Kumusta tanan! Gipadagan nako ang DataLine Cyber Defense Center. Ang mga kustomer mianhi kanamo uban ang tahas sa pagtagbo sa mga kinahanglanon sa 152-FZ sa panganod o sa pisikal nga imprastraktura.
Sa halos matag proyekto gikinahanglan ang paghimo sa buluhatong pang-edukasyon aron mapanghimakak ang mga mito sa palibot niini nga balaod. Nakolekta nako ang labing kasagaran nga sayop nga pagsabut nga mahimong mahal sa badyet ug sistema sa nerbiyos sa personal nga operator sa datos. Maghimo dayon ako og reserbasyon nga ang mga kaso sa mga opisina sa estado (GIS) nga naghisgot sa mga sekreto sa estado, KII, ug uban pa magpabilin sa gawas sa sakup niini nga artikulo.
Mito 1. Nag-install ko og antivirus, firewall, ug gilibotan og koral ang mga racks. Nagsunod ba ko sa balaod?
Ang 152-FZ dili bahin sa pagpanalipod sa mga sistema ug mga server, apan bahin sa pagpanalipod sa personal nga datos sa mga hilisgutan. Busa, ang pagsunod sa 152-FZ nagsugod dili sa usa ka antivirus, apan sa daghang mga piraso sa papel ug mga isyu sa organisasyon.
Ang nag-unang inspektor, Roskomnadzor, dili motan-aw sa presensya ug kondisyon sa teknikal nga paagi sa pagpanalipod, apan sa legal nga basehan alang sa pagproseso sa personal nga data (PD):
- alang sa unsa nga katuyoan ang imong pagkolekta sa personal nga datos;
- kon mangolekta ka ba niini labaw pa sa imong gikinahanglan alang sa imong mga katuyoan;
- unsa ka dugay ikaw nagtipig sa personal nga datos;
- aduna bay polisiya sa pagproseso sa personal nga datos;
- Nangolekta ka ba og pagtugot alang sa pagproseso sa personal nga datos, pagbalhin sa cross-border, pagproseso sa mga ikatulo nga partido, ug uban pa.
Ang mga tubag niini nga mga pangutana, ingon man ang mga proseso mismo, kinahanglan nga irekord sa angay nga mga dokumento. Ania ang layo sa kompleto nga lista kung unsa ang kinahanglan nga iandam sa usa ka personal nga data operator:
- Usa ka sumbanan nga porma sa pagtugot alang sa pagproseso sa personal nga datos (kini ang mga sheet nga among gipirmahan karon halos bisan asa diin among gibilin ang among kompleto nga mga ngalan ug mga detalye sa pasaporte).
- Ang palisiya sa operator bahin sa pagproseso sa personal nga datos ( adunay mga rekomendasyon alang sa disenyo).
- Pag-order sa pagtudlo sa usa ka tawo nga responsable sa pag-organisar sa pagproseso sa personal nga datos.
- Deskripsyon sa trabaho sa tawo nga responsable sa pag-organisar sa pagproseso sa personal nga datos.
- Mga lagda alang sa internal nga pagkontrol ug (o) pag-audit sa pagsunod sa pagproseso sa PD sa legal nga mga kinahanglanon.
- Listahan sa mga sistema sa impormasyon sa personal nga datos (ISPD).
- Mga regulasyon sa paghatag sa hilisgutan og access sa iyang personal nga datos.
- Mga regulasyon sa imbestigasyon sa insidente.
- Pag-order sa pagdawat sa mga empleyado sa pagproseso sa personal nga datos.
- Mga regulasyon alang sa interaksyon sa mga regulator.
- Pagpahibalo sa RKN, ug uban pa.
- Instruksyon nga porma alang sa pagproseso sa PD.
- ISPD nga modelo sa hulga.
Human masulbad kini nga mga isyu, mahimo ka magsugod sa pagpili sa piho nga mga lakang ug teknikal nga paagi. Unsa ang imong gikinahanglan nagdepende sa mga sistema, sa ilang mga kondisyon sa pag-operate, ug sa karon nga mga hulga. Apan labaw pa niana sa ulahi.
Kamatuuran: pagsunod sa balaod mao ang pagtukod ug pagsunod sa pipila ka mga proseso, una sa tanan, ug lamang sa ikaduha - ang paggamit sa espesyal nga teknikal nga paagi.
Mito 2. Gitipigan nako ang personal nga datos sa panganod, usa ka sentro sa datos nga nagtagbo sa mga kinahanglanon sa 152-FZ. Karon sila ang responsable sa pagpatuman sa balaod
Kung imong gi-outsource ang pagtipig sa personal nga datos sa usa ka cloud provider o data center, dili ka mohunong nga mahimong usa ka personal nga operator sa datos.
Atong tawagan ang kahulugan gikan sa balaod alang sa tabang:
Pagproseso sa personal nga datos - bisan unsang aksyon (operasyon) o hugpong sa mga aksyon (operasyon) nga gihimo gamit ang mga himan sa automation o wala gigamit ang ingon nga mga paagi sa personal nga datos, lakip ang pagkolekta, pagrekord, sistematisasyon, pagtipon, pagtipig, pagpatin-aw (pag-update, pagbag-o), pagkuha, paggamit, pagbalhin (pag-apod-apod, probisyon, pag-access), depersonalization, pagbabag, pagtangtang, pagguba sa personal nga datos.
Tinubdan: artikulo 3,
Sa tanan niini nga mga aksyon, ang service provider ang responsable sa pagtipig ug pagguba sa personal nga datos (sa dihang ang kliyente motapos sa kontrata uban kaniya). Ang tanan gihatag sa personal nga data operator. Nagpasabot kini nga ang operator, ug dili ang service provider, ang magdeterminar sa polisiya sa pagproseso sa personal nga data, makakuha og pinirmahan nga mga pagtugot alang sa pagproseso sa personal nga datos gikan sa mga kliyente niini, pagpugong ug pag-imbestigar sa mga kaso sa leakage sa personal nga datos ngadto sa mga ikatulo nga partido, ug uban pa.
Tungod niini, ang personal nga data operator kinahanglan gihapon nga kolektahon ang mga dokumento nga nalista sa ibabaw ug ipatuman ang organisasyonal ug teknikal nga mga lakang aron mapanalipdan ang ilang PDIS.
Kasagaran, ang tighatag nagtabang sa operator pinaagi sa pagsiguro sa pagsunod sa mga ligal nga kinahanglanon sa lebel sa imprastraktura kung diin mahimutang ang ISPD sa operator: mga rack nga adunay kagamitan o panganod. Gikolekta usab niya ang usa ka pakete sa mga dokumento, naghimo sa organisasyonal ug teknikal nga mga lakang alang sa iyang piraso sa imprastraktura uyon sa 152-FZ.
Ang ubang mga providers nagtabang sa mga papeles ug probisyon sa teknikal nga mga lakang sa seguridad alang sa mga ISDN mismo, ie, sa lebel nga labaw sa imprastraktura. Ang operator mahimo usab nga mag-outsource niini nga mga buluhaton, apan ang responsibilidad ug mga obligasyon ubos sa balaod dili mawala.
Kamatuuran: Pinaagi sa paggamit sa mga serbisyo sa usa ka provider o data center, dili nimo mabalhin ngadto kaniya ang mga responsibilidad sa usa ka personal nga data operator ug mapapas ang responsibilidad. Kung ang provider nagsaad kanimo niini, nan, sa pagsulti niini sa malumo, siya namakak.
Mito 3. Ako adunay gikinahanglan nga pakete sa mga dokumento ug mga lakang. Gitipigan nako ang personal nga datos sa usa ka tighatag nga nagsaad sa pagsunod sa 152-FZ. Maayo ba ang tanan?
Oo, kung nahinumduman nimo nga pirmahan ang order. Sumala sa balaod, ang operator mahimong itugyan ang pagproseso sa personal nga datos ngadto sa laing tawo, pananglitan, sa samang service provider. Ang usa ka order usa ka matang sa kasabutan nga naglista kung unsa ang mahimo sa service provider sa personal nga data sa operator.
Ang operator adunay katungod sa pagtugyan sa pagproseso sa personal nga data ngadto sa laing tawo uban sa pagtugot sa hilisgutan sa personal nga data, gawas kon gihatag sa Federal nga Balaod, sa basehan sa usa ka kasabutan nga gitapos uban niini nga tawo, lakip na ang usa ka estado o municipal kontrata, o pinaagi sa pagsagop sa usa ka may kalabutan nga buhat sa usa ka estado o municipal nga lawas (human niini gitawag nga assignment operator). Ang tawo nga nagproseso sa personal nga datos alang sa operator obligado sa pagsunod sa mga prinsipyo ug mga lagda alang sa pagproseso sa personal nga datos nga gihatag niini nga Federal Law.
Source:
Ang obligasyon sa provider nga ipadayon ang pagkakompidensyal sa personal nga datos ug pagsiguro sa seguridad niini subay sa gitakda nga mga kinahanglanon gitukod usab:
Ang mga instruksyon sa operator kinahanglan maghubit sa usa ka lista sa mga aksyon (operasyon) nga adunay personal nga datos nga himuon sa tawo nga nagproseso sa personal nga datos ug ang mga katuyoan sa pagproseso, ang obligasyon sa ingon nga tawo kinahanglan nga matukod aron mapadayon ang pagkapribado sa personal nga datos ug masiguro ang Ang seguridad sa personal nga datos sa panahon sa ilang pagproseso, ingon man ang mga kinahanglanon alang sa pagpanalipod sa giproseso nga personal nga datos kinahanglan ipiho sumala sa niining Federal Law.
Source:
Alang niini, ang taghatag responsable sa operator, ug dili sa hilisgutan sa personal nga datos:
Kung gitugyan sa operator ang pagproseso sa personal nga datos sa laing tawo, ang operator ang responsable sa hilisgutan sa personal nga datos alang sa mga aksyon sa gitino nga tawo. Ang tawo nga nagproseso sa personal nga datos alang sa operator mao ang responsable sa operator.
Source: .
Importante usab nga itakda sa han-ay ang obligasyon sa pagsiguro sa pagpanalipod sa personal nga datos:
Ang seguridad sa personal nga datos kung giproseso sa usa ka sistema sa impormasyon gisiguro sa operator niini nga sistema, nga nagproseso sa personal nga datos (gitawag nga operator), o sa tawo nga nagproseso sa personal nga datos alang sa operator pinasukad sa usa ka kasabotan nga natapos uban niini nga tawo (pagkahuman niini gitawag nga awtorisado nga tawo). Ang kasabutan tali sa operator ug sa awtorisado nga tawo kinahanglan maghatag alang sa obligasyon sa awtorisado nga tawo aron masiguro ang seguridad sa personal nga datos kung giproseso sa sistema sa kasayuran.
Source:
Kamatuuran: Kung maghatag ka ug personal nga datos sa provider, dayon pirmahi ang order. Sa han-ay, ipakita ang kinahanglanon aron masiguro ang pagpanalipod sa personal nga datos sa mga hilisgutan. Kung dili, dili ka motuman sa balaod bahin sa pagbalhin sa trabaho sa pagproseso sa personal nga datos sa usa ka ikatulo nga partido, ug ang provider wala’y utang kanimo bahin sa pagsunod sa 152-FZ.
Mito 4. Ang Mossad nagpaniid kanako, o ako adunay usa ka UZ-1
Ang ubang mga kustomer padayon nga nagpamatuod nga sila adunay ISPD sa lebel sa seguridad 1 o 2. Kasagaran dili kini ang kahimtang. Atong hinumdoman ang hardware aron mahibal-an kung ngano kini mahitabo.
Ang LO, o lebel sa seguridad, nagtino kung asa nimo panalipdan ang imong personal nga datos.
Ang lebel sa seguridad apektado sa mosunod nga mga punto:
- matang sa personal nga datos (espesyal, biometric, magamit sa publiko ug uban pa);
- kinsa ang tag-iya sa personal nga datos - mga empleyado o dili mga empleyado sa personal nga data operator;
- gidaghanon sa personal nga mga hilisgutan sa datos - labaw pa o dili kaayo 100 ka libo.
- matang sa kasamtangan nga mga hulga.
Nagsulti kanamo bahin sa mga matang sa mga hulga . Ania ang usa ka paghulagway sa matag usa uban sa akong libre nga paghubad ngadto sa tawhanong pinulongan.
Ang Type 1 nga mga hulga may kalabutan sa usa ka sistema sa impormasyon kung ang mga hulga nga may kalabutan sa presensya sa dili dokumentado (wala gipahayag) nga mga kapabilidad sa software sa sistema nga gigamit sa sistema sa impormasyon may kalabutan usab niini.
Kung nahibal-an nimo nga kini nga matang sa hulga nga may kalabutan, nan lig-on ka nga nagtuo nga ang mga ahente sa CIA, MI6 o MOSSAD nagbutang usa ka bookmark sa operating system aron mangawat sa personal nga datos sa piho nga mga hilisgutan gikan sa imong ISPD.
Ang mga hulga sa ika-2 nga tipo adunay kalabotan sa usa ka sistema sa kasayuran kung ang mga hulga nga may kalabotan sa presensya sa dili dokumentado (wala gipahayag) nga mga kapabilidad sa software sa aplikasyon nga gigamit sa sistema sa kasayuran adunay kalabotan usab niini.
Kung sa imong hunahuna nga ang mga hulga sa ikaduha nga tipo mao ang imong kaso, unya matulog ka ug tan-awa kung giunsa ang parehas nga mga ahente sa CIA, MI6, MOSSAD, usa ka daotan nga nag-inusara nga hacker o grupo nagbutang mga bookmark sa pipila nga pakete sa software sa opisina aron makapangita eksakto alang sa. imong personal nga datos. Oo, adunay kaduhaduhaan nga software sa aplikasyon sama sa μTorrent, apan mahimo ka maghimo usa ka lista sa gitugotan nga software alang sa pag-install ug pagpirma sa usa ka kasabutan sa mga tiggamit, dili hatagan ang mga tiggamit sa mga katungod sa lokal nga tagdumala, ug uban pa.
Ang Type 3 nga mga hulga adunay kalabutan sa usa ka sistema sa kasayuran kung ang mga hulga nga wala’y kalabutan sa presensya sa dili dokumentado (wala gipahayag) nga mga kapabilidad sa sistema ug software sa aplikasyon nga gigamit sa sistema sa kasayuran adunay kalabotan niini.
Ang mga hulga sa tipo 1 ug 2 dili angay kanimo, mao nga kini ang lugar para kanimo.
Gihan-ay na namo ang mga matang sa mga hulga, karon atong tan-awon kung unsa nga lebel sa seguridad ang maangkon sa atong ISPD.
Talaan base sa mga sulat nga gipiho sa .
Kung gipili namon ang ikatulo nga tipo sa aktwal nga mga hulga, nan sa kadaghanan nga mga kaso kami adunay UZ-3. Ang bugtong eksepsiyon, kung ang mga hulga sa mga tipo 1 ug 2 dili angay, apan ang lebel sa seguridad taas gihapon (UZ-2), mao ang mga kompanya nga nagproseso sa espesyal nga personal nga datos sa mga dili empleyado sa kantidad nga labaw sa 100. Pananglitan, ang mga kompanya nga nakigbahin sa medikal nga pagdayagnos ug paghatag sa mga serbisyong medikal.
Anaa usab ang UZ-4, ug kini makita sa kadaghanan sa mga kompanya kansang negosyo wala’y kalabotan sa pagproseso sa personal nga datos sa mga dili empleyado, i.e. mga kliyente o mga kontratista, o gamay ra ang mga base sa personal nga datos.
Ngano nga hinungdanon kaayo nga dili kini sobra sa lebel sa seguridad? Yano ra: ang hugpong sa mga lakang ug paagi sa pagpanalipod aron masiguro nga kini nga lebel sa seguridad magdepende niini. Ang mas taas nga lebel sa kahibalo, mas daghan ang kinahanglan nga buhaton sa organisasyonal ug teknikal nga mga termino (basaha: mas daghang salapi ug nerbiyos ang kinahanglan nga gastohon).
Dinhi, pananglitan, kung giunsa pagbag-o ang hugpong sa mga lakang sa seguridad uyon sa parehas nga PP-1119.
Karon tan-awon nato kung giunsa, depende sa pinili nga lebel sa seguridad, ang lista sa gikinahanglan nga mga lakang mausab sumala sa Adunay taas nga apendise niini nga dokumento, nga naghubit sa gikinahanglan nga mga lakang. Adunay 109 niini sa kinatibuk-an, alang sa matag KM nga mandatory nga mga lakang gihubit ug gimarkahan sa usa ka "+" nga timaan - sila tukma nga gikalkula sa lamesa sa ubos. Kung biyaan ra nimo ang gikinahanglan alang sa UZ-3, makuha nimo ang 4.
Kamatuuran: kung dili ka mangolekta og mga pagsulay o biometrics gikan sa mga kliyente, dili ka paranoid bahin sa mga bookmark sa system ug software sa aplikasyon, nan lagmit nga ikaw adunay UZ-3. Kini adunay makatarunganon nga lista sa organisasyonal ug teknikal nga mga lakang nga mahimo gyud nga ipatuman.
Mito 5. Ang tanan nga paagi sa pagpanalipod sa personal nga datos kinahanglan nga sertipikado sa FSTEC sa Russia
Kung gusto nimo o gikinahanglan nga magpahigayon og sertipikasyon, lagmit kinahanglan nimo nga mogamit mga sertipikado nga kagamitan sa pagpanalipod. Ang sertipikasyon ipahigayon sa usa ka lisensyado sa FSTEC sa Russia, kinsa:
- interesado sa pagbaligya sa mas sertipikado nga impormasyon sa pagpanalipod sa mga himan;
- mahadlok sa lisensya nga bawion sa regulator kung adunay mahitabo.
Kung dili nimo kinahanglan ang sertipikasyon ug andam ka nga kumpirmahon ang pagsunod sa mga kinahanglanon sa lain nga paagi, nga gihinganlan sa "Pagtimbang-timbang sa pagka-epektibo sa mga lakang nga gipatuman sulod sa sistema sa pagpanalipod sa personal nga datos aron masiguro ang seguridad sa personal nga datos," unya ang mga sertipikadong sistema sa seguridad sa impormasyon dili kinahanglan alang kanimo. Ako mosulay sa pagpatin-aw sa mubo nga rason.
В nag-ingon nga gikinahanglan ang paggamit sa mga kagamitan sa pagpanalipod nga nakaagi sa pamaagi sa pagsusi sa pagpahiuyon uyon sa natukod nga pamaagi:
Ang pagsiguro nga ang seguridad sa personal nga datos makab-ot, labi na:
[...] 3) ang paggamit sa kasayuran sa seguridad nagpasabut nga nakapasar sa pamaagi sa pagtasa sa pagsunod subay sa natukod nga pamaagi.
В Adunay usab usa ka kinahanglanon sa paggamit sa mga himan sa seguridad sa impormasyon nga nakapasar sa pamaagi alang sa pagtimbang-timbang sa pagsunod sa legal nga mga kinahanglanon:
[…] ang paggamit sa mga himan sa seguridad sa impormasyon nga nakapasar sa pamaagi alang sa pagtimbang-timbang sa pagsunod sa mga kinahanglanon sa lehislasyon sa Russian Federation sa natad sa seguridad sa impormasyon, sa mga kaso diin ang paggamit sa maong mga paagi gikinahanglan aron ma-neutralize ang mga hulga karon.
halos nagdoble sa parapo PP-1119:
Ang mga lakang aron masiguro nga ang seguridad sa personal nga datos gipatuman, inter alia, pinaagi sa paggamit sa mga himan sa seguridad sa impormasyon sa sistema sa impormasyon nga nakapasar sa pamaagi sa pagtasa sa pagpahiuyon sumala sa natukod nga pamaagi, sa mga kaso diin ang paggamit sa maong mga himan gikinahanglan aron pag-neutralize sa karon nga mga hulga sa seguridad sa personal nga datos.
Unsa ang komon niini nga mga pormulasyon? Husto kana - wala nila kinahanglana ang paggamit sa sertipikado nga kagamitan sa pagpanalipod. Ang tinuod mao nga adunay daghang mga porma sa pagtasa sa pagpahiuyon (boluntaryo o mandatory nga sertipikasyon, deklarasyon sa pagpahiuyon). Ang sertipikasyon usa lang niini. Mahimong mogamit ang operator nga dili sertipikado nga mga produkto, apan kinahanglan nga ipakita sa regulator sa pag-inspeksyon nga sila nakaagi sa usa ka porma sa pamaagi sa pagsusi sa pagpahiuyon.
Kung ang operator nakahukom nga mogamit mga sertipikado nga kagamitan sa pagpanalipod, nan kinahanglan nga pilion ang sistema sa pagpanalipod sa kasayuran uyon sa proteksyon sa ultrasound, nga klaro nga gipakita sa :
Ang mga teknikal nga lakang aron mapanalipdan ang personal nga datos gipatuman pinaagi sa paggamit sa mga himan sa seguridad sa impormasyon, lakip ang software (hardware) nga mga himan diin kini gipatuman, nga adunay gikinahanglan nga mga function sa seguridad.
Kung gigamit ang mga himan sa seguridad sa kasayuran nga gipamatud-an sumala sa mga kinahanglanon sa seguridad sa kasayuran sa mga sistema sa kasayuran:
Kamatuuran: Ang balaod wala magkinahanglan sa mandatory nga paggamit sa certified protective equipment.
Mito 6. Kinahanglan nako ang proteksyon sa crypto
Adunay pipila ka mga nuances dinhi:
- Daghang mga tawo ang nagtuo nga ang cryptography gikinahanglan alang sa bisan unsang ISPD. Sa pagkatinuod, kini kinahanglan nga gamiton lamang kung ang operator wala makakita sa bisan unsa nga lain nga mga lakang sa pagpanalipod alang sa iyang kaugalingon gawas sa paggamit sa cryptography.
- Kung dili nimo mahimo kung wala ang cryptography, nan kinahanglan nimo nga gamiton ang CIPF nga gi-sertipikado sa FSB.
- Pananglitan, nakahukom ka nga mag-host sa usa ka ISPD sa panganod sa usa ka tighatag sa serbisyo, apan dili ka mosalig niini. Imong gihulagway ang imong mga kabalaka sa usa ka modelo sa hulga ug manunulong. Adunay ka personal nga datos, mao nga nakahukom ka nga ang cryptography mao lamang ang paagi aron mapanalipdan ang imong kaugalingon: imong i-encrypt ang mga virtual machine, magtukod og luwas nga mga channel gamit ang proteksyon sa cryptographic. Sa kini nga kaso, kinahanglan nimo nga gamiton ang CIPF nga gi-sertipikado sa FSB sa Russia.
- Ang certified CIPF gipili subay sa usa ka lebel sa seguridad sumala sa .
Para sa ISPDn nga adunay UZ-3, mahimo nimong gamiton ang KS1, KS2, KS3. Ang KS1, pananglitan, C-Terra Virtual Gateway 4.2 alang sa pagpanalipod sa mga channel.
Ang KC2, KS3 girepresentahan lamang sa mga sistema sa software ug hardware, sama sa: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway, ug uban pa.
Kung ikaw adunay UZ-2 o 1, nan kinahanglan nimo ang cryptographic nga proteksyon nga paagi sa klase nga KV1, 2 ug KA. Kini mga piho nga sistema sa software ug hardware, lisud kini nga operahan, ug kasarangan ang ilang mga kinaiya sa pasundayag.
Kamatuuran: Ang balaod wala nag-obligar sa paggamit sa CIPF nga gi-sertipikado sa FSB.
Source: www.habr.com