Hi almal! Ek bestuur die DataLine Cyber Defense Center. Kliënte kom na ons toe met die taak om aan die vereistes van 152-FZ in die wolk of op fisiese infrastruktuur te voldoen.
In byna elke projek is dit nodig om opvoedkundige werk uit te voer om die mites rondom hierdie wet te ontmasker. Ek het die mees algemene wanopvattings versamel wat duur kan wees vir die begroting en senuweestelsel van die persoonlike data-operateur. Ek sal onmiddellik 'n voorbehoud maak dat gevalle van staatskantore (GIS) wat met staatsgeheime, KII, ens. handel, buite die bestek van hierdie artikel sal bly.
Mite 1. Ek het 'n antivirus, 'n firewall geïnstalleer en die rakke met 'n heining omring. Volg ek die wet?
152-FZ gaan nie oor die beskerming van stelsels en bedieners nie, maar oor die beskerming van persoonlike data van onderdane. Daarom begin voldoening aan 152-FZ nie met 'n antivirus nie, maar met 'n groot aantal stukkies papier en organisatoriese kwessies.
Die hoofinspekteur, Roskomnadzor, sal nie kyk na die teenwoordigheid en toestand van tegniese middele van beskerming nie, maar na die wetlike basis vir die verwerking van persoonlike data (PD):
- vir watter doel samel jy persoonlike data in;
- of jy meer daarvan insamel as wat jy vir jou doeleindes nodig het;
- hoe lank stoor jy persoonlike data;
- is daar 'n beleid vir die verwerking van persoonlike data;
- Samel jy toestemming in vir verwerking van persoonlike data, oorgrensoordrag, verwerking deur derde partye, ens.
Die antwoorde op hierdie vrae, sowel as die prosesse self, moet in toepaslike dokumente aangeteken word. Hier is 'n ver van volledige lys van wat 'n persoonlike data-operateur moet voorberei:
- ’n Standaardtoestemmingsvorm vir die verwerking van persoonlike data (dit is die velle wat ons nou byna oral teken waar ons ons volle name en paspoortbesonderhede laat).
- Operateursbeleid rakende die verwerking van persoonlike data ( daar is aanbevelings vir ontwerp).
- Bevel oor die aanstelling van 'n persoon wat verantwoordelik is vir die organisering van die verwerking van persoonlike data.
- Posbeskrywing van die persoon wat verantwoordelik is vir die organisering van die verwerking van persoonlike data.
- Reëls vir interne beheer en (of) oudit van voldoening van PD-verwerking met wetlike vereistes.
- Lys van persoonlike data-inligtingstelsels (ISPD).
- Regulasies vir die verskaffing van die subjek van toegang tot sy persoonlike data.
- Voorval ondersoek regulasies.
- Bevel oor die toelating van werknemers tot die verwerking van persoonlike data.
- Regulasies vir interaksie met reguleerders.
- Kennisgewing van RKN, ens.
- Instruksievorm vir PD-verwerking.
- ISPD-bedreigingsmodel.
Nadat u hierdie probleme opgelos het, kan u begin om spesifieke maatreëls en tegniese middele te kies. Watter een jy benodig hang af van die stelsels, hul bedryfstoestande en huidige bedreigings. Maar later meer daaroor.
Werklikheid: nakoming van die wet is die vestiging en nakoming van sekere prosesse, eerstens, en slegs tweedens - die gebruik van spesiale tegniese middele.
Mite 2. Ek stoor persoonlike data in die wolk, 'n datasentrum wat aan die vereistes van 152-FZ voldoen. Nou is hulle verantwoordelik vir die toepassing van die wet
Wanneer jy die berging van persoonlike data aan 'n wolkverskaffer of datasentrum uitkontrakteer, hou jy nie op om 'n persoonlike data-operateur te wees nie.
Kom ons beroep ons op die definisie uit die wet vir hulp:
Verwerking van persoonlike data – enige handeling (bewerking) of stel handelinge (bewerkings) wat uitgevoer word deur gebruik te maak van outomatiseringsinstrumente of sonder die gebruik van sulke middele met persoonlike data, insluitend versameling, optekening, sistematisering, akkumulasie, berging, opheldering (bywerking, verandering), onttrekking, gebruik, oordrag (verspreiding, voorsiening, toegang), depersonalisering, blokkering, verwydering, vernietiging van persoonlike data.
Bron: artikel 3,
Van al hierdie aksies is die diensverskaffer verantwoordelik vir die stoor en vernietiging van persoonlike data (wanneer die kliënt die kontrak met hom beëindig). Alles anders word verskaf deur die persoonlike data-operateur. Dit beteken dat die operateur, en nie die diensverskaffer nie, die beleid vir die verwerking van persoonlike data bepaal, getekende toestemmings vir die verwerking van persoonlike data van sy kliënte verkry, gevalle van lekkasie van persoonlike data aan derde partye voorkom en ondersoek, ensovoorts.
Gevolglik moet die persoonlike data-operateur steeds die dokumente wat hierbo gelys is, versamel en organisatoriese en tegniese maatreëls implementeer om hul PDIS te beskerm.
Tipies help die verskaffer die operateur deur te verseker dat aan wetlike vereistes voldoen word op die infrastruktuurvlak waar die operateur se ISPD geleë sal wees: rakke met toerusting of die wolk. Hy samel ook 'n pakket dokumente in, neem organisatoriese en tegniese maatreëls vir sy stuk infrastruktuur in ooreenstemming met 152-FZ.
Sommige verskaffers help met papierwerk en voorsiening van tegniese sekuriteitsmaatreëls vir die ISDN'e self, dit wil sê op 'n vlak bo die infrastruktuur. Die operateur kan ook hierdie take uitkontrakteer, maar die verantwoordelikheid en verpligtinge ingevolge die wet verdwyn nie.
Werklikheid: Deur die dienste van 'n verskaffer of datasentrum te gebruik, kan jy nie die verantwoordelikhede van 'n persoonlike data-operateur aan hom oordra en van verantwoordelikheid ontslae raak nie. As die verskaffer jou dit belowe, dan lieg hy, om dit sagkens te stel.
Mite 3. Ek het die nodige pakket dokumente en maatreëls. Ek stoor persoonlike data by 'n verskaffer wat voldoening aan 152-FZ belowe. Is alles in orde?
Ja, as jy onthou om die bestelling te teken. Volgens wet kan die operateur die verwerking van persoonlike data aan 'n ander persoon toevertrou, byvoorbeeld dieselfde diensverskaffer. ’n Bestelling is ’n soort ooreenkoms wat lys wat die diensverskaffer met die operateur se persoonlike data kan doen.
Die operateur het die reg om die verwerking van persoonlike data aan 'n ander persoon toe te vertrou met die toestemming van die onderwerp van persoonlike data, tensy anders bepaal deur Federale Wet, op grond van 'n ooreenkoms wat met hierdie persoon gesluit is, insluitend 'n staats- of munisipale kontrak, of deur die aanvaarding van 'n toepaslike handeling deur 'n staats- of munisipale liggaam (hierna verwys as die opdragoperateur). Die persoon wat persoonlike data namens die operateur verwerk, is verplig om te voldoen aan die beginsels en reëls vir die verwerking van persoonlike data waarvoor hierdie Federale Wet voorsiening maak.
Bron:
Die verpligting van die verskaffer om die vertroulikheid van persoonlike data te handhaaf en die sekuriteit daarvan in ooreenstemming met die gespesifiseerde vereistes te verseker, word ook vasgestel:
Die operateur se instruksies moet 'n lys van aksies (operasies) met persoonlike data definieer wat uitgevoer sal word deur die persoon wat persoonlike data verwerk en die doeleindes van verwerking, die verpligting van so 'n persoon moet vasgestel word om die vertroulikheid van persoonlike data te handhaaf en te verseker dat die sekuriteit van persoonlike data tydens hul verwerking, sowel as vereistes vir die beskerming van verwerkte persoonlike data moet gespesifiseer word in ooreenstemming met van hierdie Federale Wet.
Bron:
Hiervoor is die verskaffer verantwoordelik teenoor die operateur, en nie teenoor die onderwerp van persoonlike data nie:
As die operateur die verwerking van persoonlike data aan 'n ander persoon toevertrou, is die operateur verantwoordelik teenoor die onderwerp van persoonlike data vir die optrede van die gespesifiseerde persoon. Die persoon wat persoonlike data namens die operateur verwerk, is verantwoordelik teenoor die operateur.
Bron: .
Dit is ook belangrik om die verpligting om die beskerming van persoonlike data te verseker in die bevel te stipuleer:
Die sekuriteit van persoonlike data wanneer dit in 'n inligtingstelsel verwerk word, word verseker deur die operateur van hierdie stelsel, wat persoonlike data verwerk (hierna verwys as die operateur), of deur die persoon wat persoonlike data namens die operateur verwerk op grond van 'n ooreenkoms wat met hierdie persoon gesluit is (hierna die gemagtigde persoon genoem). Die ooreenkoms tussen die operateur en die gemagtigde persoon moet voorsiening maak vir die verpligting van die gemagtigde persoon om die sekuriteit van persoonlike data te verseker wanneer dit in die inligtingstelsel verwerk word.
Bron:
Werklikheid: As jy persoonlike data aan die verskaffer gee, teken dan die bestelling. Dui in die bevel die vereiste aan om die beskerming van die proefpersone se persoonlike data te verseker. Andersins voldoen jy nie aan die wet rakende die oordrag van persoonlike dataverwerkingswerk aan 'n derde party nie, en die verskaffer skuld jou niks met betrekking tot voldoening aan 152-FZ nie.
Mite 4. Die Mossad spioeneer op my, of ek het beslis 'n UZ-1
Sommige kliënte bewys aanhoudend dat hulle 'n ISPD van sekuriteitsvlak 1 of 2 het. Meestal is dit nie die geval nie. Kom ons onthou die hardeware om uit te vind hoekom dit gebeur.
Die LO, of sekuriteitsvlak, bepaal waarteen jy jou persoonlike data sal beskerm.
Die vlak van sekuriteit word deur die volgende punte beïnvloed:
- tipe persoonlike data (spesiaal, biometries, publiek beskikbaar en ander);
- wie die persoonlike data besit - werknemers of nie-werknemers van die persoonlike data-operateur;
- aantal persoonlike datasubjekte – min of meer 100 duisend.
- tipes huidige bedreigings.
Vertel ons van tipes bedreigings . Hier is 'n beskrywing van elkeen met my gratis vertaling in mensetaal.
Bedreigings van die 1ste tipe is relevant vir 'n inligtingstelsel indien bedreigings wat verband hou met die teenwoordigheid van ongedokumenteerde (onverklaarde) vermoëns in die stelselsagteware wat in die inligtingstelsel gebruik word, ook daarvoor relevant is.
As jy hierdie tipe bedreiging as relevant erken, glo jy vas dat agente van die CIA, MI6 of MOSSAD 'n boekmerk in die bedryfstelsel geplaas het om persoonlike data van spesifieke onderwerpe van jou ISPD te steel.
Bedreigings van die 2de tipe is relevant vir 'n inligtingstelsel indien bedreigings wat verband hou met die teenwoordigheid van ongedokumenteerde (onverklaarde) vermoëns in die toepassingsagteware wat in die inligtingstelsel gebruik word, ook daarvoor relevant is.
As jy dink dat dreigemente van die tweede tipe jou geval is, dan slaap jy en kyk hoe dieselfde agente van die CIA, MI6, MOSSAD, 'n bose eensame hacker of groep boekmerke in een of ander kantoorsagtewarepakket geplaas het om presies te soek na jou persoonlike data. Ja, daar is twyfelagtige toepassingsagteware soos μTorrent, maar jy kan 'n lys van toegelate sagteware vir installasie maak en 'n ooreenkoms met gebruikers onderteken, nie gebruikers plaaslike administrateurregte gee nie, ens.
Tipe 3-bedreigings is relevant vir 'n inligtingstelsel indien bedreigings wat nie verband hou met die teenwoordigheid van ongedokumenteerde (onverklaarde) vermoëns in die stelsel en toepassingsagteware wat in die inligtingstelsel gebruik word, daarvoor relevant is nie.
Bedreigings van tipe 1 en 2 is nie geskik vir jou nie, so dit is die plek vir jou.
Ons het die tipe bedreigings uitgesorteer, kom ons kyk nou na watter vlak van sekuriteit ons ISPD sal hê.
Tabel gebaseer op die ooreenkomste gespesifiseer in .
As ons die derde tipe werklike bedreigings kies, sal ons in die meeste gevalle UZ-3 hê. Die enigste uitsondering, wanneer dreigemente van tipe 1 en 2 nie relevant is nie, maar die vlak van sekuriteit steeds hoog sal wees (UZ-2), is maatskappye wat spesiale persoonlike data van nie-werknemers in die bedrag van meer as 100 000 verwerk. byvoorbeeld maatskappye wat betrokke is by mediese diagnostiek en verskaffing van mediese dienste.
Daar is ook UZ-4, en dit word hoofsaaklik gevind in maatskappye wie se besigheid nie verband hou met die verwerking van persoonlike data van nie-werknemers, dit wil sê kliënte of kontrakteurs, of die persoonlike databasisse is klein.
Hoekom is dit so belangrik om dit nie te oordoen met die vlak van sekuriteit nie? Dit is eenvoudig: die stel maatreëls en middele van beskerming om hierdie einste vlak van sekuriteit te verseker, sal hiervan afhang. Hoe hoër die vlak van kennis, hoe meer sal gedoen moet word in organisatoriese en tegniese terme (lees: hoe meer geld en senuwees sal bestee moet word).
Hier is byvoorbeeld hoe die stel veiligheidsmaatreëls verander in ooreenstemming met dieselfde PP-1119.
Kom ons kyk nou hoe, afhangende van die geselekteerde vlak van sekuriteit, die lys van nodige maatreëls verander in ooreenstemming met Daar is 'n lang aanhangsel tot hierdie dokument wat die nodige maatreëls omskryf. Daar is 109 van hulle in totaal, vir elke KM word verpligte maatreëls gedefinieer en gemerk met 'n "+" teken - hulle word presies in die tabel hieronder bereken. As jy net dié los wat nodig is vir UZ-3, kry jy 4.
Werklikheid: as jy nie toetse of biometrie van kliënte afhaal nie, jy is nie paranoïes oor boekmerke in stelsel- en toepassingsagteware nie, dan het jy heel waarskynlik UZ-3. Dit het 'n redelike lys van organisatoriese en tegniese maatreëls wat werklik geïmplementeer kan word.
Mite 5. Alle maniere om persoonlike data te beskerm moet gesertifiseer word deur die FSTEC van Rusland
As jy sertifisering wil of vereis word, sal jy heel waarskynlik gesertifiseerde beskermende toerusting moet gebruik. Die sertifisering sal uitgevoer word deur 'n lisensiehouer van die FSTEC van Rusland, wat:
- belangstel om meer gesertifiseerde inligtingbeskermingstoestelle te verkoop;
- sal bang wees dat die lisensie deur die reguleerder teruggetrek word as iets verkeerd loop.
As jy nie sertifisering nodig het nie en jy gereed is om voldoening aan die vereistes op 'n ander manier te bevestig, genoem in "Beoordeel die doeltreffendheid van maatreëls wat binne die persoonlike databeskermingstelsel geïmplementeer is om die sekuriteit van persoonlike data te verseker," dan word gesertifiseerde inligtingsekuriteitstelsels nie vir jou vereis nie. Ek sal probeer om die rasionaal kortliks te verduidelik.
В verklaar dat dit nodig is om beskermende toerusting te gebruik wat die ooreenstemmingsbeoordelingsprosedure ondergaan het ooreenkomstig die vasgestelde prosedure:
Om te verseker dat die sekuriteit van persoonlike data bereik word, veral:
[…] 3) die gebruik van inligtingsekuriteitsmiddele wat die voldoeningsbeoordelingsprosedure in ooreenstemming met die vasgestelde prosedure geslaag het.
В Daar is ook 'n vereiste om inligtingsekuriteitsinstrumente te gebruik wat die prosedure vir die beoordeling van voldoening aan wetlike vereistes geslaag het:
[…] die gebruik van inligtingsekuriteitsinstrumente wat 'n beoordeling ondergaan het van voldoening aan die vereistes van die wetgewing van die Russiese Federasie op die gebied van inligtingsekuriteit, in gevalle waar die gebruik van sulke middele nodig is om huidige bedreigings te neutraliseer.
dupliseer feitlik paragraaf PP-1119:
Maatreëls om die sekuriteit van persoonlike data te verseker, word geïmplementeer, onder andere, deur die gebruik van inligtingsekuriteitsinstrumente in die inligtingstelsel wat die ooreenstemmingsbeoordelingsprosedure geslaag het in ooreenstemming met die vasgestelde prosedure, in gevalle waar die gebruik van sulke instrumente nodig is om huidige bedreigings vir die veiligheid van persoonlike data te neutraliseer.
Wat het hierdie formulerings in gemeen? Dit is reg - hulle vereis nie die gebruik van gesertifiseerde beskermende toerusting nie. Die feit is dat daar verskeie vorme van ooreenstemmingsbeoordeling is (vrywillige of verpligte sertifisering, verklaring van ooreenstemming). Sertifisering is maar een van hulle. Die operateur mag nie-gesertifiseerde produkte gebruik, maar sal by inspeksie aan die reguleerder moet demonstreer dat hulle een of ander vorm van ooreenstemmingsbeoordelingsprosedure ondergaan het.
As die operateur besluit om gesertifiseerde beskermende toerusting te gebruik, is dit nodig om die inligtingbeskermingstelsel te kies in ooreenstemming met die ultraklankbeskerming, wat duidelik in :
Tegniese maatreëls om persoonlike data te beskerm word geïmplementeer deur die gebruik van inligtingsekuriteitsinstrumente, insluitend sagteware (hardeware) gereedskap waarin dit geïmplementeer word, wat die nodige sekuriteitsfunksies het.
Wanneer inligtingsekuriteitsnutsmiddels gebruik word wat volgens inligtingsekuriteitvereistes in inligtingstelsels gesertifiseer is:
Werklikheid: Die wet vereis nie die verpligte gebruik van gesertifiseerde beskermende toerusting nie.
Mite 6. Ek het kripto-beskerming nodig
Hier is 'n paar nuanses:
- Baie mense glo dat kriptografie verpligtend is vir enige ISPD. Trouens, hulle moet slegs gebruik word as die operateur geen ander beskermingsmaatreëls vir homself sien nie, behalwe die gebruik van kriptografie.
- As jy nie sonder kriptografie kan klaarkom nie, moet jy CIPF wat deur die RFD gesertifiseer is, gebruik.
- Byvoorbeeld, jy besluit om 'n ISPD in die wolk van 'n diensverskaffer aan te bied, maar jy vertrou dit nie. Jy beskryf jou bekommernisse in 'n dreigement- en indringermodel. Jy het persoonlike data, so jy het besluit dat kriptografie die enigste manier is om jouself te beskerm: jy sal virtuele masjiene enkripteer, veilige kanale bou deur kriptografiese beskerming te gebruik. In hierdie geval sal jy CIPF moet gebruik wat deur die RFD van Rusland gesertifiseer is.
- Gesertifiseerde CIPF word gekies in ooreenstemming met 'n sekere vlak van sekuriteit volgens .
Vir ISPDn met UZ-3, kan jy KS1, KS2, KS3 gebruik. KS1 is byvoorbeeld C-Terra Virtual Gateway 4.2 vir die beskerming van kanale.
KC2, KS3 word slegs deur sagteware- en hardewarestelsels verteenwoordig, soos: ViPNet-koördineerder, APKSH "Continent", S-Terra Gateway, ens.
As jy UZ-2 of 1 het, sal jy kriptografiese beskermingsmiddels van klas KV1, 2 en KA nodig hê. Dit is spesifieke sagteware- en hardewarestelsels, dit is moeilik om te bedryf, en hul prestasie-eienskappe is beskeie.
Werklikheid: Die wet verplig nie die gebruik van CIPF wat deur die RFD gesertifiseer is nie.
Bron: will.com