Helo pawb! Rwy'n rhedeg Canolfan Amddiffyn Seiber DataLine. Daw cwsmeriaid atom gyda'r dasg o fodloni gofynion 152-FZ yn y cwmwl neu ar seilwaith ffisegol.
Ym mron pob prosiect mae angen gwneud gwaith addysgol i chwalu'r mythau sy'n ymwneud â'r gyfraith hon. Rwyf wedi casglu'r camsyniadau mwyaf cyffredin a all fod yn gostus i gyllideb a system nerfol y gweithredwr data personol. Byddaf yn gwneud amheuaeth ar unwaith y bydd achosion o swyddfeydd y wladwriaeth (GIS) sy'n delio â chyfrinachau'r wladwriaeth, KII, ac ati yn aros y tu allan i gwmpas yr erthygl hon.
Myth 1. Gosodais wrthfeirws, wal dân, ac amgylchynais y raciau gyda ffens. Ydw i'n dilyn y gyfraith?
Nid yw 152-FZ yn ymwneud â diogelu systemau a gweinyddwyr, ond yn hytrach â diogelu data personol gwrthrychau. Felly, mae cydymffurfio â 152-FZ yn dechrau nid gyda gwrthfeirws, ond gyda nifer fawr o ddarnau o bapur a materion sefydliadol.
Bydd y prif arolygydd, Roskomnadzor, yn edrych nid ar bresenoldeb a chyflwr dulliau technegol o amddiffyn, ond ar y sail gyfreithiol ar gyfer prosesu data personol (PD):
- at ba ddiben yr ydych yn casglu data personol;
- a ydych yn casglu mwy ohonynt nag sydd ei angen arnoch at eich dibenion;
- pa mor hir ydych chi'n storio data personol;
- a oes polisi ar gyfer prosesu data personol;
- A ydych yn casglu caniatâd ar gyfer prosesu data personol, trosglwyddo trawsffiniol, prosesu gan drydydd partïon, ac ati.
Dylid cofnodi'r atebion i'r cwestiynau hyn, yn ogystal â'r prosesau eu hunain, mewn dogfennau priodol. Dyma restr ymhell o fod yn gyflawn o'r hyn y mae angen i weithredwr data personol ei baratoi:
- Ffurflen gydsynio safonol ar gyfer prosesu data personol (dyma’r dalennau rydym bellach yn eu harwyddo bron ym mhobman lle rydym yn gadael ein henwau llawn a manylion pasbort).
- Polisi gweithredwr ynglŷn â phrosesu data personol ( mae yna argymhellion ar gyfer dylunio).
- Gorchymyn ar benodi person i fod yn gyfrifol am drefnu prosesu data personol.
- Disgrifiad swydd y sawl sy’n gyfrifol am drefnu prosesu data personol.
- Rheolau ar gyfer rheolaeth fewnol a (neu) archwilio cydymffurfiaeth prosesu PD â gofynion cyfreithiol.
- Rhestr o systemau gwybodaeth data personol (ISPD).
- Rheoliadau ar gyfer darparu mynediad i'r gwrthrych at ei ddata personol.
- Rheoliadau ymchwilio i ddigwyddiadau.
- Gorchymyn ar dderbyn gweithwyr i brosesu data personol.
- Rheoliadau ar gyfer rhyngweithio â rheoleiddwyr.
- Hysbysiad o RKN, etc.
- Ffurflen gyfarwyddo ar gyfer prosesu PD.
- Model bygythiad ISPD.
Ar ôl datrys y materion hyn, gallwch ddechrau dewis mesurau penodol a dulliau technegol. Mae pa rai sydd eu hangen arnoch yn dibynnu ar y systemau, eu hamodau gweithredu, a bygythiadau cyfredol. Ond mwy am hynny yn nes ymlaen.
Realiti: cydymffurfio â'r gyfraith yw sefydlu a chydymffurfio â phrosesau penodol, yn gyntaf oll, a dim ond yn ail - y defnydd o ddulliau technegol arbennig.
Myth 2. Rwy'n storio data personol yn y cwmwl, canolfan ddata sy'n bodloni gofynion 152-FZ. Nawr maen nhw'n gyfrifol am orfodi'r gyfraith
Pan fyddwch yn rhoi storfa data personol ar gontract allanol i ddarparwr cwmwl neu ganolfan ddata, nid ydych yn peidio â bod yn weithredwr data personol.
Gadewch inni alw ar y diffiniad o’r gyfraith am gymorth:
Prosesu data personol - unrhyw weithred (gweithrediad) neu set o gamau gweithredu (gweithrediadau) a gyflawnir gan ddefnyddio offer awtomeiddio neu heb ddefnyddio dulliau o'r fath gyda data personol, gan gynnwys casglu, cofnodi, systemateiddio, cronni, storio, egluro (diweddaru, newid), echdynnu, defnyddio, trosglwyddo (dosbarthu, darparu, mynediad), dadbersonoli, blocio, dileu, dinistrio data personol.
Ffynhonnell: erthygl 3,
O'r holl gamau hyn, mae'r darparwr gwasanaeth yn gyfrifol am storio a dinistrio data personol (pan fydd y cleient yn terfynu'r contract gydag ef). Darperir popeth arall gan y gweithredwr data personol. Mae hyn yn golygu mai'r gweithredwr, ac nid y darparwr gwasanaeth, sy'n pennu'r polisi ar gyfer prosesu data personol, yn cael caniatâd wedi'i lofnodi ar gyfer prosesu data personol gan ei gleientiaid, yn atal ac yn ymchwilio i achosion o ollwng data personol i drydydd partïon, ac ati.
O ganlyniad, rhaid i'r gweithredwr data personol ddal i gasglu'r dogfennau a restrir uchod a gweithredu mesurau sefydliadol a thechnegol i amddiffyn eu PDIS.
Yn nodweddiadol, mae'r darparwr yn helpu'r gweithredwr trwy sicrhau cydymffurfiaeth â gofynion cyfreithiol ar y lefel seilwaith lle bydd ISPD y gweithredwr wedi'i leoli: raciau gydag offer neu'r cwmwl. Mae hefyd yn casglu pecyn o ddogfennau, yn cymryd mesurau sefydliadol a thechnegol ar gyfer ei ddarn o seilwaith yn unol â 152-FZ.
Mae rhai darparwyr yn helpu gyda gwaith papur a darparu mesurau diogelwch technegol ar gyfer yr ISDNs eu hunain, h.y., ar lefel uwchlaw’r seilwaith. Gall y gweithredwr hefyd roi'r tasgau hyn ar gontract allanol, ond nid yw'r cyfrifoldeb a'r rhwymedigaethau o dan y gyfraith yn diflannu.
Realiti: Trwy ddefnyddio gwasanaethau darparwr neu ganolfan ddata, ni allwch drosglwyddo iddo gyfrifoldebau gweithredwr data personol a chael gwared ar gyfrifoldeb. Os yw'r darparwr yn addo hyn i chi, yna, i'w roi'n ysgafn, mae'n dweud celwydd.
Myth 3. Mae gennyf y pecyn angenrheidiol o ddogfennau a mesurau. Rwy'n storio data personol gyda darparwr sy'n addo cydymffurfio â 152-FZ. Ydy popeth mewn trefn?
Gallwch, os cofiwch lofnodi'r archeb. Yn ôl y gyfraith, gall y gweithredwr ymddiried prosesu data personol i berson arall, er enghraifft, yr un darparwr gwasanaeth. Mae gorchymyn yn fath o gytundeb sy'n rhestru'r hyn y gall y darparwr gwasanaeth ei wneud â data personol y gweithredwr.
Mae gan y gweithredwr yr hawl i ymddiried prosesu data personol i berson arall gyda chaniatâd gwrthrych data personol, oni bai y darperir yn wahanol gan Gyfraith Ffederal, ar sail cytundeb a gwblhawyd gyda'r person hwn, gan gynnwys contract gwladwriaeth neu ddinesig, neu drwy fabwysiadu gweithred berthnasol gan wladwriaeth neu gorff trefol (y cyfeirir ati o hyn ymlaen fel y gweithredwr aseiniad). Mae'n ofynnol i'r person sy'n prosesu data personol ar ran y gweithredwr gydymffurfio â'r egwyddorion a'r rheolau ar gyfer prosesu data personol y darperir ar eu cyfer gan y Gyfraith Ffederal hon.
Ffynhonnell:
Mae rhwymedigaeth y darparwr i gynnal cyfrinachedd data personol a sicrhau ei ddiogelwch yn unol â'r gofynion penodedig hefyd wedi'i sefydlu:
Rhaid i gyfarwyddiadau'r gweithredwr ddiffinio rhestr o gamau gweithredu (gweithrediadau) gyda data personol a gyflawnir gan y person sy'n prosesu data personol a dibenion prosesu, rhaid sefydlu rhwymedigaeth person o'r fath i gynnal cyfrinachedd data personol a sicrhau'r rhaid nodi diogelwch data personol yn ystod eu prosesu, yn ogystal â gofynion ar gyfer diogelu data personol wedi'i brosesu yn unol â y Gyfraith Ffederal hon.
Ffynhonnell:
Ar gyfer hyn, mae'r darparwr yn gyfrifol i'r gweithredwr, ac nid i destun data personol:
Os yw'r gweithredwr yn ymddiried prosesu data personol i berson arall, mae'r gweithredwr yn gyfrifol i destun data personol am weithredoedd y person penodedig. Mae'r person sy'n prosesu data personol ar ran y gweithredwr yn atebol i'r gweithredwr.
Ffynhonnell: .
Mae hefyd yn bwysig nodi yn y drefn y rhwymedigaeth i sicrhau bod data personol yn cael ei ddiogelu:
Sicrheir diogelwch data personol pan gaiff ei brosesu mewn system wybodaeth gan weithredwr y system hon, sy'n prosesu data personol (y cyfeirir ato o hyn ymlaen fel y gweithredwr), neu gan y person sy'n prosesu data personol ar ran y gweithredwr ar sail cytundeb a gwblhawyd gyda’r person hwn (y cyfeirir ato o hyn ymlaen fel y person awdurdodedig). Rhaid i'r cytundeb rhwng y gweithredwr a'r person awdurdodedig ddarparu ar gyfer rhwymedigaeth y person awdurdodedig i sicrhau diogelwch data personol pan gaiff ei brosesu yn y system wybodaeth.
Ffynhonnell:
Realiti: Os ydych chi'n rhoi data personol i'r darparwr, yna llofnodwch y gorchymyn. Yn y drefn, nodwch y gofyniad i sicrhau bod data personol y gwrthrych yn cael ei ddiogelu. Fel arall, nid ydych yn cydymffurfio â'r gyfraith ynghylch trosglwyddo gwaith prosesu data personol i drydydd parti, ac nid oes gan y darparwr unrhyw ddyled i chi o ran cydymffurfio â 152-FZ.
Myth 4. Mae'r Mossad yn ysbïo arnaf, neu yn bendant mae gen i UZ-1
Mae rhai cwsmeriaid yn profi'n barhaus bod ganddynt ISPD o ddiogelwch lefel 1 neu 2. Yn fwyaf aml nid yw hyn yn wir. Gadewch i ni gofio'r caledwedd i ddarganfod pam mae hyn yn digwydd.
Y LO, neu lefel diogelwch, sy'n pennu o beth y byddwch yn diogelu eich data personol.
Mae lefel y diogelwch yn cael ei effeithio gan y pwyntiau canlynol:
- math o ddata personol (arbennig, biometrig, sydd ar gael yn gyhoeddus ac eraill);
- pwy sy'n berchen ar y data personol - cyflogeion neu'r rhai nad ydynt yn weithwyr i'r gweithredwr data personol;
- nifer y gwrthrychau data personol – mwy neu lai 100 mil.
- mathau o fygythiadau presennol.
Yn dweud wrthym am fathau o fygythiadau . Dyma ddisgrifiad o bob un gyda fy nghyfieithiad rhad ac am ddim i iaith ddynol.
Mae bygythiadau Math 1 yn berthnasol i system wybodaeth os yw bygythiadau sy'n gysylltiedig â phresenoldeb galluoedd heb eu dogfennu (heb eu datgan) yn y meddalwedd system a ddefnyddir yn y system wybodaeth hefyd yn berthnasol iddo.
Os ydych chi'n cydnabod bod y math hwn o fygythiad yn berthnasol, yna rydych chi'n credu'n gryf bod asiantau'r CIA, MI6 neu MOSSAD wedi gosod nod tudalen yn y system weithredu i ddwyn data personol pynciau penodol o'ch ISPD.
Mae bygythiadau o'r 2il fath yn berthnasol i system wybodaeth os yw bygythiadau sy'n gysylltiedig â phresenoldeb galluoedd heb eu dogfennu (heb eu datgan) yn y meddalwedd cymhwysiad a ddefnyddir yn y system wybodaeth hefyd yn berthnasol ar ei chyfer.
Os ydych chi'n meddwl mai bygythiadau o'r ail fath yw eich achos chi, yna rydych chi'n cysgu ac yn gweld sut mae'r un asiantau â'r CIA, MI6, MOSSAD, haciwr unigol drwg neu grŵp wedi gosod nodau tudalen mewn rhyw becyn meddalwedd swyddfa er mwyn chwilio'n union am eich data personol. Oes, mae yna feddalwedd cymhwysiad amheus fel μTorrent, ond gallwch chi wneud rhestr o feddalwedd a ganiateir i'w gosod a llofnodi cytundeb gyda defnyddwyr, nid rhoi hawliau gweinyddwr lleol i ddefnyddwyr, ac ati.
Mae bygythiadau Math 3 yn berthnasol i system wybodaeth os yw bygythiadau nad ydynt yn gysylltiedig â phresenoldeb galluoedd heb eu dogfennu (heb eu datgan) yn y system a meddalwedd cymhwysiad a ddefnyddir yn y system wybodaeth yn berthnasol iddo.
Nid yw bygythiadau o fathau 1 a 2 yn addas i chi, felly dyma'r lle i chi.
Rydyn ni wedi datrys y mathau o fygythiadau, nawr gadewch i ni edrych ar ba lefel o ddiogelwch fydd gan ein ISPD.
Tabl yn seiliedig ar yr ohebiaeth a nodir yn .
Os byddwn yn dewis y trydydd math o fygythiadau gwirioneddol, yna yn y rhan fwyaf o achosion bydd gennym UZ-3. Yr unig eithriad, pan nad yw bygythiadau o fathau 1 a 2 yn berthnasol, ond bydd lefel y diogelwch yn dal i fod yn uchel (UZ-2), yn gwmnïau sy'n prosesu data personol arbennig y rhai nad ydynt yn weithwyr yn y swm o fwy na 100. er enghraifft, cwmnïau sy'n ymwneud â diagnosteg feddygol a darparu gwasanaethau meddygol.
Mae yna hefyd UZ-4, ac fe'i darganfyddir yn bennaf mewn cwmnïau nad yw eu busnes yn gysylltiedig â phrosesu data personol y rhai nad ydynt yn weithwyr, h.y. cleientiaid neu gontractwyr, neu mae'r cronfeydd data personol yn fach.
Pam ei bod mor bwysig peidio â gorwneud pethau â lefel y diogelwch? Mae'n syml: bydd y set o fesurau a dulliau amddiffyn i sicrhau'r union lefel hon o ddiogelwch yn dibynnu ar hyn. Po uchaf yw lefel y wybodaeth, y mwyaf y bydd angen ei wneud mewn termau sefydliadol a thechnegol (darllenwch: po fwyaf o arian a nerfau y bydd angen eu gwario).
Yma, er enghraifft, mae sut mae'r set o fesurau diogelwch yn newid yn unol â'r un PP-1119.
Nawr, gadewch i ni weld sut, yn dibynnu ar y lefel o ddiogelwch a ddewiswyd, mae'r rhestr o fesurau angenrheidiol yn newid yn unol â Mae atodiad hir i'r ddogfen hon, sy'n diffinio'r mesurau angenrheidiol. Mae cyfanswm o 109 ohonynt, ar gyfer pob KM mae mesurau gorfodol yn cael eu diffinio a'u marcio ag arwydd "+" - fe'u cyfrifir yn fanwl gywir yn y tabl isod. Os byddwch yn gadael dim ond y rhai sydd eu hangen ar gyfer UZ-3, byddwch yn cael 4.
Realiti: os na fyddwch chi'n casglu profion neu fiometreg gan gleientiaid, nid ydych chi'n baranoiaidd am nodau tudalen mewn meddalwedd system a rhaglenni, yna mae'n fwyaf tebygol bod gennych chi UZ-3. Mae ganddo restr resymol o fesurau sefydliadol a thechnegol y gellir eu gweithredu mewn gwirionedd.
Myth 5. Rhaid i bob dull o ddiogelu data personol gael ei ardystio gan FSTEC Rwsia
Os ydych chi eisiau neu'n ofynnol i chi gynnal ardystiad, yna mae'n fwyaf tebygol y bydd yn rhaid i chi ddefnyddio offer amddiffynnol ardystiedig. Bydd yr ardystiad yn cael ei wneud gan drwyddedai FSTEC o Rwsia, sydd:
- diddordeb mewn gwerthu mwy o ddyfeisiau diogelu gwybodaeth ardystiedig;
- yn ofni i’r drwydded gael ei dirymu gan y rheolydd os aiff rhywbeth o’i le.
Os nad oes angen ardystiad arnoch a'ch bod yn barod i gadarnhau cydymffurfiaeth â'r gofynion mewn ffordd arall, a enwir yn “Asesu effeithiolrwydd mesurau a weithredir o fewn y system diogelu data personol i sicrhau diogelwch data personol,” yna nid oes angen systemau diogelwch gwybodaeth ardystiedig ar eich cyfer. Ceisiaf egluro’r rhesymeg yn fyr.
В yn datgan bod angen defnyddio offer amddiffynnol sydd wedi dilyn y weithdrefn asesu cydymffurfiaeth yn unol â'r weithdrefn sefydledig:
Sicrhau diogelwch data personol, yn arbennig:
[…] 3) defnyddio dulliau diogelwch gwybodaeth sydd wedi pasio'r weithdrefn asesu cydymffurfiaeth yn unol â'r weithdrefn sefydledig.
В Mae gofyniad hefyd i ddefnyddio offer diogelwch gwybodaeth sydd wedi pasio’r weithdrefn ar gyfer asesu cydymffurfiaeth â gofynion cyfreithiol:
[…] y defnydd o offer diogelwch gwybodaeth sydd wedi cael asesiad o gydymffurfiaeth â gofynion deddfwriaeth Ffederasiwn Rwsia ym maes diogelwch gwybodaeth, mewn achosion lle mae angen defnyddio dulliau o'r fath i niwtraleiddio bygythiadau cyfredol.
bron yn dyblygu paragraff PP-1119:
Mae mesurau i sicrhau diogelwch data personol yn cael eu gweithredu, ymhlith pethau eraill, trwy ddefnyddio offer diogelwch gwybodaeth yn y system wybodaeth sydd wedi pasio'r weithdrefn asesu cydymffurfiaeth yn unol â'r weithdrefn sefydledig, mewn achosion lle mae angen defnyddio offer o'r fath i niwtraleiddio’r bygythiadau presennol i ddiogelwch data personol.
Beth sydd gan y fformwleiddiadau hyn yn gyffredin? Mae hynny'n iawn - nid oes angen defnyddio offer amddiffynnol ardystiedig arnynt. Y ffaith yw bod sawl math o asesiad cydymffurfiaeth (ardystio gwirfoddol neu orfodol, datganiad cydymffurfiaeth). Dim ond un ohonyn nhw yw ardystio. Gall y gweithredwr ddefnyddio cynhyrchion heb eu hardystio, ond bydd angen iddo ddangos i'r rheoleiddiwr ar ôl ei archwilio ei fod wedi mynd trwy ryw fath o weithdrefn asesu cydymffurfiaeth.
Os yw'r gweithredwr yn penderfynu defnyddio offer amddiffynnol ardystiedig, yna mae angen dewis y system diogelu gwybodaeth yn unol â'r amddiffyniad uwchsain, sydd wedi'i nodi'n glir yn :
Gweithredir mesurau technegol i ddiogelu data personol trwy ddefnyddio offer diogelwch gwybodaeth, gan gynnwys offer meddalwedd (caledwedd) y cânt eu gweithredu ynddynt, sydd â'r swyddogaethau diogelwch angenrheidiol.
Wrth ddefnyddio offer diogelwch gwybodaeth a ardystiwyd yn unol â gofynion diogelwch gwybodaeth mewn systemau gwybodaeth:
Realiti: Nid yw'r gyfraith yn ei gwneud yn ofynnol i ddefnyddio offer amddiffynnol ardystiedig yn orfodol.
Myth 6. Mae angen amddiffyniad crypto arnaf
Mae yna ychydig o arlliwiau yma:
- Mae llawer o bobl yn credu bod cryptograffeg yn orfodol ar gyfer unrhyw ISPD. Mewn gwirionedd, dim ond os nad yw'r gweithredwr yn gweld unrhyw fesurau amddiffyn eraill iddo'i hun y dylid eu defnyddio heblaw am ddefnyddio cryptograffeg.
- Os na allwch wneud heb cryptograffeg, yna mae angen i chi ddefnyddio CIPF a ardystiwyd gan yr FSB.
- Er enghraifft, rydych chi'n penderfynu cynnal ISPD yng nghwmwl darparwr gwasanaeth, ond nid ydych chi'n ymddiried ynddo. Rydych yn disgrifio eich pryderon mewn model bygythiad a thresmaswyr. Mae gennych chi ddata personol, felly fe wnaethoch chi benderfynu mai cryptograffeg yw'r unig ffordd i amddiffyn eich hun: byddwch chi'n amgryptio peiriannau rhithwir, yn adeiladu sianeli diogel gan ddefnyddio amddiffyniad cryptograffig. Yn yr achos hwn, bydd yn rhaid i chi ddefnyddio CIPF a ardystiwyd gan FSB Rwsia.
- Dewisir CIPF ardystiedig yn unol â lefel benodol o ddiogelwch yn ôl .
Ar gyfer ISPDn ag UZ-3, gallwch ddefnyddio CA1, CA2, CA3. Mae CA1, er enghraifft, yn Borth Rhithwir C-Terra 4.2 ar gyfer gwarchod sianeli.
Cynrychiolir KC2, CA3 yn unig gan systemau meddalwedd a chaledwedd, megis: Cydlynydd ViPNet, APKSH "Cyfandir", S-Terra Gateway, ac ati.
Os oes gennych UZ-2 neu 1, yna bydd angen dulliau diogelu cryptograffig dosbarth KV1, 2 a KA arnoch. Mae'r rhain yn systemau meddalwedd a chaledwedd penodol, maent yn anodd eu gweithredu, ac mae eu nodweddion perfformiad yn gymedrol.
Realiti: Nid yw'r gyfraith yn gorfodi defnyddio CIPF a ardystiwyd gan yr FSB.
Ffynhonnell: hab.com