаются более менее активно только в последние годы, да и то не все. Последний случай – крупная торговая сеть (западная), со всех регионов шлют копии паспортов возможных сотрудников по факсу ,факс стоит в центральном офисе в холе (один на всех) и вокруг этого факса навалены эти сканы, бери не хочу. По-моему это не нормально.

    Если вернутся к данному магазину – можно попробовать использовать указанный механизм, но надо определиться что заявлять всё-таки и убрать косяки и противоречия в документах. Хотя честно говоря я не совсем понимаю почему нельзя использовать было с Гостом, благо там скорее всего один магазин и VPN клиентом за 2000 руб можно было бы решить эту задачу, да и дешевле скорее всего обошлось.

    P.S. статью что ли написать по этому вопросу :-)
    Priest

    ОтветитьУдалить
  29. Анонимный14.11.10

    > ИМХО наиболее вероятный сценарий: РКН проверяет все до акта классификации включительно, за исключением ЧМУ. ФСТЭК - все после акта до крипты, плюч ЧМУ. Здесь первый затык - РКН в VPN сунуться прав немаэ, а ФСТЭК по уму не станет, так как VPN - крипта, как не крути. ФСБ глянет что крипты к К3 быть по идее не дОлжно, данные передаются - фуфло, и забьет, они ведь не наказывают. Вероятность того, что придут все в троем, близка к нулю, иначе все они друг с другом перепазгаются, спихивая VPN друг на друга, потому счастливого плавания этому кораблю.

    Можно узнать почему РКН проверяет только до ЧМУ? Откуда такая информация?

    Priest

    ОтветитьУдалить
  30. > Достаточно имени и фамилии

    Ну, это кому как. Я полагаю, толстосуму в возрасте с часами ролекс за лимон будет явно недостаточно.

    > Несертифицированные средства – где подтверждение что VPN выполняет заявленные функции

    Вы действительно считаете, что несертифицированный антивирус не выполняет свои функции? В противном случае - второй вопрос: где написано, что они должны быть сертифицированы - в 330-м ПП? Уговорите ФСТЭК выслать мне его оригинал, давно потерял надежды.

    > Откуда такая информация?

    Позволю себе ответить: из 152-ФЗ, 781-ПП и ВНД этих служб. Полномочия разграничены именно так, как говорит topless_freak. И на всех конференциях, что мне доводилось бывать, эти службы говорят именно то же самое. Вы, конечно, можете позволить пожарнику проверять внутреннюю бухгалтерскую отчетность, но это Ваше личное дело.

    -------

    Я вот сижу уже четвертый день и жду, когда ну хоть кто-нибудь мне скажет: "Волков, о чем ты говоришь? Какая нахрен ИСПДн, какая классификация, если происходит тупо сканирование и отправка по почте? Это НЕАВТОМАТИЗИРОВАННАЯ обработка! Иди учи матчасть!"

    Но мне почему-то этого так никто и не сказал...

    ОтветитьУдалить
  31. topless_freak15.11.10

    Мляяяяяяяяяя.................всех развел. Для "упертых" - п7 пп781

    Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.

    РКНу хватит

    ОтветитьУдалить
  32. Для "упертых" в смысле в "автоматизированную"? ПП781 именно ее касается. в 687-м этого нет ;)

    ОтветитьУдалить
  33. topless_freak15.11.10

    А что они тогда классифицировали?

    ОтветитьУдалить
  34. ИСПДн для обработки ПДн сотрудников. О ней и надо говорить. А анкеты сканируются и отправляются по e-mail а потом - по обычной почте. В компе не хранятся. Магазин - ОБРАБОТЧИК. С ним у "центра" заключен отдельный договор, все требования по безопасности и конфиденциальности в нем прописаны. В том числе - требования к организации хранения анкет до их отправки, и обязательность передачи скана анкет по внутренней корпоративной почте. Поэтому - для неавтоматизированной обработки - все выполнено по 687-му, а для автоматизированной - совершенно справедливо - пункт 7, так как есть инструкция по этому вопросу. Как угодно - так и думайте. Таким образом "центр" как заяц - запутывает регуляторов :)

    ОтветитьУдалить
  35. Анонимный15.11.10

    Отправка по почте не может происходить при участии человека.

    ОтветитьУдалить
  36. > Отправка по почте не может происходить при участии человека.

    То есть, отправка по почте - это исключительно автоматизированная обработка? :)

    ОтветитьУдалить
  37. "То есть, отправка по почте - это исключительно автоматизированная обработка? :)". Ссылку сейчас вряд ли найду, но было судебное решение в духе "кнопку нажимает, значит автоматизированная"

    ОтветитьУдалить
  38. > кнопку нажимает, значит автоматизированная

    Ну, Валентин, давайте будем здраво мыслить. Если вместо ПК поставить МФУ с подключением к ЛВС и автоматической отправкой скана на почту - это автоматизированная, что ли? И что - на МФУ по 781 и 58-му МЭ с антивирусом и пароль ставить?

    А про судебные решения... эх, &&$&^%&$$ !

    ОтветитьУдалить
  39. topless_freak15.11.10

    Не-а, МФУ во фстеке сертифицировать :-)))))))

    ОтветитьУдалить
  40. to topless_freak: надо тогда всем операторам всю ИСПДн по стр-к (а еще лучше - по стр) аттестовать - да и не париться - радужный сон регуляторов наконец сбудется :)

    ОтветитьУдалить
  41. Немного неточно указал, решение было "кнопку в программе нажимает, значит автоматизированная" (в решении рассматривалась система на 1С, содержащая ПДн).
    "на МФУ по 781 и 58-му МЭ с антивирусом и пароль ставить" - ну это уже перебор, правда пароль на удаленное администрирование МФУ лучше все же поставить.

    ОтветитьУдалить
  42. > рассматривалась система на 1С, содержащая ПДн

    С этим, в принципе, можно согласиться - 1С - это ведь некий суррогат ЕРП, да и "база данных" в обывательском понимании там имеется. Так что решение, на мой взгляд, правильное.

    > ну это уже перебор

    О чем и речь. МФУ - это фактически ПК с Линукс на борту, и если обычный ПК со сканером и "виндой" на борту выполняет ровно те же функции (и пароль на вход стоит, плюс антивирус даже) - то какая же это автоматизированная обработка?

    ОтветитьУдалить
  43. Анонимный29.11.10

    а как же Конвенция Совета Европы
    "О защите физических лиц при автоматизированной обработке персональных данных"

    Статья 2 — Определения
    c) «автоматизированная обработка» включает в себя следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение;

    ОтветитьУдалить
  44. > а как же Конвенция Совета Европы

    Ну, как. Так. Данные-то должны быть в БД. Конечно, если считать БД сканированный PDF-файл...

    ОтветитьУдалить
  45. Анонимный6.12.10

    Из типовых требований ФСБ:

    Шифровальные (криптографические) средства - криптосредства:
    а) средства шифрования – аппаратные, программные и аппаратно–программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;
    б) средства имитозащиты – аппаратные, программные и аппаратно–программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;
    в) средства электронной цифровой подписи – аппаратные, программные и аппаратно–программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;
    г) средства кодирования – средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;
    д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации);
    е) ключевые документы (независимо от вида носителя ключевой информации).

    Однако речь везде о ДАННЫХ а не о КАНАЛЕ СВЯЗИ, Хитрый центр..

    ОтветитьУдалить