Hej alle! Jeg driver DataLine cyberforsvarscenter. Kunder kommer til os med opgaven at opfylde kravene i 152-FZ i skyen eller på fysisk infrastruktur.
I næsten alle projekter er det nødvendigt at udføre pædagogisk arbejde for at aflive myterne omkring denne lov. Jeg har samlet de mest almindelige misforståelser, der kan være dyre for persondataoperatørens budget og nervesystem. Jeg tager straks forbehold for, at sager om statskontorer (GIS), der beskæftiger sig med statshemmeligheder, KII osv. vil forblive uden for denne artikels rammer.
Myte 1. Jeg installerede et antivirus, en firewall og omringede stativerne med et hegn. Følger jeg loven?
152-FZ handler ikke om beskyttelse af systemer og servere, men om beskyttelse af personers personlige data. Derfor begynder overholdelse af 152-FZ ikke med et antivirus, men med et stort antal stykker papir og organisatoriske problemer.
Hovedinspektøren, Roskomnadzor, vil ikke se på tilstedeværelsen og tilstanden af tekniske beskyttelsesmidler, men på det juridiske grundlag for behandling af personoplysninger (PD):
- til hvilket formål indsamler du persondata;
- om du samler flere af dem, end du har brug for til dine formål;
- hvor længe opbevarer du personlige data;
- er der en politik for behandling af personoplysninger;
- Indhenter du samtykke til behandling af personoplysninger, grænseoverskridende overførsel, behandling hos tredjemand mv.
Svarene på disse spørgsmål, såvel som selve processerne, bør registreres i passende dokumenter. Her er en langt fra komplet liste over, hvad en persondataoperatør skal forberede:
- En standardsamtykkeformular til behandling af personoplysninger (dette er de ark, som vi nu underskriver næsten overalt, hvor vi efterlader vores fulde navne og pasoplysninger).
- Operatørens politik vedrørende behandling af personoplysninger ( der er anbefalinger til design).
- Bekendtgørelse om udpegelse af en person, der er ansvarlig for tilrettelæggelse af behandlingen af personoplysninger.
- Jobbeskrivelse af den ansvarlige for tilrettelæggelse af behandlingen af personoplysninger.
- Regler for intern kontrol og (eller) revision af overholdelse af PD-behandling med lovkrav.
- Liste over persondatainformationssystemer (ISPD).
- Regler for at give forsøgspersonen adgang til hans personoplysninger.
- Regler for efterforskning af hændelser.
- Bekendtgørelse om ansattes adgang til behandling af personoplysninger.
- Regler for interaktion med tilsynsmyndigheder.
- Anmeldelse af RKN mv.
- Instruktionsskema til PD-behandling.
- ISPD-trusselsmodel.
Efter at have løst disse problemer, kan du begynde at vælge specifikke foranstaltninger og tekniske midler. Hvilke du har brug for afhænger af systemerne, deres driftsforhold og aktuelle trusler. Men mere om det senere.
Virkelighed: overholdelse af loven er etablering og overholdelse af visse processer, først og fremmest, og kun for det andet - brugen af særlige tekniske midler.
Myte 2. Jeg gemmer personlige data i skyen, et datacenter, der opfylder kravene i 152-FZ. Nu er de ansvarlige for at håndhæve loven
Når du outsourcer opbevaringen af persondata til en cloududbyder eller datacenter, ophører du ikke med at være persondataoperatør.
Lad os kalde på definitionen fra loven for at få hjælp:
Behandling af personoplysninger – enhver handling (operation) eller sæt af handlinger (operationer) udført ved hjælp af automatiseringsværktøjer eller uden brug af sådanne midler med personlige data, herunder indsamling, registrering, systematisering, akkumulering, lagring, afklaring (opdatering, ændring), udtræk, brug, overførsel (distribution, levering, adgang), depersonalisering, blokering, sletning, destruktion af personlige data.
Kilde: artikel 3,
Af alle disse handlinger er tjenesteudbyderen ansvarlig for at opbevare og ødelægge personlige data (når klienten opsiger kontrakten med ham). Alt andet leveres af persondataoperatøren. Det betyder, at operatøren, og ikke tjenesteudbyderen, fastlægger politikken for behandling af personoplysninger, indhenter underskrevne samtykker til behandling af personoplysninger fra sine klienter, forhindrer og efterforsker sager om lækage af personoplysninger til tredjemand, og så videre.
Som følge heraf skal persondataoperatøren stadig indsamle de dokumenter, der var anført ovenfor, og implementere organisatoriske og tekniske foranstaltninger for at beskytte deres PDIS.
Typisk hjælper udbyderen operatøren ved at sikre overholdelse af lovkrav på det infrastrukturniveau, hvor operatørens ISPD vil være placeret: stativer med udstyr eller skyen. Han samler også en pakke af dokumenter, tager organisatoriske og tekniske foranstaltninger for sit stykke infrastruktur i overensstemmelse med 152-FZ.
Nogle udbydere hjælper med papirarbejde og tilvejebringelse af tekniske sikkerhedsforanstaltninger til selve ISDN'erne, det vil sige på et niveau over infrastrukturen. Operatøren kan også outsource disse opgaver, men ansvaret og forpligtelserne i henhold til loven forsvinder ikke.
Virkelighed: Ved at bruge tjenester fra en udbyder eller datacenter kan du ikke overføre ansvaret for en persondataoperatør til ham og slippe af med ansvaret. Hvis udbyderen lover dig dette, så lyver han mildt sagt.
Myte 3. Jeg har den nødvendige pakke af dokumenter og foranstaltninger. Jeg opbevarer personlige data hos en udbyder, der lover overholdelse af 152-FZ. Er alt i orden?
Ja, hvis du husker at underskrive ordren. Ved lov kan operatøren overlade behandlingen af personoplysninger til en anden person, for eksempel den samme tjenesteudbyder. En ordre er en slags aftale, der angiver, hvad tjenesteudbyderen kan gøre med operatørens personlige data.
Operatøren har ret til at overlade behandlingen af personoplysninger til en anden person med samtykke fra emnet for personoplysninger, medmindre andet er fastsat i føderal lov, på grundlag af en aftale indgået med denne person, herunder en statslig eller kommunal kontrakt, eller ved vedtagelse af en relevant handling af et statsligt eller kommunalt organ (herefter benævnt opgaveansvarlig). Den person, der behandler personoplysninger på vegne af operatøren, er forpligtet til at overholde principperne og reglerne for behandling af personoplysninger i henhold til denne føderale lov.
Kilde:
Udbyderens forpligtelse til at opretholde fortroligheden af personoplysninger og sikre deres sikkerhed i overensstemmelse med de specificerede krav er også fastlagt:
Operatørens instrukser skal definere en liste over handlinger (operationer) med personoplysninger, der vil blive udført af den person, der behandler personoplysninger, og formålene med behandlingen, en sådan persons forpligtelse skal fastlægges til at opretholde fortroligheden af personoplysninger og sikre sikkerhed af personoplysninger under deres behandling, samt krav til beskyttelse af behandlede personoplysninger skal specificeres iht af denne føderale lov.
Kilde:
For dette er udbyderen ansvarlig over for operatøren og ikke over for emnet for personoplysninger:
Hvis operatøren overlader behandlingen af personoplysninger til en anden person, er operatøren ansvarlig over for emnet for personoplysninger for den angivne persons handlinger. Den person, der behandler personoplysninger på vegne af operatøren, er ansvarlig over for operatøren.
Kilde: .
Det er også vigtigt at fastlægge i rækkefølgen forpligtelsen til at sikre beskyttelsen af personoplysninger:
Sikkerheden af personoplysninger, når de behandles i et informationssystem, sikres af operatøren af dette system, som behandler personoplysninger (herefter benævnt operatøren), eller af den person, der behandler personoplysninger på vegne af operatøren på grundlag af en aftale indgået med denne person (i det følgende benævnt den autoriserede person). Aftalen mellem operatøren og den autoriserede person skal indeholde en forpligtelse for den autoriserede person til at sikre personoplysningernes sikkerhed, når de behandles i informationssystemet.
Kilde:
Virkelighed: Hvis du giver personlige data til udbyderen, så underskriv ordren. Angiv i ordren kravet om at sikre beskyttelsen af forsøgspersonernes personoplysninger. I modsat fald overholder du ikke loven vedrørende overførsel af persondatabehandlingsarbejde til tredjemand, og udbyderen skylder dig ikke noget vedrørende overholdelse af 152-FZ.
Myte 4. Mossad udspionerer mig, eller jeg har helt sikkert en UZ-1
Nogle kunder beviser vedvarende, at de har en ISPD på sikkerhedsniveau 1 eller 2. Oftest er dette ikke tilfældet. Lad os huske hardwaren for at finde ud af, hvorfor dette sker.
LO, eller sikkerhedsniveauet, bestemmer, hvad du vil beskytte dine persondata mod.
Sikkerhedsniveauet påvirkes af følgende punkter:
- type af personlige data (særlige, biometriske, offentligt tilgængelige og andre);
- hvem der ejer personoplysningerne - ansatte eller ikke-ansatte hos persondataoperatøren;
- antal personregistrerede – mere eller mindre 100 tusinde.
- typer af aktuelle trusler.
Fortæller os om typer trusler . Her er en beskrivelse af hver med min gratis oversættelse til menneskeligt sprog.
Type 1-trusler er relevante for et informationssystem, hvis trusler forbundet med tilstedeværelsen af udokumenterede (udeklarerede) kapaciteter i den systemsoftware, der anvendes i informationssystemet, også er relevante for det.
Hvis du anerkender denne type trussel som relevant, så er du overbevist om, at agenter fra CIA, MI6 eller MOSSAD har placeret et bogmærke i operativsystemet for at stjæle personlige data om specifikke emner fra din ISPD.
Trusler af 2. type er relevante for et informationssystem, hvis trusler forbundet med tilstedeværelsen af udokumenterede (udeklarerede) kapaciteter i den applikationssoftware, der anvendes i informationssystemet, også er relevante for det.
Hvis du tror, at trusler af den anden type er din sag, så sover du og ser, hvordan de samme agenter fra CIA, MI6, MOSSAD, en ond ensom hacker eller gruppe har placeret bogmærker i en kontorsoftwarepakke for at jage præcist efter dine personlige data. Ja, der er tvivlsom applikationssoftware som μTorrent, men du kan lave en liste over tilladt software til installation og underskrive en aftale med brugere, ikke give brugere lokale administratorrettigheder osv.
Type 3-trusler er relevante for et informationssystem, hvis trusler, der ikke er relateret til tilstedeværelsen af udokumenterede (udeklarerede) kapaciteter i systemet og applikationssoftware, der anvendes i informationssystemet, er relevante for det.
Trusler af type 1 og 2 passer ikke til dig, så dette er stedet for dig.
Vi har sorteret typen af trusler fra, lad os nu se på hvilket sikkerhedsniveau vores ISPD vil have.
Tabel baseret på korrespondancer angivet i .
Hvis vi valgte den tredje type faktiske trusler, vil vi i de fleste tilfælde have UZ-3. Den eneste undtagelse, når trusler af type 1 og 2 ikke er relevante, men sikkerhedsniveauet stadig vil være højt (UZ-2), er virksomheder, der behandler særlige personoplysninger om ikke-ansatte i et beløb på mere end 100. for eksempel virksomheder, der beskæftiger sig med medicinsk diagnostik og levering af medicinske tjenester.
Der er også UZ-4, og den findes hovedsageligt i virksomheder, hvis virksomhed ikke er relateret til behandling af personoplysninger om ikke-ansatte, det vil sige kunder eller entreprenører, eller persondatabaserne er små.
Hvorfor er det så vigtigt ikke at overdrive det med sikkerhedsniveauet? Det er enkelt: Sættet af foranstaltninger og beskyttelsesmidler for at sikre netop dette sikkerhedsniveau vil afhænge af dette. Jo højere vidensniveau, jo mere skal der gøres organisatorisk og teknisk (læs: jo flere penge og nerver skal der bruges).
Her er for eksempel, hvordan sættet af sikkerhedsforanstaltninger ændres i overensstemmelse med samme PP-1119.
Lad os nu se, hvordan listen over nødvendige foranstaltninger ændres i overensstemmelse med det valgte sikkerhedsniveau Der er et langt bilag til dette dokument, som definerer de nødvendige foranstaltninger. Der er 109 af dem i alt, for hver KM er obligatoriske foranstaltninger defineret og markeret med et "+"-tegn - de er præcist beregnet i tabellen nedenfor. Hvis du kun efterlader dem, der er nødvendige for UZ-3, får du 4.
Virkelighed: hvis du ikke indsamler tests eller biometri fra kunder, er du ikke paranoid omkring bogmærker i system- og applikationssoftware, så har du højst sandsynligt UZ-3. Den har en rimelig liste over organisatoriske og tekniske foranstaltninger, der rent faktisk kan implementeres.
Myte 5. Alle midler til at beskytte personlige data skal være certificeret af FSTEC i Rusland
Hvis du ønsker eller er forpligtet til at udføre certificering, så bliver du højst sandsynligt nødt til at bruge certificeret beskyttelsesudstyr. Certificeringen vil blive udført af en licenshaver af FSTEC i Rusland, som:
- interesseret i at sælge mere certificeret informationsbeskyttelsesudstyr;
- vil være bange for, at tilladelsen bliver tilbagekaldt af tilsynsmyndigheden, hvis noget går galt.
Hvis du ikke har brug for certificering, og du er klar til at bekræfte overholdelse af kravene på anden måde, nævnt i "Vurderer effektiviteten af foranstaltninger implementeret inden for persondatabeskyttelsessystemet for at sikre sikkerheden af personlige data," så er certificerede informationssikkerhedssystemer ikke påkrævet for dig. Jeg vil forsøge kort at forklare begrundelsen.
В anfører, at det er nødvendigt at anvende værnemidler, der har gennemgået overensstemmelsesvurderingsproceduren i overensstemmelse med den fastlagte procedure:
Sikring af sikkerheden af personlige data opnås, især:
[…] 3) brug af informationssikkerhedsmidler, der har bestået overensstemmelsesvurderingsproceduren i overensstemmelse med den fastlagte procedure.
В Der er også et krav om at bruge informationssikkerhedsværktøjer, der har bestået proceduren for vurdering af overholdelse af lovkrav:
[…] brugen af informationssikkerhedsværktøjer, der har bestået proceduren for vurdering af overholdelse af kravene i lovgivningen i Den Russiske Føderation inden for informationssikkerhed, i tilfælde, hvor brugen af sådanne midler er nødvendig for at neutralisere aktuelle trusler.
duplikerer praktisk talt afsnit PP-1119:
Foranstaltninger til sikring af persondatasikkerheden implementeres blandt andet ved brug af informationssikkerhedsværktøjer i informationssystemet, der har bestået overensstemmelsesvurderingsproceduren i overensstemmelse med den fastlagte procedure, i tilfælde hvor brugen af sådanne værktøjer er nødvendig for at neutralisere aktuelle trusler mod sikkerheden af personlige data.
Hvad har disse formuleringer til fælles? Det er rigtigt - de kræver ikke brug af certificeret beskyttelsesudstyr. Faktum er, at der er flere former for overensstemmelsesvurdering (frivillig eller obligatorisk certificering, overensstemmelseserklæring). Certificering er blot en af dem. Operatøren kan bruge ikke-certificerede produkter, men skal under inspektion demonstrere over for tilsynsmyndigheden, at de har gennemgået en form for overensstemmelsesvurderingsprocedure.
Hvis operatøren beslutter at bruge certificeret beskyttelsesudstyr, er det nødvendigt at vælge informationsbeskyttelsessystemet i overensstemmelse med ultralydsbeskyttelsen, som tydeligt er angivet i :
Tekniske foranstaltninger til beskyttelse af personoplysninger implementeres ved brug af informationssikkerhedsværktøjer, herunder software (hardware)værktøjer, hvori de er implementeret, som har de nødvendige sikkerhedsfunktioner.
Ved brug af informationssikkerhedsværktøjer certificeret i henhold til informationssikkerhedskrav i informationssystemer:
Virkelighed: Loven kræver ikke obligatorisk brug af certificeret beskyttelsesudstyr.
Myte 6. Jeg har brug for kryptobeskyttelse
Der er et par nuancer her:
- Mange mennesker tror, at kryptografi er obligatorisk for enhver ISPD. Faktisk bør de kun bruges, hvis operatøren ikke ser andre beskyttelsesforanstaltninger for sig selv end brugen af kryptografi.
- Hvis du ikke kan undvære kryptografi, skal du bruge CIPF certificeret af FSB.
- For eksempel beslutter du dig for at være vært for en ISPD i en tjenesteudbyders sky, men du stoler ikke på den. Du beskriver dine bekymringer i en trussel- og indtrængende model. Du har personlige data, så du besluttede, at kryptografi er den eneste måde at beskytte dig selv på: du vil kryptere virtuelle maskiner, bygge sikre kanaler ved hjælp af kryptografisk beskyttelse. I dette tilfælde skal du bruge CIPF certificeret af FSB i Rusland.
- Certificerede CIPF er udvalgt i overensstemmelse med et vist sikkerhedsniveau iflg .
For ISPDn med UZ-3 kan du bruge KS1, KS2, KS3. KS1 er for eksempel C-Terra Virtual Gateway 4.2 til kanalbeskyttelse.
KC2, KS3 er kun repræsenteret af software- og hardwaresystemer, såsom: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway osv.
Hvis du har UZ-2 eller 1, skal du bruge kryptografiske beskyttelsesmidler i klasse KV1, 2 og KA. Disse er specifikke software- og hardwaresystemer, de er svære at betjene, og deres ydeevne er beskedne.
Virkelighed: Loven forpligter ikke brugen af CIPF certificeret af FSB.
Kilde: www.habr.com