Нужно ли шифрование для защиты ПДн?

Нужно ли шифрование для защиты ПДн?
Чего-то понесло меня в тему шифрования в последнее время... Видимо постоянное "окружение" влияет ;-) Но обратимся к непростому, как оказывается, вопросу: "А нужно ли шифровать ПДн?" Многие операторы ПДн почему-то считают, что убрав из текста закона фрагмент "в т.ч. использовать шифровальные средства", законодатели сказали, что это самое шифрование теперь необязательно. И да и нет. Оно и раньше было необязательным, но находились "читатели", которые в словах после "т.ч." видели обязательство применения шифрования. И вот по инициативе ФСБ фрагмент убрали и многие "читатели" ринулись в другую крайность. Но дело даже не в этом, а в том, что все почему-то ставят знак равенства между термином "конфиденциальность", указанном в ФЗ-152, и термином "шифрование". Но ведь это не одно и тоже. Совсем не одно и тоже. Что говорит ФЗ-152 про конфиденциальность? "Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания". Где тут слово "шифрование"? Это всего лишь требование не допускать распространения ПДн без согласия их субъекта или иного законного основания. Достаточно всего лишь вписать в договор с субъектом, что ПДн передаются в открытом виде по Интернет (утрирую малость, но суть остается прежней) и вот вы уже чисты перед законом - согласие субъекта есть. Или передача данных в ФНС, ФМС, ФОМС и т.п. Обязаны передавать? Обязаны. Вот и передавайте без обеспечения конфиденциальности ;-) Но если все-таки и согласия у нас нет, и законных оснований тоже. Остается только шифрование? Опять нет. Требование не допускать распространения может быть достигнуто разными способами. Например, передачей ПДн в контролируемой зоне. Или передачей ПДн в среде, в которой перехват данных признан в результате экспертной оценкинеактуальной угрозой. Или заключением договора с оператором связи на обеспечение конфиденциальности (перекладывание рисков на чужие плечи). И только в последнюю очередь речь идет о шифровании ПДн. А если вспомнить про связку " шифрование - обезличивание ", то и вовсе весело становится ;-)
криптография персональные данные
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину