🥇خرافات حول 152-FZ، والتي يمكن أن تكون مكلفة لمشغل البيانات الشخصية

أهلاً بكم! أنا أدير مركز DataLine للدفاع السيبراني. يأتي العملاء إلينا بمهمة تلبية متطلبات 152-FZ في السحابة أو على البنية التحتية المادية.
في كل مشروع تقريبًا، من الضروري القيام بعمل تعليمي لفضح الأساطير المحيطة بهذا القانون. لقد قمت بجمع المفاهيم الخاطئة الأكثر شيوعًا والتي يمكن أن تكون مكلفة للميزانية والجهاز العصبي لمشغل البيانات الشخصية. سأقوم على الفور بالحجز على أن حالات مكاتب الدولة (GIS) التي تتعامل مع أسرار الدولة، ومزودي المعلومات الرئيسيين، وما إلى ذلك، ستظل خارج نطاق هذه المقالة.

الأسطورة 1. لقد قمت بتثبيت برنامج مكافحة فيروسات وجدار حماية وأحاطت الرفوف بسياج. هل أنا أتبع القانون؟

152-FZ لا يتعلق بحماية الأنظمة والخوادم، بل يتعلق بحماية البيانات الشخصية للأشخاص. لذلك، فإن الامتثال لـ 152-FZ لا يبدأ ببرنامج مكافحة الفيروسات، ولكن بعدد كبير من الأوراق والقضايا التنظيمية.
لن ينظر المفتش الرئيسي، Roskomnadzor، إلى وجود وحالة الوسائل التقنية للحماية، ولكن إلى الأساس القانوني لمعالجة البيانات الشخصية (PD):

لأي غرض تقوم بجمع البيانات الشخصية؟
ما إذا كنت تجمع منها أكثر مما تحتاجه لأغراضك؛
ما هي مدة تخزين البيانات الشخصية؟
هل هناك سياسة لمعالجة البيانات الشخصية؟
هل تقوم بجمع الموافقة على معالجة البيانات الشخصية، ونقلها عبر الحدود، ومعالجتها بواسطة أطراف ثالثة، وما إلى ذلك؟

يجب تسجيل الإجابات على هذه الأسئلة، وكذلك العمليات نفسها، في الوثائق المناسبة. فيما يلي قائمة بعيدة عن أن تكون كاملة لما يحتاج مشغل البيانات الشخصية إلى إعداده:

نموذج موافقة قياسي لمعالجة البيانات الشخصية (هذه هي الأوراق التي نوقعها الآن في كل مكان تقريبًا حيث نترك أسمائنا الكاملة وتفاصيل جواز السفر).
سياسة المشغل فيما يتعلق بمعالجة البيانات الشخصية (هنا هناك توصيات للتصميم).
أمر بتعيين شخص مسؤول عن تنظيم معالجة البيانات الشخصية.
الوصف الوظيفي للشخص المسؤول عن تنظيم معالجة البيانات الشخصية.
قواعد الرقابة الداخلية و (أو) تدقيق امتثال معالجة PD للمتطلبات القانونية.
قائمة أنظمة معلومات البيانات الشخصية (ISPD).
ضوابط تمكين الشخص المعني من الوصول إلى بياناته الشخصية.
لوائح التحقيق في الحوادث.
أمر بشأن قبول الموظفين لمعالجة البيانات الشخصية.
لوائح التفاعل مع المنظمين.
إخطار RKN، الخ.
نموذج تعليمات لمعالجة PD.
نموذج التهديد ISPD

بعد حل هذه المشكلات، يمكنك البدء في اختيار تدابير محددة ووسائل تقنية. يعتمد تحديد العناصر التي تحتاجها على الأنظمة وظروف تشغيلها والتهديدات الحالية. ولكن أكثر عن ذلك لاحقا.

الواقع: الامتثال للقانون هو إنشاء والامتثال لعمليات معينة، أولا وقبل كل شيء، وثانيا فقط - استخدام الوسائل التقنية الخاصة.

الأسطورة 2. أقوم بتخزين البيانات الشخصية في السحابة، وهو مركز بيانات يلبي متطلبات 152-FZ. والآن هم مسؤولون عن تطبيق القانون

عند الاستعانة بمصادر خارجية لتخزين البيانات الشخصية لموفر السحابة أو مركز البيانات، فإنك لا تتوقف عن كونك مشغل البيانات الشخصية.
دعونا نستدعي التعريف من القانون للمساعدة:

معالجة البيانات الشخصية – أي إجراء (عملية) أو مجموعة من الإجراءات (العمليات) يتم تنفيذها باستخدام أدوات التشغيل الآلي أو دون استخدام هذه الوسائل مع البيانات الشخصية، بما في ذلك التجميع والتسجيل والتنظيم والتراكم والتخزين والتوضيح (التحديث والتغيير)، استخراج البيانات الشخصية واستخدامها ونقلها (التوزيع وتوفيرها والوصول إليها) وإضفاء الطابع الشخصي عليها وحظرها وحذفها وتدميرها.
المصدر: المادة 3، 152-منطقة حرة

ومن بين كل هذه الإجراءات، يكون مزود الخدمة مسؤولاً عن تخزين البيانات الشخصية وتدميرها (عندما يقوم العميل بإنهاء العقد معه). يتم توفير كل شيء آخر من قبل مشغل البيانات الشخصية. وهذا يعني أن المشغل، وليس مقدم الخدمة، هو من يحدد سياسة معالجة البيانات الشخصية، ويحصل على الموافقات الموقعة لمعالجة البيانات الشخصية من عملائه، ويمنع حالات تسرب البيانات الشخصية إلى أطراف ثالثة ويحقق فيها، وما إلى ذلك.

وبالتالي، لا يزال يتعين على مشغل البيانات الشخصية جمع المستندات المذكورة أعلاه وتنفيذ التدابير التنظيمية والفنية لحماية نظام PDIS الخاص به.

عادةً ما يساعد المزود المشغل من خلال ضمان الامتثال للمتطلبات القانونية على مستوى البنية التحتية حيث سيتم تحديد موقع ISPD الخاص بالمشغل: رفوف مع المعدات أو السحابة. يقوم أيضًا بجمع مجموعة من المستندات، واتخاذ الإجراءات التنظيمية والفنية لجزء البنية التحتية الخاص به وفقًا لـ 152-FZ.

يساعد بعض مقدمي الخدمة في الأعمال الورقية وتوفير التدابير الأمنية الفنية لشبكات ISDN نفسها، أي على مستوى أعلى من البنية التحتية. ويمكن للمشغل أيضًا الاستعانة بمصادر خارجية لهذه المهام، لكن المسؤولية والالتزامات بموجب القانون لا تختفي.

الواقع: باستخدام خدمات المزود أو مركز البيانات، لا يمكنك نقل مسؤوليات مشغل البيانات الشخصية إليه والتخلص من المسؤولية. إذا وعدك مقدم الخدمة بذلك، فهو، بعبارة ملطفة، يكذب.

الأسطورة 3. لدي المجموعة اللازمة من الوثائق والتدابير. أقوم بتخزين البيانات الشخصية مع مزود يعد بالامتثال لـ 152-FZ. هل كل شيء على ما يرام؟

نعم، إذا كنت تتذكر التوقيع على الأمر. بموجب القانون، يمكن للمشغل أن يعهد بمعالجة البيانات الشخصية إلى شخص آخر، على سبيل المثال، نفس مزود الخدمة. الطلب هو نوع من الاتفاقية التي تسرد ما يمكن لمزود الخدمة فعله بالبيانات الشخصية للمشغل.

يحق للمشغل أن يعهد بمعالجة البيانات الشخصية إلى شخص آخر بموافقة موضوع البيانات الشخصية، ما لم ينص القانون الاتحادي على خلاف ذلك، على أساس اتفاقية مبرمة مع هذا الشخص، بما في ذلك عقد الولاية أو البلدية، أو من خلال اعتماد قانون ذي صلة من قبل هيئة حكومية أو بلدية (يشار إليها فيما يلي باسم مشغل التخصيص). يلتزم الشخص الذي يقوم بمعالجة البيانات الشخصية نيابة عن المشغل بالامتثال لمبادئ وقواعد معالجة البيانات الشخصية المنصوص عليها في هذا القانون الاتحادي.
المصدر: البند 3، المادة 6، 152-FZ

كما تم تحديد التزام المزود بالحفاظ على سرية البيانات الشخصية وضمان أمنها وفقًا للمتطلبات المحددة:

يجب أن تحدد تعليمات المشغل قائمة الإجراءات (العمليات) مع البيانات الشخصية التي سيتم تنفيذها من قبل الشخص الذي يقوم بمعالجة البيانات الشخصية وأغراض المعالجة، ويجب تحديد التزام هذا الشخص بالحفاظ على سرية البيانات الشخصية وضمان يجب تحديد أمان البيانات الشخصية أثناء معالجتها، بالإضافة إلى متطلبات حماية البيانات الشخصية المعالجة وفقًا لـ المادة 19 من هذا القانون الاتحادي.
المصدر: البند 3، المادة 6، 152-FZ

ولهذا السبب، يكون المزود مسؤولاً أمام المشغل، وليس أمام موضوع البيانات الشخصية:

إذا عهد المشغل بمعالجة البيانات الشخصية إلى شخص آخر، يكون المشغل مسؤولاً أمام موضوع البيانات الشخصية عن تصرفات الشخص المحدد. يكون الشخص الذي يقوم بمعالجة البيانات الشخصية نيابة عن المشغل مسؤولاً أمام المشغل.
المصدر: 152-منطقة حرة.

من المهم أيضًا النص في الأمر على الالتزام بضمان حماية البيانات الشخصية:

يتم ضمان أمان البيانات الشخصية عند معالجتها في نظام معلومات من قبل مشغل هذا النظام، الذي يقوم بمعالجة البيانات الشخصية (المشار إليه فيما يلي باسم المشغل)، أو من قبل الشخص الذي يقوم بمعالجة البيانات الشخصية نيابة عن المشغل على أساس الاتفاقية المبرمة مع هذا الشخص (المشار إليه فيما بعد بالشخص المرخص له). يجب أن تنص الاتفاقية المبرمة بين المشغل والشخص المرخص له على التزام الشخص المرخص له بضمان أمان البيانات الشخصية عند معالجتها في نظام المعلومات.
المصدر: مرسوم حكومة الاتحاد الروسي بتاريخ 1 نوفمبر 2012 رقم 1119

الواقع: إذا قدمت بيانات شخصية إلى المزود، فقم بالتوقيع على الطلب. في الترتيب، أشر إلى متطلبات ضمان حماية البيانات الشخصية للموضوعات. بخلاف ذلك، فإنك لا تمتثل للقانون المتعلق بنقل أعمال معالجة البيانات الشخصية إلى طرف ثالث، ولا يدين لك المزود بأي شيء فيما يتعلق بالامتثال لـ 152-FZ.

الخرافة الرابعة: الموساد يتجسس علي، أو بالتأكيد أملك UZ-4

يثبت بعض العملاء باستمرار أن لديهم ISPD من مستوى الأمان 1 أو 2. وفي أغلب الأحيان لا يكون هذا هو الحال. دعونا نتذكر الأجهزة لمعرفة سبب حدوث ذلك.
يحدد LO، أو مستوى الأمان، ما ستحمي بياناتك الشخصية منه.
يتأثر مستوى الأمان بالنقاط التالية:

نوع البيانات الشخصية (خاصة، بيومترية، متاحة للجمهور وغيرها)؛
من يملك البيانات الشخصية - موظفون أو غير موظفين لدى مشغل البيانات الشخصية؛
عدد موضوعات البيانات الشخصية – أكثر أو أقل من 100 ألف.
أنواع التهديدات الحالية.

يخبرنا عن أنواع التهديدات مرسوم حكومة الاتحاد الروسي بتاريخ 1 نوفمبر 2012 رقم 1119. فيما يلي وصف لكل منها مع ترجمتي المجانية إلى اللغة البشرية.

تعتبر التهديدات من النوع الأول ذات صلة بنظام المعلومات إذا كانت التهديدات المرتبطة بوجود قدرات غير موثقة (غير معلنة) في برنامج النظام المستخدم في نظام المعلومات ذات صلة به أيضًا.

إذا أدركت أن هذا النوع من التهديد ذو صلة، فأنت تعتقد اعتقادًا راسخًا أن عملاء وكالة المخابرات المركزية أو MI6 أو MOSSAD قد وضعوا إشارة مرجعية في نظام التشغيل لسرقة البيانات الشخصية لمواضيع محددة من ISPD الخاص بك.

تعتبر التهديدات من النوع الثاني ذات صلة بنظام المعلومات إذا كانت التهديدات المرتبطة بوجود قدرات غير موثقة (غير معلنة) في البرامج التطبيقية المستخدمة في نظام المعلومات ذات صلة به أيضًا.

إذا كنت تعتقد أن التهديدات من النوع الثاني هي حالتك، فأنت تنام وترى كيف قام نفس عملاء وكالة المخابرات المركزية، أو MI6، أو الموساد، أو متسلل أو مجموعة شريرة وحيدة، بوضع إشارات مرجعية في بعض حزم البرامج المكتبية من أجل البحث بالضبط عن بياناتك الشخصية. نعم، هناك برامج تطبيقية مشكوك فيها مثل μTorrent، ولكن يمكنك إنشاء قائمة بالبرامج المسموح بها للتثبيت وتوقيع اتفاقية مع المستخدمين، وعدم منح المستخدمين حقوق المسؤول المحلي، وما إلى ذلك.

تكون التهديدات من النوع 3 ذات صلة بنظام المعلومات إذا كانت التهديدات غير المرتبطة بوجود قدرات غير موثقة (غير معلنة) في النظام والبرامج التطبيقية المستخدمة في نظام المعلومات ذات صلة به.

التهديدات من النوع 1 و 2 ليست مناسبة لك، لذلك هذا هو المكان المناسب لك.

لقد قمنا بفرز أنواع التهديدات، والآن دعونا نلقي نظرة على مستوى الأمان الذي سيتمتع به ISPD الخاص بنا.

الجدول بناء على المراسلات المحددة في مرسوم حكومة الاتحاد الروسي بتاريخ 1 نوفمبر 2012 رقم 1119.

إذا اخترنا النوع الثالث من التهديدات الفعلية، فسنحصل في معظم الحالات على UZ-3. الاستثناء الوحيد، عندما لا تكون التهديدات من النوع 1 و 2 ذات صلة، ولكن مستوى الأمان سيظل مرتفعًا (UZ-2)، هي الشركات التي تعالج البيانات الشخصية الخاصة لغير الموظفين بمبلغ يزيد عن 100. على سبيل المثال، الشركات العاملة في مجال التشخيص الطبي وتقديم الخدمات الطبية.

يوجد أيضًا UZ-4، وهو موجود بشكل أساسي في الشركات التي لا يرتبط عملها بمعالجة البيانات الشخصية لغير الموظفين، أي العملاء أو المقاولين، أو تكون قواعد البيانات الشخصية صغيرة.

لماذا من المهم جدًا عدم المبالغة في مستوى الأمان؟ الأمر بسيط: مجموعة التدابير ووسائل الحماية لضمان هذا المستوى من الأمان ستعتمد على ذلك. كلما ارتفع مستوى المعرفة، كلما كان من الضروري القيام بالمزيد من الناحية التنظيمية والتقنية (اقرأ: كلما زادت الحاجة إلى إنفاق الأموال والأعصاب).

هنا، على سبيل المثال، كيفية تغيير مجموعة التدابير الأمنية وفقًا لنفس PP-1119.

الآن دعونا نرى كيف تتغير قائمة التدابير الضرورية وفقًا لمستوى الأمان المحدد بأمر من FSTEC في روسيا رقم 21 بتاريخ 18.02.2013 فبراير XNUMX. يوجد ملحق طويل لهذه الوثيقة يحدد التدابير اللازمة. هناك 109 منها في المجموع، يتم تحديد التدابير الإلزامية لكل كيلومتر ووضع علامة عليها بعلامة "+" - ويتم حسابها بدقة في الجدول أدناه. إذا تركت فقط العناصر اللازمة لـ UZ-3، فستحصل على 4.

الواقع: إذا لم تقم بجمع الاختبارات أو القياسات الحيوية من العملاء، فأنت لا تشعر بجنون العظمة بشأن الإشارات المرجعية في برامج النظام والتطبيقات، فمن المرجح أن يكون لديك UZ-3. لديها قائمة معقولة من التدابير التنظيمية والفنية التي يمكن تنفيذها بالفعل.

الأسطورة 5. يجب أن تكون جميع وسائل حماية البيانات الشخصية معتمدة من قبل FSTEC في روسيا

إذا كنت تريد أو يطلب منك إجراء الشهادة، فمن المرجح أن تضطر إلى استخدام معدات الحماية المعتمدة. سيتم تنفيذ الشهادة من قبل المرخص له من FSTEC في روسيا، والذي:

مهتم ببيع المزيد من أجهزة حماية المعلومات المعتمدة؛
سيكون خائفًا من إلغاء الترخيص من قبل الجهة التنظيمية إذا حدث خطأ ما.

إذا لم تكن بحاجة إلى شهادة وكنت على استعداد لتأكيد الامتثال للمتطلبات بطريقة أخرى، فاذكر اسمه وسام FSTEC لروسيا رقم 21 "تقييم فعالية التدابير المطبقة ضمن نظام حماية البيانات الشخصية لضمان أمن البيانات الشخصية"، إذن لا يلزمك وجود أنظمة أمن معلومات معتمدة. سأحاول أن أشرح بإيجاز الأساس المنطقي.

В الفقرة 2 من المادة 19 152-FZ ينص على أنه من الضروري استخدام معدات الحماية التي خضعت لإجراءات تقييم المطابقة وفقًا للإجراء المحدد:

ضمان تحقيق أمن البيانات الشخصية، وعلى وجه الخصوص:
[...]
3) استخدام وسائل أمن المعلومات التي اجتازت إجراء تقييم الامتثال وفقًا للإجراء المعمول به.

В الفقرة 13 PP-1119 هناك أيضًا متطلبات لاستخدام أدوات أمن المعلومات التي اجتازت الإجراء الخاص بتقييم الامتثال للمتطلبات القانونية:

[...]
استخدام أدوات أمن المعلومات التي اجتازت إجراءات تقييم الامتثال لمتطلبات تشريعات الاتحاد الروسي في مجال أمن المعلومات، في الحالات التي يكون فيها استخدام هذه الأدوات ضروريًا لتحييد التهديدات الحالية.

البند 4 من أمر FSTEC رقم 21 يكرر عمليا الفقرة PP-1119:

يتم تنفيذ تدابير ضمان أمن البيانات الشخصية، من بين أمور أخرى، من خلال استخدام أدوات أمن المعلومات في نظام المعلومات التي اجتازت إجراء تقييم المطابقة وفقًا للإجراء المعمول به، في الحالات التي يكون فيها استخدام هذه الأدوات ضروريًا تحييد التهديدات الحالية لأمن البيانات الشخصية.

ما هو القاسم المشترك بين هذه الصيغ؟ هذا صحيح - فهي لا تتطلب استخدام معدات الحماية المعتمدة. الحقيقة هي أن هناك عدة أشكال لتقييم المطابقة (الشهادة الطوعية أو الإلزامية، إعلان المطابقة). الشهادة هي مجرد واحدة منهم. يمكن للمشغل استخدام منتجات غير معتمدة، لكنه سيحتاج إلى أن يثبت للجهة التنظيمية أثناء التفتيش أنه خضع لشكل من أشكال إجراءات تقييم المطابقة.

إذا قرر المشغل استخدام معدات الحماية المعتمدة، فمن الضروري تحديد نظام حماية المعلومات وفقًا للحماية بالموجات فوق الصوتية، والتي يشار إليها بوضوح في أمر FSTEC رقم 21:

يتم تنفيذ التدابير الفنية لحماية البيانات الشخصية من خلال استخدام أدوات أمن المعلومات، بما في ذلك الأدوات البرمجية (الأجهزة) التي يتم تنفيذها فيها، والتي تتمتع بوظائف الأمان اللازمة.
عند استخدام أدوات أمن المعلومات المعتمدة حسب متطلبات أمن المعلومات في نظم المعلومات:

البند 12 من الأمر رقم 21 الصادر عن FSTEC في روسيا.

الواقع: لا يتطلب القانون الاستخدام الإلزامي لمعدات الحماية المعتمدة.

الأسطورة 6. أحتاج إلى حماية التشفير

هناك بعض الفروق الدقيقة هنا:

يعتقد الكثير من الناس أن التشفير إلزامي لأي ISPD. في الواقع، يجب استخدامها فقط إذا كان المشغل لا يرى أي تدابير حماية أخرى لنفسه بخلاف استخدام التشفير.
إذا لم تتمكن من الاستغناء عن التشفير، فأنت بحاجة إلى استخدام CIPF المعتمد من قبل FSB.
على سبيل المثال، قررت استضافة ISPD في سحابة مزود الخدمة، لكنك لا تثق به. تصف مخاوفك في نموذج التهديد والدخيل. لديك بيانات شخصية، لذلك قررت أن التشفير هو الطريقة الوحيدة لحماية نفسك: ستقوم بتشفير الأجهزة الافتراضية، وإنشاء قنوات آمنة باستخدام حماية التشفير. في هذه الحالة، سيتعين عليك استخدام CIPF المعتمد من FSB في روسيا.
يتم اختيار CIPF المعتمد وفقًا لمستوى معين من الأمان وفقًا لـ الأمر رقم 378 FSB.

بالنسبة لـ ISPDn مع UZ-3، يمكنك استخدام KS1، وKS2، وKS3. KS1 هو، على سبيل المثال، C-Terra Virtual Gateway 4.2 لحماية القنوات.

يتم تمثيل KC2 وKS3 فقط من خلال أنظمة البرامج والأجهزة، مثل: ViPNet Coordinator وAPKSH "Continent" وS-Terra Gateway وما إلى ذلك.

إذا كان لديك UZ-2 أو 1، فستحتاج إلى وسائل حماية التشفير من الفئة KV1 و2 وKA. هذه أنظمة برامج وأجهزة محددة، يصعب تشغيلها، وخصائص أدائها متواضعة.

الواقع: لا يُلزم القانون باستخدام CIPF المعتمد من قبل FSB.

المصدر: www.habr.com

الخرافات حول 152-FZ، والتي يمكن أن تكون مكلفة لمشغل البيانات الشخصية