Ўсім прывітанне! Я кірую цэнтрам кіберабароны DataLine. Да нас прыходзяць заказчыкі з задачай выканання патрабаванняў 152-ФЗ у воблаку ці на фізічнай інфраструктуры.
Практычна ў кожным праекце даводзіцца праводзіць асветніцкую працу па развянчанні міфаў вакол гэтага закона. Я сабраў самыя частыя памылкі, якія могуць дорага абысціся бюджэту і нервовай сістэме аператара персанальных дадзеных. Адразу абмоўлюся, што выпадкі дзяржкантор (ГІС), якія маюць справу з дзяржтаямніцай, КІІ і інш. застануцца за рамкамі гэтага артыкула.
Міф 1. Я паставіў антывірус, міжсеткавы экран, абгарадзіў стойкі плотам. Я ж выконваю закон?
152-ФЗ - не пра абарону сістэм і сервераў, а пра абарону персанальных дадзеных суб'ектаў. Таму захаванне 152-ФЗ пачынаецца не з антывіруса, а з вялікай колькасці паперак і арганізацыйных момантаў.
Галоўны правяраючы, Роскомнадзор, будзе глядзець не на наяўнасць і стан тэхнічных сродкаў абароны, а на прававыя падставы для апрацоўкі персанальных дадзеных (ПДн):
- з якой мэтай вы збіраеце персанальныя дадзеныя;
- ці не збіраеце вы іх больш, чым трэба для вашых мэт;
- колькі захоўваеце персанальныя дадзеныя;
- ці ёсць палітыка апрацоўкі персанальных дадзеных;
- ці збіраеце згоду на апрацоўку ПДН, на трансмежную перадачу, на апрацоўку трэцімі асобамі і інш.
Адказы на гэтыя пытанні, а таксама самі працэсы павінны быць зафіксаваны ў адпаведных дакументах. Вось далёка не поўны спіс таго, што трэба падрыхтаваць аператару персанальных дадзеных:
- Тыпавая форма згоды на апрацоўку персанальных дадзеных (гэта тыя лісты, якія мы зараз падпісваем практычна ўсюды, дзе пакідаем свае ПІБ, пашпартныя дадзеныя).
- Палітыка аператара ў дачыненні да апрацоўкі ПДН ( ёсць рэкамендацыі па афармленні).
- Загад аб прызначэнні адказнага за арганізацыю апрацоўкі ПДн.
- Службовая інструкцыя адказнага за арганізацыю апрацоўкі ПДн.
- Правілы ўнутранага кантролю і (або) аўдыту адпаведнасці апрацоўкі ПДН патрабаванням закона.
- Пералік інфармацыйных сістэм персанальных дадзеных (ІСПДн).
- Рэгламент прадастаўлення доступу суб'екта да яго ПДн.
- Рэгламент расследавання інцыдэнтаў.
- Загад аб допуску работнікаў да апрацоўкі ПДн.
- Рэгламент узаемадзеяння з рэгулятарамі.
- Апавяшчэнне РКН і інш.
- Форма даручэння апрацоўкі ПДн.
- Мадэль пагроз ИСПДн.
Пасля вырашэння гэтых пытанняў можна пачынаць падбор канкрэтных мер і тэхнічных сродкаў. Якія менавіта спатрэбяцца вам залежыць ад сістэм, умоў іх працы і актуальных пагроз. Але пра гэта крыху пазней.
рэальнасць: захаванне закона - гэта наладжванне і захаванне пэўных працэсаў, у першую чаргу, і толькі ў другую - выкарыстанне спецыяльных тэхнічных сродкаў.
Міф 2. Я захоўваю персанальныя дадзеныя ў воблаку, дата-цэнтры, які адпавядае патрабаванням 152-ФЗ. Цяпер яны адказваюць за выкананне закона
Калі вы аддаяце на аўтсорсінг захоўванне персанальных дадзеных хмарнаму правайдэру або ў дата-цэнтр, тыя вы не перастаеце быць аператарам персанальных дадзеных.
Паклічам на дапамогу вызначэнне з закона:
Апрацоўка персанальных дадзеных - любое дзеянне (аперацыя) або сукупнасць дзеянняў (аперацый), якія здзяйсняюцца з выкарыстаннем сродкаў аўтаматызацыі або без выкарыстання такіх сродкаў з персанальнымі дадзенымі, уключаючы збор, запіс, сістэматызацыю, назапашванне, захоўванне, удакладненне (абнаўленне, змена), выманне, выкарыстанне, перадачу (распаўсюджванне, прадастаўленне, доступ), абязлічванне, блакіраванне, выдаленне, знішчэнне персанальных дадзеных.
Крыніца: артыкул 3,
З усіх гэтых дзеянняў сэрвіс-правайдэр адказвае за захоўванне і знішчэнне персанальных дадзеных (калі кліент скасоўвае з ім дамову). Усё астатняе забяспечвае аператар персанальных даных. Гэта значыць, што аператар, а не сэрвіс-правайдэр, вызначае палітыку апрацоўкі персанальных дадзеных, атрымлівае ад сваіх кліентаў падпісаныя згоды на апрацоўку персанальных дадзеных, прадухіляе і расследуе выпадкі ўцечкі персанальных дадзеных на бок і гэтак далей.
Такім чынам, аператар персанальных дадзеных па-ранейшаму павінен сабраць дакументы, якія былі пералічаныя вышэй, і выканаць арганізацыйныя і тэхнічныя меры для абароны сваіх ИСПДн.
Звычайна правайдэр дапамагае аператару тым, што забяспечвае адпаведнасць патрабаванням закона на ўзроўні інфраструктуры, дзе будуць размяшчацца ИСПДн аператара: стойкі з абсталяваннем або воблака. Ён таксама збірае пакет дакументаў, прымае арганізацыйныя і тэхнічныя меры для свайго кавалка інфраструктуры ў адпаведнасць са 152-ФЗ.
Некаторыя правайдэры дапамагаюць з афармленнем дакументаў і забеспячэннем тэхнічных сродкаў абароны для саміх ИСПДн, т. е. узроўню вышэй інфраструктуры. Аператар таксама можа аддаць гэтыя задачы на аўтсорсінг, але сама адказнасць і абавязацельствы па законе нікуды не знікаюць.
рэальнасць: звяртаючыся да паслуг правайдэра ці дата-цэнтра, вы не можаце перадаць яму абавязкі аператара персанальных дадзеных і пазбавіцца ад адказнасці. Калі правайдэр вам гэта абяцае, то ён, мякка кажучы, хітруе.
Міф 3. Неабходны пакет дакументаў і захадаў у мяне ёсць. Персанальныя дадзеныя захоўваю ў правайдэра, які абяцае адпаведнасць 152-ФЗ. Усё ў ажуры?
Так, калі вы не забыліся падпісаць даручэнне. Па законе аператар можа даручыць апрацоўку персанальных дадзеных іншай асобе, напрыклад, таму ж сэрвіс-правайдэру. Даручэнне - гэта свайго роду дамова, дзе пералічваецца, што сэрвіс-правайдэр можа рабіць з персанальнымі дадзенымі аператара.
Аператар мае права даручыць апрацоўку персанальных дадзеных іншай асобе са згоды суб'екта персанальных дадзеных, калі іншае не прадугледжана Федэральным законам, на падставе заключаецца з гэтай асобай дагавора, у тым ліку дзяржаўнага або муніцыпальнага кантракта, або шляхам прыняцця дзяржаўным або муніцыпальным органам адпаведнага акта (далей - даручэнне аператара). Асоба, якая ажыццяўляе апрацоўку персанальных дадзеных па даручэнні аператара, абавязана выконваць прынцыпы і правілы апрацоўкі персанальных дадзеных, прадугледжаныя гэтым Федэральным законам.
Крыніца:
Тут жа замацоўваецца абавязак правайдэра выконваць канфідэнцыйнасць персанальных дадзеных і забяспечваць іх бяспеку ў адпаведнасці з указанымі патрабаваннямі:
У даручэнні аператара павінны быць вызначаны пералік дзеянняў (аперацый) з персанальнымі дадзенымі, якія будуць здзяйсняцца асобай, якая ажыццяўляе апрацоўку персанальных дадзеных, і мэты апрацоўкі, павінен быць усталяваны абавязак такой асобы выконваць канфідэнцыйнасць персанальных дадзеных і гарантаваць бяспеку персанальных дадзеных пры іх апрацоўцы, а таксама павінны быць указаны патрабаванні да абароны апрацоўваных персанальных дадзеных у адпаведнасці са гэтага Федэральнага закона.
Крыніца:
За гэта правайдэр нясе адказнасць перад аператарам, а не перад суб'ектам персанальных дадзеных:
У выпадку, калі аператар даручае апрацоўку персанальных дадзеных іншай асобе, адказнасць перад суб'ектам персанальных дадзеных за дзеянні названай асобы нясе аператар. Асоба, якая ажыццяўляе апрацоўку персанальных дадзеных па даручэнні аператара, нясе адказнасць перад аператарам.
Крыніца: .
У даручэнні таксама важна прапісаць абавязак забеспячэння абароны персанальных даных:
Бяспека персанальных дадзеных пры іх апрацоўцы ў інфармацыйнай сістэме забяспечвае аператар гэтай сістэмы, які апрацоўвае персанальныя дадзеныя (далей - аператар), або асоба, якая ажыццяўляе апрацоўку персанальных дадзеных па даручэнні аператара на падставе заключаецца з гэтай асобай дагавора (далей - упаўнаважаная асоба). Дагавор паміж аператарам і ўпаўнаважанай асобай павінен прадугледжваць абавязак упаўнаважанай асобы гарантаваць бяспеку персанальных даных пры іх апрацоўцы ў інфармацыйнай сістэме.
Крыніца:
рэальнасць: калі аддаяце персанальныя дадзеныя правайдэру, то падпісвайце даручэнне. У даручэнні указвайце патрабаванне па забеспячэнні абароны ПДН суб'ектаў. Інакш вы не выконваеце закон у частцы перадачы прац апрацоўкі персанальных дадзеных трэцяй асобай і правайдэр у частцы захавання 152-ФЗ вам нічога не абавязаны.
Міф 4. За мной шпіёніць Массад, ці У мяне абавязкова УАЗ-1
Некаторыя заказчыкі настойліва даказваюць, што ў іх ИСПДн ўзроўню абароненасці 1 або 2. Часцей за ўсё гэта не так. Успомнім матчнасць, каб разабрацца, чаму так атрымліваецца.
УАЗ, ці ўзровень абароненасці, вызначае, ад чаго вы будзеце абараняць персанальныя дадзеныя.
На ўзровень абароненасці ўплываюць наступныя моманты:
- тып персанальных даных (спецыяльныя, біяметрычныя, агульнадаступныя і іншыя);
- каму належаць персанальныя дадзеныя - супрацоўнікам або несупрацоўнікам аператара персданных;
- колькасць суб'ектаў персанальных дадзеных - больш-менш за 100 тыс.
- тыпы актуальных пагроз.
Пра тыпы пагроз нам расказвае . Вось апісанне кожнага з маім вольным перакладам на чалавечую мову.
Пагрозы 1-га тыпу актуальныя для інфармацыйнай сістэмы, калі для яе ў тым ліку актуальныя пагрозы, злучаныя з наяўнасцю недакументаваных (недэклараваных) магчымасцяў у сістэмным праграмным забеспячэнні, выкарыстоўваным у інфармацыйнай сістэме.
Калі вы прызнаеце гэты тып пагроз актуальным, значыць вы свята верыце ў тое, што агенты ЦРУ, МІ-6 ці МАССАД размясцілі ў аперацыйнай сістэме закладку, каб красці персанальныя дадзеныя пэўных суб'ектаў менавіта з вашых ИСПДн.
Пагрозы 2-га тыпу актуальныя для інфармацыйнай сістэмы, калі для яе ў тым ліку актуальныя пагрозы, звязаныя з наяўнасцю недакументаваных (недэклараваных) магчымасцей у прыкладным праграмным забеспячэнні, якое выкарыстоўваецца ў інфармацыйнай сістэме.
Калі лічыце, што пагрозы другога тыпу - гэта ваш выпадак, тыя вы спіце і бачыце, як тыя ж агенты ЦРУ, МІ-6, МАССАД, злосны хакер-адзіночка або групоўка размясцілі закладкі ў якім-небудзь пакеце праграм для офіса, каб паляваць менавіта за вашымі персанальнымі дадзенымі. Так, ёсць сумнеўнае прыкладное ПЗ тыпу μTorrent, але можна зрабіць спіс дазволенага софту да ўсталёўкі і падпісаць з карыстачамі дамова, не даваць карыстачам правы лакальных адміністратараў і інш.
Пагрозы 3-га тыпу актуальныя для інфармацыйнай сістэмы, калі для яе актуальныя пагрозы, не звязаныя з наяўнасцю недакументаваных (недэклараваных) магчымасцей у сістэмным і прыкладным праграмным забеспячэнні, якое выкарыстоўваецца ў інфармацыйнай сістэме.
Вам не падыходзяць пагрозы 1 і 2 тыпаў, значыцца, вам сюды.
З тыпамі пагроз разабраліся, зараз глядзім, які ж узровень абароненасці будзе ў нашай ИСПДн.
Табліца на аснове адпаведнікаў, прапісаных у .
Калі мы выбралі трэці тып актуальных пагроз, то ў большасці выпадкаў у нас будзе УАЗ-3. Адзінае выключэнне, калі пагрозы 1 і 2 тыпу не актуальныя, але ўзровень абароненасці ўсё роўна будзе высокім (УАЗ-2), - гэта кампаніі, якія апрацоўваюць спецыяльныя персанальныя дадзеныя несупрацоўнікаў у аб'ёме больш за 100 000. Напрыклад, кампаніі, якія займаюцца медыцынскай дыягностыкай і аказаннем медыцынскіх паслуг.
Ёсць яшчэ УАЗ-4, і ён сустракаецца галоўным чынам у кампаній, чый бізнэс не злучаны з апрацоўкай персанальных дадзеных несупрацоўнікаў, т. е. кліентаў ці падрадчыкаў, альбо базы персанальных дадзеных малыя.
Чаму так важна не перабраць з узроўнем абароненасці? Усё проста: ад гэтага будзе залежаць набор мер і сродкаў абароны для забеспячэння гэтага самага ўзроўню абароненасці. Чым вышэй УАЗ, тым больш за ўсё трэба будзе зрабіць у арганізацыйным і тэхнічным плане (чытай: тым больш грошай і нерваў трэба будзе патраціць).
Вось, напрыклад, як змяняецца набор мераў забеспячэння бяспекі ў адпаведнасці з тым жа ПП-1119.
Цяпер глядзім, як, у залежнасці ад абранага ўзроўню абароненасці, мяняецца спіс неабходных мер у адпаведнасці з Да гэтага дакумента ёсць даўжэзнае дадатак, дзе вызначаюцца неабходныя меры. Усяго іх 109, для кожнага УАЗ вызначаны і адзначаны знакам "+" абавязковыя меры - яны як раз і разлічаны ў табліцы ніжэй. Калі пакінуць толькі тыя, якія патрэбны для УАЗ-3, то атрымаецца 4.
рэальнасць: калі вы не збіраеце аналізы ці біяметрыю кліентаў, вы не параноік баіцеся закладак у сістэмным і прыкладным ПА, то, хутчэй за ўсё, у вас УАЗ-3. Для яго прадугледжаны абвінавачаны спіс арганізацыйных і тэхнічных мер, якія рэальна выканаць.
Міф 5. Усе сродкі абароны (СЗІ) персанальных дадзеных павінны быць сертыфікаваны ФСТЭК Расіі
Калі вы хочаце ці абавязаны правесці атэстацыю, то хутчэй за ўсё вам давядзецца выкарыстоўваць сертыфікаваныя сродкі абароны. Атэстацыю будзе праводзіць ліцэнзіят ФСТЭК Расіі, які:
- зацікаўлены прадаць пабольш сертыфікаваных СЗІ;
- будзе баяцца водгуку ліцэнзіі рэгулятарам, калі нешта пойдзе не так.
Калі атэстацыя вам не патрэбна і вы гатовы пацвердзіць выкананне патрабаванняў іншым спосабам, названым у "Ацэнка эфектыўнасці рэалізаваных у рамках сістэмы абароны персанальных дадзеных мер па забеспячэнні бяспекі персанальных дадзеных", то сертыфікаваныя СЗІ для вас не абавязковыя. Паспрабую коратка прывесці абгрунтаванне.
В гаворыцца аб тым, што трэба выкарыстоўваць сродкі абароны, якія прайшлі ва ўсталяваным парадку працэдуру адзнакі адпаведнасці:
Забеспячэнне бяспекі персанальных дадзеных дасягаецца, у прыватнасці:
[…] 3)ужываннем якія прайшлі ва ўсталяваным парадку працэдуру ацэнкі адпаведнасці сродкаў абароны інфармацыі.
В таксама ёсць патрабаванне аб выкарыстанні сродкаў абароны інфармацыі, якія прайшлі працэдуру адзнакі адпаведнасці патрабаванням заканадаўства:
[…] выкарыстанне сродкаў абароны інфармацыі, якія прайшлі працэдуру адзнакі адпаведнасці патрабаванням заканадаўства Расійскай Федэрацыі ў вобласці забеспячэння бяспекі інфармацыі, у выпадку, калі ўжыванне такіх сродкаў неабходна для нейтралізацыі актуальных пагроз.
практычна дублюе пункт ПП-1119:
Меры па забеспячэнні бяспекі персанальных даных рэалізуюцца ў тым ліку праз прымяненне ў інфармацыйнай сістэме сродкаў абароны інфармацыі, якія прайшлі ва ўстаноўленым парадку працэдуру ацэнкі адпаведнасці, у выпадках, калі прымяненне такіх сродкаў неабходна для нейтралізацыі актуальных пагроз бяспекі персанальных даных.
Што агульнае ў гэтых фармулёвак? Правільна - у іх няма патрабавання выкарыстоўваць сертыфікаваныя сродкі абароны. Справа ў тым, што формаў ацэнкі адпаведнасці некалькі (добраахвотная або абавязковая сертыфікацыя, дэклараванне адпаведнасці). Сертыфікацыя - гэта толькі адна з іх. Аператар можа выкарыстоўваць несертыфікаваныя сродкі, але трэба будзе прадэманстраваць рэгулятару пры праверцы, што для іх пройдзена працэдура адзнакі адпаведнасці ў якой-небудзь форме.
Калі ж аператар вырашае выкарыстоўваць сертыфікаваныя сродкі абароны, то трэба выбіраць СЗІ у адпаведнасць з УАЗ, пра што відавочна паказана ў :
Тэхнічныя меры абароны персанальных даных рэалізуюцца пры дапамозе прымянення сродкаў абароны інфармацыі, у тым ліку праграмных (праграмна-апаратных) сродкаў, у якіх яны рэалізаваны, якія маюць неабходныя функцыі бяспекі.
Пры выкарыстанні ў інфармацыйных сістэмах сертыфікаваных па патрабаваннях бяспекі інфармацыі сродкаў абароны інфармацыі:
рэальнасць: закон не патрабуе абавязковага выкарыстання сертыфікаваных сродкаў аховы.
Міф 6. Мне патрэбная крыптаабарона
Тут некалькі нюансаў:
- Многія лічаць, што крыптаграфія абавязковая для любых ИСПДн. Насамрэч выкарыстоўваць іх трэба толькі ў выпадку, калі аператар не бачыць для сябе іншых мер абароны, акрамя як ужыванне крыптаграфіі.
- Калі без крыптаграфіі ніяк, тое трэба выкарыстоўваць СКЗИ, сертыфікаваныя ФСБ.
- Напрыклад, вы вырашылі размясціць ИСПДн у воблаку сэрвіс-правайдэра, але не давяраеце яму. Свае асцярогі вы апісваеце ў мадэлі пагроз і парушальніка. У вас ПДн, таму вы вырашылі, што крыптаграфія - адзіны спосаб абароны: будзеце шыфраваць віртуальныя машыны, будаваць абароненыя каналы пасродкам крыптаабароны. У гэтым выпадку давядзецца прымяняць СКЗИ, сертыфікаваныя ФСБ Расіі.
- Сертыфікаваныя СКЗИ падбіраюцца ў адпаведнасці з вызначаным узроўнем абароненасці паводле .
Для ИСПДн з УАЗ-3 можна выкарыстоўваць КС1, КС2, КС3. КС1 - гэта, напрыклад, C-Тэра Віртуальны шлюз 4.2 для абароны каналаў.
KC2, КС3 прадстаўлены толькі праграмна-апаратнымі комплексамі, такімі як: ViPNet Coordinator, АПКШ "Кантынент", З-Тэра Шлюз і т. д.
Калі ў вас УАЗ-2 ці 1, то вам патрэбныя будуць сродкі криптозащиты класа КВ1, 2 і КА. Гэта спецыфічныя праграмна-апаратныя комплексы, іх складана эксплуатаваць, а характарыстыкі прадукцыйнасці сціплыя.
рэальнасць: закон не абавязвае выкарыстоўваць СКЗІ, сертыфікаваныя ФСБ.
Крыніца: habr.com