Hola a tots! Dirigeixo el DataLine Cyber Defense Center. Els clients venen a nosaltres amb la tasca de complir els requisits de 152-FZ al núvol o a la infraestructura física.
En quasi tots els projectes cal fer un treball educatiu per desmentir els mites al voltant d'aquesta llei. He recopilat les idees errònies més comunes que poden ser costoses per al pressupost i el sistema nerviós de l'operador de dades personals. Immediatament faré una reserva que els casos d'empreses de propietat estatal (SIG) que tracten secrets d'estat, KII, etc. quedaran fora de l'abast d'aquest article.
Mite 1. Vaig instal·lar un antivirus, un tallafocs i vaig envoltar els bastidors amb una tanca. Estic seguint la llei?
152-FZ no tracta de la protecció de sistemes i servidors, sinó de la protecció de dades personals dels subjectes. Per tant, el compliment de 152-FZ no comença amb un antivirus, sinó amb un gran nombre de papers i problemes organitzatius.
L'inspector principal, Roskomnadzor, no examinarà la presència i l'estat dels mitjans tècnics de protecció, sinó la base legal per al tractament de dades personals (PD):
- amb quina finalitat recopileu dades personals;
- si en recolliu més del que necessiteu per als vostres propòsits;
- quant de temps emmagatzemeu les dades personals;
- hi ha una política de tractament de dades personals;
- Esteu recollint consentiment per al tractament de dades personals, transferència transfronterera, tractament per part de tercers, etc.
Les respostes a aquestes preguntes, així com els propis processos, s'han de registrar en els documents adequats. Aquí hi ha una llista que no és completa del que ha de preparar un operador de dades personals:
- Un formulari de consentiment estàndard per al tractament de dades personals (són els fulls que ara signem gairebé a tot arreu on deixem el nostre nom complet i les dades del passaport).
- Política de l'operador pel que fa al tractament de dades personals ( hi ha recomanacions de disseny).
- Ordre de designació d'un responsable de l'organització del tractament de les dades personals.
- Descripció del lloc de treball del responsable de l'organització del tractament de dades personals.
- Normes de control intern i (o) auditoria del compliment de la tramitació de la PD amb els requisits legals.
- Llista de sistemes d'informació de dades personals (ISPD).
- Normativa per facilitar al subjecte l'accés a les seves dades personals.
- Normativa d'investigació d'incidències.
- Ordre d'admissió dels treballadors al tractament de dades personals.
- Normativa per a la interacció amb els reguladors.
- Notificació de RKN, etc.
- Formulari d'instruccions per a la tramitació de la PD.
- Model d'amenaça ISPD.
Després de resoldre aquests problemes, podeu començar a seleccionar mesures i mitjans tècnics específics. Quins necessiteu depèn dels sistemes, les seves condicions operatives i les amenaces actuals. Però sobre això més endavant.
Realitat: el compliment de la llei és l'establiment i el compliment de determinats processos, en primer lloc, i només en segon lloc, l'ús de mitjans tècnics especials.
Mite 2. Emmagatzeme dades personals al núvol, un centre de dades que compleix els requisits de 152-FZ. Ara són els responsables de fer complir la llei
Quan externalitzeu l'emmagatzematge de dades personals a un proveïdor de núvol o centre de dades, no deixeu de ser un operador de dades personals.
Demanem ajuda a la definició de la llei:
Tractament de dades personals: qualsevol acció (operació) o conjunt d'accions (operacions) realitzades mitjançant eines d'automatització o sense l'ús d'aquests mitjans amb dades personals, inclosa la recollida, registre, sistematització, acumulació, emmagatzematge, aclariment (actualització, canvi), extracció, ús, transferència (distribució, subministrament, accés), despersonalització, bloqueig, supressió, destrucció de dades personals.
Font: article 3,
De totes aquestes accions, el prestador del servei és responsable d'emmagatzemar i destruir les dades personals (quan el client rescindi el contracte amb ell). Tota la resta la proporciona l'operador de dades personals. Això vol dir que l'operador, i no el prestador del servei, determina la política de tractament de dades personals, obté els consentiments signats per al tractament de dades personals dels seus clients, prevé i investiga els casos de fuga de dades personals a tercers, etc.
En conseqüència, l'operador de dades personals encara ha de recollir els documents que s'han enumerat anteriorment i implementar mesures organitzatives i tècniques per protegir el seu PDIS.
Normalment, el proveïdor ajuda l'operador assegurant el compliment dels requisits legals a nivell d'infraestructura on s'ubicarà l'ISPD de l'operador: bastidors amb equips o el núvol. També recull un paquet de documents, pren mesures organitzatives i tècniques per a la seva peça d'infraestructura d'acord amb 152-FZ.
Alguns proveïdors ajuden amb la documentació i la prestació de mesures de seguretat tècniques per als mateixos RDSI, és a dir, a un nivell superior a la infraestructura. L'operador també pot externalitzar aquestes tasques, però la responsabilitat i les obligacions legals no desapareixen.
Realitat: En utilitzar els serveis d'un proveïdor o centre de dades, no podeu transferir-li les responsabilitats d'un operador de dades personals i desfer-vos de la responsabilitat. Si el proveïdor us promet això, llavors, per dir-ho suaument, està mentint.
Mite 3. Tinc el paquet de documents i mesures necessaris. Emmagatzeme dades personals amb un proveïdor que promet el compliment de 152-FZ. Està tot en ordre?
Sí, si recordeu signar la comanda. Per llei, l'operador pot confiar el tractament de les dades personals a una altra persona, per exemple, al mateix proveïdor de serveis. Una comanda és una mena d'acord que enumera què pot fer el proveïdor de serveis amb les dades personals de l'operador.
L'operador té dret a confiar el tractament de les dades personals a una altra persona amb el consentiment del subjecte de les dades personals, tret que la llei federal estableixi el contrari, sobre la base d'un acord celebrat amb aquesta persona, inclòs un contracte estatal o municipal, o mitjançant l'adopció d'un acte rellevant per part d'un organisme estatal o municipal (d'ara endavant, l'operador de la cessió). La persona que tracti dades personals per compte de l'operador està obligada a complir els principis i normes de tractament de dades personals previstes per aquesta Llei Federal.
Font:
També s'estableix l'obligació del prestador de mantenir la confidencialitat de les dades personals i garantir-ne la seguretat d'acord amb els requisits especificats:
Les instruccions de l'operador han de definir una llista d'accions (operacions) amb dades personals que realitzarà la persona que processa les dades personals i les finalitats del tractament, l'obligació d'aquesta persona de mantenir la confidencialitat de les dades personals i garantir la seguretat de les dades personals. s'han d'establir les dades durant el seu tractament, així com s'han d'especificar els requisits de protecció de les dades personals tractades d'acord amb d'aquesta Llei Federal.
Font:
Per això, el prestador és responsable davant l'operador, i no davant el subjecte de les dades personals:
Si l'operador confia el tractament de dades personals a una altra persona, l'operador és responsable davant el subjecte de les dades personals de les accions de la persona especificada. La persona que processa les dades personals en nom de l'operador és responsable davant l'operador.
Font: .
També és important estipular en l'ordre l'obligació de garantir la protecció de les dades personals:
La seguretat de les dades personals quan es tracten en un sistema d'informació està assegurada per l'operador d'aquest sistema, que tracta les dades personals (d'ara endavant, l'operador), o per la persona que processa les dades personals en nom de l'operador sobre la base d'un conveni celebrat amb aquesta persona (d'ara endavant, la persona autoritzada). L'acord entre l'operador i la persona autoritzada ha de preveure l'obligació de la persona autoritzada de garantir la seguretat de les dades personals quan es tracten en el sistema d'informació.
Font:
Realitat: Si doneu dades personals al proveïdor, signeu la comanda. En l'ordre, indiqueu el requisit per garantir la protecció de les dades personals dels subjectes. En cas contrari, no compliu la llei pel que fa a la transferència de treballs de tractament de dades personals a un tercer, i el proveïdor no li deu res pel que fa al compliment de 152-FZ.
Mite 4. El Mossad m'està espiant, o definitivament tinc un UZ-1
Alguns clients demostren de manera persistent que tenen un ISPD de nivell de seguretat 1 o 2. Molt sovint aquest no és el cas. Recordem el maquinari per esbrinar per què passa això.
El LO, o nivell de seguretat, determina de què protegiràs les teves dades personals.
El nivell de seguretat es veu afectat pels punts següents:
- tipus de dades personals (especials, biomètriques, disponibles públicament i altres);
- qui és el propietari de les dades personals: empleats o no empleats de l'operador de dades personals;
- nombre de subjectes de dades personals: més o menys 100 mil.
- tipus d'amenaces actuals.
Ens parla dels tipus d'amenaces . Aquí hi ha una descripció de cadascun amb la meva traducció gratuïta al llenguatge humà.
Les amenaces de tipus 1 són rellevants per a un sistema d'informació si les amenaces associades amb la presència de capacitats no documentades (no declarades) al programari del sistema utilitzat en el sistema d'informació també són rellevants per a aquest.
Si reconeixeu que aquest tipus d'amenaça és rellevant, creieu fermament que els agents de la CIA, MI6 o MOSSAD han col·locat un marcador al sistema operatiu per robar dades personals de subjectes específics del vostre ISPD.
Les amenaces del segon tipus són rellevants per a un sistema d'informació si les amenaces associades a la presència de capacitats no documentades (no declarades) en el programari d'aplicació utilitzat en el sistema d'informació també són rellevants per a aquest.
Si creus que les amenaces del segon tipus són el teu cas, aleshores dorms i veus com els mateixos agents de la CIA, MI6, MOSSAD, un malvat pirata informàtic o grup solitari han col·locat adreces d'interès en algun paquet de programari d'oficina per caçar exactament les teves dades personals. Sí, hi ha programari d'aplicació dubtós com μTorrent, però podeu fer una llista de programari permesos per a la instal·lació i signar un acord amb els usuaris, no donar als usuaris drets d'administrador local, etc.
Les amenaces de tipus 3 són rellevants per a un sistema d'informació si les amenaces que no estan relacionades amb la presència de capacitats no documentades (no declarades) al sistema i el programari d'aplicació utilitzat al sistema d'informació són rellevants per a aquest.
Les amenaces dels tipus 1 i 2 no són adequades per a tu, així que aquest és el teu lloc.
Hem resolt els tipus d'amenaces, ara mirem quin nivell de seguretat tindrà el nostre ISPD.
Taula basada en les correspondències especificades a .
Si triem el tercer tipus d'amenaces reals, en la majoria dels casos tindrem UZ-3. L'única excepció, quan les amenaces dels tipus 1 i 2 no són rellevants, però el nivell de seguretat encara serà elevat (UZ-2), són les empreses que tracten dades personals especials de no empleats per un import superior a 100. per exemple, empreses dedicades al diagnòstic mèdic i la prestació de serveis mèdics.
També hi ha UZ-4, i es troba principalment en empreses el negoci de les quals no està relacionat amb el tractament de dades personals de no empleats, és a dir, clients o contractistes, o les bases de dades personals són petites.
Per què és tan important no exagerar amb el nivell de seguretat? És senzill: d'això dependrà el conjunt de mesures i mitjans de protecció per garantir aquest mateix nivell de seguretat. Com més alt sigui el nivell de coneixement, més caldrà fer en termes organitzatius i tècnics (llegiu: més diners i nervis caldrà gastar).
Vet aquí, per exemple, com canvia el conjunt de mesures de seguretat d'acord amb el mateix PP-1119.
Vegem ara com, en funció del nivell de seguretat seleccionat, canvia la llista de mesures necessàries d'acord amb Hi ha un llarg annex a aquest document, que defineix les mesures necessàries. N'hi ha 109 en total, per a cada KM es defineixen mesures obligatòries i es marquen amb un signe "+"; es calculen amb precisió a la taula següent. Si només deixeu els necessaris per a UZ-3, obteniu 4.
Realitat: si no recolliu proves o dades biometriques dels clients, no esteu paranoic amb les adreces d'interès del sistema i del programari d'aplicació, és probable que tingueu UZ-3. Té una llista raonable de mesures organitzatives i tècniques que realment es poden implementar.
Mite 5. Tots els mitjans de protecció de dades personals han de ser certificats pel FSTEC de Rússia
Si voleu o heu de realitzar la certificació, el més probable és que hàgiu d'utilitzar un equip de protecció certificat. La certificació la portarà a terme un llicenciat de la FSTEC de Rússia, que:
- interessat en vendre més dispositius certificats de protecció de la informació;
- tindrà por que la llicència sigui revocada pel regulador si alguna cosa va malament.
Si no necessiteu la certificació i esteu preparat per confirmar el compliment dels requisits d'una altra manera, anomenada a "Avaluar l'efectivitat de les mesures implementades dins del sistema de protecció de dades personals per garantir la seguretat de les dades personals", aleshores no us calen sistemes de seguretat de la informació certificats. Intentaré explicar breument la raó.
В estableix que és necessari utilitzar equips de protecció sotmesos al procediment d'avaluació de la conformitat d'acord amb el procediment establert:
S'aconsegueix la seguretat de les dades personals, en particular:
[…] 3) La utilització de mitjans de seguretat de la informació que hagin superat el procediment d'avaluació del compliment d'acord amb el procediment establert.
В També s'exigeix l'ús d'eines de seguretat de la informació que hagin superat el procediment per avaluar el compliment dels requisits legals:
[…] l'ús d'eines de seguretat de la informació que hagin superat el procediment per avaluar el compliment dels requisits de la legislació de la Federació Russa en matèria de seguretat de la informació, en els casos en què l'ús d'aquests mitjans sigui necessari per neutralitzar les amenaces actuals.
pràcticament duplica el paràgraf PP-1119:
Les mesures per garantir la seguretat de les dades personals s'implementen, entre altres, mitjançant l'ús d'eines de seguretat de la informació en el sistema d'informació que hagin superat el procediment d'avaluació de la conformitat d'acord amb el procediment establert, en els casos en què l'ús d'aquestes eines sigui necessari per a neutralitzar les amenaces actuals a la seguretat de les dades personals.
Què tenen en comú aquestes formulacions? És cert: no requereixen l'ús d'equips de protecció certificats. El cas és que hi ha diverses formes d'avaluació de la conformitat (certificació voluntària o obligatòria, declaració de conformitat). La certificació és només una d'elles. L'operador pot utilitzar productes no certificats, però haurà de demostrar al regulador després de la inspecció que s'han sotmès a algun tipus de procediment d'avaluació de la conformitat.
Si l'operador decideix utilitzar un equip de protecció certificat, cal seleccionar el sistema de protecció de la informació d'acord amb la protecció per ultrasons, que s'indica clarament a :
Les mesures tècniques de protecció de dades personals s'implementen mitjançant l'ús d'eines de seguretat de la informació, incloses les eines de programari (maquinari) en què s'implanten, que tenen les funcions de seguretat necessàries.
Quan s'utilitzen eines de seguretat de la informació certificades segons els requisits de seguretat de la informació als sistemes d'informació:
Realitat: La llei no exigeix l'ús obligatori d'equips de protecció certificats.
Mite 6. Necessito protecció criptogràfica
Aquí hi ha alguns matisos:
- Molta gent creu que la criptografia és obligatòria per a qualsevol ISPD. De fet, només s'han d'utilitzar si l'operador no veu cap altra mesura de protecció que no sigui l'ús de la criptografia.
- Si no podeu prescindir de la criptografia, heu d'utilitzar la certificació CIPF per l'FSB.
- Per exemple, decidiu allotjar un ISPD al núvol d'un proveïdor de serveis, però no hi confieu. Descriu les teves preocupacions en un model d'amenaça i intrús. Tens dades personals, així que vas decidir que la criptografia és l'única manera de protegir-te: xifraràs màquines virtuals, crearàs canals segurs mitjançant la protecció criptogràfica. En aquest cas, haureu d'utilitzar la certificació CIPF per l'FSB de Rússia.
- Els certificats CIPF es seleccionen d'acord amb un cert nivell de seguretat segons .
Per a ISPDn amb UZ-3, podeu utilitzar KS1, KS2, KS3. KS1 és, per exemple, C-Terra Virtual Gateway 4.2 per protegir canals.
KC2, KS3 només estan representats per sistemes de programari i maquinari, com ara: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway, etc.
Si teniu UZ-2 o 1, necessitareu mitjans de protecció criptogràfics de classe KV1, 2 i KA. Es tracta de sistemes específics de programari i maquinari, són difícils d'operar i les seves característiques de rendiment són modestes.
Realitat: La llei no obliga l'ús de CIPF certificat per l'FSB.
Font: www.habr.com