Статус: Новичок
Группы: Участники
Зарегистрирован: 18.09.2009(UTC)
Сообщений: 1
|
Ситуаця следующая: наша организация является оператором персональных данных, в процессе работы происходит пересылка персональных данных контрагентам по электронной почте. Поскольку это открытые каналы требуются защитить их путем применения криптографических средств. Получется следующий процесс: данные выгрузили из системы обработки персональных данных, зашифровали и отправили по почте.
Возникает два вопроса:
1. Есть в законодательстве ссылки на использование только сертифицированных ФСБ криптографических средств?
2. Если мы используем КриптоАрм для шифрования данных, сертфицированное ФСБ, должна ли наша организация иметь лицензию ФСБ "на деятельность по техническому обслуживанию шифровальных (криптографических) средств" ?
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036  Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
На вопрос 1:
Вот какая цепочка в законодательстве получается:
Часть 1 статьи 19 152-ФЗ "О персональных данных" говорит, что "Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных..."
Часть 2 статьи 19 152-ФЗ "О персональных данных" говорит, что "Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных..."
Статья 2 "Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденного Постановлением Правительства РФ № 781 от 17.11.2007, говорит, что "Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации."
Статья 5 "Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденного Постановлением Правительства РФ № 781 от 17.11.2007, говорит, что "Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия."
В соответствии с Системой сертификации РОСС RU.0001.030001 оценка соответствия осуществляется ФСБ России путем сертификации и оформления ертификата соответствия.
Таким образом, нужно использовать только сертифицированные СКЗИ для защиты персональных данных.
На вопрос 2:
"КриптоАРМ" пока не относится к шифровальным (криптографическим) средствам. К ним относится СКЗИ "КриптоПр CSP", которое "КриптоАРМ" использует. Поэтому нужно говорить, что Вы используете "КриптоПро CSP" для шифрования данных.
Если Вы устанавливаете СКЗИ "КриптоПро CSP" и обслуживаете его у себя, в своей организации, и не оказываете таких услуг (установки и обслуживания СКЗИ) сторонним организациям, то лицензия ФСБ "на деятельность по техническому обслуживанию шифровальных (криптографических) средств" Вам не нужна. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.01.2008(UTC) Сообщений: 35 Сказал «Спасибо»: 3 раз
|
Доброго времени суток. Хотелось бы получить консультацию на тему взаимодействия УЦ и Роскомнадзора в рамках закона "О персональных данных". В связи с тем что УЦ является оператором персданных требуется подавать в Роскомнадзор уведомление и определять класс используемой ИСПД.
Вопрос в том, какой класс присвоить ИСПД, исходя из того что в сертификаты вносится следующая информация: ФИО, Организация, ИНН организации, Город, Область, e-mail. Насколько я понимаю из всех полей указываемых в сертификате к персональным данным субъекта перс.данных можно отнести только поле CN=ФИО, так как остальная информация относится к организации в которой субъект ПД работает. Хотелось бы узнать мнение представителей других УЦ по этому поводу.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
Подыму тему. N 63-ФЗ: УЦ обязан: ст13.ч.2.п.3: Цитата:предоставлять безвозмездно любому лицу по его обращению в соответствии с установленным порядком доступа к реестру сертификатов информацию, содержащуюся в реестре сертификатов, в том числе информацию об аннулировании сертификата ключа проверки электронной подписи; Сейчас сертификаты содержат много персданных, и УЦ - это огромная ИСПДн. И дать любому лицу доступ к реестру сертификатов как то неправильно... Как решается данный вопрос? Первое, что приходит на ум - усложнить "порядок доступа". С предъявлением документа, по заявлению... может так?
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Пинаев Николай написал: Доброго времени суток. Хотелось бы получить консультацию на тему взаимодействия УЦ и Роскомнадзора в рамках закона "О персональных данных". В связи с тем что УЦ является оператором персданных требуется подавать в Роскомнадзор уведомление и определять класс используемой ИСПД.
Вопрос в том, какой класс присвоить ИСПД, исходя из того что в сертификаты вносится следующая информация: ФИО, Организация, ИНН организации, Город, Область, e-mail. Насколько я понимаю из всех полей указываемых в сертификате к персональным данным субъекта перс.данных можно отнести только поле CN=ФИО, так как остальная информация относится к организации в которой субъект ПД работает. Хотелось бы узнать мнение представителей других УЦ по этому поводу.
Здравствуйте! Правильно рассматривать УЦ как информационную систему обрабатывающие общедоступные персданные. Это обосновывается тем, что информация в сертификатах является общедоступной по 1-ФЗ и 63-ФЗ а так же нужно брать согласие у владельцев сертификатов, что идентификационные данные в сертификатах считать общедоступными. В противном случае при попытке классифицировать УЦ как ИСПДн вы получите огромный гемморой ибо все таки сертификаты по технологии PKI используются вне УЦ. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Rams написал:Сейчас сертификаты содержат много персданных, и УЦ - это огромная ИСПДн.
Как решается данный вопрос? Первое, что приходит на ум - усложнить "порядок доступа". С предъявлением документа, по заявлению... может так?
Это категорически не правильно!!! УЦ изготовил сертификат и выпустил его в свободное обращение. Зона ответственности УЦ закончилась!!!! |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
То, что происходит дальше это действительно не зона ответственности УЦ.
Я веду речь именно о "реестре сертификатов", к которому нужно предоставить доступ. Вчера, например, нашел санкт-питербургский уц, в котором реестр выложен в открытый доступ и можно просмотреть информацию о 5.5 тысячах выданных сертификатов с указанием места работы, должности, и ФИО. А если к ним добавится ИНН, СНИЛС, прочая информация?
Да и реализация реестра у них подвержена sql-инъекциям (самодельная форма поиска).
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
Ладно, на pki-форуме переговорим об этом =)
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Rams написал:Ладно, на pki-форуме переговорим об этом =) На PKI-форуме поговорить не получиться. меня там не будет... Сертификаты содержать только общедоступные персональные данные. Это вытекает из определения общедоступных ПДн из 152-ФЗ. Поэтому нужно обеспечивать только их целостность. А это обеспечивается ЭЦП издателя в сертификатах. Поэтому реестр пусть будет в открытом доступе!!! |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.07.2008(UTC) Сообщений: 1,287  Откуда: Краснодар Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
|
Юрий Маслов написал:...так же нужно брать согласие у владельцев сертификатов, что идентификационные данные в сертификатах считать общедоступными... и как это реализуется у Вас (ООО "КРИПТО-ПРО"), например?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
