Страницы

Как передавать ПДн по открытым каналам связи без шифрования


Одной из сложностей реализации 152-ФЗ "О персональных данных" является организация защищенного вебсайта, собирающего персональные данные, т.к. передаваемые персональные данные сайту необходимо скрывать от посторонних (т.е. шифровать).
Из Постановления Правительства 781:
7. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.
5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
Из 58 приказа ФСТЭК:
2.8 Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
...
создание канала связи, обеспечивающего защиту передаваемой информации.
Техническое средство, реализующее защищенный канал связи, должно быть сертифицировано ФСБ в качестве средства шифрования. Получить сертификат ФСБ могут только те технические средства, которые реализуют отечественные криптоалгоритмы (ГОСТ 28147-89).

Т.о. facebook или gmail могут обеспечивать безопасность ПДн с помощью https и ssl, построенных на западных криптоалгоритмах, но нашим же сайтам обязательно нужно использовать ГОСТ: ставить на всех клиентов КриптоПро CSP или аналоги (КриптоПро стоит 1800р и не на всех платформах работает (iOS)); использовать дорогие решения StoneGate SSL и т.д.

В результате требования к шифрованию веб трафика выполнить зачастую невозможно, т.к. круг посетителей вебсайта обычно не ограничен.

Давайте посмотрим, как из этой ситуации выкручивается сайт gosuslugi.ru:
Все просто! Субъект даёт согласие (галка обязательна!) на передачу своих перс.данных по открытым (незащищённым) каналам связи Интернет. Т.о. портал госуслуги снимает с себя ответственность за возможное разглашение ваших перс.данных (ФИО, СНИЛС, паспорт, контакты, фото и т.д.) по пути от вашего ПК до сервера гос.услуг (или еще хуже - использует несертифицированную криптографию (AES 256 бит + RSA) для защиты персональных данных).
Видя такую несправедливость, я написал жалобу в Роскомнадзор через тот же портал гос.услуг и получил такой вот ответ:

Т.е. использовать западную криптографию для защиты персональных данных в К1 системах или не защищать их вовсе - "соответствует требованиям законодательства..".

Как всё-таки порой обидно, что право у нас не прецедентное и этим решением нельзя будет отмахиваться от регуляторов, если они вдруг начнут задавать один из своих любимых вопросов "А покажите сертификат!".

[UPDATE] вот и на Инфобереге как раз эту тему обсуждают.
[UPDATE2] Прочитайте какой выход из сложившейся ситуации нашли РЖД.

51 комментарий:

  1. Вобще то - определение достаточности технических мер защиты это не совсем компетенция Роскомнадзора.

    Надо было подать заявление госуслугам на отзыв согласия на передачу по открытым каналам связи.
    Подождать положенный срок, проверить что личный портал всё ещё доступен через интернет
    и после этого подать жалобу в роскомнадзор.

    ОтветитьУдалить
    Ответы
    1. В РКН я писал скорее с вопросом правомерно ли с меня брать согласие на передачу моих ПДн по открытым каналам связи.

      "Отзыв согласия" среди госуслуг на сайте не числиться :). Да и нравится мне этот сайт. Время экономит и в очередях можно не стоять.

      Удалить
    2. Вроде наличие любого согласия не освобождает от выполнения требований закона "о защите прав субъекта" в т.ч. мероприятий по защите данных. Они же не признают данные общедоступными, что могло бы увести под 4-й класс.
      Сергей

      Удалить
  2. TLS для клиентов бесплатен, что в случае с КриптоПро, что Vipnet. Так что для организации шифрованного канала TLS достаточно поставить полнофункциональное CSP на сервере и все, клиенты ни за что не платят.

    А на ЕПГУ и смотреть нечего. РТК и маленькая коммерческая контора несопоставимы по возможностям. В том числе и в правовой области.

    ОтветитьУдалить
    Ответы
    1. Если всё так просто и бесплатно, то остается только удивляться тому, что этим никто не пользуется (есть примеры крупных сайтов с ГОСТ SSL?).

      Удалить
    2. Ответ во втором абзаце - им это не нужно, поскольку на них не каплет )

      А если серьезно - есть, я их видел. Но ссылки будет давать некорректно =)

      Удалить
    3. Вероятно потому, что это требует все же дорабатывать сайт и иметь лицензию ФСБ на встраивание, которую до недавних пор можно было получить только в 8-м центре, а потом ещё и проводить процедуру корректности встраивания в том же 8-м центре... А что будет с этой корректностью встраивания после изменений на сайте - не ясно.
      Работы много, а стимулов не очень - регуляторы нечасто могут разглядеть в таких случаях нарушение, вроде вообще никого ещё за передачу без шифрования не наказали.
      Сергей

      Удалить
    4. Михаил, боюсь спросить... А что, в случае использования бесплатного (для клиента) клиента TLS на базе ГОСТа (Крипто-ПРО, там или VIPNet) на клиенте уже ничего устанавливать не надо??? Ну не платит клиент денег, но, всё равно, он может работать с сайтом только со специфического АРМа, оборудованного клиентской криптографической библиотекой, что само по себе очень часто не может быть реализовано в принципе. Ну, хотя бы в тех же самых информационных киосках или на мобильных устройствах.

      Удалить
    5. А как же фраза В.В.Путина, что "Перед законом все едины от бомжа до Президента"?

      Удалить
  3. Стандартными средствами все делается, например можно поставить на IIS серверный гостовый сертификат. IIS относится к стандартному ПО, для которого не требуется проведение контроля корректности встраивания.

    ОтветитьУдалить
    Ответы
    1. Ну это в последних версиях того же криптопро появилось, да, год назад вроде ещё не было. Но список "стандартного ПО" закрытый и далеко не на всех сайтах IIS используется, а переезжать на него может оказаться так же весьма проблематичным. Я уже не говорю про тех кто покупает хостинг.
      Сергей

      Удалить
    2. Я в свое время подавал на эту тему запрос в ФСБ - они мне ответили, что оценку влияния (корректность встраивания) не нужно делать для любого ПО, входящего в состав ОС, под которую СКЗИ типа CSP сертифицирован.

      Удалить
    3. вот как раз линк на этот полезный прецендент
      http://novokreshenov.blogspot.com/2012/06/web.html

      Удалить
  4. Не нужно ставить на всех клиентов криптопро за 1800. Сами криптопрошники предлагают дешёвый вариант http://www.cryptopro.ru/forum2/Default.aspx?g=posts&t=3136
    А то что пользователям надо будет качнуть и установить халявный! клиент, ничего напряженного нет. Все же нормально без капризов устанавливают клиенты dropbox например, или например тот же iTunes.

    ОтветитьУдалить
    Ответы
    1. Когда вендор предоставляет бесплатный CSP - это конечно здорово. Но при таком раскладе у меня возникает 1 вопрос - а является ли ПО, скачанное с сайта вендора в этом случае сертифицированным? Оно ведь как бы должно сопровождаться документацией, быть упаковано и промаркировано соответствующим образом.

      Удалить
    2. Вопрос снимается. Покопался на форуме КриптоПро - вобчем хотя бы одну болванку купить таки надо, потом достаточно делать копии с неё и распространять среди клиентов

      Удалить
    3. Это мнение посетителей сайта КриптоПро или там указан официальный источник?

      ФСБ вот требовала, чтобы на каждые N Континент-АП или ViPNet Client было ровно N дисков и формуляров..

      Удалить
    4. Это информация представителей КриптоПро. По их заявлениям достаточно проверки контрольных сумм дистрибутива на диске-копии, чтобы подтвердить "сертифицированность"
      http://www.cryptopro.ru/forum2/Default.aspx?g=posts&t=1314

      Удалить
    5. Михаил,как вы считаете, кто должен покупать Криптопро и делать потом с нее копии, владелец ресурса или сам клиент? Если владелец - такие действия должны, кажется, попадать под лицензию. Если клиент - все те же затраты. И еще такой момент, криптопро можно нахаляву использовать только 3 месяца, или я ошибаюсь?

      Удалить
    6. Я считаю, что все вопросы с обеспечением своих клиентов необходимым ПО должен брать на себя владелец ресурса. По поводу лицензий - по логике лицензии на распространение и на предоставление услуг в области шифрования вроде как нужны, хотя все организуется на бесплатной основе, а значит нет выгодополучения, сложный вопрос. По поводу лицензии на техобслуживание СКЗИ, тоже не все просто - там определено условие "кроме случаев для собственных нужд". Что считать собственными нуждами до сих пор остается неясным.
      По поводу срока "нахаляву" лучше этот момент уточнить у представителей КриптоПро.

      Удалить
    7. Спасибо за разъяснения. По описанной криптопро схеме, на самом деле, еще много вопросов возникает. Поскольку клиентами лицензия на СКЗИ не приобретается, формуляр никто не выдаст, а как на применение такого скзи посмотрит регулятор не ясно.

      Удалить
  5. В условиях, когда Интернет полон базами ПДн из разных госучреждений и об их происхождении никто пока компетентно общественности не удосужился рассказать и никто не беспокоится о нарушениях такого масшатаба, то рассмотренный вопрос - мелочь.
    А ответ, данный роскомнадзором, даже в его части, некомпетентный и призван формально замылить вопрос. Про согласие ничего не отвечено...
    При этом РКН, являясь эксплуататором данной системы, наверняка обладает специалистами, на которых в т.ч. выдан Аттестат на К1. Поэтому это как раз в его компетенции - давать компетентные ответы по конкретно этой системе. Чего не видно.
    Один даже факт того, что Аттестат УЖЕ есть, а сертификация ЕЩЕ выполняется стоит похвал! Это прямое нарушение порядка, указанного в положении по аттестации.
    С уважением.

    ОтветитьУдалить
    Ответы
    1. Наверное, крайне неудобно наступать на грабли, которые сами регуляторы и пораскидали.
      В одном полушарии мозга государства айпады, госуслуги и СМЭВ, в другом - ПЭМИН, ГОСТ и сертификация. Осталось подружить их между собой :)

      Еще вот один вебсайт с перс.данными. На этот раз вроде бы от ФСБ. Вообще без шифрования. http://www.gov-cert.ru/cgi-bin/abuse.cgi

      Удалить
    2. Ну если подразумевать под персональными данными ФИО и телефон (который может быть служебным), то их смело можно считать обезличенными - идентифицировать субъекта нельзя. Так что в данном случае, ИМХО можно обойтись и без шифрования.

      Удалить
    3. мое ФИО + должность + название организации меня прекрасно идентифицируют :)

      Удалить
    4. Хммм...должность не заметил...согласен, пожалуй с ней идентифицировать уже можно. Тады шифрование надоть

      Удалить
  6. Михаил,простите а где сказано, что обезличенные ПДн не нужно защищать?

    ОтветитьУдалить
    Ответы
    1. п.1 Приложения к 58 приказу - Методы и способы защиты информации от несанкционированного доступа для обеспечения безопасности персональных данных в информационных системах 4 класса и целесообразность их применения определяются оператором (уполномоченным лицом).
      По МУ для данных систем вы вполне обоснованно для обезличенных и общедоступных данных можете признать угрозы конфиденциальности и целостности передаваемых данных по сети Интернет неактуальными, а значит отказаться от использования СКЗИ

      Удалить
    2. К4 защищается в соответствии с "пожеланиями" Оператора

      Удалить
  7. Добрый день!
    Подскажите, наш сайт функционирует как образовательный портал. Посетителем вводится только ФИО, а город, школа, класс, успеваемость берутся из БД школы. Всё это отображается в профиле пользователя (типа соц.сети).
    Мы хотим купить Крипто-про и сертификат SSL от Крипто-про для того, чтобы передача ПДн от веб-сервера к браузеру пользователя и обратно соответствовала законодательству.
    1. Правильно ли мы делаем? Стоит ли?
    2. Мы одни такие?)
    С уважением, Анастасия.

    ОтветитьУдалить
    Ответы
    1. Дополню - предполагается, что пользователь должен будет скачать бесплатный Крипто-про клиент перед использованием портала.

      Удалить
    2. Замените ФИО ученика на номер школьного билета (или иной униальный идентификатор) - сможете?

      если да - то со СКЗИ и ГОСТом Вам можно будет вообще не связываться.

      Удалить
    3. К сожалению, нет. ФИО будут присутствовать.

      Удалить
    4. Анастасия, вот как раз вариант со скачиванием клиента вызывает вопросы, т.к. это недоверенный метод получения сертифицированного дистриба. Почитайте ветку форума КриптоПро

      Удалить
    5. Надо бы не забыть и сертификат издателя, чтобы построить цепочку сертификации до сертификата сайта, тоже получать доверенным образом, он же не входит в root list по-умолчанию.

      Удалить
  8. Добрый день!
    Есть вопрос по поводу бесплатной лицензии КрипроПро на клиентском месте. Насколько я понял из документации и общения с из ТП - это подойдет только для односторонней аутентификации, как только речь заходит о полной - с обращением к личному сертификату (и контейнеру) клиента - облом, нужна версия за 1800, бесплатная работать не будет.
    Нужна ли полная аутентификация для организации доступа к ПД через Internet - вот в чем вопрос. Однозначного ответа я в законах не нашел, но исходя из существующей практики (доступ к инфе в бюро кредитных историй, например) - да, нужна именно полная, с личным сертификатом клиента и контейнером на токене...Кто что может сказать по этому поводу?

    ОтветитьУдалить
  9. Да и если исходить из логики работы:
    1) Есть некий инфоресурс на сервере, содержащий ПД. 2) Есть пользователи, имеющие право на доступ к данному ресурсу.
    Логичной будет в первую очередь аутентификация пользователей (они допустим только просматривают ПД), а уже во вторую очередь - сервера (подмена сервера в этом сценарии большого смысла не имеет, кроме кражи паролей).
    Шифрование согласно ГОСТ - тут все понятно, и бесплатная версия будет шифровать.

    ОтветитьУдалить
    Ответы
    1. п.2.7 и п.2.8 58 приказа вполне однозначно говорят о двухсторонней аутентификации.
      Правда тот же приказ разрешает проверять подлинность только по логину и паролю..

      Удалить
    2. Бррр...подлинность по логину/паролю - это идентификация, однако. А в пункте 2.8 говорится про аутентификацию ИС (а не пользователей)...бред какой-то...вообще я в наших законах запутался...Далее действительно идет термин "проверка подлинности" и только на логин/пароль требования. Идиотизм.
      Вот например что сходу нагуглилось по Молдове:
      http://lex.justice.md/viewdoc.php?action=view&view=doc&id=337094&lang=2
      Есть в нашей стране подобный внятный документ или нет?

      Удалить
    3. использование стойкой взаимной аутентификации на сертификатах вполне ложится в схему защиты ПДн, предлагаемую регуляторами, но напрямую из нее, имхо, не выводится.

      решать нужно в каждом конкретном случае исходя из эффективности/стоимости, а не наличия палок со стороны регуляторов.

      Удалить
  10. Эффективность и стоимость в моем случае - это SSL AES. :) Но бывают ведь в природе нечистоплотные конкуренты, и палки от регулятора могут вырасти очень быстро... :(

    ОтветитьУдалить
  11. Ок, был не прав, переформулирую - аутентификация по многоразовому паролю, это не то что обычно понимается под аутентификацией, тем более если речь идет о двусторонней.
    Зачем мне вам что-то обосновывать, тратить время? Может сначала разберетесь со своим ЧСВ и не будете мне указывать что делать, ок?

    ОтветитьУдалить
  12. Добрый день!
    Подскажите, а разве ответы РКН не имеют прецендентное право? Т.е. может ли организация "оправдывать" свои решения ответами РКН на чьи либо обращения?

    ОтветитьУдалить
    Ответы
    1. Лучше запросить свой региональный РКН от имени Вашей организации. Тогда на ответ можно будет вполне ссылаться при проведении госконтроля.

      Удалить
  13. Однако. А существует ли правовое (около правовое :) ) обоснование такой организации работ со стороны РКН? В том смысле, что их частный ответ может относится только к конкретной ситуации с определённым лицом (физическим или юридическим)? Например, Иван Иванов запросил РКН о правомерности и достаточности защиты его ПДН, при обращении к сайту хххх.ru через акцептование согласия в веб-форме. РКН - ответил, что всё ОК. Однако оператор ПДн, которому стала доступна такая информация, не может обосновывать свой подход к защите ПДн данным ответом. Так получается?

    ОтветитьУдалить
  14. Вопрос, а если разместить дистрибутив бесплатный Крипто-про клиент у себя на ресурсе, и при необходимости входа в защищенную область сайта давать линк на скачку, по https, это будет достоверный способ получения дистрибутива?

    ОтветитьУдалить
    Ответы
    1. Нет. Сертифицированное средство шифрования должно иметь паспорт-формуляр и дистрибутив с голографическим знаком.

      Удалить
    2. Дистрибутив с голографическим знаком - это по ФСТЭК, не видел у ФСБ голограмм.

      Удалить
    3. Спасибо за статью. Сертификаты всегда брал на http://global.uanic.name/digital-ssl-certificate/index.php

      Удалить
  15. Тот самый момент когда вопрос актуален, но обсуждение было слишком давно

    ОтветитьУдалить