Hamıya salam! Mən DataLine Kiber Müdafiə Mərkəzini idarə edirəm. Müştərilər bizə buludda və ya fiziki infrastrukturda 152-FZ tələblərinə cavab vermək vəzifəsi ilə gəlirlər.
Demək olar ki, hər bir layihədə bu qanun ətrafındakı mifləri yıxmaq üçün maarifləndirmə işi aparmaq lazımdır. Mən şəxsi məlumat operatorunun büdcəsinə və sinir sisteminə baha başa gələ biləcək ən ümumi yanlış təsəvvürləri topladım. Dərhal qeyd edəcəyəm ki, dövlət sirri, KII və s. ilə məşğul olan dövlət idarələrinin (GIS) halları bu maddənin əhatə dairəsindən kənarda qalacaq.
Mif 1. Mən antivirus, firewall quraşdırdım və rəfləri hasarla əhatə etdim. Mən qanuna əməl edirəm?
152-ФЗ sistemlərin və serverlərin qorunması haqqında deyil, subyektlərin şəxsi məlumatlarının qorunması haqqındadır. Buna görə də, 152-FZ-yə uyğunluq antivirusla deyil, çox sayda kağız parçası və təşkilati məsələlərlə başlayır.
Baş müfəttiş Roskomnadzor texniki mühafizə vasitələrinin mövcudluğuna və vəziyyətinə deyil, fərdi məlumatların (PD) emalının hüquqi əsaslarına baxacaq:
- şəxsi məlumatları hansı məqsədlə toplayırsan;
- məqsədləriniz üçün ehtiyacınızdan daha çoxunu topladığınız;
- şəxsi məlumatları nə qədər saxlayırsınız;
- şəxsi məlumatların emalı siyasəti varmı;
- Siz şəxsi məlumatların emalı, transsərhəd ötürülməsi, üçüncü tərəflər tərəfindən işlənməsi və s. üçün razılıq toplayırsız?
Bu sualların cavabları, eləcə də proseslərin özü müvafiq sənədlərdə qeyd edilməlidir. Şəxsi məlumat operatorunun hazırlamalı olduğu şeylərin tam siyahısından uzaqdır:
- Şəxsi məlumatların emalı üçün standart razılıq forması (bunlar indi tam adlarımızı və pasport məlumatlarımızı tərk etdiyimiz demək olar ki, hər yerdə imzaladığımız vərəqlərdir).
- Operatorun şəxsi məlumatların emalı ilə bağlı siyasəti ( dizayn üçün tövsiyələr var).
- Fərdi məlumatların emalının təşkili üçün məsul şəxsin təyin edilməsi haqqında əmr.
- Fərdi məlumatların emalının təşkilinə cavabdeh olan şəxsin iş təsviri.
- Daxili nəzarət və (və ya) PD emalının qanuni tələblərə uyğunluğunun auditi qaydaları.
- Şəxsi məlumatların məlumat sistemlərinin siyahısı (ISPD).
- Subyektin şəxsi məlumatlarına girişin təmin edilməsi qaydaları.
- Hadisələrin araşdırılması qaydaları.
- İşçilərin şəxsi məlumatların emalına buraxılması haqqında əmr.
- Tənzimləyicilərlə qarşılıqlı əlaqə qaydaları.
- RKN xəbərdarlığı və s.
- PD emalı üçün təlimat forması.
- ISPD təhlükə modeli.
Bu məsələləri həll etdikdən sonra xüsusi tədbirlər və texniki vasitələri seçməyə başlaya bilərsiniz. Hansı sistemlərə ehtiyacınız olması sistemlərdən, onların iş şəraitindən və mövcud təhlükələrdən asılıdır. Ancaq bu barədə daha sonra.
Həqiqət: qanuna əməl etmək, ilk növbədə, müəyyən proseslərin qurulması və onlara riayət edilməsi və yalnız ikincisi - xüsusi texniki vasitələrin istifadəsidir.
Mif 2. Mən şəxsi məlumatları buludda saxlayıram, 152-FZ tələblərinə cavab verən məlumat mərkəzi. İndi onlar qanunun icrasına cavabdehdirlər
Şəxsi məlumatların saxlanmasını bulud provayderinə və ya məlumat mərkəzinə autsorsing etdikdə, siz şəxsi məlumat operatoru olmağı dayandırmırsınız.
Gəlin kömək üçün qanundan verilən tərifə müraciət edək:
Fərdi məlumatların emalı - avtomatlaşdırma vasitələrindən istifadə etməklə və ya belə vasitələrdən istifadə etmədən fərdi məlumatlarla, o cümlədən toplanması, qeydə alınması, sistemləşdirilməsi, yığılması, saxlanması, dəqiqləşdirilməsi (yenilənməsi, dəyişdirilməsi) ilə həyata keçirilən hər hansı hərəkət (əməliyyat) və ya hərəkətlər (əməliyyatlar) toplusu; şəxsi məlumatların çıxarılması, istifadəsi, ötürülməsi (paylanması, təmin edilməsi, girişi), şəxsiyyətsizləşdirilməsi, bloklanması, silinməsi, məhv edilməsi.
Mənbə: məqalə 3,
Bütün bu hərəkətlərdən xidmət təminatçısı şəxsi məlumatların saxlanması və məhv edilməsi üçün məsuliyyət daşıyır (müştəri onunla müqaviləni ləğv etdikdə). Qalan hər şey şəxsi məlumat operatoru tərəfindən təmin edilir. Bu o deməkdir ki, xidmət provayderi deyil, operator şəxsi məlumatların emalı siyasətini müəyyən edir, öz müştərilərindən şəxsi məlumatların emalı üçün imzalanmış razılıqlar alır, şəxsi məlumatların üçüncü şəxslərə sızması hallarının qarşısını alır və araşdırır və s.
Nəticə etibarilə, fərdi məlumat operatoru hələ də yuxarıda sadalanan sənədləri toplamalı və öz PDIS-lərini qorumaq üçün təşkilati və texniki tədbirlər görməlidir.
Tipik olaraq, provayder operatorun ISPD-nin yerləşəcəyi infrastruktur səviyyəsində qanuni tələblərə uyğunluğu təmin etməklə operatora kömək edir: avadanlıq və ya buludlu raflar. O, həmçinin sənədlər paketini toplayır, 152-FZ-yə uyğun olaraq öz infrastrukturu üçün təşkilati və texniki tədbirlər görür.
Bəzi provayderlər sənədləşmə işində və ISDN-lərin özləri üçün texniki təhlükəsizlik tədbirlərinin təmin edilməsində, yəni infrastrukturdan yuxarı səviyyədə kömək edirlər. Operator da bu vəzifələri autsorsing edə bilər, lakin qanunvericilikdə nəzərdə tutulmuş məsuliyyət və öhdəliklər aradan qalxmır.
Həqiqət: Provayderin və ya məlumat mərkəzinin xidmətlərindən istifadə etməklə, siz ona fərdi məlumat operatorunun məsuliyyətlərini ötürə və məsuliyyətdən qurtula bilməzsiniz. Əgər provayder sizə bunu vəd edirsə, deməli, yumşaq desək, yalan danışır.
Mif 3. Məndə lazımi sənədlər paketi və tədbirlər var. Şəxsi məlumatları 152-FZ-yə uyğunluğu vəd edən bir provayderlə saxlayıram. Hər şey qaydasındadır?
Bəli, əgər əmri imzalamağı unutmayın. Qanuna görə, operator şəxsi məlumatların işlənməsini başqa şəxsə, məsələn, eyni xidmət təminatçısına həvalə edə bilər. Sifariş, xidmət təminatçısının operatorun şəxsi məlumatları ilə nə edə biləcəyini sadalayan bir növ müqavilədir.
Operator, Federal Qanunla başqa hal nəzərdə tutulmayıbsa, bu şəxslə bağlanmış müqavilə, o cümlədən dövlət və ya bələdiyyə müqaviləsi əsasında fərdi məlumatların subyektinin razılığı ilə fərdi məlumatların işlənməsini başqa şəxsə həvalə etmək hüququna malikdir. yaxud dövlət və ya bələdiyyə orqanı (bundan sonra tapşırığın operatoru) tərəfindən müvafiq aktın qəbul edilməsi ilə. Operatorun adından fərdi məlumatları emal edən şəxs bu Federal Qanunda nəzərdə tutulmuş fərdi məlumatların emalı prinsiplərinə və qaydalarına riayət etməyə borcludur.
Mənbə:
Provayderin fərdi məlumatların məxfiliyini qorumaq və müəyyən edilmiş tələblərə uyğun olaraq təhlükəsizliyini təmin etmək öhdəliyi də müəyyən edilir:
Operatorun əmri fərdi məlumatları emal edən şəxs tərəfindən fərdi məlumatlarla həyata keçiriləcək hərəkətlərin (əməliyyatların) siyahısını və emal məqsədlərini müəyyən etməli, belə bir şəxsin şəxsi məlumatların məxfiliyini qorumaq öhdəliyi müəyyən edilməlidir. fərdi məlumatların işlənməsi zamanı təhlükəsizliyi, habelə işlənmiş fərdi məlumatların mühafizəsi tələblərinə uyğun olaraq müəyyən edilməlidir bu Federal Qanunun.
Mənbə:
Bunun üçün provayder şəxsi məlumatların subyekti qarşısında deyil, operator qarşısında məsuliyyət daşıyır:
Operator fərdi məlumatların işlənməsini başqa şəxsə həvalə edərsə, operator göstərilən şəxsin hərəkətlərinə görə fərdi məlumatların subyekti qarşısında məsuliyyət daşıyır. Operatorun adından şəxsi məlumatları emal edən şəxs operator qarşısında məsuliyyət daşıyır.
Mənbə: .
Sərəncamda fərdi məlumatların qorunmasını təmin etmək öhdəliyini də qeyd etmək vacibdir:
İnformasiya sistemində işlənərkən fərdi məlumatların təhlükəsizliyi şəxsi məlumatları emal edən bu sistemin operatoru (bundan sonra operator) və ya operatorun adından şəxsi məlumatları emal edən şəxs tərəfindən təmin edilir. bu şəxslə bağlanmış müqavilə (bundan sonra səlahiyyətli şəxs). Operatorla səlahiyyətli şəxs arasında bağlanmış müqavilədə səlahiyyətli şəxsin informasiya sistemində işlənərkən şəxsi məlumatların təhlükəsizliyini təmin etmək öhdəliyi nəzərdə tutulmalıdır.
Mənbə:
Həqiqət: Şəxsi məlumatlarınızı provayderə verirsinizsə, əmri imzalayın. Sərəncamda subyektlərin şəxsi məlumatlarının mühafizəsinin təmin edilməsi tələbi göstərilsin. Əks təqdirdə, şəxsi məlumatların emalı işinin üçüncü tərəfə ötürülməsi ilə bağlı qanuna əməl etmirsiniz və provayder 152-FZ-yə uyğunluqla bağlı sizə heç bir borclu deyil.
Mif 4. Mossad mənə casusluq edir, yoxsa məndə mütləq UZ-1 var
Bəzi müştərilər israrla 1 və ya 2 səviyyəli təhlükəsizlik ISPD-yə malik olduqlarını sübut edirlər. Çox vaxt belə deyil. Bunun niyə baş verdiyini anlamaq üçün aparatı xatırlayaq.
LO və ya təhlükəsizlik səviyyəsi şəxsi məlumatlarınızı nədən qoruyacağınızı müəyyən edir.
Təhlükəsizlik səviyyəsinə aşağıdakı məqamlar təsir edir:
- fərdi məlumatların növü (xüsusi, biometrik, ictimaiyyətə açıq və s.);
- şəxsi məlumatlara sahib olanlar - fərdi məlumat operatorunun işçiləri və ya qeyri-işçiləri;
- fərdi məlumat subyektlərinin sayı – 100 mindən çox və ya azdır.
- cari təhlükələrin növləri.
Bizə təhdid növləri haqqında məlumat verir . Burada hər birinin insan dilinə pulsuz tərcüməsi ilə təsviri verilmişdir.
1-ci növ təhlükələr, informasiya sistemində istifadə olunan sistem proqram təminatında sənədləşdirilməmiş (elan edilməmiş) imkanların olması ilə bağlı təhlükələr də onun üçün aktualdırsa, informasiya sistemi üçün aktualdır.
Əgər siz bu təhlükə növünü aktual hesab edirsinizsə, onda siz qəti şəkildə inanırsınız ki, CIA, MI6 və ya MOSSAD agentləri sizin ISPD-dən konkret subyektlərin şəxsi məlumatlarını oğurlamaq üçün əməliyyat sistemində əlfəcin qoyublar.
2-ci növ təhlükələr, informasiya sistemində istifadə olunan tətbiqi proqram təminatında sənədləşdirilməmiş (elan edilməmiş) imkanların olması ilə bağlı təhlükələr də onun üçün aktualdırsa, informasiya sistemi üçün aktualdır.
Əgər ikinci növ təhdidlərin sizin işiniz olduğunu düşünürsünüzsə, o zaman yatırsınız və görürsünüz ki, CIA, MI6, MOSSAD-ın eyni agentləri, şər tək haker və ya qrup, dəqiq axtarış etmək üçün hansısa ofis proqram paketinə əlfəcinlər yerləşdirib. şəxsi məlumatlarınız. Bəli, μTorrent kimi şübhəli proqram proqramları var, lakin quraşdırma üçün icazə verilən proqramların siyahısını tərtib edə və istifadəçilərlə müqavilə bağlaya bilərsiniz, istifadəçilərə yerli administrator hüquqlarını verməyəsiniz və s.
3-cü tip təhlükələr, sistemdə sənədləşdirilməmiş (elan edilməmiş) imkanların və informasiya sistemində istifadə olunan tətbiqi proqram təminatının mövcudluğu ilə əlaqəli olmayan təhlükələr ona aid olduqda, informasiya sisteminə aiddir.
1 və 2-ci növ təhlükələr sizin üçün uyğun deyil, ona görə də bura sizin üçün yerdir.
Təhdid növlərini sıraladıq, indi ISPD-nin hansı səviyyədə təhlükəsizlik səviyyəsinə sahib olacağına baxaq.
Göstərilən yazışmalara əsaslanan cədvəl .
Faktiki təhlükələrin üçüncü növünü seçsək, əksər hallarda UZ-3-ə sahib olacağıq. 1 və 2-ci növ təhdidlərin müvafiq olmadığı, lakin təhlükəsizlik səviyyəsinin hələ də yüksək olacağı (UZ-2) istisna olmaqla, 100-dən çox məbləğdə qeyri-işçilərin xüsusi şəxsi məlumatlarını emal edən şirkətlərdir. Məsələn, tibbi diaqnostika və tibbi xidmətlərin göstərilməsi ilə məşğul olan şirkətlər.
UZ-4 də var və o, əsasən biznesi qeyri-işçilərin, yəni müştərilərin və ya podratçıların şəxsi məlumatlarının emalı ilə əlaqəli olmayan və ya şəxsi məlumat bazaları kiçik olan şirkətlərdə rast gəlinir.
Təhlükəsizlik səviyyəsi ilə onu aşmamaq niyə bu qədər vacibdir? Çox sadədir: bu təhlükəsizlik səviyyəsini təmin etmək üçün tədbirlər və qorunma vasitələri bundan asılı olacaq. Bilik səviyyəsi nə qədər yüksəkdirsə, təşkilati və texniki baxımdan bir o qədər çox iş görülməlidir (oxu: bir o qədər çox pul və əsəb sərf etmək lazımdır).
Burada, məsələn, eyni PP-1119-a uyğun olaraq təhlükəsizlik tədbirləri dəstinin necə dəyişdiyi göstərilir.
İndi gəlin görək, seçilmiş təhlükəsizlik səviyyəsindən asılı olaraq, lazımi tədbirlərin siyahısı uyğun olaraq necə dəyişir Bu sənədə lazımi tədbirləri müəyyən edən uzun bir əlavə var. Onların cəmi 109-u var, hər KM üçün məcburi tədbirlər müəyyən edilir və "+" işarəsi ilə qeyd olunur - onlar aşağıdakı cədvəldə dəqiq hesablanır. Yalnız UZ-3 üçün lazım olanları buraxsanız, 4 alırsınız.
Həqiqət: müştərilərdən testlər və ya biometrik məlumatlar toplamırsınızsa, sistem və tətbiq proqramlarında əlfəcinlər haqqında paranoyak deyilsinizsə, çox güman ki, sizdə UZ-3 var. O, həqiqətən həyata keçirilə bilən təşkilati və texniki tədbirlərin ağlabatan siyahısına malikdir.
Mif 5. Şəxsi məlumatların qorunması üçün bütün vasitələr Rusiyanın FSTEC tərəfindən sertifikatlaşdırılmalıdır
Sertifikatlaşdırma aparmaq istəyirsinizsə və ya tələb olunursa, çox güman ki, sertifikatlaşdırılmış qoruyucu vasitələrdən istifadə etməli olacaqsınız. Sertifikatlaşdırma Rusiya FSTEC-in lisenziya sahibi tərəfindən həyata keçiriləcək, o:
- daha çox sertifikatlaşdırılmış məlumat mühafizə cihazlarının satışında maraqlıdır;
- bir şey səhv olarsa, lisenziyanın tənzimləyici tərəfindən ləğv edilməsindən qorxacaq.
Sertifikatlaşdırmaya ehtiyacınız yoxdursa və tələblərə uyğunluğu başqa bir şəkildə təsdiqləməyə hazırsınızsa “Fərdi məlumatların təhlükəsizliyini təmin etmək üçün fərdi məlumatların mühafizəsi sistemi çərçivəsində həyata keçirilən tədbirlərin effektivliyinin qiymətləndirilməsi”, o zaman sizin üçün sertifikatlaşdırılmış informasiya təhlükəsizliyi sistemləri tələb olunmur. Məntiqini qısaca izah etməyə çalışacağam.
В müəyyən edilmiş qaydada uyğunluğun qiymətləndirilməsi prosedurundan keçmiş qoruyucu vasitələrdən istifadə edilməsinin zəruriliyini bildirir.:
Şəxsi məlumatların təhlükəsizliyinin təmin edilməsinə nail olunur, xüsusən:
[…] 3) müəyyən edilmiş qaydada uyğunluğun qiymətləndirilməsi prosedurundan keçmiş informasiya təhlükəsizliyi vasitələrinin istifadəsi.
В Qanuni tələblərə uyğunluğun qiymətləndirilməsi prosedurundan keçmiş informasiya təhlükəsizliyi vasitələrindən istifadə tələbi də var:
[…] Rusiya Federasiyasının informasiya təhlükəsizliyi sahəsində qanunvericiliyinin tələblərinə uyğunluğunun qiymətləndirilməsi prosedurundan keçmiş informasiya təhlükəsizliyi vasitələrindən istifadə, mövcud təhlükələri zərərsizləşdirmək üçün bu cür vasitələrdən istifadə edilməsi zəruri olduqda.
PP-1119-u praktiki olaraq təkrarlayır:
Fərdi məlumatların təhlükəsizliyinin təmin edilməsi tədbirləri, o cümlədən, müəyyən edilmiş qaydada uyğunluğun qiymətləndirilməsi prosedurundan keçmiş informasiya sistemində, belə vasitələrdən istifadənin zəruri olduğu hallarda, informasiya təhlükəsizliyi vasitələrindən istifadə etməklə həyata keçirilir. şəxsi məlumatların təhlükəsizliyinə cari təhdidləri neytrallaşdırmaq.
Bu formulaların ortaq cəhətləri nədir? Doğrudur - onlar sertifikatlaşdırılmış qoruyucu vasitələrin istifadəsini tələb etmirlər. Fakt budur ki, uyğunluğun qiymətləndirilməsinin bir neçə forması (könüllü və ya məcburi sertifikatlaşdırma, uyğunluq bəyannaməsi) mövcuddur. Sertifikatlaşdırma onlardan yalnız biridir. Operator sertifikatlaşdırılmamış məhsullardan istifadə edə bilər, lakin yoxlama zamanı tənzimləyiciyə onların hər hansı uyğunluğun qiymətləndirilməsi prosedurundan keçdiyini nümayiş etdirməli olacaq.
Operator sertifikatlaşdırılmış qoruyucu vasitələrdən istifadə etmək qərarına gələrsə, onda aydın şəkildə göstərilən ultrasəs qorunmasına uyğun olaraq məlumat mühafizəsi sistemini seçmək lazımdır. :
Fərdi məlumatların mühafizəsi üzrə texniki tədbirlər informasiya təhlükəsizliyi vasitələrinin, o cümlədən onların həyata keçirildiyi, zəruri təhlükəsizlik funksiyalarına malik olan proqram təminatı (aparat) vasitələrinin istifadəsi yolu ilə həyata keçirilir.
İnformasiya sistemlərində informasiya təhlükəsizliyi tələblərinə uyğun sertifikatlaşdırılmış informasiya təhlükəsizliyi vasitələrindən istifadə edildikdə:
Həqiqət: Qanun sertifikatlaşdırılmış qoruyucu vasitələrin məcburi istifadəsini tələb etmir.
Mif 6. Mənə kriptovalyuta qorunması lazımdır
Burada bir neçə nüans var:
- Bir çox insanlar kriptoqrafiyanın istənilən ISPD üçün məcburi olduğuna inanırlar. Əslində, onlar yalnız o halda istifadə edilməlidir ki, operator kriptoqrafiyanın istifadəsindən başqa özü üçün başqa müdafiə tədbirləri görmür.
- Kriptoqrafiya olmadan edə bilmirsinizsə, FSB tərəfindən təsdiqlənmiş CIPF-dən istifadə etməlisiniz.
- Məsələn, siz ISPD-ni xidmət provayderinin buludunda yerləşdirməyə qərar verirsiniz, lakin ona etibar etmirsiniz. Siz narahatlıqlarınızı təhdid və müdaxilə modelində təsvir edirsiniz. Şəxsi məlumatlarınız var, ona görə də qərara gəldiniz ki, kriptoqrafiya özünüzü qorumağın yeganə yoludur: virtual maşınları şifrələyəcək, kriptoqrafik mühafizədən istifadə edərək təhlükəsiz kanallar quracaqsınız. Bu halda, Rusiya FSB tərəfindən sertifikatlaşdırılmış CIPF-dən istifadə etməli olacaqsınız.
- Sertifikatlı CIPF, müəyyən bir təhlükəsizlik səviyyəsinə uyğun olaraq seçilir .
UZ-3 ilə ISPDn üçün KS1, KS2, KS3 istifadə edə bilərsiniz. KS1, məsələn, kanalları qorumaq üçün C-Terra Virtual Gateway 4.2-dir.
KC2, KS3 yalnız proqram və aparat sistemləri ilə təmsil olunur, məsələn: ViPNet Koordinatoru, APKSH "Continent", S-Terra Gateway və s.
Əgər sizdə UZ-2 və ya 1 varsa, onda sizə KV1, 2 və KA sinifli kriptoqrafik mühafizə vasitələri lazımdır. Bunlar spesifik proqram və aparat sistemləridir, işləmək çətindir və onların performans xüsusiyyətləri təvazökardır.
Həqiqət: Qanun FSB tərəfindən sertifikatlaşdırılmış CIPF-dən istifadə etməyi məcbur etmir.
Mənbə: www.habr.com