понедельник, 17 марта 2014 г.

О пользе обезличивания ПДн


Продолжая разговор об обезличивании, попытаемся извлечь практическую пользу от обезличивания ПДн (тем более, что, как недавно рассказал Алексей Лукацкий, для государственных и муниципальных учреждений обезличка является обязательной). Поскольку «обезличенные данные» не являются персональными данными, их можно безбоязненно передавать по открытым каналам связи, что избавляет оператора от необходимости «связываться» с криптосредствами. Конечно, при этом встает проблема передачи информации, необходимой для последующего деобезличивания. Формально говоря, передавать ее по тому же каналу, что и «обезличенные данные» нельзя, поскольку вероятность перехвата ПДн нарушителем будет достаточно высока.
А если передать эту информацию (например, идентификаторы) по другому каналу (через другого провайдера)? Или в другом сеансе связи (скажем, через неделю после передачи «обезличенных данных»)? Вероятность угрозы перехвата в таком случае будет минимальна и об актуальности угрозы можно забыть. А лучше всего, конечно, просто передавать носитель с информацией, необходимой для деобезличивания, в этом случае возможность восстановления ПДн внешним нарушителем будет исключена. Понятно, что последний вариант неудобен и подходит далеко не каждому  оператору. Но ведь можно прописать такой порядок передачи ПДн в локальных нормативных актах оператора, а в действительности передавать их «старым дедовским способом» - при помощи VPN. Формально требования по защите будут выполнены. Примерно так уже давно поступают некоторые операторы, передавая ПДн за рубеж: во внутренних документах пишут, что передача осуществляется на съемном носителе курьером, а на деле просто перегоняют их по VPN-каналу (в лучшем случае).

Комментариев нет:

Отправить комментарий