Saluton al ĉiuj! Mi administras la DataLine Cyber Defense Center. Klientoj venas al ni kun la tasko plenumi la postulojn de 152-FZ en la nubo aŭ sur fizika infrastrukturo.
En preskaŭ ĉiu projekto necesas fari edukan laboron por malkonfirmi la mitojn ĉirkaŭ ĉi tiu leĝo. Mi kolektis la plej oftajn miskomprenojn, kiuj povas esti multekostaj por la buĝeto kaj nerva sistemo de la personaj datumoj-funkciigisto. Mi tuj faros rezervon, ke kazoj de ŝtataj oficejoj (GIS) traktantaj ŝtatajn sekretojn, KII, ktp restos ekster la amplekso de ĉi tiu artikolo.
Mito 1. Mi instalis antiviruson, fajroŝirmilon, kaj ĉirkaŭis la rakojn per barilo. Ĉu mi sekvas la leĝon?
152-FZ ne temas pri la protekto de sistemoj kaj serviloj, sed pri la protekto de personaj datumoj de subjektoj. Sekve, plenumo de 152-FZ komenciĝas ne per antiviruso, sed kun granda nombro da paperoj kaj organizaj aferoj.
La ĉefa inspektisto, Roskomnadzor, rigardos ne la ĉeeston kaj kondiĉon de teknikaj rimedoj de protekto, sed la juran bazon por la prilaborado de personaj datumoj (PD):
- por kia celo vi kolektas personajn datumojn;
- ĉu vi kolektas pli da ili ol vi bezonas por viaj celoj;
- kiom longe vi konservas personajn datumojn;
- ĉu ekzistas politiko por prilaborado de personaj datumoj;
- Ĉu vi kolektas konsenton por prilaborado de personaj datumoj, translima translokigo, prilaborado de triaj, ktp.
La respondoj al ĉi tiuj demandoj, same kiel la procezoj mem, devas esti registritaj en taŭgaj dokumentoj. Jen malproksime kompleta listo de tio, kion bezonas prepari operatoro pri personaj datumoj:
- Norma konsentformularo por la prilaborado de personaj datumoj (ĉi tiuj estas la folioj, kiujn ni nun subskribas preskaŭ ĉie, kie ni lasas niajn plenajn nomojn kaj pasportdetalojn).
- Politiko de Operaciisto pri la prilaborado de personaj datumoj ( estas rekomendoj por dezajno).
- Ordono pri la nomumo de persono respondeca por organizi la prilaboradon de personaj datumoj.
- Laborpriskribo de la respondeculo pri organizado de la prilaborado de personaj datumoj.
- Reguloj por interna kontrolo kaj (aŭ) revizio de konformeco de PD-prilaborado kun leĝaj postuloj.
- Listo de personaj dateninformsistemoj (ISPD).
- Reguloj por havigi al la subjekto aliron al liaj personaj datumoj.
- Reguloj pri esploro pri incidentoj.
- Ordono pri la akcepto de dungitoj al la prilaborado de personaj datumoj.
- Regularoj por interago kun regulistoj.
- Sciigo pri RKN, ktp.
- Instruoformularo por PD-prilaborado.
- ISPD-minacmodelo.
Post solvado de ĉi tiuj problemoj, vi povas komenci elekti specifajn mezurojn kaj teknikajn rimedojn. Kiuj vi bezonas dependas de la sistemoj, iliaj funkciaj kondiĉoj kaj nunaj minacoj. Sed pli pri tio poste.
Realeco: plenumo de la leĝo estas la starigo kaj plenumo de iuj procezoj, unue kaj nur due - la uzo de specialaj teknikaj rimedoj.
Mito 2. Mi stokas personajn datumojn en la nubo, datumcentro, kiu plenumas la postulojn de 152-FZ. Nun ili respondecas pri plenumi la leĝon
Kiam vi subkontraktas la stokadon de personaj datumoj al nuba provizanto aŭ datumcentro, vi ne ĉesas esti telefonisto pri personaj datumoj.
Ni voku la difinon de la leĝo por helpo:
Pretigo de personaj datumoj - ajna ago (operacio) aŭ aro de agoj (operacioj) farita per aŭtomatigaj iloj aŭ sen la uzo de tiaj rimedoj kun personaj datumoj, inkluzive de kolekto, registrado, sistemigo, amasiĝo, konservado, klarigo (ĝisdatigo, ŝanĝo), eltiro, uzo, translokigo (disdono, provizo, aliro), malpersonigo, blokado, forigo, detruo de personaj datumoj.
Fonto: artikolo 3,
De ĉiuj ĉi tiuj agoj, la provizanto de servoj respondecas pri stokado kaj detruo de personaj datumoj (kiam la kliento finas la kontrakton kun li). Ĉio alia estas provizita de la telefonisto pri personaj datumoj. Ĉi tio signifas, ke la telefonisto, kaj ne la provizanto de servoj, determinas la politikon por prilaborado de personaj datumoj, akiras subskribitajn konsentojn por la prilaborado de personaj datumoj de siaj klientoj, malhelpas kaj esploras kazojn de elfluado de personaj datumoj al triaj, ktp.
Sekve, la telefonisto pri personaj datumoj ankoraŭ devas kolekti la dokumentojn, kiuj estis listigitaj supre, kaj efektivigi organizajn kaj teknikajn mezurojn por protekti sian PDIS.
Tipe, la provizanto helpas la funkciigiston certigante plenumon de leĝaj postuloj ĉe la infrastruktura nivelo kie la ISPD de la funkciigisto estos lokita: rakoj kun ekipaĵo aŭ la nubo. Li ankaŭ kolektas pakaĵon da dokumentoj, prenas organizajn kaj teknikajn rimedojn por sia infrastrukturo laŭ 152-FZ.
Kelkaj provizantoj helpas kun paperlaboro kaj zorgado de teknikaj sekurecaj mezuroj por la ISDNoj mem, t.e., je nivelo super la infrastrukturo. La funkciigisto ankaŭ povas subkontrakti ĉi tiujn taskojn, sed la respondeco kaj devoj laŭ la leĝo ne malaperas.
Realeco: Uzante la servojn de provizanto aŭ datumcentro, vi ne povas transdoni al li la respondecojn de persona datuma operatoro kaj forigi respondecon. Se la provizanto promesas al vi ĉi tion, tiam, milde, li mensogas.
Mito 3. Mi havas la necesan pakon da dokumentoj kaj mezuroj. Mi konservas personajn datumojn kun provizanto, kiu promesas plenumon de 152-FZ. Ĉu ĉio estas en ordo?
Jes, se vi memoras subskribi la mendon. Laŭleĝe, la funkciigisto povas konfidi la prilaboradon de personaj datumoj al alia persono, ekzemple, la sama provizanto de servoj. Ordo estas speco de interkonsento, kiu listigas, kion la provizanto de servoj povas fari kun la personaj datumoj de la funkciigisto.
La funkciigisto rajtas konfidi la prilaboradon de personaj datumoj al alia persono kun la konsento de la subjekto de personaj datumoj, krom se alie disponas de Federacia Leĝo, surbaze de interkonsento farita kun ĉi tiu persono, inkluzive de ŝtata aŭ urba kontrakto, aŭ per adopto de koncerna ago de ŝtata aŭ municipa instanco (ĉi-poste nomata la asigno-funkciigisto). La persono prilaboranta personajn datumojn nome de la funkciigisto estas devigita observi la principojn kaj regulojn por prilaborado de personaj datumoj antaŭviditaj de ĉi tiu Federacia Leĝo.
fonto:
Ankaŭ estas establita la devo de la provizanto konservi la konfidencon de personaj datumoj kaj certigi ĝian sekurecon konforme al la specifitaj postuloj:
La ordo de la funkciigisto devas difini liston de agoj (operacioj) kun personaj datumoj, kiuj estos faritaj de la persono prilaboranta personajn datumojn kaj la celojn de prilaborado, la devo de tia persono devas esti establita por konservi la konfidencon de personaj datumoj kaj certigi la sekureco de personaj datumoj dum ilia traktado, same kiel postuloj por la protekto de prilaboritaj personaj datumoj devas esti precizigitaj konforme al de ĉi tiu Federacia Leĝo.
fonto:
Por tio, la provizanto respondecas antaŭ la funkciigisto, kaj ne al la temo de personaj datumoj:
Se la funkciigisto konfidas la prilaboradon de personaj datumoj al alia persono, la funkciigisto respondecas al la temo de personaj datumoj pri la agoj de la specifita persono. La persono prilaboranta personajn datumojn nome de la funkciigisto estas respondeca al la funkciigisto.
fonto: .
Ankaŭ gravas preskribi en la ordo la devon certigi la protekton de personaj datumoj:
La sekureco de personaj datumoj kiam traktataj en informsistemo estas certigita de la funkciigisto de ĉi tiu sistemo, kiu prilaboras personajn datumojn (ĉi-poste nomataj la funkciigisto), aŭ de la persono prilaboranta personajn datumojn en la nomo de la funkciigisto surbaze de interkonsento finita kun ĉi tiu persono (ĉi-poste nomata la rajtigita persono). La interkonsento inter la funkciigisto kaj la rajtigita persono devas antaŭvidi la devon de la rajtigita persono certigi la sekurecon de personaj datumoj kiam prilaboritaj en la informsistemo.
fonto:
Realeco: Se vi donas personajn datumojn al la provizanto, tiam subskribu la mendon. En la ordo, indiku la postulon por certigi la protekton de personaj datumoj de la subjektoj. Alie, vi ne observas la leĝon pri la translokigo de personaj datumoj prilaborado al tria partio, kaj la provizanto ne ŝuldas al vi ion pri plenumo de 152-FZ.
Mito 4. La Mossad spionas min, aŭ mi certe havas UZ-1
Iuj klientoj persiste pruvas, ke ili havas ISPD de sekureca nivelo 1 aŭ 2. Plej ofte tio ne okazas. Ni memoru la aparataron por ekscii kial tio okazas.
La LO, aŭ sekureca nivelo, determinas de kio vi protektos viajn personajn datumojn.
La nivelo de sekureco estas tuŝita de la sekvaj punktoj:
- tipo de personaj datumoj (specialaj, biometrikaj, publike disponeblaj kaj aliaj);
- kiu posedas la personajn datumojn - dungitoj aŭ nedungitoj de la telefonisto pri personaj datumoj;
- nombro da personaj datumoj - pli-malpli 100 mil.
- specoj de aktualaj minacoj.
Rakontas al ni pri specoj de minacoj . Jen priskribo de ĉiu kun mia libera traduko al homa lingvo.
Minacoj de la unua tipo estas signifaj por informsistemo se minacoj asociitaj kun la ĉeesto de nedokumentitaj (nedeklaritaj) kapabloj en la sistemprogramaro uzita en la informsistemo ankaŭ estas signifaj por ĝi.
Se vi rekonas ĉi tiun tipon de minaco kiel grava, tiam vi firme kredas, ke agentoj de la CIA, MI6 aŭ MOSSAD metis legosignon en la operaciumon por ŝteli personajn datumojn de specifaj temoj de via ISPD.
Minacoj de la 2-a tipo estas signifaj por informsistemo se minacoj asociitaj kun la ĉeesto de nedokumentitaj (nedeklaritaj) kapabloj en la aplikaĵa programaro uzata en la informsistemo ankaŭ estas gravaj por ĝi.
Se vi pensas, ke minacoj de la dua tipo estas via kazo, tiam vi dormas kaj vidas kiel la samaj agentoj de la CIA, MI6, MOSSAD, malbona sola retpirato aŭ grupo metis legosignojn en iun oficejan pakaĵon por ĝuste ĉasi. viajn personajn datumojn. Jes, ekzistas dubinda aplikaĵo-programaro kiel μTorrent, sed vi povas fari liston de permesitaj programaroj por instali kaj subskribi interkonsenton kun uzantoj, ne doni al uzantoj lokajn administrantojn, ktp.
Tipo 3 minacoj estas signifaj al informsistemo se minacoj kiuj ne estas rilataj al la ĉeesto de nedokumentitaj (nedeklaritaj) kapabloj en la sistemo kaj aplikaĵsoftvaro uzita en la informsistemo estas signifaj al ĝi.
Minacoj de tipoj 1 kaj 2 ne taŭgas por vi, do ĉi tiu estas la loko por vi.
Ni ordigis la specojn de minacoj, nun ni rigardu kian nivelon de sekureco havos nia ISPD.
Tabelo bazita sur la korespondadoj specifitaj en .
Se ni elektas la trian tipon de realaj minacoj, tiam en la plej multaj kazoj ni havos UZ-3. La sola escepto, kiam minacoj de tipoj 1 kaj 2 ne gravas, sed la nivelo de sekureco ankoraŭ estos alta (UZ-2), estas kompanioj, kiuj prilaboras specialajn personajn datumojn de ne-dungitoj en la kvanto de pli ol 100 000. Por ekzemple, firmaoj okupiĝis pri medicina diagnozo kaj provizo de medicinaj servoj.
Ankaŭ ekzistas UZ-4, kaj ĝi troviĝas ĉefe en kompanioj, kies komerco ne rilatas al la prilaborado de personaj datumoj de nedungitoj, t.e. klientoj aŭ entreprenistoj, aŭ la personaj datumbazoj estas malgrandaj.
Kial estas tiel grave ne troigi ĝin kun la nivelo de sekureco? Ĝi estas simpla: la aro da mezuroj kaj rimedoj de protekto por certigi ĉi tiun nivelon de sekureco dependos de tio. Ju pli alta estas la nivelo de scio, des pli necesas fari en organizaj kaj teknikaj terminoj (legu: des pli da mono kaj nervoj devos esti elspezitaj).
Jen, ekzemple, kiel la aro de sekurecaj mezuroj ŝanĝiĝas laŭ la sama PP-1119.
Nun ni vidu kiel, depende de la elektita nivelo de sekureco, la listo de necesaj rimedoj ŝanĝiĝas konforme al Estas longa apendico al ĉi tiu dokumento, kiu difinas la necesajn mezurojn. Estas 109 el ili entute, por ĉiu KM devigaj mezuroj estas difinitaj kaj markitaj per signo "+" - ili estas precize kalkulitaj en la suba tabelo. Se vi lasas nur tiujn necesajn por UZ-3, vi ricevas 4.
Realeco: se vi ne kolektas testojn aŭ biometrikojn de klientoj, vi ne estas paranoja pri legosignoj en sistemo kaj aplikaĵo programaro, tiam plej verŝajne vi havas UZ-3. Ĝi havas akcepteblan liston de organizaj kaj teknikaj mezuroj kiuj efektive povas esti efektivigitaj.
Mito 5. Ĉiuj rimedoj por protekti personajn datumojn devas esti atestitaj de la FSTEC de Rusio
Se vi volas aŭ devas fari atestilon, tiam plej verŝajne vi devos uzi atestitan protektan ekipaĵon. La atestado estos farita de licencito de la FSTEC de Rusio, kiu:
- interesiĝas pri vendado de pli atestitaj informaj protektaj aparatoj;
- timos, ke la permesilo estas nuligita de la reguligisto se io misfunkcias.
Se vi ne bezonas atestilon kaj vi pretas konfirmi la plenumon de la postuloj alimaniere, nomata en "Taksante la efikecon de mezuroj efektivigitaj ene de la personaj datumoj protektosistemo por certigi la sekurecon de personaj datumoj," tiam atestitaj informsekurecaj sistemoj ne estas postulataj por vi. Mi provos mallonge klarigi la raciaĵon.
В deklaras, ke necesas uzi protektan ekipaĵon, kiu spertis la proceduron pri taksado de konformeco laŭ la establita proceduro:
Certigi la sekurecon de personaj datumoj estas atingita, precipe:
[…] 3) la uzo de informa sekureco rimedoj kiuj trapasis la plenumo taksado procedo konforme al la establita proceduro.
В Estas ankaŭ postulo uzi informsekurecajn ilojn, kiuj trapasis la proceduron por taksi konformecon al leĝaj postuloj:
[…] la uzo de informsekureco iloj, kiuj trapasis la proceduron por taksi konformecon al la postuloj de la leĝaro de la Rusa Federacio en la kampo de informa sekureco, en kazoj kie la uzo de tiaj rimedoj estas necesa por neŭtraligi aktualajn minacojn.
praktike duobligas alineon PP-1119:
Rimedoj por certigi la sekurecon de personaj datumoj estas efektivigitaj, interalie, per la uzo de informsekurecaj iloj en la informsistemo, kiuj trapasis la konformecan taksadon laŭ la establita proceduro, en kazoj kie la uzo de tiaj iloj estas necesa por neŭtraligi aktualajn minacojn al la sekureco de personaj datumoj.
Kion havas ĉi tiuj formuloj komune? Ĝuste - ili ne postulas la uzon de atestita protekta ekipaĵo. La fakto estas, ke ekzistas pluraj formoj de taksado de konformeco (vola aŭ deviga atestado, deklaro de konformeco). Atestado estas nur unu el ili. La funkciigisto povas uzi ne-atestitajn produktojn, sed devos pruvi al la reguligisto dum inspektado, ke ili spertis iun formon de konformeca taksa proceduro.
Se la funkciigisto decidas uzi atestitan protektan ekipaĵon, tiam necesas elekti la informan protektan sistemon konforme al la ultrasona protekto, kiu estas klare dirita en :
Teknikaj mezuroj por protekti personajn datumojn estas efektivigitaj per la uzo de informsekurecaj iloj, inkluzive de programaro (aparataro) iloj en kiuj ili estas efektivigitaj, kiuj havas la necesajn sekurecajn funkciojn.
Kiam vi uzas informsekurecajn ilojn atestitajn laŭ informsekurecaj postuloj en informsistemoj:
Realeco: La leĝo ne postulas la devigan uzon de atestita protekta ekipaĵo.
Mito 6. Mi bezonas kriptan protekton
Estas kelkaj nuancoj ĉi tie:
- Multaj homoj kredas, ke kriptografio estas deviga por iu ajn ISPD. Fakte, ili devus esti uzataj nur se la operatoro ne vidas aliajn protektajn rimedojn por si krom la uzo de kriptografio.
- Se vi ne povas fari sen kriptografio, tiam vi devas uzi CIPF atestitan de la FSB.
- Ekzemple, vi decidas gastigi ISPD en la nubo de servoprovizanto, sed vi ne fidas ĝin. Vi priskribas viajn zorgojn en modelo de minaco kaj entrudiĝinto. Vi havas personajn datumojn, do vi decidis, ke kriptografio estas la sola maniero por protekti vin: vi ĉifris virtualajn maŝinojn, konstruos sekurajn kanalojn uzante kriptan protekton. En ĉi tiu kazo, vi devos uzi CIPF atestitan de la FSB de Rusio.
- Atestitaj CIPF estas elektitaj laŭ certa nivelo de sekureco laŭ .
Por ISPDn kun UZ-3, vi povas uzi KS1, KS2, KS3. KS1 estas, ekzemple, C-Terra Virtual Gateway 4.2 por kanalprotekto.
KC2, KS3 estas reprezentitaj nur per programaro kaj aparataro, kiel ekzemple: ViPNet Kunordiganto, APKSH "Kontinento", S-Terra Gateway, ktp.
Se vi havas UZ-2 aŭ 1, tiam vi bezonos kriptajn protektajn rimedojn de klaso KV1, 2 kaj KA. Ĉi tiuj estas specifaj programoj kaj aparataj sistemoj, ili malfacilas funkcii, kaj iliaj agado-karakterizaĵoj estas modestaj.
Realeco: La leĝo ne devigas la uzon de CIPF atestita de la FSB.
fonto: www.habr.com