Здравейте всички! Аз управлявам DataLine Cyber Defense Center. Клиентите идват при нас със задачата да изпълнят изискванията на 152-FZ в облака или във физическа инфраструктура.
В почти всеки проект е необходимо провеждането на образователна работа за развенчаване на митовете около този закон. Събрах най-често срещаните заблуди, които могат да струват скъпо на бюджета и нервната система на оператора на лични данни. Веднага ще направя уговорка, че случаите на държавни служби (GIS), занимаващи се с държавни тайни, KII и т.н., ще останат извън обхвата на тази статия.
Мит 1. Инсталирах антивирусна програма, защитна стена и оградих стелажите с ограда. Спазвам ли закона?
152-FZ не е за защита на системи и сървъри, а за защита на личните данни на субектите. Следователно спазването на 152-FZ започва не с антивирус, а с голям брой парчета хартия и организационни проблеми.
Главният инспектор, Роскомнадзор, ще разглежда не наличието и състоянието на техническите средства за защита, а правното основание за обработка на лични данни (PD):
- с каква цел събирате лични данни;
- дали събирате повече от тях, отколкото са ви необходими за вашите цели;
- колко дълго съхранявате личните данни;
- има ли политика за обработка на лични данни;
- Събирате ли съгласие за обработка на лични данни, трансграничен трансфер, обработка от трети страни и др.
Отговорите на тези въпроси, както и самите процеси, трябва да бъдат записани в подходящи документи. Ето далеч не пълен списък на това, което операторът на лични данни трябва да подготви:
- Стандартен формуляр за съгласие за обработка на лични данни (това са листовете, които сега подписваме почти навсякъде, където оставяме пълните си имена и паспортни данни).
- Политика на оператора относно обработката на лични данни ( има препоръки за дизайн).
- Заповед за назначаване на лице, отговорно за организиране на обработката на лични данни.
- Длъжностна характеристика на лицето, отговорно за организиране на обработката на лични данни.
- Правила за вътрешен контрол и (или) одит на съответствието на обработката на PD със законовите изисквания.
- Списък на информационните системи за лични данни (ИСЛД).
- Правила за предоставяне на субекта на достъп до неговите лични данни.
- Правила за разследване на инциденти.
- Заповед за допускане на служители до обработка на лични данни.
- Правила за взаимодействие с регулаторите.
- Уведомяване на РКН и др.
- Формуляр за инструкции за обработка на ПД.
- ISPD модел на заплаха.
След решаването на тези проблеми можете да започнете да избирате конкретни мерки и технически средства. Кои от тях са ви необходими зависи от системите, техните работни условия и текущите заплахи. Но повече за това по-късно.
Реалност: спазването на закона е установяването и спазването на определени процеси, на първо място, и едва на второ място - използването на специални технически средства.
Мит 2. Съхранявам лични данни в облака, център за данни, който отговаря на изискванията на 152-FZ. Сега те са отговорни за прилагането на закона
Когато възложите съхранението на лични данни на облачен доставчик или център за данни, вие не преставате да бъдете оператор на лични данни.
Да извикаме на помощ определението от закона:
Обработка на лични данни – всяко действие (операция) или съвкупност от действия (операции), извършвани с помощта на средства за автоматизация или без използването на такива средства с лични данни, включително събиране, запис, систематизиране, натрупване, съхранение, изясняване (актуализиране, промяна), извличане, използване, трансфер (разпространение, предоставяне, достъп), деперсонализация, блокиране, изтриване, унищожаване на лични данни.
Източник: статия 3,
От всички тези действия доставчикът на услугата носи отговорност за съхраняването и унищожаването на личните данни (когато клиентът прекрати договора с него). Всичко останало се предоставя от оператора на лични данни. Това означава, че операторът, а не доставчикът на услугата, определя политиката за обработка на лични данни, получава подписани съгласия за обработка на лични данни от своите клиенти, предотвратява и разследва случаите на изтичане на лични данни към трети лица и др.
Следователно операторът на лични данни все още трябва да събира документите, изброени по-горе, и да прилага организационни и технически мерки за защита на своите PDIS.
Обикновено доставчикът помага на оператора, като гарантира спазването на законовите изисквания на ниво инфраструктура, където ще бъде разположен ISPD на оператора: стелажи с оборудване или облак. Той също така събира пакет от документи, предприема организационни и технически мерки за своята част от инфраструктурата в съответствие с 152-FZ.
Някои доставчици помагат с документацията и осигуряването на технически мерки за сигурност за самите ISDN, т.е. на ниво над инфраструктурата. Операторът може и да възложи тези задачи, но отговорността и задълженията по закона не отпадат.
Реалност: Използвайки услугите на доставчик или център за данни, не можете да му прехвърлите отговорностите на оператор на лични данни и да се освободите от отговорност. Ако доставчикът ви обещава това, тогава, меко казано, той лъже.
Мит 3. Имам необходимия пакет от документи и мерки. Съхранявам лични данни при доставчик, който обещава съответствие с 152-FZ. всичко наред ли е
Да, ако си спомните да подпишете поръчката. По закон операторът може да повери обработката на лични данни на друго лице, например на същия доставчик на услуги. Поръчката е вид споразумение, което изброява какво може да направи доставчикът на услуги с личните данни на оператора.
Операторът има право да повери обработката на лични данни на друго лице със съгласието на субекта на личните данни, освен ако не е предвидено друго във Федералния закон, въз основа на споразумение, сключено с това лице, включително държавен или общински договор, или чрез приемане на съответен акт от държавен или общински орган (наричан по-нататък оператор по възлагане). Лицето, обработващо лични данни от името на оператора, е длъжно да спазва принципите и правилата за обработка на лични данни, предвидени в този федерален закон.
Източник:
Установява се и задължението на доставчика да пази поверителността на личните данни и да гарантира тяхната сигурност в съответствие с посочените изисквания:
Инструкциите на оператора трябва да определят списък с действия (операции) с лични данни, които ще бъдат извършени от лицето, обработващо лични данни, и целите на обработването, трябва да се установи задължението на такова лице да поддържа поверителността на личните данни и да гарантира, сигурността на личните данни по време на тяхното обработване, както и изискванията за защита на обработваните лични данни трябва да бъдат посочени в съответствие с от този федерален закон.
Източник:
За това доставчикът носи отговорност пред оператора, а не пред субекта на личните данни:
Ако операторът възложи обработката на лични данни на друго лице, операторът носи отговорност пред субекта на личните данни за действията на посоченото лице. Лицето, обработващо лични данни от името на оператора, носи отговорност пред оператора.
Източник: .
Също така е важно в заповедта да се предвиди задължението за осигуряване на защита на личните данни:
Сигурността на личните данни, когато се обработват в информационна система, се осигурява от оператора на тази система, който обработва лични данни (наричан по-долу оператор), или от лицето, обработващо лични данни от името на оператора въз основа на споразумение, сключено с това лице (наричано по-долу упълномощеното лице). Споразумението между оператора и упълномощеното лице трябва да предвижда задължението на упълномощеното лице да гарантира сигурността на личните данни, когато се обработват в информационната система.
Източник:
Реалност: Ако предоставяте лични данни на доставчика, подпишете поръчката. В заповедта посочете изискването за осигуряване на защита на личните данни на субектите. В противен случай вие не спазвате закона относно прехвърлянето на работа по обработка на лични данни на трета страна и доставчикът не ви дължи нищо по отношение на спазването на 152-FZ.
Мит 4. Мосад ме шпионира или определено имам UZ-1
Някои клиенти упорито доказват, че имат ISPD с ниво на сигурност 1 или 2. Най-често това не е така. Нека си спомним хардуера, за да разберем защо се случва това.
LO, или нивото на сигурност, определя от какво ще защитите личните си данни.
Нивото на сигурност се влияе от следните точки:
- вид лични данни (специални, биометрични, публично достъпни и други);
- кой притежава личните данни – служители или неслужители на оператора на лични данни;
- брой субекти на лични данни – повече или по-малко 100 хиляди.
- видове текущи заплахи.
Разказва ни за видовете заплахи . Ето описание на всеки с моя безплатен превод на човешки език.
Заплахите от тип 1 са релевантни за една информационна система, ако заплахите, свързани с наличието на недокументирани (недекларирани) възможности в системния софтуер, използван в информационната система, също са релевантни за нея.
Ако признаете този тип заплаха за уместна, тогава твърдо вярвате, че агенти на ЦРУ, MI6 или MOSSAD са поставили отметка в операционната система, за да откраднат лични данни на конкретни субекти от вашия ISPD.
Заплахите от 2-ри тип са релевантни за една информационна система, ако заплахите, свързани с наличието на недокументирани (недекларирани) възможности в приложния софтуер, използван в информационната система, също са релевантни за нея.
Ако смятате, че заплахите от втория тип са вашият случай, тогава спите и виждате как едни и същи агенти на ЦРУ, MI6, MOSSAD, зъл самотен хакер или група са поставили отметки в някакъв офис софтуерен пакет, за да търсят точно вашите лични данни. Да, има съмнителен приложен софтуер като μTorrent, но можете да направите списък с разрешен софтуер за инсталиране и да подпишете споразумение с потребителите, да не давате на потребителите права на локален администратор и т.н.
Заплахи от тип 3 са релевантни за една информационна система, ако заплахи, които не са свързани с наличието на недокументирани (недекларирани) възможности в системата и приложния софтуер, използван в информационната система, са релевантни за нея.
Заплахите от тип 1 и 2 не са подходящи за вас, така че това е мястото за вас.
Подредихме видовете заплахи, сега нека да разгледаме какво ниво на сигурност ще има нашият ISPD.
Таблица въз основа на съответствията, посочени в .
Ако изберем третия тип действителни заплахи, тогава в повечето случаи ще имаме UZ-3. Единственото изключение, когато заплахите от типове 1 и 2 не са уместни, но нивото на сигурност все още ще бъде високо (UZ-2), са компаниите, които обработват специални лични данни на неслужители в размер на повече от 100 000. За например компании, занимаващи се с медицинска диагностика и предоставяне на медицински услуги.
Съществува и UZ-4 и се среща главно в компании, чиято дейност не е свързана с обработка на лични данни на лица, които не са служители, т.е. клиенти или контрагенти, или базите с лични данни са малки.
Защо е толкова важно да не прекалявате с нивото на сигурност? Всичко е просто: наборът от мерки и средства за защита, за да се гарантира това ниво на сигурност, ще зависи от това. Колкото по-високо е нивото на знания, толкова повече ще трябва да се направи в организационно и техническо отношение (да се чете: толкова повече пари и нерви ще трябва да се харчат).
Ето, например, как се променя наборът от мерки за сигурност в съответствие със същия PP-1119.
Сега нека да видим как в зависимост от избраното ниво на сигурност списъкът с необходимите мерки се променя в съответствие с Към този документ има дълго приложение, което определя необходимите мерки. Те са общо 109, като за всяко КМ са определени и отбелязани със знак „+“ задължителни мерки – точно изчислени са в таблицата по-долу. Ако оставите само необходимите за UZ-3, получавате 4.
Реалност: ако не събирате тестове или биометрични данни от клиенти, не сте параноични относно отметките в системния и приложния софтуер, тогава най-вероятно имате UZ-3. Има разумен списък от организационни и технически мерки, които реално могат да бъдат изпълнени.
Мит 5. Всички средства за защита на личните данни трябва да бъдат сертифицирани от FSTEC на Русия
Ако искате или трябва да извършите сертифициране, тогава най-вероятно ще трябва да използвате сертифицирани предпазни средства. Сертифицирането ще се извърши от лицензиант на FSTEC на Русия, който:
- заинтересовани от продажбата на повече сертифицирани устройства за защита на информацията;
- ще се страхува от отнемане на лиценза от регулатора, ако нещо се обърка.
Ако не се нуждаете от сертифициране и сте готови да потвърдите съответствието с изискванията по друг начин, посочен в „Оценка на ефективността на мерките, въведени в рамките на системата за защита на личните данни за гарантиране на сигурността на личните данни“, тогава за вас не се изискват сертифицирани системи за сигурност на информацията. Ще се опитам да обясня накратко обосновката.
В заявява, че е необходимо да се използват предпазни средства, които са преминали през процедурата за оценка на съответствието по установения ред:
Постига се гарантиране на сигурността на личните данни, по-специално:
[…] 3) използването на средства за информационна сигурност, които са преминали процедурата за оценка на съответствието в съответствие с установената процедура.
В Има и изискване за използване на инструменти за информационна сигурност, които са преминали процедурата за оценка на съответствието със законовите изисквания:
[…] използването на инструменти за информационна сигурност, които са преминали процедурата за оценка на съответствието с изискванията на законодателството на Руската федерация в областта на информационната сигурност, в случаите, когато използването на такива средства е необходимо за неутрализиране на текущи заплахи.
на практика дублира параграф PP-1119:
Мерките за гарантиране на сигурността на личните данни се прилагат, наред с другото, чрез използване на инструменти за сигурност на информацията в информационната система, които са преминали процедурата за оценка на съответствието в съответствие с установената процедура, в случаите, когато използването на такива инструменти е необходимо за неутрализиране на настоящите заплахи за сигурността на личните данни.
Какво е общото между тези формулировки? Точно така – те не изискват използването на сертифицирани предпазни средства. Факт е, че има няколко форми на оценка на съответствието (доброволно или задължително сертифициране, декларация за съответствие). Сертифицирането е само един от тях. Операторът може да използва несертифицирани продукти, но ще трябва да докаже на регулатора при проверка, че те са преминали някаква форма на процедура за оценка на съответствието.
Ако операторът реши да използва сертифицирано защитно оборудване, тогава е необходимо да изберете системата за защита на информацията в съответствие с ултразвуковата защита, която е ясно посочена в :
Техническите мерки за защита на личните данни се осъществяват чрез използване на средства за защита на информацията, включително софтуерни (хардуерни) средства, в които са внедрени, които имат необходимите функции за сигурност.
При използване на средства за информационна сигурност, сертифицирани съгласно изискванията за информационна сигурност в информационните системи:
Реалност: Законът не изисква задължително използване на сертифицирани предпазни средства.
Мит 6. Имам нужда от крипто защита
Тук има няколко нюанса:
- Много хора вярват, че криптографията е задължителна за всеки ISPD. Всъщност те трябва да се използват само ако операторът не вижда други мерки за защита за себе си, освен използването на криптография.
- Ако не можете без криптография, тогава трябва да използвате CIPF, сертифициран от FSB.
- Например, вие решавате да хоствате ISPD в облака на доставчик на услуги, но не му вярвате. Описвате притесненията си в модел на заплаха и натрапник. Имате лични данни, така че сте решили, че криптографията е единственият начин да се защитите: ще шифровате виртуални машини, ще изградите сигурни канали, използвайки криптографска защита. В този случай ще трябва да използвате CIPF, сертифициран от FSB на Русия.
- Сертифицираните CIPF се избират в съответствие с определено ниво на сигурност според .
За ISPDn с UZ-3 можете да използвате KS1, KS2, KS3. KS1 е например C-Terra Virtual Gateway 4.2 за защита на канали.
KC2, KS3 са представени само от софтуерни и хардуерни системи, като: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway и др.
Ако имате UZ-2 или 1, тогава ще ви трябват средства за криптографска защита от клас KV1, 2 и KA. Това са специфични софтуерни и хардуерни системи, те са трудни за работа и характеристиките им на работа са скромни.
Реалност: Законът не задължава използването на CIPF, сертифициран от FSB.
Източник: www.habr.com