Zdravo svima! Ja vodim DataLine Cyber Defence Center. Kupci nam dolaze sa zadatkom ispunjavanja zahtjeva 152-FZ u oblaku ili na fizičkoj infrastrukturi.
U skoro svakom projektu potrebno je sprovesti edukativni rad kako bi se razotkrili mitovi oko ovog zakona. Sakupio sam najčešće zablude koje mogu skupo koštati budžet i nervni sistem operatera ličnih podataka. Odmah ću rezervisati da slučajevi državnih kancelarija (GIS) koji se bave državnim tajnama, KII itd. ostaju van okvira ovog članka.
Mit 1. Instalirao sam antivirus, zaštitni zid i ogradio police. Da li se pridržavam zakona?
152-FZ se ne odnosi na zaštitu sistema i servera, već na zaštitu ličnih podataka subjekata. Stoga usklađenost sa 152-FZ ne počinje s antivirusom, već s velikim brojem papirića i organizacijskih problema.
Glavni inspektor, Roskomnadzor, neće gledati na prisustvo i stanje tehničkih sredstava zaštite, već na pravni osnov za obradu ličnih podataka (PD):
- u koju svrhu prikupljate lične podatke;
- da li ih prikupite više nego što vam je potrebno za svoje potrebe;
- koliko dugo čuvate lične podatke;
- postoji li politika obrade ličnih podataka;
- Da li prikupljate saglasnost za obradu ličnih podataka, prekogranični prenos, obradu od strane trećih lica itd.
Odgovore na ova pitanja, kao i same procese, treba zabilježiti u odgovarajućim dokumentima. Evo daleko od potpune liste onoga što operater ličnih podataka treba da pripremi:
- Standardni obrazac saglasnosti za obradu ličnih podataka (ovo su listovi koje sada potpisujemo skoro svuda gdje ostavljamo puno ime i prezime i podatke iz pasoša).
- Politika operatera u vezi sa obradom ličnih podataka ( postoje preporuke za dizajn).
- Naredba o imenovanju osobe odgovorne za organizaciju obrade ličnih podataka.
- Opis posla osobe odgovorne za organizaciju obrade ličnih podataka.
- Pravila za internu kontrolu i (ili) reviziju usklađenosti obrade PD sa zakonskim zahtjevima.
- Spisak informacionih sistema ličnih podataka (ISPD).
- Propisi za omogućavanje subjektu pristupa njegovim ličnim podacima.
- Propisi o istrazi incidenata.
- Naredba o prijemu zaposlenih u obradu ličnih podataka.
- Propisi za interakciju sa regulatorima.
- Obavijest RKN-a itd.
- Uputa za obradu PD.
- ISPD model prijetnje.
Nakon rješavanja ovih problema, možete pristupiti odabiru konkretnih mjera i tehničkih sredstava. Koji su vam potrebni zavisi od sistema, njihovih radnih uslova i trenutnih pretnji. Ali više o tome kasnije.
Realnost: usklađenost sa zakonom je uspostavljanje i usklađenost sa određenim procesima, prije svega, a tek drugo - korištenjem posebnih tehničkih sredstava.
Mit 2. Ja pohranjujem lične podatke u oblak, data centar koji ispunjava zahtjeve 152-FZ. Sada su oni odgovorni za sprovođenje zakona
Kada prepustite skladištenje ličnih podataka dobavljaču u oblaku ili data centru, ne prestajete da budete operater ličnih podataka.
Pozovimo u pomoć definiciju iz zakona:
Obrada ličnih podataka – svaka radnja (operacija) ili skup radnji (operacija) izvršenih pomoću alata za automatizaciju ili bez upotrebe takvih sredstava sa ličnim podacima, uključujući prikupljanje, evidentiranje, sistematizaciju, akumulaciju, skladištenje, pojašnjenje (ažuriranje, izmenu), izdvajanje, korištenje, prijenos (distribucija, obezbjeđivanje, pristup), depersonalizacija, blokiranje, brisanje, uništavanje ličnih podataka.
Izvor: član 3,
Od svih ovih radnji, pružalac usluge je odgovoran za čuvanje i uništavanje ličnih podataka (kada klijent raskine ugovor sa njim). Sve ostalo obezbeđuje operater ličnih podataka. To znači da operater, a ne pružalac usluge, utvrđuje politiku obrade ličnih podataka, pribavlja potpisane saglasnosti za obradu ličnih podataka od svojih klijenata, sprečava i istražuje slučajeve curenja ličnih podataka trećim licima i sl.
Shodno tome, operater ličnih podataka i dalje mora prikupljati gore navedene dokumente i provoditi organizacijske i tehničke mjere za zaštitu svog PDIS-a.
Obično provajder pomaže operateru osiguravajući usklađenost sa zakonskim zahtjevima na infrastrukturnom nivou na kojem će se nalaziti ISPD operatera: stalci s opremom ili oblak. On također prikuplja paket dokumenata, preduzima organizacijske i tehničke mjere za svoj dio infrastrukture u skladu sa 152-FZ.
Neki provajderi pomažu oko papirologije i obezbjeđenja tehničkih mjera sigurnosti za same ISDN-ove, odnosno na nivou iznad infrastrukture. Operater takođe može da izvrši ove poslove, ali odgovornost i obaveze po zakonu ne nestaju.
Realnost: Koristeći usluge provajdera ili data centra, ne možete na njega prenijeti odgovornosti operatera ličnih podataka i osloboditi se odgovornosti. Ako vam provajder to obeća, onda, blago rečeno, laže.
Mit 3. Imam potreban paket dokumenata i mjera. Pohranjujem lične podatke kod provajdera koji obećava usklađenost sa 152-FZ. Je li sve u redu?
Da, ako se sjetite potpisati nalog. Prema zakonu, operater može povjeriti obradu ličnih podataka drugoj osobi, na primjer, istom pružaocu usluga. Narudžba je vrsta ugovora koji navodi šta pružalac usluge može učiniti sa ličnim podacima operatera.
Operater ima pravo da obradu ličnih podataka povjeri drugom licu uz saglasnost subjekta ličnih podataka, osim ako saveznim zakonom nije drugačije određeno, na osnovu ugovora zaključenog s tim licem, uključujući državni ili općinski ugovor, ili donošenjem odgovarajućeg akta od strane državnog ili opštinskog organa (u daljem tekstu: nosilac prenosa). Lice koje obrađuje lične podatke u ime operatera dužno je da se pridržava principa i pravila za obradu ličnih podataka predviđenih ovim Federalnim zakonom.
izvor:
Utvrđena je i obaveza provajdera da čuva povjerljivost ličnih podataka i osigura njihovu sigurnost u skladu sa navedenim zahtjevima:
Uputstva operatera moraju definisati spisak radnji (operacija) sa ličnim podacima koje će izvršiti lice koje obrađuje lične podatke i svrhe obrade, pri čemu se mora utvrditi obaveza takve osobe da čuva poverljivost ličnih podataka i obezbedi sigurnost ličnih podataka tokom njihove obrade, kao i zahtjevi za zaštitu obrađenih ličnih podataka moraju biti navedeni u skladu sa ovog saveznog zakona.
izvor:
Za to je provajder odgovoran operateru, a ne subjektu ličnih podataka:
Ako operater povjeri obradu ličnih podataka drugoj osobi, operater je odgovoran subjektu ličnih podataka za radnje navedene osobe. Osoba koja obrađuje lične podatke u ime operatera je odgovorna operateru.
izvor: .
Takođe je važno u naredbi predvidjeti obavezu osiguranja zaštite ličnih podataka:
Sigurnost ličnih podataka prilikom obrade u informacionom sistemu obezbeđuje operater ovog sistema, koji obrađuje lične podatke (u daljem tekstu: operater), ili lice koje obrađuje lične podatke u ime operatora na osnovu ugovor zaključen sa ovim licem (u daljem tekstu: ovlašćeno lice). Ugovorom između operatera i ovlaštenog lica mora biti predviđena obaveza ovlaštenog lica da osigura sigurnost ličnih podataka prilikom obrade u informacionom sistemu.
izvor:
Realnost: Ako date lične podatke dobavljaču, onda potpišite narudžbu. U nalogu navesti zahtjev za osiguranje zaštite ličnih podataka subjekata. U suprotnom, ne poštujete zakon koji se odnosi na prijenos rada obrade ličnih podataka na treću stranu, a pružatelj vam ne duguje ništa u pogledu usklađenosti sa 152-FZ.
Mit 4. Mosad me špijunira, ili ja definitivno imam UZ-1
Neki kupci uporno dokazuju da imaju ISPD nivoa sigurnosti 1 ili 2. Najčešće to nije slučaj. Prisjetimo se hardvera da shvatimo zašto se to događa.
LO, ili nivo sigurnosti, određuje od čega ćete zaštititi svoje lične podatke.
Na nivo sigurnosti utiču sledeće tačke:
- vrsta ličnih podataka (posebni, biometrijski, javno dostupni i drugi);
- ko posjeduje lične podatke - zaposleni ili ne-zaposleni kod operatera ličnih podataka;
- broj subjekata ličnih podataka – manje-više 100 hiljada.
- vrste trenutnih prijetnji.
Govori nam o vrstama prijetnji . Evo opisa svakog sa mojim besplatnim prijevodom na ljudski jezik.
Pretnje tipa 1 su relevantne za informacioni sistem ako su pretnje povezane sa prisustvom nedokumentovanih (nedeklarisanih) sposobnosti u sistemskom softveru koji se koristi u informacionom sistemu takođe relevantne za njega.
Ako prepoznate ovu vrstu prijetnje kao relevantnu, onda čvrsto vjerujete da su agenti CIA-e, MI6 ili MOSSAD-a postavili oznaku u operativni sistem za krađu ličnih podataka određenih subjekata iz vašeg ISPD-a.
Pretnje 2. tipa su relevantne za informacioni sistem ako su za njega relevantne i pretnje povezane sa prisustvom nedokumentovanih (nedeklariranih) sposobnosti u aplikativnom softveru koji se koristi u informacionom sistemu.
Ako mislite da su prijetnje drugog tipa vaš slučaj, onda spavate i vidite kako su isti agenti CIA-e, MI6, MOSSAD-a, zli usamljeni haker ili grupa stavili bookmark u neki kancelarijski softverski paket da bi baš tražili vaše lične podatke. Da, postoji sumnjiv aplikativni softver kao što je μTorrent, ali možete napraviti listu dozvoljenih softvera za instalaciju i potpisati ugovor sa korisnicima, a ne davati korisnicima prava lokalnog administratora itd.
Pretnje tipa 3 su relevantne za informacioni sistem ako su za njega relevantne pretnje koje nisu povezane sa prisustvom nedokumentovanih (nedeklariranih) sposobnosti u sistemu i aplikativnom softveru koji se koristi u informacionom sistemu.
Prijetnje tipa 1 i 2 vam ne odgovaraju, tako da je ovo mjesto za vas.
Razvrstali smo vrste prijetnji, a sada pogledajmo koji nivo sigurnosti će imati naš ISPD.
Tabela na osnovu korespondencije navedenih u .
Ako bismo odabrali treću vrstu stvarnih prijetnji, onda ćemo u većini slučajeva imati UZ-3. Jedini izuzetak, kada prijetnje tipa 1 i 2 nisu relevantne, ali će nivo sigurnosti i dalje biti visok (UZ-2), su kompanije koje obrađuju posebne lične podatke nezaposlenih u iznosu većem od 100. na primjer, kompanije koje se bave medicinskom dijagnostikom i pružanjem medicinskih usluga.
Postoji i UZ-4, a nalazi se uglavnom u preduzećima čije poslovanje nije vezano za obradu ličnih podataka nezaposlenih, odnosno klijenata ili izvođača, ili su baze ličnih podataka male.
Zašto je toliko važno ne pretjerati sa nivoom sigurnosti? Jednostavno je: od toga će zavisiti skup mjera i sredstava zaštite koji će osigurati ovaj nivo sigurnosti. Što je viši nivo znanja, to će više morati da se uradi u organizacionom i tehničkom smislu (čitaj: više novca i živaca treba da se potroši).
Evo, na primjer, kako se mijenja set sigurnosnih mjera u skladu sa istim PP-1119.
Sada da vidimo kako se, ovisno o odabranom nivou sigurnosti, lista potrebnih mjera mijenja u skladu sa Uz ovaj dokument postoji dugačak dodatak koji definiše potrebne mjere. Ukupno ih je 109, za svaku KM su definisane obavezne mjere i označene znakom “+” - precizno su izračunate u tabeli ispod. Ako ostavite samo one potrebne za UZ-3 dobijate 4.
Realnost: ako ne prikupljate testove ili biometriju od klijenata, niste paranoični oko bookmarka u sistemskom i aplikativnom softveru, onda najvjerovatnije imate UZ-3. Ima razumnu listu organizacionih i tehničkih mjera koje se zaista mogu implementirati.
Mit 5. Sva sredstva zaštite ličnih podataka moraju biti sertifikovana od strane FSTEC Rusije
Ako želite ili morate provesti certifikaciju, onda ćete najvjerovatnije morati koristiti certificiranu zaštitnu opremu. Certifikaciju će izvršiti nosilac licence FSTEC Rusije, koji:
- zainteresovani za prodaju više sertifikovanih uređaja za zaštitu informacija;
- plašit će se oduzimanja licence od strane regulatora ako nešto krene po zlu.
Ako vam nije potrebna certifikacija i spremni ste da potvrdite usklađenost sa zahtjevima na drugi način, naveden u “Procjenjujući efikasnost mjera koje se sprovode u okviru sistema zaštite ličnih podataka kako bi se osigurala sigurnost ličnih podataka”, tada vam sertifikovani sistemi za sigurnost informacija nisu potrebni. Pokušat ću ukratko objasniti obrazloženje.
В navodi da je potrebno koristiti zaštitnu opremu koja je prošla postupak ocjenjivanja usklađenosti u skladu sa utvrđenom procedurom:
Osiguranje sigurnosti ličnih podataka postiže se, a posebno:
[…] 3) korišćenje sredstava informacione bezbednosti koja su prošla postupak ocene usklađenosti u skladu sa utvrđenom procedurom.
В Postoji i zahtjev za korištenje alata za sigurnost informacija koji su prošli proceduru za ocjenu usklađenosti sa zakonskim zahtjevima:
[…] korištenje alata za sigurnost informacija koji su prošli proceduru za ocjenu usklađenosti sa zahtjevima zakonodavstva Ruske Federacije u oblasti informacione sigurnosti, u slučajevima kada je upotreba takvih sredstava neophodna za neutralizaciju trenutnih prijetnji.
praktično duplira paragraf PP-1119:
Mjere za osiguranje sigurnosti ličnih podataka sprovode se, između ostalog, korištenjem alata za informatičku sigurnost u informacionom sistemu koji su prošli postupak ocjenjivanja usaglašenosti u skladu sa utvrđenom procedurom, u slučajevima kada je upotreba takvih alata neophodna za neutraliziraju trenutne prijetnje sigurnosti ličnih podataka.
Šta je zajedničko ovim formulacijama? Tako je – ne zahtijevaju korištenje certificirane zaštitne opreme. Činjenica je da postoji nekoliko oblika ocjenjivanja usklađenosti (dobrovoljna ili obavezna certifikacija, izjava o usklađenosti). Certifikacija je samo jedna od njih. Operater može koristiti necertificirane proizvode, ali će morati pokazati regulatoru tokom inspekcije da su prošli neki oblik postupka ocjenjivanja usklađenosti.
Ukoliko se operater odluči za korištenje certificirane zaštitne opreme, tada je potrebno odabrati sistem zaštite informacija u skladu sa ultrazvučnom zaštitom, što je jasno navedeno u :
Tehničke mjere zaštite ličnih podataka sprovode se korištenjem alata za informacijsku sigurnost, uključujući softverske (hardverske) alate u kojima su implementirane, a koji imaju potrebne sigurnosne funkcije.
Kada koristite alate za sigurnost informacija certificirane prema zahtjevima sigurnosti informacija u informacionim sistemima:
Realnost: Zakon ne zahtijeva obaveznu upotrebu certificirane zaštitne opreme.
Mit 6. Trebam kripto zaštitu
Ovdje postoji nekoliko nijansi:
- Mnogi ljudi vjeruju da je kriptografija obavezna za svaki ISPD. Zapravo, treba ih koristiti samo ako operater ne vidi nikakve druge mjere zaštite za sebe osim korištenja kriptografije.
- Ako ne možete bez kriptografije, onda morate koristiti CIPF certificiran od strane FSB-a.
- Na primjer, odlučite da hostirate ISPD u oblaku provajdera usluga, ali mu ne vjerujete. Svoju zabrinutost opisujete u modelu prijetnje i uljeza. Imate lične podatke, pa ste odlučili da je kriptografija jedini način da se zaštitite: šifrovaćete virtuelne mašine, izgraditi sigurne kanale koristeći kriptografsku zaštitu. U ovom slučaju, morat ćete koristiti CIPF certificiran od strane FSB Rusije.
- Certificirani CIPF se biraju u skladu sa određenim nivoom sigurnosti prema .
Za ISPDn sa UZ-3, možete koristiti KS1, KS2, KS3. KS1 je, na primjer, C-Terra Virtual Gateway 4.2 za zaštitu kanala.
KC2, KS3 predstavljaju samo softverski i hardverski sistemi, kao što su: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway, itd.
Ako imate UZ-2 ili 1, onda će vam trebati sredstva kriptografske zaštite klase KV1, 2 i KA. Riječ je o specifičnim softverskim i hardverskim sistemima, teško ih je rukovati, a karakteristike performansi su im skromne.
Realnost: Zakon ne obavezuje upotrebu CIPF-a koji je certificirao FSB.
izvor: www.habr.com