Всем известно требование нормативных документов ФСБ по персданным, согласно которому: "Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства". Выполнить это требование непросто, ввиду отсутствия сертифицированных решения для большого количества сценариев обработки ПДн. Но даже в том случае, если такое решение существует, немногие готовы его покупать. И из-за дороговизны, и из-за непонятности требования - ведь уровень защиты ПДн при этом не изменяется. Какая разница, чем зашифрованы ПДн - ГОСТом или AESом? Ни ФСБ, ни производитель, ни сертификационная лаборатория все равно никакой ответственности не несет. Так зачем, как говорилось в одной рекламе: "платить больше?"
Есть сценарий ухода от использования сертифицированных шифровальных средств при обработке ПДн. Но использовать его можно только в том случае, если вы готовы его обосновывать перед проверяющими (если таковые появятся на горизонте). Итак идея проста - вы не шифруете, вы обезличиваете ;-)
В приведенной выше формулировке ФСБ речь идет о защите ПДн. Обезличивание же никакого отношение к безопасности ПДн не имеет. Его цель - вывести данные из разряда персональных, тем самым снизив требования к оператору ПДн и его издержки. И шифрование по существующим международным документам (а также рекомендациям ЦБ и АРБ) является идеальным механизмом обезличивания. И ведь никто никогда не утверждал, что шифровальные средства ограничиваются только одной сферой применения - защитой. Их можно использовать для множества других задач - обеспечения целостности информации (и никто не требует сертификации средств, использующих CRC) или проверки подлинности информации. Почему нельзя использовать шифровальные средства для обезличивания информации? Запрет есть? Нет! Значит можно.
А что вытекает из этого? То, что для обезличивания вы можете использовать любые средства шифрования - даже, о, крамола, несертифицированные. Можно пойти дальше и спокойно применять IPSec на пограничных маршрутизаторах с целью не защиты данных, а их обезличивания. А для этого не надо ни сертификации шифровального средства, ни лицензии на его техобслуживание.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.