¡Hola a todos! Dirijo el Centro de defensa cibernética DataLine. Los clientes acuden a nosotros con la tarea de cumplir con los requisitos de 152-FZ en la nube o en infraestructura física.
En casi todos los proyectos es necesario realizar una labor educativa para derribar los mitos en torno a esta ley. He recopilado los conceptos erróneos más comunes que pueden resultar costosos para el presupuesto y el sistema nervioso del operador de datos personales. Inmediatamente haré una reserva de que los casos de empresas estatales (SIG) que se ocupan de secretos de estado, KII, etc. quedarán fuera del alcance de este artículo.
Mito 1. Instalé un antivirus, un firewall y rodeé los racks con una valla. ¿Estoy siguiendo la ley?
152-FZ no se trata de la protección de sistemas y servidores, sino de la protección de los datos personales de los sujetos. Por lo tanto, el cumplimiento de 152-FZ no comienza con un antivirus, sino con una gran cantidad de documentos y cuestiones organizativas.
El inspector principal Roskomnadzor no examinará la presencia y el estado de los medios técnicos de protección, sino la base jurídica para el tratamiento de datos personales (PD):
- con qué finalidad recopila datos personales;
- si recopila más de los que necesita para sus fines;
- ¿Cuánto tiempo almacena datos personales?
- ¿Existe una política para el procesamiento de datos personales?
- ¿Está recabando consentimiento para el procesamiento de datos personales, transferencias transfronterizas, procesamiento por parte de terceros, etc.?
Las respuestas a estas preguntas, así como los procesos mismos, deben registrarse en documentos apropiados. Aquí hay una lista que está lejos de ser completa de lo que un operador de datos personales debe preparar:
- Un formulario de consentimiento estándar para el procesamiento de datos personales (estas son las hojas que ahora firmamos en casi todas partes donde dejamos nuestro nombre completo y datos de pasaporte).
- Política del operador sobre el procesamiento de datos personales ( hay recomendaciones para el diseño).
- Orden sobre el nombramiento de un responsable de organizar el tratamiento de datos personales.
- Descripción del puesto del responsable de organizar el tratamiento de datos personales.
- Normas de control interno y (o) auditoría del cumplimiento del procesamiento de DP con los requisitos legales.
- Relación de sistemas de información de datos personales (ISPD).
- Normas para facilitar al sujeto el acceso a sus datos personales.
- Reglamento de investigación de incidentes.
- Orden sobre la admisión de empleados al tratamiento de datos personales.
- Normas de interacción con los reguladores.
- Notificación de RKN, etc.
- Formulario de instrucciones para el procesamiento de PD.
- Modelo de amenaza ISPD.
Después de resolver estos problemas, puede comenzar a seleccionar medidas y medios técnicos específicos. Cuáles necesita depende de los sistemas, sus condiciones operativas y las amenazas actuales. Pero hablaremos de eso más adelante.
Realidad El cumplimiento de la ley es el establecimiento y cumplimiento de ciertos procesos, en primer lugar, y solo en segundo lugar, el uso de medios técnicos especiales.
Mito 2. Almaceno datos personales en la nube, un centro de datos que cumple con los requisitos de 152-FZ. Ahora son responsables de hacer cumplir la ley.
Cuando subcontratas el almacenamiento de datos personales a un proveedor de nube o centro de datos, no dejas de ser un operador de datos personales.
Pidamos ayuda a la definición de la ley:
Procesamiento de datos personales – cualquier acción (operación) o conjunto de acciones (operaciones) realizadas utilizando herramientas de automatización o sin el uso de dichos medios con datos personales, incluida la recopilación, registro, sistematización, acumulación, almacenamiento, aclaración (actualización, modificación), extracción, uso, transferencia (distribución, provisión, acceso), despersonalización, bloqueo, eliminación, destrucción de datos personales.
Fuente: artículo 3,
De todas estas acciones, el prestador del servicio es responsable de almacenar y destruir los datos personales (cuando el cliente rescinde el contrato con él). Todo lo demás lo proporciona el operador de datos personales. Esto significa que el operador, y no el proveedor de servicios, determina la política de procesamiento de datos personales, obtiene consentimientos firmados para el procesamiento de datos personales de sus clientes, previene e investiga casos de filtración de datos personales a terceros, etc.
En consecuencia, el operador de datos personales aún debe recopilar los documentos enumerados anteriormente e implementar medidas organizativas y técnicas para proteger su PDIS.
Normalmente, el proveedor ayuda al operador garantizando el cumplimiento de los requisitos legales a nivel de infraestructura donde se ubicará el ISPD del operador: racks con equipos o la nube. También recopila un paquete de documentos y toma medidas organizativas y técnicas para su infraestructura de acuerdo con 152-FZ.
Algunos proveedores ayudan con el papeleo y proporcionan medidas técnicas de seguridad para las propias RDSI, es decir, en un nivel superior a la infraestructura. El operador también puede subcontratar estas tareas, pero la responsabilidad y las obligaciones previstas por la ley no desaparecen.
Realidad Al utilizar los servicios de un proveedor o centro de datos, no puede transferirle las responsabilidades de un operador de datos personales y deshacerse de la responsabilidad. Si el proveedor le promete esto, entonces, por decirlo suavemente, está mintiendo.
Mito 3. Tengo el paquete de documentos y medidas necesario. Almaceno datos personales con un proveedor que promete cumplir con 152-FZ. ¿Está todo en orden?
Sí, si recuerdas firmar el pedido. Por ley, el operador puede confiar el procesamiento de datos personales a otra persona, por ejemplo, el mismo proveedor de servicios. Un pedido es una especie de acuerdo que enumera lo que el proveedor de servicios puede hacer con los datos personales del operador.
El operador tiene derecho a confiar el procesamiento de datos personales a otra persona con el consentimiento del sujeto de los datos personales, a menos que la ley federal disponga lo contrario, sobre la base de un acuerdo celebrado con esta persona, incluido un contrato estatal o municipal. o mediante la adopción de un acto pertinente por parte de un organismo estatal o municipal (en adelante, el operador de asignación). La persona que procesa datos personales en nombre del operador está obligada a cumplir con los principios y reglas para el procesamiento de datos personales previstos por esta Ley Federal.
Fuente:
También se establece la obligación del prestador de mantener la confidencialidad de los datos personales y garantizar su seguridad de acuerdo con los requisitos especificados:
Las instrucciones del operador deben definir una lista de acciones (operaciones) con datos personales que serán realizadas por la persona que procesa los datos personales y los fines del procesamiento, se debe establecer la obligación de dicha persona de mantener la confidencialidad de los datos personales y garantizar la La seguridad de los datos personales durante su procesamiento, así como los requisitos para la protección de los datos personales procesados, deben especificarse de acuerdo con de esta Ley Federal.
Fuente:
Por ello, el proveedor es responsable ante el operador, y no ante el titular de los datos personales:
Si el operador confía el procesamiento de datos personales a otra persona, el operador es responsable ante el interesado de las acciones de dicha persona. La persona que procesa datos personales en nombre del operador es responsable ante el operador.
Fuente: .
También es importante estipular en el pedido la obligación de garantizar la protección de los datos personales:
La seguridad de los datos personales cuando se procesan en un sistema de información está garantizada por el operador de este sistema, que procesa los datos personales (en adelante, el operador), o por la persona que procesa los datos personales en nombre del operador sobre la base de un acuerdo celebrado con esta persona (en adelante, la persona autorizada). El acuerdo entre el operador y la persona autorizada debe prever la obligación de la persona autorizada de garantizar la seguridad de los datos personales cuando se procesen en el sistema de información.
Fuente:
Realidad Si proporciona datos personales al proveedor, firme el pedido. En la orden, indicar el requisito para garantizar la protección de los datos personales de los interesados. De lo contrario, no cumple con la ley con respecto a la transferencia del trabajo de procesamiento de datos personales a un tercero y el proveedor no le debe nada con respecto al cumplimiento de 152-FZ.
Mito 4. El Mossad me está espiando o definitivamente tengo un UZ-1
Algunos clientes demuestran persistentemente que tienen un ISPD de nivel de seguridad 1 o 2. La mayoría de las veces este no es el caso. Recordemos el hardware para descubrir por qué sucede esto.
El LO, o nivel de seguridad, determina de qué protegerá sus datos personales.
El nivel de seguridad se ve afectado por los siguientes puntos:
- tipo de datos personales (especiales, biométricos, disponibles públicamente y otros);
- quién es el propietario de los datos personales: empleados o no empleados del operador de datos personales;
- Número de interesados: más o menos 100.
- tipos de amenazas actuales.
Nos informa sobre tipos de amenazas. . Aquí hay una descripción de cada uno con mi traducción gratuita al lenguaje humano.
Las amenazas de tipo 1 son relevantes para un sistema de información si las amenazas asociadas con la presencia de capacidades no documentadas (no declaradas) en el software del sistema utilizado en el sistema de información también son relevantes para él.
Si reconoce que este tipo de amenaza es relevante, entonces cree firmemente que agentes de la CIA, MI6 o MOSSAD han colocado un marcador en el sistema operativo para robar datos personales de sujetos específicos de su ISPD.
Las amenazas del segundo tipo son relevantes para un sistema de información si las amenazas asociadas con la presencia de capacidades no documentadas (no declaradas) en el software de aplicación utilizado en el sistema de información también son relevantes para él.
Si cree que las amenazas del segundo tipo son su caso, entonces se quedará dormido y verá cómo los mismos agentes de la CIA, MI6, MOSSAD, un malvado hacker o grupo solitario han colocado marcadores en algún paquete de software de oficina para buscar exactamente sus datos personales. Sí, existen aplicaciones de software dudosas como μTorrent, pero puede hacer una lista del software permitido para su instalación y firmar un acuerdo con los usuarios, no otorgarles derechos de administrador local, etc.
Las amenazas de tipo 3 son relevantes para un sistema de información si las amenazas que no están relacionadas con la presencia de capacidades no documentadas (no declaradas) en el sistema y el software de aplicación utilizado en el sistema de información son relevantes para él.
Las amenazas de tipo 1 y 2 no son adecuadas para ti, así que este es el lugar para ti.
Hemos resuelto los tipos de amenazas, ahora veamos qué nivel de seguridad tendrá nuestro ISPD.
Tabla basada en las correspondencias especificadas en .
Si elegimos el tercer tipo de amenazas reales, en la mayoría de los casos tendremos UZ-3. La única excepción, cuando las amenazas de los tipos 1 y 2 no son relevantes, pero el nivel de seguridad sigue siendo alto (UZ-2), son las empresas que procesan datos personales especiales de no empleados por un importe superior a 100. por ejemplo, empresas dedicadas al diagnóstico médico y la prestación de servicios médicos.
También existe el UZ-4, y se encuentra principalmente en empresas cuyo negocio no está relacionado con el procesamiento de datos personales de no empleados, es decir, clientes o contratistas, o las bases de datos personales son pequeñas.
¿Por qué es tan importante no exagerar con el nivel de seguridad? Es muy sencillo: de ello dependerá el conjunto de medidas y medios de protección para garantizar ese mismo nivel de seguridad. Cuanto mayor sea el nivel de conocimiento, más será necesario hacer en términos organizativos y técnicos (léase: más dinero y nervios habrá que gastar).
Así, por ejemplo, cambia el conjunto de medidas de seguridad según el mismo PP-1119.
Ahora veamos cómo, dependiendo del nivel de seguridad seleccionado, la lista de medidas necesarias cambia de acuerdo con Hay un largo apéndice a este documento, que define las medidas necesarias. Hay 109 en total, para cada KM se definen las medidas obligatorias y se marcan con un signo "+"; se calculan con precisión en la siguiente tabla. Si deja solo los necesarios para UZ-3, obtendrá 4.
Realidad Si no recopila pruebas o datos biométricos de los clientes, no está paranoico con los marcadores en el sistema y el software de la aplicación, lo más probable es que tenga UZ-3. Tiene una lista razonable de medidas organizativas y técnicas que realmente pueden implementarse.
Mito 5. Todos los medios de protección de datos personales deben estar certificados por el FSTEC de Rusia.
Si desea o debe realizar una certificación, lo más probable es que deba utilizar equipo de protección certificado. La certificación será realizada por un licenciatario de la FSTEC de Rusia, quien:
- interesado en vender más dispositivos de protección de información certificados;
- tendrá miedo de que el regulador le revoque la licencia si algo sale mal.
Si no necesita certificación y está listo para confirmar el cumplimiento de los requisitos de otra manera, mencionada en "Evaluar la eficacia de las medidas implementadas dentro del sistema de protección de datos personales para garantizar la seguridad de los datos personales", entonces no se requieren sistemas de seguridad de la información certificados para usted. Intentaré explicar brevemente el motivo.
В establece que es necesario utilizar equipos de protección que hayan sido sometidos al procedimiento de evaluación de la conformidad de acuerdo con el procedimiento establecido:
Se logra garantizar la seguridad de los datos personales, en particular:
[…] 3) el uso de medios de seguridad de la información que hayan superado el procedimiento de evaluación de cumplimiento de acuerdo con el procedimiento establecido.
В También existe el requisito de utilizar herramientas de seguridad de la información que hayan superado el procedimiento de evaluación del cumplimiento de los requisitos legales:
[…] el uso de herramientas de seguridad de la información que hayan pasado el procedimiento para evaluar el cumplimiento de los requisitos de la legislación de la Federación de Rusia en el campo de la seguridad de la información, en los casos en que el uso de dichos medios sea necesario para neutralizar las amenazas actuales.
prácticamente duplica el párrafo PP-1119:
Las medidas para garantizar la seguridad de los datos personales se implementan, entre otras cosas, mediante el uso de herramientas de seguridad de la información en el sistema de información que hayan pasado el procedimiento de evaluación de la conformidad de acuerdo con el procedimiento establecido, en los casos en que el uso de dichas herramientas sea necesario para neutralizar las amenazas actuales a la seguridad de los datos personales.
¿Qué tienen estas formulaciones en común? Así es, no requieren el uso de equipo de protección certificado. El hecho es que existen varias formas de evaluación de la conformidad (certificación voluntaria u obligatoria, declaración de conformidad). La certificación es sólo una de ellas. El operador puede utilizar productos no certificados, pero deberá demostrar al regulador, tras la inspección, que se han sometido a algún tipo de procedimiento de evaluación de la conformidad.
Si el operador decide utilizar equipo de protección certificado, entonces es necesario seleccionar el sistema de protección de la información de acuerdo con la protección ultrasónica, que está claramente indicada en :
Las medidas técnicas para proteger los datos personales se implementan mediante el uso de herramientas de seguridad de la información, incluidas las herramientas de software (hardware) en las que se implementan, que tienen las funciones de seguridad necesarias.
Al utilizar herramientas de seguridad de la información certificadas según los requisitos de seguridad de la información en sistemas de información:
Realidad La ley no exige el uso obligatorio de equipos de protección certificados.
Mito 6. Necesito protección criptográfica
Hay algunos matices aquí:
- Mucha gente cree que la criptografía es obligatoria para cualquier ISPD. De hecho, solo deben usarse si el operador no ve otras medidas de protección aparte del uso de criptografía.
- Si no puede prescindir de la criptografía, entonces debe utilizar CIPF certificado por el FSB.
- Por ejemplo, decide alojar un ISPD en la nube de un proveedor de servicios, pero no confía en él. Describe sus preocupaciones en un modelo de amenaza e intruso. Tiene datos personales, por lo que decidió que la criptografía es la única forma de protegerse: cifrará máquinas virtuales y creará canales seguros utilizando protección criptográfica. En este caso, deberá utilizar CIPF certificado por el FSB de Rusia.
- Los CIPF certificados se seleccionan de acuerdo con un cierto nivel de seguridad según .
Para ISPDn con UZ-3, puede utilizar KS1, KS2, KS3. KS1 es, por ejemplo, C-Terra Virtual Gateway 4.2 para proteger canales.
KC2, KS3 están representados únicamente por sistemas de software y hardware, tales como: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway, etc.
Si tiene UZ-2 o 1, necesitará medios de protección criptográfica de clase KV1, 2 y KA. Se trata de sistemas de software y hardware específicos, son difíciles de operar y sus características de rendimiento son modestas.
Realidad La ley no obliga al uso de CIPF certificado por el FSB.
Fuente: habr.com