Pull to refresh

Comments 25

Регулятор рекомендует применять данный документ для защиты информации как в ГИС, так и в негосударственных информационных системах, в том числе для обеспечения безопасности ПДн.

Меня всегда умиляет эта фраза "регулятор рекомендует". Первое, у нас столько регуляторов, и под всех надо подстраиваться. И второе, если это рекомендации, то почему при проверках они становятся обязательными?


Рассмотрим, на что можно опереться, например, в ОС CentOS и БД PostgreSQL:
Шифрование тома по секторам, встроенным в ядро ОС «DM_Crypt».
Шифрование БД – модуль «pgcrypto» (шифрование таблиц и строчек самой БД, что позволяет в том числе выстроить защиту и от привилегированных пользователей, включая ИТ-персонал).
Создание защищенного соединения в кластере между БД «pg_hba.conf».
Защита клиент-серверного соединения – фактически необходимо TLS 1.2 и выше.

Но ведь говоря о криптографии, мы должны иметь ввиду российскую криптографию.

у нас столько регуляторов

Тут как раз просто. У каждого регулятора своя зона ответственности. Как правило эти зоны ответственности разделяются в соответствующем законе. Скажем по 152-фз ФСБ отвечает за шифрование
А регулятор рекомендует по причине того, что 1. обязать может закон и трактовать закон никто не может. Скажем по 152-фз согласие субъекта обязано быть письменным и хоть обрекомендуйся, что галочка на сайте это согласие — текст закона это нарушает
и 2. регулятор может в любой момент сменить свои рекомендации. Так в 17й приказ сейчас входят уровни доверия. Которые ДСП и что делать с имеющимися сертификатами на средства защиты — в упор не ясно
а. Еще и 3. Даже если вы выполнили все рекомендации регуляторов — суд может решить, что вы что-го нарушили.
Даже если вы выполнили все рекомендации регуляторов — суд может решить, что вы что-го нарушили.

А до решения суда регулятор или еще кто-то может отозвать лицензию или приостановить ее действие, если он решил что нарушены его РЕКОМЕНДАЦИИ?

Смотря какой регулятор. Если говорить про компании, подпадающие под некие требования, то тут ближе всего к вашему вопросу — может ли Роскомнадзор без суда наложить штраф или потребовать некие действия
ФСТЭК проводит очень мало проверок и я с ними не сталкивался, но вот лицензиата своего он думаю может лишить лицензии.
вот лицензиата своего он думаю может лишить лицензии.

Но для этого нужны основания. Является ли основанием не выполнение рекомендаций?

Очень давно интересовался темой, не рискну сейчас утверждать что-то
Скажем по 152-фз согласие субъекта обязано быть письменным и хоть обрекомендуйся, что галочка на сайте это согласие — текст закона это нарушает


Пункт 1 статьи 9 152-ФЗ: Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Нажатие галочки на сайте не позволяет подтвердить, что ее нажал именно тот человек, данные которого указаны. Именно поэтому для доступа скажем к данным налоговой галочку на сайте поставить мало — надо прийти и подтвердить свою личность
В ближайшее время в 152-ФЗ будут внесены изменения, позволяющие использовать для идентификации электронные ключи. Вот тогда да, на сайтах можно будет идентифицироваться уверенно — если они конечно эти ключи поддержат
Я не про галочку на сайте, а про то, что вы пишите, что якобы по 152-ФЗ согласие субъекта на обработку его ПДн всегда должно быть письменным, хотя это не так. Не вводите людей в заблуждение.
Формально вы абсолютно правы, но читаем далее:
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных… возлагается на оператора.

Как может оператор доказать, что ему точно дал согласие именно этот субъект? Варианты перечисляются далее

В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью

Так что альтернатива письменной форме только электронная подпись. Вы много раз видели ее применение? Я вот ни разу
Связка логин-пароль является простой электронной подписью. Так что если речь не идет о квалифицированных ЭП, то да, я много раз видел применение таких ЭП.

А давайте посмотрим что же думает сам РКН в своем постатейном комментарии 152-ФЗ от 2015 года про согласия субъекта в Интернете:

Комментарий к части 1 статьи 9 152-ФЗ

В комментируемой статье содержатся общие требования, предъявляемые к согласию субъекта персональных данных на обработку его персональных данных.
Часть 1 анализируемой статьи устанавливает условия принятия решения субъектом персональных данных о предоставлении своих персональных данных и дачи согласия на их обработку своей волей и в своем интересе. Следует отметить, что согласие должно быть конкретным, информированным и сознательным.

Конкретное согласие означает явно выраженное, предметное, определенное и неабстрактное согласие.

Под информированным согласием подразумевается уведомительное, сообщающее намерение о подтверждении того или иного события, факта, действия.

Под сознательным согласием имеется в виду осмысленное, обдуманное, разумное согласие.

Так, например, субъект персональных данных (пользователь) при регистрации на интернет-сайте принимает условия пользования указанным интернет-сайтом (пользовательское соглашение) и тем самым берет на себя обязательства, установленные указанным соглашением, а также всеми дополнительными правилами (правила верификации), которые являются неотъемлемой частью пользовательского соглашения. Перед регистрацией на интернет-сайте пользователь обязан ознакомиться с вышеуказанным пользовательским соглашением.

Таким образом, пользователь Интернета при регистрации на любом сайте самостоятельно принимает решение о предоставлении своих персональных данных и дает конкретное, информированное и сознательное согласие на их обработку своей волей и в своем интересе. То есть при использовании интернет-сервисов и согласно их политике в области конфиденциальности пользователь безоговорочно принимает условия данной политики в полном объеме в момент начала использования сервисов. В случае несогласия с каким-либо пунктом политики пользователь не имеет права использовать сервисы.

Зачастую в пользовательских соглашениях указано, что пользователь понимает и согласен с тем, что правообладатель вправе использовать информацию в сервисах, а также размещать комментарии пользователя, предоставленные и (или) добавленные им с помощью сервисов, в официальных группах социальных сетей и иных сообществах правообладателя в Интернете. Таким образом, факт размещения какой-либо информации (фамилии, имени, отчества, электронного адреса) на странице сайта предполагает согласие пользователя с условиями политики, а значит, согласие на размещение тех или иных комментариев на сервисе.

Также, например, субъект персональных данных при регистрации в качестве участника конкурса на интернет-сайтах принимает условия правил проведения конкурса, размещенных на сайте, и тем самым берет на себя обязательства, установленные указанными правилами. При этом факт участия в конкурсе означает конкретное, информированное и сознательное согласие участника на обработку организатором конкурса предоставленных участником персональных данных, в том числе фамилии, имени, отчества, номера телефона, а также почтового адреса.

В практике Роскомнадзора имеются случаи, когда субъект персональных данных после участия в конкурсе обращается в Роскомнадзор с требованием удалить информацию о себе, размещенную в открытом доступе. Вместе с тем на первоначальном этапе участия в конкурсе участник дает согласие на обработку персональных данных своей волей и в своем интересе и осознает, что раскрытие такой информации об участниках конкурса содержится в положениях ряда нормативных правовых актов.
Связка логин-пароль является простой электронной подписью

Электронная подпись подразумевает возможность централизованной проверки, при использовании логина и пароля этого нет. нет возможности подтвердить, что вводит их именно субъект — их владелец

По поводу комментариев Роскомнадзора. Я о них знаю. Но есть проблема. Ни один регулятор не имеет право комментировать/сужать требования закона. Я уже рассказывал историю, когда на конференции во Владивостоке упомянул при депутате Госдумы, что Роскомнадзор выпускает некие комментарии. Депутат был категоричен — никто кроме госдумы и верховного суда не имеет права толковать законы. Точка.
Роскомнадзор уже не раз говорил о том, что он не обладает правом трактовать законодательство.
. Отсюда
ФЗ «Об электронной подписи». Статья 5:

2. Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.


Регулятор, который проводит проверки на выполнение закона не может трактовать этот закон. Ок, понял. А как они тогда проверяют? Может с законом что-то не так, что он требует дополнительного толкования?
По подписи. Мы с вами как я понял говорим о разном.
подтверждает факт формирования электронной подписи определенным лицом

Я вполне верю, что логин и пароль могут быть сформированы определенным лицом. Но вот подтвердить, что ввело логин и пароль именно это лицо никак нельзя. Я говорю именно о возможности подтверждения личности
За цитату кстати спасибо, не знал

О толковании. После вашего прошлого письма я для интереса попытался найти, кто может толковать закон. Пишут, что высказывать мнение — может кто угодно, но вот утверждать, что так, а не иначе — может только определенный список органов. И я вполне верю, что любой регулятор может высказать мнение — пока его не поправит тот, кто имеет право толковать закон.
Вот скажем типичная ситуация. В законе сказано, что нужно использовать средства, прошедшие процедуру проверки соответствия. Орган власти говорит, что российскими органами, а регулятор говорит, что нужно использовать сертифицированные средства. Означает ли это, что все должны использовать только сертифицированные средcтва?
На всякий случай. Я действительно не нашел полного и точного списка тех, кто может толковать закон. Если у вас есть подобные сведения — буду благодарен
Проконсультировался у юристов. Ситуация куда интереснее. Комментировать закон может любой (даже частное лицо), вопрос в какой форме выпущены комментарии.
Если это некий приказ и он зарегистрирован в Минюсте, то это означает, что данный документ говорит, о том, что написанное в нем не противоречит закону. А вот если это некое письмо, разъяснение и оно в Минюсте не зарегистрировано, то это частное мнение (хотя конечно ЦБ выпускает именно письма...)
Но Минюст может накосячить, поэтому есть суд. Решение суда выше мнения Минюста
Однако все мы знаем, как косячат суды первой инстанции, да и в апелляции всякое бывает. Поэтому окончательный диагноз — решение Верховного суда, однако если решение первичной инстанции вступило в силу (никто его не опротестовал), то оно тоже будет иметь законную силу
Тоесть смотрим:
— зарегистрирован ли документ в Минюсте
— нет ли решений судов вступивших в закорнную силу, опровергающих точку зрения документа, зарегистрированного в Минюсте
Как-то так.
Меня всегда умиляет эта фраза «регулятор рекомендует». Первое, у нас столько регуляторов, и под всех надо подстраиваться. И второе, если это рекомендации, то почему при проверках они становятся обязательными?
«Рекомендует» — всего лишь повод для торга. Да, при аттестации в соответствии с требованиями будут смотреть на сертификаты, и каким образом осуществляется защита предназначенным для этого ПО. DLP сертифицирован только на НДВ и по сути не относится к СЗИ. То есть функционал DLP остается в стороне при аттестации (исключая специализированные требования) — лишь бы не понижал общий уровень. Поэтому здесь слово «рекомендация» вполне уместно.
Во вступлении, кстати, есть пояснение – «При этом регулятор напрямую не указывает на необходимость применения систем защиты конфиденциальных данных от утечек (DLP). Однако эти системы позволяют выполнить такие требования, как обеспечение конфиденциальности, целостности информации, передаваемой из информационной системы, регистрация событий безопасности и др.»
Но ведь говоря о криптографии, мы должны иметь ввиду российскую криптографию.
Да, но перечисленные в статье средства защиты идут в качестве модулей самой ОС, распространяющейся в РФ официально. Смотрим Положение о лицензировании деятельности по распространению шифровальных (криптографических) средств (утв. постановлением Правительства РФ от 29 декабря 2007 г. N 957)
Настоящее Положение не распространяется на деятельность по распространению:
а) шифровальных (криптографических) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну;
б) шифровальных (криптографических) средств, являющихся компонентами доступных для продажи без ограничений посредством розничной торговли, либо сделок по почтовым запросам, либо электронных сделок, либо сделок по телефонным заказам программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной, в том числе для проверки;
в) персональных кредитных карточек со встроенной микроЭВМ, криптографические возможности которых не могут быть изменены пользователями; и т.д.
«Рекомендует» — всего лишь повод для торга.

Это и страшит. Как торговаться?


Смотрим Положение о лицензировании деятельности по распространению шифровальных (криптографических) средств (утв. постановлением Правительства РФ от 29 декабря 2007 г. N 957)

А за это спасибо. Как-то не обращал внимания.

О! Тут крайне весело. Читаем например что по 152-ФЗ используемый продукт должен пройти оценку соответствия. По жизни большинство приобретают сертифицированные продукты. Но сертификация лишь один из видов оценки соответствия. Поэтому вы можете опереться на закон и сказать, что ваш продукт прошел оценку соответствия (предъявив естественно нужную бумагу). За рубежом например — в законе нигде не сказано, что оценка соответствия должна происходить в России
И так делают. К сожалению разговор был на бегу и не поинтересовался для каких продуктов
О! Тут крайне весело.

Веселого мало, если иметь ввиду сертификацию, ее сроки и стоимость.

Я бы сказал стоимость и сроки это ужас. Исправление уязвимости, давно доступной коммерческим клиентам хорошо через 4 месяца тем, кому нужно использовать сертифицированную версию. Нужна поддержка новой ОС? Платите деньги и ждите опять же месяца три
А уж сами требования, на которые проходит сертификация это просто… Не знаю даже слова… Грусть?
Да, но перечисленные в статье средства защиты идут в качестве модулей самой ОС, распространяющейся в РФ официально. Смотрим Положение ...

К чему Вы это цитируете?
Да, на деятельность по распространению операционных систем и СУБД не требуется лицензия ФСБ на СКЗИ.
Но с т.з. требований регулятора это не относится к СЗКИ в контексте требований ФСБ по защите ПДн.
С т.з. практики такое шифрование может помочь в ряде случаев.
Меня всегда умиляло, когда вендоры притягивают за уши все подряд меры из всех возможных нормативных документов, не заостряя своего внимания, что меры бывают базовые, а бывают и нет. Для разных классов — разные базовые меры. Плюс есть меры не базовые ни для одного класса. Но нет, мы перечислим все что можно, скажем заказчику, что он должен все это выполнять и выполняется это все конечно же нашей чудо-софтиной/железкой.
Да, Вы правы, в части привязки мер к DLP – об этом даже делали ремарку во вступлении, что нет прямой привязки мер и использования DLP. Да и рассмотрение систем в разрезе мер обеспечения безопасности есть практически у всех вендоров.
Но основная мысль текста не в этом, а в том, что необходима защита как каналов передачи информации, так и непосредственно самой БД DLP от:
— изменения/модернизации квалифицированным ИТ персоналом
— использования данных в личных целях.
Без выполнения вышеперечисленного DLP так и останется вспомогательным инструментом расследования, не более.
Only those users with full accounts are able to leave comments. Log in, please.