Ahoj všichni! Provozuji DataLine Cyber Defense Center. Zákazníci k nám přicházejí s úkolem splnit požadavky 152-FZ v cloudu nebo na fyzické infrastruktuře.
Téměř v každém projektu je nutné provést osvětovou činnost, aby se vyvrátily mýty kolem tohoto zákona. Shromáždil jsem nejčastější mylné představy, které mohou být nákladné pro rozpočet a nervovou soustavu provozovatele osobních údajů. Ihned učiním výhradu, že případy státních úřadů (GIS) zabývajících se státním tajemstvím, KII atd. zůstanou mimo rámec tohoto článku.
Mýtus 1. Nainstaloval jsem antivirus, firewall a obehnal stojany plotem. Dodržuji zákon?
152-FZ není o ochraně systémů a serverů, ale o ochraně osobních údajů subjektů. Soulad s 152-FZ proto nezačíná antivirem, ale velkým množstvím papírů a organizačními problémy.
Hlavní inspektor Roskomnadzor se nebude zabývat přítomností a stavem technických prostředků ochrany, ale právním základem zpracování osobních údajů (OÚ):
- za jakým účelem osobní údaje shromažďujete;
- zda jich nasbíráte více, než potřebujete pro své účely;
- jak dlouho osobní údaje uchováváte;
- existují zásady zpracování osobních údajů;
- Získáváte souhlas se zpracováním osobních údajů, přeshraničním přenosem, zpracováním třetími stranami atd.
Odpovědi na tyto otázky, stejně jako samotné procesy, by měly být zaznamenány v příslušných dokumentech. Zde není zdaleka úplný výčet toho, co si musí provozovatel osobních údajů připravit:
- Standardní formulář souhlasu se zpracováním osobních údajů (to jsou listy, které dnes podepisujeme téměř všude tam, kde zanecháváme celé jméno a údaje o pasu).
- Zásady provozovatele týkající se zpracování osobních údajů ( existují doporučení pro design).
- Příkaz o určení osoby odpovědné za organizaci zpracování osobních údajů.
- Pracovní náplň osoby odpovědné za organizaci zpracování osobních údajů.
- Pravidla pro vnitřní kontrolu a (nebo) audit souladu zpracování PD s právními požadavky.
- Seznam informačních systémů osobních údajů (ISPD).
- Předpisy pro poskytování přístupu subjektu k jeho osobním údajům.
- Předpisy pro vyšetřování incidentů.
- Příkaz o přístupu zaměstnanců ke zpracování osobních údajů.
- Předpisy pro interakci s regulátory.
- Oznámení RKN atd.
- Formulář pokynu pro zpracování PD.
- Model ohrožení ISPD.
Po vyřešení těchto problémů můžete začít s výběrem konkrétních opatření a technických prostředků. Které z nich potřebujete, závisí na systémech, jejich provozních podmínkách a aktuálních hrozbách. Ale o tom později.
Realita: soulad se zákonem je zřízení a dodržování určitých procesů, za prvé a teprve za druhé - použití speciálních technických prostředků.
Mýtus 2. Osobní údaje ukládám v cloudu, datovém centru, které splňuje požadavky 152-FZ. Nyní jsou zodpovědní za dodržování zákona
Když zadáte ukládání osobních údajů poskytovateli cloudu nebo datovému centru, nepřestáváte být provozovatelem osobních údajů.
Požádejme o pomoc definici ze zákona:
Zpracování osobních údajů – jakákoli akce (operace) nebo soubor úkonů (operací) prováděné pomocí nástrojů automatizace nebo bez použití těchto prostředků s osobními údaji, včetně shromažďování, zaznamenávání, systematizace, shromažďování, ukládání, vyjasňování (aktualizace, změny), vytěžování, používání, přenos (distribuce, poskytování, zpřístupňování), depersonalizace, blokování, výmaz, likvidace osobních údajů.
Zdroj: článek 3,
Ze všech těchto úkonů je poskytovatel služby odpovědný za uložení a likvidaci osobních údajů (když s ním klient ukončí smlouvu). Vše ostatní zajišťuje provozovatel osobních údajů. To znamená, že zásady zpracování osobních údajů určuje provozovatel, nikoli poskytovatel služby, získává od svých klientů podepsané souhlasy se zpracováním osobních údajů, předchází a prošetřuje případy úniku osobních údajů třetím stranám a podobně.
V důsledku toho musí provozovatel osobních údajů nadále shromažďovat dokumenty, které byly uvedeny výše, a provádět organizační a technická opatření k ochraně svého PDIS.
Poskytovatel obvykle pomáhá operátorovi zajištěním souladu s právními požadavky na úrovni infrastruktury, kde se bude nacházet ISPD operátora: stojany s vybavením nebo cloud. Dále shromažďuje balík dokumentů, přijímá organizační a technická opatření pro svou infrastrukturu v souladu s 152-FZ.
Někteří poskytovatelé pomáhají s papírováním a zajištěním technických bezpečnostních opatření pro samotné ISDN, tedy na úrovni nad infrastrukturou. Provozovatel může tyto úkoly i outsourcovat, ale odpovědnost a povinnosti ze zákona nemizí.
Realita: Využíváním služeb poskytovatele nebo datového centra na něj nemůžete přenést povinnosti provozovatele osobních údajů a zbavit se odpovědnosti. Pokud vám to poskytovatel slibuje, tak mírně řečeno lže.
Mýtus 3. Mám potřebný balík dokumentů a opatření. Osobní údaje ukládám u poskytovatele, který slibuje dodržování 152-FZ. Je vše v pořádku?
Ano, pokud si vzpomenete podepsat objednávku. Provozovatel může ze zákona pověřit zpracováním osobních údajů jinou osobu, například stejného poskytovatele služeb. Objednávka je druh smlouvy, která uvádí, co může poskytovatel služby dělat s osobními údaji provozovatele.
Provozovatel má právo pověřit zpracováním osobních údajů jinou osobu se souhlasem subjektu osobních údajů, nestanoví-li spolkový zákon jinak, a to na základě smlouvy uzavřené s touto osobou, včetně státní nebo obecní smlouvy, nebo přijetím příslušného zákona orgánem státu nebo obce (dále jen provozovatel zadání). Osoba zpracovávající osobní údaje jménem provozovatele je povinna dodržovat zásady a pravidla pro zpracování osobních údajů stanovené tímto spolkovým zákonem.
Zdroj:
Dále je stanovena povinnost poskytovatele zachovávat mlčenlivost o osobních údajích a zajišťovat jejich bezpečnost v souladu se stanovenými požadavky:
V pokynech provozovatele musí být definován seznam úkonů (operací) s osobními údaji, které bude osoba zpracovávající osobní údaje provádět, a účely zpracování, musí být stanovena povinnost takové osoby zachovávat mlčenlivost o osobních údajích a zajistit zabezpečení osobních údajů při jejich zpracování, jakož i požadavky na ochranu zpracovávaných osobních údajů musí být uvedeny v souladu s tohoto federálního zákona.
Zdroj:
Poskytovatel za to odpovídá provozovateli, nikoli subjektu osobních údajů:
Pověří-li provozovatel zpracováním osobních údajů jinou osobu, odpovídá subjektu osobních údajů za jednání uvedené osoby provozovatel. Osoba zpracovávající osobní údaje jménem provozovatele odpovídá provozovateli.
Zdroj: .
Dále je důležité v objednávce stanovit povinnost zajistit ochranu osobních údajů:
Bezpečnost osobních údajů při zpracování v informačním systému zajišťuje provozovatel tohoto systému, který osobní údaje zpracovává (dále jen provozovatel), nebo osoba zpracovávající osobní údaje jménem provozovatele na základě smlouva uzavřená s touto osobou (dále jen oprávněná osoba). Smlouva mezi provozovatelem a oprávněnou osobou musí stanovit povinnost oprávněné osoby zajistit bezpečnost osobních údajů při zpracování v informačním systému.
Zdroj:
Realita: Pokud poskytovateli poskytnete osobní údaje, pak objednávku podepište. V objednávce uveďte požadavek na zajištění ochrany osobních údajů subjektů. V opačném případě nedodržujete zákon týkající se předání práce zpracování osobních údajů třetí straně a poskytovatel vám ohledně dodržování 152-FZ nic nedluží.
Mýtus 4. Mosad mě špehuje, nebo určitě mám UZ-1
Někteří zákazníci neustále dokazují, že mají ISPD úrovně zabezpečení 1 nebo 2. Většinou tomu tak není. Vzpomeňme si na hardware, abychom zjistili, proč se to děje.
LO neboli úroveň zabezpečení určuje, před čím budete chránit své osobní údaje.
Úroveň zabezpečení ovlivňují následující body:
- druh osobních údajů (speciální, biometrické, veřejně dostupné a jiné);
- kdo osobní údaje vlastní - zaměstnanci či osoby, které nejsou zaměstnanci provozovatele osobních údajů;
- počet subjektů osobních údajů – víceméně 100 tis.
- typy aktuálních hrozeb.
Říká nám o typech hrozeb . Zde je popis každého s mým volným překladem do lidské řeči.
Hrozby 1. typu jsou pro informační systém relevantní, pokud jsou pro něj relevantní i hrozby spojené s přítomností nezdokumentovaných (nedeklarovaných) schopností v systémovém softwaru používaném v informačním systému.
Pokud uznáváte tento typ hrozby jako relevantní, pak pevně věříte, že agenti CIA, MI6 nebo MOSSAD umístili do operačního systému záložku pro odcizení osobních údajů konkrétních subjektů z vašeho ISPD.
Hrozby 2. typu jsou pro informační systém relevantní, pokud jsou pro něj relevantní i hrozby spojené s přítomností nezdokumentovaných (nedeklarovaných) schopností v aplikačním softwaru používaném v informačním systému.
Pokud si myslíte, že hrozby druhého typu jsou váš případ, pak spíte a vidíte, jak titíž agenti CIA, MI6, MOSSAD, zlý osamělý hacker nebo skupina umístili záložky do nějakého balíku kancelářského softwaru, aby přesně hledali vaše osobní údaje. Ano, existuje pochybný aplikační software, jako je μTorrent, ale můžete vytvořit seznam povoleného softwaru pro instalaci a podepsat smlouvu s uživateli, neudělovat uživatelům práva místního správce atd.
Hrozby typu 3 jsou pro informační systém relevantní, pokud jsou pro něj relevantní hrozby, které nesouvisejí s přítomností nezdokumentovaných (nedeklarovaných) schopností v systému a aplikačním software používaném v informačním systému.
Hrozby typu 1 a 2 pro vás nejsou vhodné, proto je toto místo pro vás.
Vytřídili jsme typy hrozeb, nyní se podívejme, jakou úroveň zabezpečení bude mít naše ISPD.
Tabulka založená na korespondencích uvedených v .
Pokud bychom zvolili třetí typ skutečných hrozeb, pak ve většině případů budeme mít UZ-3. Jedinou výjimkou, kdy hrozby typu 1 a 2 nejsou relevantní, ale míra zabezpečení bude stále vysoká (UZ-2), jsou společnosti, které zpracovávají zvláštní osobní údaje nezaměstnaných osob v rozsahu nad 100 000. například společnosti zabývající se lékařskou diagnostikou a poskytováním lékařských služeb.
Existuje také UZ-4 a nachází se především u společností, jejichž podnikání nesouvisí se zpracováním osobních údajů nezaměstnaných osob, tedy klientů či dodavatelů, nebo jsou databáze osobních údajů malé.
Proč je tak důležité nepřehánět to s úrovní zabezpečení? Je to jednoduché: na tom bude záviset soubor opatření a prostředků ochrany k zajištění této úrovně zabezpečení. Čím vyšší úroveň znalostí, tím více bude potřeba udělat z organizačního a technického hlediska (čti: tím více peněz a nervů bude třeba utratit).
Zde je například uvedeno, jak se mění soubor bezpečnostních opatření v souladu se stejným PP-1119.
Nyní se podívejme, jak se v závislosti na zvolené úrovni zabezpečení mění seznam nezbytných opatření v souladu s K tomuto dokumentu je dlouhá příloha, která definuje potřebná opatření. Je jich celkem 109, pro každý km jsou definována povinná opatření a označena znaménkem „+“ - přesně jsou spočítána v tabulce níže. Pokud ponecháte pouze ty potřebné pro UZ-3, získáte 4.
Realita: pokud nesbíráte testy nebo biometrie od klientů, nejste paranoidní ze záložek v systémovém a aplikačním softwaru, pak s největší pravděpodobností máte UZ-3. Má přiměřený seznam organizačních a technických opatření, která lze skutečně realizovat.
Mýtus 5. Všechny prostředky ochrany osobních údajů musí být certifikovány FSTEC Ruska
Pokud chcete nebo jste povinni provést certifikaci, pak s největší pravděpodobností budete muset používat certifikované ochranné prostředky. Certifikaci bude provádět držitel licence FSTEC Ruska, který:
- zájem o prodej více certifikovaných zařízení na ochranu informací;
- se bude bát odebrání licence regulátorem, pokud se něco pokazí.
Pokud certifikaci nepotřebujete a jste připraveni potvrdit shodu s požadavky jiným způsobem, uvedeným v „Posouzení účinnosti opatření zavedených v rámci systému ochrany osobních údajů k zajištění bezpečnosti osobních údajů,“ pak po vás nejsou certifikované systémy informační bezpečnosti vyžadovány. Pokusím se stručně vysvětlit zdůvodnění.
В uvádí, že je nutné používat ochranné prostředky, které prošly postupem posuzování shody stanoveným postupem:
Zajištění bezpečnosti osobních údajů je dosaženo zejména:
[…] 3) používání prostředků bezpečnosti informací, které prošly postupem posouzení shody v souladu se stanoveným postupem.
В Existuje také požadavek na používání nástrojů zabezpečení informací, které prošly postupem pro posouzení souladu s právními požadavky:
[…] použití nástrojů informační bezpečnosti, které prošly postupem pro posouzení souladu s požadavky právních předpisů Ruské federace v oblasti informační bezpečnosti, v případech, kdy je použití těchto prostředků nezbytné k neutralizaci aktuálních hrozeb.
prakticky duplikuje odstavec PP-1119:
Opatření k zajištění bezpečnosti osobních údajů jsou realizována mimo jiné prostřednictvím využití nástrojů informační bezpečnosti v informačním systému, které prošly postupem posuzování shody v souladu se stanoveným postupem, v případech, kdy je použití těchto nástrojů nezbytné pro neutralizovat aktuální hrozby pro bezpečnost osobních údajů.
Co mají tyto formulace společného? Je to tak – nevyžadují použití certifikovaných ochranných prostředků. Faktem je, že existuje několik forem posuzování shody (dobrovolná nebo povinná certifikace, prohlášení o shodě). Certifikace je jen jedním z nich. Provozovatel může používat necertifikované výrobky, ale bude muset při kontrole prokázat regulačnímu orgánu, že prošly určitou formou postupu posuzování shody.
Pokud se obsluha rozhodne používat certifikované ochranné prostředky, pak je nutné zvolit systém ochrany informací v souladu s ochranou proti ultrazvuku, která je jasně vyznačena v :
Technická opatření k ochraně osobních údajů jsou realizována prostřednictvím využití nástrojů informační bezpečnosti, včetně softwarových (hardwarových) nástrojů, ve kterých jsou implementována a které mají potřebné bezpečnostní funkce.
Při používání nástrojů informační bezpečnosti certifikovaných podle požadavků informační bezpečnosti v informačních systémech:
Realita: Zákon nevyžaduje povinné používání certifikovaných ochranných prostředků.
Mýtus 6. Potřebuji kryptoochranu
Zde je několik nuancí:
- Mnoho lidí věří, že kryptografie je povinná pro všechny ISPD. Ve skutečnosti by se měly používat pouze v případě, že provozovatel pro sebe nevidí žádná jiná ochranná opatření než použití kryptografie.
- Pokud se bez kryptografie neobejdete, musíte použít CIPF certifikovaný FSB.
- Například se rozhodnete hostit ISPD v cloudu poskytovatele služeb, ale nedůvěřujete mu. Popisujete své obavy v modelu hrozby a vetřelce. Máte osobní údaje, takže jste se rozhodli, že kryptografie je jediný způsob, jak se chránit: budete šifrovat virtuální stroje, budovat zabezpečené kanály pomocí kryptografické ochrany. V tomto případě budete muset použít CIPF certifikovaný FSB Ruska.
- Certifikované CIPF jsou vybírány v souladu s určitou úrovní zabezpečení podle .
Pro ISPDn s UZ-3 můžete použít KS1, KS2, KS3. KS1 je například C-Terra Virtual Gateway 4.2 pro ochranu kanálů.
KC2, KS3 jsou zastoupeny pouze softwarovými a hardwarovými systémy, jako jsou: ViPNet Coordinator, APKSH „Continent“, S-Terra Gateway atd.
Pokud máte UZ-2 nebo 1, pak budete potřebovat kryptografické ochranné prostředky třídy KV1, 2 a KA. Jedná se o specifické softwarové a hardwarové systémy, jejich obsluha je náročná a jejich výkonnostní charakteristiky jsou skromné.
Realita: Zákon nezavazuje k použití CIPF certifikovaného FSB.
Zdroj: www.habr.com