Hallo zusammen! Ich leite das DataLine Cyber Defense Center. Kunden kommen zu uns mit der Aufgabe, die Anforderungen von 152-FZ in der Cloud oder auf physischer Infrastruktur zu erfüllen.
Bei fast jedem Projekt ist es notwendig, Aufklärungsarbeit zu leisten, um die Mythen rund um dieses Gesetz zu entlarven. Ich habe die häufigsten Missverständnisse zusammengestellt, die das Budget und das Nervensystem des Betreibers personenbezogener Daten belasten können. Ich mache sofort einen Vorbehalt, dass Fälle von Staatsämtern (GIS), die sich mit Staatsgeheimnissen, KII usw. befassen, nicht in den Rahmen dieses Artikels fallen.
Mythos 1: Ich habe ein Antivirenprogramm und eine Firewall installiert und die Racks mit einem Zaun umgeben. Befolge ich das Gesetz?
Bei 152-FZ geht es nicht um den Schutz von Systemen und Servern, sondern um den Schutz personenbezogener Daten der Betroffenen. Daher beginnt die Einhaltung von 152-FZ nicht mit einem Antivirenprogramm, sondern mit einer Vielzahl von Papierstücken und organisatorischen Fragen.
Der Hauptinspektor Roskomnadzor wird nicht das Vorhandensein und den Zustand technischer Schutzmaßnahmen prüfen, sondern die Rechtsgrundlage für die Verarbeitung personenbezogener Daten (PD):
- Zu welchem Zweck erheben Sie personenbezogene Daten?
- ob Sie mehr davon sammeln, als Sie für Ihre Zwecke benötigen;
- Wie lange speichern Sie personenbezogene Daten?
- Gibt es eine Richtlinie zur Verarbeitung personenbezogener Daten?
- Holen Sie Ihre Einwilligung zur Verarbeitung personenbezogener Daten, zur grenzüberschreitenden Übermittlung, zur Verarbeitung durch Dritte usw. ein?
Die Antworten auf diese Fragen sowie die Prozesse selbst sollten in entsprechenden Dokumenten festgehalten werden. Hier ist eine bei weitem nicht vollständige Liste dessen, was ein Betreiber personenbezogener Daten vorbereiten muss:
- Ein Standard-Einwilligungsformular für die Verarbeitung personenbezogener Daten (das sind die Blätter, die wir mittlerweile fast überall unterschreiben, wo wir unseren vollständigen Namen und unsere Passdaten hinterlassen).
- Richtlinie des Betreibers zur Verarbeitung personenbezogener Daten ( es gibt Empfehlungen zur Gestaltung).
- Anordnung zur Bestellung eines Verantwortlichen für die Organisation der Verarbeitung personenbezogener Daten.
- Stellenbeschreibung des Verantwortlichen für die Organisation der Verarbeitung personenbezogener Daten.
- Regeln für die interne Kontrolle und (oder) Prüfung der Übereinstimmung der PD-Verarbeitung mit den gesetzlichen Anforderungen.
- Liste der Informationssysteme für personenbezogene Daten (ISPD).
- Regelungen zur Gewährung des Zugriffs auf die personenbezogenen Daten des Betroffenen.
- Vorschriften zur Untersuchung von Vorfällen.
- Anordnung zur Zulassung von Arbeitnehmern zur Verarbeitung personenbezogener Daten.
- Regelungen zur Interaktion mit Regulierungsbehörden.
- Benachrichtigung über RKN usw.
- Anleitungsformular zur PD-Verarbeitung.
- ISPD-Bedrohungsmodell.
Nachdem Sie diese Probleme gelöst haben, können Sie mit der Auswahl konkreter Maßnahmen und technischer Mittel beginnen. Welche Sie benötigen, hängt von den Systemen, ihren Betriebsbedingungen und den aktuellen Bedrohungen ab. Aber dazu später mehr.
Realität: Unter Einhaltung des Gesetzes versteht man erstens die Einrichtung und Einhaltung bestimmter Prozesse und erst zweitens den Einsatz besonderer technischer Mittel.
Mythos 2. Ich speichere personenbezogene Daten in der Cloud, einem Rechenzentrum, das die Anforderungen von 152-FZ erfüllt. Jetzt sind sie für die Durchsetzung des Gesetzes verantwortlich
Wenn Sie die Speicherung personenbezogener Daten an einen Cloud-Anbieter oder ein Rechenzentrum auslagern, verlieren Sie nicht Ihre Rolle als Betreiber personenbezogener Daten.
Lassen Sie uns die Definition aus dem Gesetz zur Hilfe nehmen:
Verarbeitung personenbezogener Daten – jede Aktion (Vorgang) oder Reihe von Aktionen (Vorgängen), die mithilfe von Automatisierungstools oder ohne Verwendung solcher Mittel mit personenbezogenen Daten durchgeführt wird, einschließlich Erhebung, Aufzeichnung, Systematisierung, Akkumulation, Speicherung, Klärung (Aktualisierung, Änderung), Extraktion, Nutzung, Weitergabe (Verbreitung, Bereitstellung, Zugriff), Depersonalisierung, Sperrung, Löschung, Vernichtung personenbezogener Daten.
Quelle: Artikel 3,
Von all diesen Handlungen ist der Dienstleister für die Speicherung und Vernichtung personenbezogener Daten verantwortlich (wenn der Kunde den Vertrag mit ihm kündigt). Alles Weitere wird vom Betreiber der personenbezogenen Daten bereitgestellt. Das bedeutet, dass der Betreiber und nicht der Dienstanbieter die Richtlinien für die Verarbeitung personenbezogener Daten festlegt, von seinen Kunden unterzeichnete Einwilligungen zur Verarbeitung personenbezogener Daten einholt, Fälle der Weitergabe personenbezogener Daten an Dritte verhindert und untersucht usw.
Folglich muss der Betreiber personenbezogener Daten weiterhin die oben aufgeführten Dokumente sammeln und organisatorische und technische Maßnahmen zum Schutz seines PDIS ergreifen.
Typischerweise hilft der Anbieter dem Betreiber, indem er die Einhaltung gesetzlicher Anforderungen auf der Infrastrukturebene sicherstellt, auf der sich das ISPD des Betreibers befindet: Racks mit Geräten oder die Cloud. Außerdem sammelt er ein Dokumentenpaket, ergreift organisatorische und technische Maßnahmen für sein Infrastrukturstück gemäß 152-FZ.
Einige Anbieter helfen bei der Dokumentation und Bereitstellung technischer Sicherheitsmaßnahmen für die ISDNs selbst, also auf einer Ebene oberhalb der Infrastruktur. Der Betreiber kann diese Aufgaben auch auslagern, die Verantwortung und Pflichten aus dem Gesetz entfallen jedoch nicht.
Realität: Durch die Nutzung der Dienste eines Anbieters oder Rechenzentrums können Sie die Verantwortlichkeiten eines Betreibers personenbezogener Daten nicht auf ihn übertragen und sich der Verantwortung entziehen. Wenn Ihnen der Anbieter dies verspricht, dann lügt er gelinde gesagt.
Mythos 3. Ich habe das notwendige Paket an Dokumenten und Maßnahmen. Ich speichere personenbezogene Daten bei einem Anbieter, der die Einhaltung von 152-FZ verspricht. Ist alles in Ordnung?
Ja, wenn Sie daran denken, die Bestellung zu unterschreiben. Der Betreiber kann per Gesetz die Verarbeitung personenbezogener Daten einer anderen Person, beispielsweise demselben Dienstleister, anvertrauen. Bei einem Auftrag handelt es sich um eine Art Vereinbarung, die festlegt, was der Dienstleister mit den personenbezogenen Daten des Betreibers tun darf.
Der Betreiber hat das Recht, die Verarbeitung personenbezogener Daten einer anderen Person mit Zustimmung des Betroffenen der personenbezogenen Daten anzuvertrauen, sofern das Bundesgesetz nichts anderes bestimmt, auf der Grundlage einer mit dieser Person geschlossenen Vereinbarung, einschließlich eines staatlichen oder kommunalen Vertrags, oder durch Erlass eines entsprechenden Gesetzes durch eine staatliche oder kommunale Körperschaft (im Folgenden als Auftragsverarbeiter bezeichnet). Die Person, die im Auftrag des Betreibers personenbezogene Daten verarbeitet, ist verpflichtet, die in diesem Bundesgesetz vorgesehenen Grundsätze und Regeln für die Verarbeitung personenbezogener Daten einzuhalten.
Source:
Darüber hinaus besteht die Verpflichtung des Anbieters, die Vertraulichkeit personenbezogener Daten zu wahren und deren Sicherheit gemäß den festgelegten Anforderungen zu gewährleisten:
In den Anweisungen des Betreibers muss eine Liste der Aktionen (Vorgänge) mit personenbezogenen Daten festgelegt werden, die von der Person, die personenbezogene Daten verarbeitet, durchgeführt werden, sowie die Zwecke der Verarbeitung. Die Verpflichtung einer solchen Person muss festgelegt werden, die Vertraulichkeit personenbezogener Daten zu wahren und sicherzustellen Die Sicherheit personenbezogener Daten bei deren Verarbeitung sowie Anforderungen an den Schutz der verarbeiteten personenbezogenen Daten müssen gemäß festgelegt werden dieses Bundesgesetzes.
Source:
Hierfür ist der Anbieter gegenüber dem Betreiber und nicht gegenüber dem Betroffenen personenbezogener Daten verantwortlich:
Wenn der Betreiber die Verarbeitung personenbezogener Daten einer anderen Person anvertraut, ist der Betreiber gegenüber dem Betroffenen der personenbezogenen Daten für die Handlungen der angegebenen Person verantwortlich. Die Person, die personenbezogene Daten im Auftrag des Betreibers verarbeitet, trägt die Verantwortung gegenüber dem Betreiber.
Source: .
Es ist auch wichtig, in der Verordnung die Verpflichtung festzulegen, den Schutz personenbezogener Daten zu gewährleisten:
Die Sicherheit personenbezogener Daten bei der Verarbeitung in einem Informationssystem wird durch den Betreiber dieses Systems, der personenbezogene Daten verarbeitet (im Folgenden „Betreiber“), oder durch die Person, die personenbezogene Daten im Auftrag des Betreibers auf Grundlage eines Auftrags verarbeitet, gewährleistet mit dieser Person (im Folgenden Bevollmächtigte genannt) abgeschlossener Vertrag. Die Vereinbarung zwischen dem Betreiber und der autorisierten Person muss die Verpflichtung der autorisierten Person vorsehen, die Sicherheit personenbezogener Daten bei der Verarbeitung im Informationssystem zu gewährleisten.
Source:
Realität: Wenn Sie dem Anbieter personenbezogene Daten übermitteln, unterschreiben Sie die Bestellung. Geben Sie in der Bestellung die Anforderung an, den Schutz der personenbezogenen Daten der betroffenen Personen zu gewährleisten. Andernfalls halten Sie sich nicht an das Gesetz zur Übertragung personenbezogener Datenverarbeitungsarbeiten an Dritte und der Anbieter schuldet Ihnen nichts zur Einhaltung von 152-FZ.
Mythos 4. Der Mossad spioniert mich aus, oder ich habe definitiv eine UZ-1
Manche Kunden weisen beharrlich nach, dass sie über ein ISPD der Sicherheitsstufe 1 oder 2 verfügen. In den meisten Fällen ist dies jedoch nicht der Fall. Erinnern wir uns an die Hardware, um herauszufinden, warum dies geschieht.
Die LO bzw. Sicherheitsstufe bestimmt, wovor Sie Ihre persönlichen Daten schützen.
Das Sicherheitsniveau wird durch folgende Punkte beeinflusst:
- Art der personenbezogenen Daten (spezielle, biometrische, öffentlich zugängliche und andere);
- Wem gehören die personenbezogenen Daten – Mitarbeiter oder Nichtmitarbeiter des Betreibers personenbezogener Daten?
- Anzahl der Personen, die personenbezogene Daten verarbeiten – etwa 100.
- Arten aktueller Bedrohungen.
Informiert uns über Arten von Bedrohungen . Hier ist eine Beschreibung von jedem mit meiner kostenlosen Übersetzung in die menschliche Sprache.
Bedrohungen vom Typ 1 sind für ein Informationssystem relevant, wenn Bedrohungen, die mit dem Vorhandensein undokumentierter (nicht deklarierter) Fähigkeiten in der im Informationssystem verwendeten Systemsoftware verbunden sind, auch für dieses relevant sind.
Wenn Sie diese Art von Bedrohung als relevant erkennen, dann sind Sie der festen Überzeugung, dass Agenten der CIA, des MI6 oder des MOSSAD ein Lesezeichen im Betriebssystem gesetzt haben, um persönliche Daten bestimmter Personen von Ihrem ISPD zu stehlen.
Bedrohungen der 2. Art sind für ein Informationssystem relevant, wenn auch Bedrohungen, die mit dem Vorhandensein undokumentierter (nicht deklarierter) Fähigkeiten in der im Informationssystem verwendeten Anwendungssoftware verbunden sind, für dieses relevant sind.
Wenn Sie glauben, dass Bedrohungen der zweiten Art Ihr Fall sind, dann schlafen Sie und sehen, wie dieselben Agenten der CIA, des MI6, des MOSSAD, eines bösen einsamen Hackers oder einer bösartigen Gruppe Lesezeichen in ein Bürosoftwarepaket gesetzt haben, um genau danach zu suchen Ihre persönlichen Daten. Ja, es gibt zweifelhafte Anwendungssoftware wie μTorrent, aber Sie können eine Liste der für die Installation zugelassenen Software erstellen und eine Vereinbarung mit Benutzern unterzeichnen, Benutzern jedoch keine lokalen Administratorrechte usw. gewähren.
Bedrohungen vom Typ 3 sind für ein Informationssystem relevant, wenn Bedrohungen, die nicht mit dem Vorhandensein undokumentierter (nicht deklarierter) Fähigkeiten im System und der im Informationssystem verwendeten Anwendungssoftware zusammenhängen, für dieses relevant sind.
Bedrohungen der Typen 1 und 2 sind für Sie nicht geeignet, daher sind Sie hier genau richtig.
Wir haben die Arten von Bedrohungen geklärt. Schauen wir uns nun an, welches Sicherheitsniveau unser ISPD haben wird.
Tabelle basierend auf den in angegebenen Entsprechungen .
Wenn wir die dritte Art tatsächlicher Bedrohungen wählen, dann werden wir in den meisten Fällen UZ-3 haben. Die einzige Ausnahme, wenn Bedrohungen der Typen 1 und 2 nicht relevant sind, das Sicherheitsniveau jedoch dennoch hoch ist (UZ-2), sind Unternehmen, die besondere personenbezogene Daten von Nicht-Mitarbeitern in einer Menge von mehr als 100 verarbeiten Zum Beispiel Unternehmen, die sich mit medizinischer Diagnostik und der Erbringung medizinischer Dienstleistungen befassen.
Es gibt auch UZ-4, und es kommt vor allem in Unternehmen vor, deren Geschäftstätigkeit nicht mit der Verarbeitung personenbezogener Daten von Nicht-Mitarbeitern, d. h. Kunden oder Auftragnehmern, zusammenhängt oder deren personenbezogene Datenbestände klein sind.
Warum ist es so wichtig, es mit dem Sicherheitsniveau nicht zu übertreiben? Es ist ganz einfach: Davon hängt ab, welche Maßnahmen und Schutzmaßnahmen genau dieses Sicherheitsniveau gewährleisten. Je höher der Wissensstand, desto mehr muss organisatorisch und technisch getan werden (sprich: desto mehr Geld und Nerven müssen aufgewendet werden).
Hier erfahren Sie beispielsweise, wie sich die Sicherheitsmaßnahmen gemäß demselben PP-1119 ändern.
Sehen wir uns nun an, wie sich je nach gewählter Sicherheitsstufe die Liste der notwendigen Maßnahmen entsprechend ändert Zu diesem Dokument gibt es einen langen Anhang, der die notwendigen Maßnahmen definiert. Insgesamt sind es 109 davon, für jedes KM sind verbindliche Maßnahmen definiert und mit einem „+“-Zeichen gekennzeichnet – sie werden in der folgenden Tabelle genau berechnet. Wenn Sie nur die für UZ-3 benötigten übrig lassen, erhalten Sie 4.
Realität: Wenn Sie keine Tests oder biometrischen Daten von Kunden sammeln und keine Angst vor Lesezeichen in System- und Anwendungssoftware haben, dann haben Sie höchstwahrscheinlich UZ-3. Es verfügt über einen sinnvollen Katalog an organisatorischen und technischen Maßnahmen, die tatsächlich umgesetzt werden können.
Mythos 5. Alle Mittel zum Schutz personenbezogener Daten müssen vom FSTEC Russlands zertifiziert sein
Wenn Sie eine Zertifizierung durchführen wollen oder müssen, müssen Sie höchstwahrscheinlich zertifizierte Schutzausrüstung verwenden. Die Zertifizierung wird von einem Lizenznehmer des FSTEC Russlands durchgeführt, der:
- Interesse daran, mehr zertifizierte Informationsschutzgeräte zu verkaufen;
- wird befürchten, dass ihm die Lizenz von der Aufsichtsbehörde entzogen wird, wenn etwas schiefgeht.
Wenn Sie keine Zertifizierung benötigen und bereit sind, die Einhaltung der Anforderungen auf eine andere Art und Weise zu bestätigen, nennen Sie diese „Bewertung der Wirksamkeit der im Rahmen des Systems zum Schutz personenbezogener Daten umgesetzten Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten“, dann sind für Sie keine zertifizierten Informationssicherheitssysteme erforderlich. Ich werde versuchen, die Gründe kurz zu erläutern.
В besagt, dass es erforderlich ist, Schutzausrüstung zu verwenden, die das Konformitätsbewertungsverfahren gemäß dem festgelegten Verfahren durchlaufen hat:
Die Gewährleistung der Sicherheit personenbezogener Daten wird insbesondere erreicht durch:
[…] 3) der Einsatz von Informationssicherheitsmitteln, die das Konformitätsbewertungsverfahren gemäß dem festgelegten Verfahren bestanden haben.
В Es besteht auch die Verpflichtung, Informationssicherheitstools zu verwenden, die das Verfahren zur Bewertung der Einhaltung gesetzlicher Anforderungen bestanden haben:
[…] der Einsatz von Informationssicherheitsinstrumenten, die das Verfahren zur Bewertung der Einhaltung der Anforderungen der Gesetzgebung der Russischen Föderation im Bereich der Informationssicherheit bestanden haben, in Fällen, in denen der Einsatz solcher Mittel zur Neutralisierung aktueller Bedrohungen erforderlich ist.
praktisch dupliziert Absatz PP-1119:
Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten werden unter anderem durch den Einsatz von Informationssicherheitstools im Informationssystem umgesetzt, die das Konformitätsbewertungsverfahren gemäß dem festgelegten Verfahren bestanden haben, in Fällen, in denen der Einsatz solcher Tools erforderlich ist aktuelle Bedrohungen für die Sicherheit personenbezogener Daten neutralisieren.
Was haben diese Formulierungen gemeinsam? Das ist richtig – sie erfordern keine zertifizierte Schutzausrüstung. Tatsache ist, dass es mehrere Formen der Konformitätsbewertung gibt (freiwillige oder obligatorische Zertifizierung, Konformitätserklärung). Die Zertifizierung ist nur eine davon. Der Betreiber kann nicht zertifizierte Produkte verwenden, muss der Aufsichtsbehörde jedoch bei der Inspektion nachweisen, dass sie einem Konformitätsbewertungsverfahren unterzogen wurden.
Entscheidet sich der Betreiber für die Verwendung zertifizierter Schutzausrüstung, ist die Auswahl des Informationsschutzsystems entsprechend dem Ultraschallschutz erforderlich, der in eindeutig angegeben ist :
Technische Maßnahmen zum Schutz personenbezogener Daten werden durch den Einsatz von Informationssicherheitstools umgesetzt, einschließlich Software-(Hardware-)Tools, in denen sie implementiert sind und die über die erforderlichen Sicherheitsfunktionen verfügen.
Beim Einsatz von nach Informationssicherheitsanforderungen zertifizierten Informationssicherheitstools in Informationssystemen:
Realität: Das Gesetz schreibt keine verpflichtende Verwendung zertifizierter Schutzausrüstung vor.
Mythos 6. Ich brauche Kryptoschutz
Hier gibt es einige Nuancen:
- Viele Menschen glauben, dass Kryptographie für jedes ISPD obligatorisch ist. Tatsächlich sollten sie nur dann zum Einsatz kommen, wenn der Betreiber außer dem Einsatz von Kryptografie keine anderen Schutzmaßnahmen für sich sieht.
- Wenn Sie auf Kryptografie nicht verzichten können, müssen Sie das vom FSB zertifizierte CIPF verwenden.
- Sie entscheiden sich beispielsweise dafür, einen ISPD in der Cloud eines Dienstanbieters zu hosten, vertrauen ihm aber nicht. Sie beschreiben Ihre Bedenken in einem Bedrohungs- und Eindringlingsmodell. Da Sie über persönliche Daten verfügen, haben Sie beschlossen, dass Kryptografie die einzige Möglichkeit ist, sich zu schützen: Sie verschlüsseln virtuelle Maschinen und bauen sichere Kanäle mit kryptografischem Schutz auf. In diesem Fall müssen Sie das vom FSB Russlands zertifizierte CIPF verwenden.
- Zertifizierte CIPF werden entsprechend einem bestimmten Sicherheitsniveau ausgewählt .
Für ISPDn mit UZ-3 können Sie KS1, KS2, KS3 verwenden. KS1 ist beispielsweise C-Terra Virtual Gateway 4.2 zum Schutz von Kanälen.
KC2, KS3 werden nur durch Software- und Hardwaresysteme repräsentiert, wie zum Beispiel: ViPNet Coordinator, APKSH „Continent“, S-Terra Gateway usw.
Wenn Sie über UZ-2 oder 1 verfügen, benötigen Sie kryptografische Schutzmittel der Klassen KV1, 2 und KA. Dabei handelt es sich um spezifische Software- und Hardwaresysteme, die schwierig zu bedienen sind und deren Leistungsmerkmale bescheiden sind.
Realität: Das Gesetz verpflichtet nicht zur Verwendung eines vom FSB zertifizierten CIPF.
Source: habr.com