Одной из сложностей реализации 152-ФЗ "О персональных данных" является организация защищенного вебсайта, собирающего персональные данные, т.к. передаваемые персональные данные сайту необходимо скрывать от посторонних (т.е. шифровать).
Из Постановления Правительства 781:
7. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
Из 58 приказа ФСТЭК:
2.8 Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) применяются следующие основные методы и способы защиты информации от несанкционированного доступа:...создание канала связи, обеспечивающего защиту передаваемой информации.
Техническое средство, реализующее защищенный канал связи, должно быть сертифицировано ФСБ в качестве средства шифрования. Получить сертификат ФСБ могут только те технические средства, которые реализуют отечественные криптоалгоритмы (ГОСТ 28147-89).
Т.о. facebook или gmail могут обеспечивать безопасность ПДн с помощью https и ssl, построенных на западных криптоалгоритмах, но нашим же сайтам обязательно нужно использовать ГОСТ: ставить на всех клиентов КриптоПро CSP или аналоги (КриптоПро стоит 1800р и не на всех платформах работает (iOS)); использовать дорогие решения StoneGate SSL и т.д.
В результате требования к шифрованию веб трафика выполнить зачастую невозможно, т.к. круг посетителей вебсайта обычно не ограничен.
Давайте посмотрим, как из этой ситуации выкручивается сайт gosuslugi.ru:
Все просто! Субъект даёт согласие (галка обязательна!) на передачу своих перс.данных по открытым (незащищённым) каналам связи Интернет. Т.о. портал госуслуги снимает с себя ответственность за возможное разглашение ваших перс.данных (ФИО, СНИЛС, паспорт, контакты, фото и т.д.) по пути от вашего ПК до сервера гос.услуг (или еще хуже - использует несертифицированную криптографию (AES 256 бит + RSA) для защиты персональных данных).
Видя такую несправедливость, я написал жалобу в Роскомнадзор через тот же портал гос.услуг и получил такой вот ответ:
Т.е. использовать западную криптографию для защиты персональных данных в К1 системах или не защищать их вовсе - "соответствует требованиям законодательства..".
Как всё-таки порой обидно, что право у нас не прецедентное и этим решением нельзя будет отмахиваться от регуляторов, если они вдруг начнут задавать один из своих любимых вопросов "А покажите сертификат!".
[UPDATE] вот и на Инфобереге как раз эту тему обсуждают.
[UPDATE2] Прочитайте какой выход из сложившейся ситуации нашли РЖД.
[UPDATE] вот и на Инфобереге как раз эту тему обсуждают.
Вобще то - определение достаточности технических мер защиты это не совсем компетенция Роскомнадзора.
ОтветитьУдалитьНадо было подать заявление госуслугам на отзыв согласия на передачу по открытым каналам связи.
Подождать положенный срок, проверить что личный портал всё ещё доступен через интернет
и после этого подать жалобу в роскомнадзор.
В РКН я писал скорее с вопросом правомерно ли с меня брать согласие на передачу моих ПДн по открытым каналам связи.
Удалить"Отзыв согласия" среди госуслуг на сайте не числиться :). Да и нравится мне этот сайт. Время экономит и в очередях можно не стоять.
Вроде наличие любого согласия не освобождает от выполнения требований закона "о защите прав субъекта" в т.ч. мероприятий по защите данных. Они же не признают данные общедоступными, что могло бы увести под 4-й класс.
УдалитьСергей
TLS для клиентов бесплатен, что в случае с КриптоПро, что Vipnet. Так что для организации шифрованного канала TLS достаточно поставить полнофункциональное CSP на сервере и все, клиенты ни за что не платят.
ОтветитьУдалитьА на ЕПГУ и смотреть нечего. РТК и маленькая коммерческая контора несопоставимы по возможностям. В том числе и в правовой области.
Если всё так просто и бесплатно, то остается только удивляться тому, что этим никто не пользуется (есть примеры крупных сайтов с ГОСТ SSL?).
УдалитьОтвет во втором абзаце - им это не нужно, поскольку на них не каплет )
УдалитьА если серьезно - есть, я их видел. Но ссылки будет давать некорректно =)
Вероятно потому, что это требует все же дорабатывать сайт и иметь лицензию ФСБ на встраивание, которую до недавних пор можно было получить только в 8-м центре, а потом ещё и проводить процедуру корректности встраивания в том же 8-м центре... А что будет с этой корректностью встраивания после изменений на сайте - не ясно.
УдалитьРаботы много, а стимулов не очень - регуляторы нечасто могут разглядеть в таких случаях нарушение, вроде вообще никого ещё за передачу без шифрования не наказали.
Сергей
Михаил, боюсь спросить... А что, в случае использования бесплатного (для клиента) клиента TLS на базе ГОСТа (Крипто-ПРО, там или VIPNet) на клиенте уже ничего устанавливать не надо??? Ну не платит клиент денег, но, всё равно, он может работать с сайтом только со специфического АРМа, оборудованного клиентской криптографической библиотекой, что само по себе очень часто не может быть реализовано в принципе. Ну, хотя бы в тех же самых информационных киосках или на мобильных устройствах.
УдалитьА как же фраза В.В.Путина, что "Перед законом все едины от бомжа до Президента"?
УдалитьСтандартными средствами все делается, например можно поставить на IIS серверный гостовый сертификат. IIS относится к стандартному ПО, для которого не требуется проведение контроля корректности встраивания.
ОтветитьУдалитьНу это в последних версиях того же криптопро появилось, да, год назад вроде ещё не было. Но список "стандартного ПО" закрытый и далеко не на всех сайтах IIS используется, а переезжать на него может оказаться так же весьма проблематичным. Я уже не говорю про тех кто покупает хостинг.
УдалитьСергей
Я в свое время подавал на эту тему запрос в ФСБ - они мне ответили, что оценку влияния (корректность встраивания) не нужно делать для любого ПО, входящего в состав ОС, под которую СКЗИ типа CSP сертифицирован.
Удалитьвот как раз линк на этот полезный прецендент
Удалитьhttp://novokreshenov.blogspot.com/2012/06/web.html
Не нужно ставить на всех клиентов криптопро за 1800. Сами криптопрошники предлагают дешёвый вариант http://www.cryptopro.ru/forum2/Default.aspx?g=posts&t=3136
ОтветитьУдалитьА то что пользователям надо будет качнуть и установить халявный! клиент, ничего напряженного нет. Все же нормально без капризов устанавливают клиенты dropbox например, или например тот же iTunes.
спасибо! линк в тему.
УдалитьКогда вендор предоставляет бесплатный CSP - это конечно здорово. Но при таком раскладе у меня возникает 1 вопрос - а является ли ПО, скачанное с сайта вендора в этом случае сертифицированным? Оно ведь как бы должно сопровождаться документацией, быть упаковано и промаркировано соответствующим образом.
УдалитьВопрос снимается. Покопался на форуме КриптоПро - вобчем хотя бы одну болванку купить таки надо, потом достаточно делать копии с неё и распространять среди клиентов
УдалитьЭто мнение посетителей сайта КриптоПро или там указан официальный источник?
УдалитьФСБ вот требовала, чтобы на каждые N Континент-АП или ViPNet Client было ровно N дисков и формуляров..
Это информация представителей КриптоПро. По их заявлениям достаточно проверки контрольных сумм дистрибутива на диске-копии, чтобы подтвердить "сертифицированность"
Удалитьhttp://www.cryptopro.ru/forum2/Default.aspx?g=posts&t=1314
Михаил,как вы считаете, кто должен покупать Криптопро и делать потом с нее копии, владелец ресурса или сам клиент? Если владелец - такие действия должны, кажется, попадать под лицензию. Если клиент - все те же затраты. И еще такой момент, криптопро можно нахаляву использовать только 3 месяца, или я ошибаюсь?
УдалитьЯ считаю, что все вопросы с обеспечением своих клиентов необходимым ПО должен брать на себя владелец ресурса. По поводу лицензий - по логике лицензии на распространение и на предоставление услуг в области шифрования вроде как нужны, хотя все организуется на бесплатной основе, а значит нет выгодополучения, сложный вопрос. По поводу лицензии на техобслуживание СКЗИ, тоже не все просто - там определено условие "кроме случаев для собственных нужд". Что считать собственными нуждами до сих пор остается неясным.
УдалитьПо поводу срока "нахаляву" лучше этот момент уточнить у представителей КриптоПро.
Спасибо за разъяснения. По описанной криптопро схеме, на самом деле, еще много вопросов возникает. Поскольку клиентами лицензия на СКЗИ не приобретается, формуляр никто не выдаст, а как на применение такого скзи посмотрит регулятор не ясно.
УдалитьВ условиях, когда Интернет полон базами ПДн из разных госучреждений и об их происхождении никто пока компетентно общественности не удосужился рассказать и никто не беспокоится о нарушениях такого масшатаба, то рассмотренный вопрос - мелочь.
ОтветитьУдалитьА ответ, данный роскомнадзором, даже в его части, некомпетентный и призван формально замылить вопрос. Про согласие ничего не отвечено...
При этом РКН, являясь эксплуататором данной системы, наверняка обладает специалистами, на которых в т.ч. выдан Аттестат на К1. Поэтому это как раз в его компетенции - давать компетентные ответы по конкретно этой системе. Чего не видно.
Один даже факт того, что Аттестат УЖЕ есть, а сертификация ЕЩЕ выполняется стоит похвал! Это прямое нарушение порядка, указанного в положении по аттестации.
С уважением.
Наверное, крайне неудобно наступать на грабли, которые сами регуляторы и пораскидали.
УдалитьВ одном полушарии мозга государства айпады, госуслуги и СМЭВ, в другом - ПЭМИН, ГОСТ и сертификация. Осталось подружить их между собой :)
Еще вот один вебсайт с перс.данными. На этот раз вроде бы от ФСБ. Вообще без шифрования. http://www.gov-cert.ru/cgi-bin/abuse.cgi
Ну если подразумевать под персональными данными ФИО и телефон (который может быть служебным), то их смело можно считать обезличенными - идентифицировать субъекта нельзя. Так что в данном случае, ИМХО можно обойтись и без шифрования.
Удалитьмое ФИО + должность + название организации меня прекрасно идентифицируют :)
УдалитьХммм...должность не заметил...согласен, пожалуй с ней идентифицировать уже можно. Тады шифрование надоть
УдалитьМихаил,простите а где сказано, что обезличенные ПДн не нужно защищать?
ОтветитьУдалитьп.1 Приложения к 58 приказу - Методы и способы защиты информации от несанкционированного доступа для обеспечения безопасности персональных данных в информационных системах 4 класса и целесообразность их применения определяются оператором (уполномоченным лицом).
УдалитьПо МУ для данных систем вы вполне обоснованно для обезличенных и общедоступных данных можете признать угрозы конфиденциальности и целостности передаваемых данных по сети Интернет неактуальными, а значит отказаться от использования СКЗИ
К4 защищается в соответствии с "пожеланиями" Оператора
УдалитьДобрый день!
ОтветитьУдалитьПодскажите, наш сайт функционирует как образовательный портал. Посетителем вводится только ФИО, а город, школа, класс, успеваемость берутся из БД школы. Всё это отображается в профиле пользователя (типа соц.сети).
Мы хотим купить Крипто-про и сертификат SSL от Крипто-про для того, чтобы передача ПДн от веб-сервера к браузеру пользователя и обратно соответствовала законодательству.
1. Правильно ли мы делаем? Стоит ли?
2. Мы одни такие?)
С уважением, Анастасия.
Дополню - предполагается, что пользователь должен будет скачать бесплатный Крипто-про клиент перед использованием портала.
УдалитьЗамените ФИО ученика на номер школьного билета (или иной униальный идентификатор) - сможете?
Удалитьесли да - то со СКЗИ и ГОСТом Вам можно будет вообще не связываться.
К сожалению, нет. ФИО будут присутствовать.
УдалитьАнастасия, вот как раз вариант со скачиванием клиента вызывает вопросы, т.к. это недоверенный метод получения сертифицированного дистриба. Почитайте ветку форума КриптоПро
УдалитьНадо бы не забыть и сертификат издателя, чтобы построить цепочку сертификации до сертификата сайта, тоже получать доверенным образом, он же не входит в root list по-умолчанию.
УдалитьДобрый день!
ОтветитьУдалитьЕсть вопрос по поводу бесплатной лицензии КрипроПро на клиентском месте. Насколько я понял из документации и общения с из ТП - это подойдет только для односторонней аутентификации, как только речь заходит о полной - с обращением к личному сертификату (и контейнеру) клиента - облом, нужна версия за 1800, бесплатная работать не будет.
Нужна ли полная аутентификация для организации доступа к ПД через Internet - вот в чем вопрос. Однозначного ответа я в законах не нашел, но исходя из существующей практики (доступ к инфе в бюро кредитных историй, например) - да, нужна именно полная, с личным сертификатом клиента и контейнером на токене...Кто что может сказать по этому поводу?
Да и если исходить из логики работы:
ОтветитьУдалить1) Есть некий инфоресурс на сервере, содержащий ПД. 2) Есть пользователи, имеющие право на доступ к данному ресурсу.
Логичной будет в первую очередь аутентификация пользователей (они допустим только просматривают ПД), а уже во вторую очередь - сервера (подмена сервера в этом сценарии большого смысла не имеет, кроме кражи паролей).
Шифрование согласно ГОСТ - тут все понятно, и бесплатная версия будет шифровать.
п.2.7 и п.2.8 58 приказа вполне однозначно говорят о двухсторонней аутентификации.
УдалитьПравда тот же приказ разрешает проверять подлинность только по логину и паролю..
Бррр...подлинность по логину/паролю - это идентификация, однако. А в пункте 2.8 говорится про аутентификацию ИС (а не пользователей)...бред какой-то...вообще я в наших законах запутался...Далее действительно идет термин "проверка подлинности" и только на логин/пароль требования. Идиотизм.
УдалитьВот например что сходу нагуглилось по Молдове:
http://lex.justice.md/viewdoc.php?action=view&view=doc&id=337094&lang=2
Есть в нашей стране подобный внятный документ или нет?
использование стойкой взаимной аутентификации на сертификатах вполне ложится в схему защиты ПДн, предлагаемую регуляторами, но напрямую из нее, имхо, не выводится.
Удалитьрешать нужно в каждом конкретном случае исходя из эффективности/стоимости, а не наличия палок со стороны регуляторов.
Эффективность и стоимость в моем случае - это SSL AES. :) Но бывают ведь в природе нечистоплотные конкуренты, и палки от регулятора могут вырасти очень быстро... :(
ОтветитьУдалитьОк, был не прав, переформулирую - аутентификация по многоразовому паролю, это не то что обычно понимается под аутентификацией, тем более если речь идет о двусторонней.
ОтветитьУдалитьЗачем мне вам что-то обосновывать, тратить время? Может сначала разберетесь со своим ЧСВ и не будете мне указывать что делать, ок?
Добрый день!
ОтветитьУдалитьПодскажите, а разве ответы РКН не имеют прецендентное право? Т.е. может ли организация "оправдывать" свои решения ответами РКН на чьи либо обращения?
Лучше запросить свой региональный РКН от имени Вашей организации. Тогда на ответ можно будет вполне ссылаться при проведении госконтроля.
УдалитьОднако. А существует ли правовое (около правовое :) ) обоснование такой организации работ со стороны РКН? В том смысле, что их частный ответ может относится только к конкретной ситуации с определённым лицом (физическим или юридическим)? Например, Иван Иванов запросил РКН о правомерности и достаточности защиты его ПДН, при обращении к сайту хххх.ru через акцептование согласия в веб-форме. РКН - ответил, что всё ОК. Однако оператор ПДн, которому стала доступна такая информация, не может обосновывать свой подход к защите ПДн данным ответом. Так получается?
ОтветитьУдалитьВопрос, а если разместить дистрибутив бесплатный Крипто-про клиент у себя на ресурсе, и при необходимости входа в защищенную область сайта давать линк на скачку, по https, это будет достоверный способ получения дистрибутива?
ОтветитьУдалитьНет. Сертифицированное средство шифрования должно иметь паспорт-формуляр и дистрибутив с голографическим знаком.
УдалитьДистрибутив с голографическим знаком - это по ФСТЭК, не видел у ФСБ голограмм.
УдалитьСпасибо за статью. Сертификаты всегда брал на http://global.uanic.name/digital-ssl-certificate/index.php
УдалитьТот самый момент когда вопрос актуален, но обсуждение было слишком давно
ОтветитьУдалить