Шифрование ПДн внутри предприятия. - Форум по вопросам информационной безопасности

На предприятии обрабатываются ПДн, класс ИСПДн = 1. Через тонкие клиенты идёт обращение к серверу, обрабатываются ПДн, соединение защищено как надо, по пост.Прав. 1119. Есть локальная сеть, связывающая компьютеры предприятия. За пределы здания не выходит.

А требуется ли шифрование ПДн при их передаче внутри локальной сети?
Если да, в каком официальном документе это сказано?
Если нет, то почему?

Откуда могут быть вопросы, когда "защищено как надо, по пост.Прав 1119"?! Или хотите переделать в другое "как надо"?
Видимо скучно стало человеку или заняться не чем...

А можно ответ на конкретный вопрос: А требуется ли шифрование ПДн при их передаче внутри локальной сети?

в 1119 инфы про шифрование внутри лвс не найдено.

Ну, раз там нет требования, то форумчане не уполномочены его туда вносить постами. Даже, если у кого-то из них фамилия Медведев.
Может Вам пойти от обратного: кто от Вас требует шифровать информацию внутри ЛВС? Если найдётся такой, то пусть он потрудится объяснить: откуда он взял такое требование.

Казалось бы, вопрос предполагал банальное "да/нет", но, как всегда...

Ответ получен, благодарю.

"Кроме" исполнения "четких" требований законодательства, ПДн необходимо защищать от актуальных УБПДн, поэтому, если у Вас актуальны УБПДн, связанные с перехватом/прослушиванием траффика ЛВС - необходимо принимать соответствующие меры. Одной из них может быть шифрование.

Есть ЦОД, где хранятся ПДн. ЦОД защищен и имеет аттестат. Уровень защищенности ПДн 3-й. Обработка, добавление, удаление и прочие операции с ПДн производятся через "тонкий клиент" по средствам браузера с помощью SSL и протокола HTTPS.
Вопрос, нужно ли защищать клиентские станции, определенные в 21 приказе ФСТЭК?Соответственно, ставить СЗИ от НСД, антивирус, защищенное соединение сертфицированными СЗИ.
Или можно обойтись орагнизационными мерами?

Toe, в ПП РФ от 1 ноября 2012 г. N 1119 (по которому Вы определяли уровень защищенности ПДн):
"14. Для обеспечения 3-го уровня защищенности ПДн при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности ПДн в информационной системе."
Соответственно сам 13 пункт:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных;

в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Отсюда следует, что необходимо выполнить 14 пункт и 13 (а,б,в), а вот (г)- если имеется необходимость ("когда применение таких средств необходимо для нейтрализации актуальных угроз") Об этом писал выше Автор: 1, 1, отвечая на вопрос Грейпфрут`а:
"Кроме" исполнения "четких" требований законодательства, ПДн необходимо защищать от актуальных УБПДн, поэтому, если у Вас актуальны УБПДн, связанные с перехватом/прослушиванием траффика ЛВС - необходимо принимать соответствующие меры. Одной из них может быть шифрование.

Отвечая на Ваш вопрос по существу, да, можно обойтись организационными мерами.

p.s. это моё мнение, если имеются другие точки зрения прошу их предоставить....

Приветствую!
Угрозы распишите в Модели. Нарушителей определите. Докажите, что ключевое (и единственное) место защиты на сторон рабочих станций - операционная среда и средства удаленного доступа (тот же браузер). Тогда можно без СЗИ НСД обойтись, исключительно орг.мерами.
А дальше чистое imho: можно и без ГОСТ в SSL обойтись, обозвав это все "кодированием" с выполнением УПД13 и проч. защиты соединений из 21 Приказа. Но лучше бы с сертифицированными СКЗИ совместно - и надежнее, и вопросов меньше. Также подумать об антивирусной защите, о контроле целостности применяемых средств удаленного доступа, о контроле распределения памяти между тем же браузером и другими приложениями, об ИАФ пользователей при работе с ресурсами рабочих станций... Все это можно, конечно, "обойти" через Модель. Но только в случае, когда это реально оправдано для конкретного объекта (по экономическим и иным факторам). А не просто с целью уменьшения фактических затрат на безопасность (финансы, лень и проч.)
+, если вопрос решать организационно, то "вот-такой-пресс-инструкций" понадобится...