Tere kõigile! Ma juhin DataLine'i küberkaitsekeskust. Kliendid tulevad meie juurde ülesandega täita 152-FZ nõudeid pilves või füüsilises infrastruktuuris.
Peaaegu iga projekti puhul on vaja teha haridustööd, et kummutada selle seadusega seotud müüte. Olen kokku kogunud levinumad väärarusaamad, mis võivad isikuandmete halduri eelarvele ja närvisüsteemile kulukaks minna. Teen kohe reservatsiooni, et riigisaladusega, KII-ga jms tegelevate riigiametite (GIS) juhtumid jäävad sellest artiklist välja.
Müüt 1. Installisin viirusetõrje, tulemüüri ja piirasin nagid aiaga. Kas ma järgin seadust?
152-FZ ei puuduta süsteemide ja serverite kaitset, vaid subjektide isikuandmete kaitset. Seetõttu ei alga 152-FZ järgimine mitte viirusetõrjest, vaid suurest hulgast paberitükkidest ja organisatsioonilistest probleemidest.
Peainspektor Roskomnadzor ei uuri mitte tehniliste kaitsevahendite olemasolu ja seisukorda, vaid isikuandmete töötlemise õiguslikku alust (PD):
- mis eesmärgil kogute isikuandmeid;
- kas kogute neid rohkem, kui oma eesmärkidel vajate;
- kui kaua te isikuandmeid säilitate;
- kas on olemas isikuandmete töötlemise poliitika;
- Kas kogute nõusolekut isikuandmete töötlemiseks, piiriüleseks edastamiseks, töötlemiseks kolmandate isikute poolt vms.
Vastused neile küsimustele ja ka protsessid ise tuleks fikseerida asjakohastes dokumentides. Siin on kaugeltki täielik loetelu sellest, mida isikuandmete haldur peab ette valmistama:
- Tavaline nõusoleku vorm isikuandmete töötlemiseks (need on lehed, millele me nüüd kirjutame alla peaaegu kõikjale, kuhu jätame oma täisnimed ja passiandmed).
- Käitaja poliitika isikuandmete töötlemise kohta ( on soovitusi disaini jaoks).
- Korraldus isikuandmete töötlemise korraldamise eest vastutava isiku määramise kohta.
- Isikuandmete töötlemise korraldamise eest vastutava isiku ametijuhend.
- PD töötlemise seadusnõuetele vastavuse sisekontrolli ja (või) auditi reeglid.
- Isikuandmete infosüsteemide loetelu (ISPD).
- Subjektile tema isikuandmetele juurdepääsu võimaldamise eeskirjad.
- Juhtumi uurimise eeskirjad.
- Korraldus töötajate isikuandmete töötlemisele lubamise kohta.
- Regulaatoritega suhtlemise eeskirjad.
- RKN-i teavitamine jne.
- PD töötlemise juhiste vorm.
- ISPD ohumudel.
Pärast nende probleemide lahendamist võite hakata valima konkreetseid meetmeid ja tehnilisi vahendeid. Milliseid neist vajate, sõltub süsteemidest, nende töötingimustest ja praegustest ohtudest. Aga sellest pikemalt hiljem.
Tegelikkus: seaduste järgimine on eelkõige teatud protsesside kehtestamine ja järgimine ning alles teiseks - spetsiaalsete tehniliste vahendite kasutamine.
Müüt 2. Hoian isikuandmeid pilves, andmekeskuses, mis vastab 152-FZ nõuetele. Nüüd vastutavad nad seaduse jõustamise eest
Kui tellite isikuandmete salvestamise allhanke korras pilveteenuse pakkujalt või andmekeskuselt, ei lakka te olemast isikuandmete haldaja.
Kutsume appi seaduse definitsiooni:
Isikuandmete töötlemine – igasugune toiming (toiming) või toimingute (toimingute) kogum, mis tehakse isikuandmetega automatiseerimisvahendeid kasutades või neid vahendeid kasutamata, sealhulgas kogumine, salvestamine, süstematiseerimine, kogumine, säilitamine, täpsustamine (uuendamine, muutmine), isikuandmete kaevandamine, kasutamine, üleandmine (levitamine, pakkumine, juurdepääs), depersonaliseerimine, blokeerimine, kustutamine, hävitamine.
Allikas: artikkel 3,
Kõigist nendest toimingutest vastutab teenusepakkuja isikuandmete säilitamise ja hävitamise eest (kui klient lõpetab temaga lepingu). Kõik muu pakub isikuandmete haldur. See tähendab, et operaator, mitte teenusepakkuja, määrab kindlaks isikuandmete töötlemise poliitika, hangib oma klientidelt isikuandmete töötlemiseks allkirjastatud nõusolekud, hoiab ära ja uurib isikuandmete kolmandatele isikutele lekkimise juhtumeid jne.
Sellest tulenevalt peab isikuandmete haldur siiski koguma ülalnimetatud dokumente ning rakendama organisatsioonilisi ja tehnilisi meetmeid oma PDIS-i kaitsmiseks.
Tavaliselt aitab teenusepakkuja operaatorit, tagades seaduslike nõuete täitmise infrastruktuuri tasemel, kus operaatori ISPD asub: riiulid koos seadmetega või pilv. Samuti kogub ta kokku dokumentide paketi, võtab oma infrastruktuuri jaoks organisatsioonilisi ja tehnilisi meetmeid vastavalt 152-FZ-le.
Mõned pakkujad aitavad paberimajandust ja tehnilisi turvameetmeid ISDN-idele ise pakkuda, st infrastruktuurist kõrgemal tasemel. Operaator võib neid ülesandeid ka sisse osta, kuid seadusest tulenev vastutus ja kohustused ei kao kuhugi.
Tegelikkus: Pakkuja või andmekeskuse teenuseid kasutades ei saa te talle isikuandmete halduri kohustusi üle anda ega vastutusest vabaneda. Kui teenusepakkuja teile seda lubab, siis pehmelt öeldes valetab ta.
Müüt 3. Mul on olemas vajalik pakett dokumente ja meetmeid. Salvestan isikuandmeid teenusepakkuja juures, kes lubab järgida 152-FZ. Kas kõik on korras?
Jah, kui mäletate tellimusele alla kirjutama. Seaduse järgi võib operaator usaldada isikuandmete töötlemise teisele isikule, näiteks samale teenusepakkujale. Tellimus on omamoodi leping, mis loetleb, mida teenusepakkuja saab operaatori isikuandmetega teha.
Käitajal on õigus usaldada isikuandmete töötlemine teisele isikule isikuandmete subjekti nõusolekul, kui föderaalseaduses ei ole sätestatud teisiti, selle isikuga sõlmitud lepingu, sealhulgas riigi või kohaliku omavalitsuse lepingu alusel, või riigi- või munitsipaalorgani (edaspidi lähetuse korraldaja) vastava akti vastuvõtmisega. Isik, kes töötleb isikuandmeid operaatori nimel, on kohustatud järgima käesolevas föderaalseaduses sätestatud isikuandmete töötlemise põhimõtteid ja eeskirju.
Allikas:
Samuti kehtestatakse pakkuja kohustus hoida isikuandmete konfidentsiaalsust ja tagada nende turvalisus vastavalt nimetatud nõuetele:
Käitaja juhistes tuleb määratleda isikuandmetega tehtavate toimingute (toimingute) loetelu, mida isikuandmeid töötlev isik teeb, ja töötlemise eesmärgid, sellisele isikule tuleb kehtestada kohustus säilitada isikuandmete konfidentsiaalsus ja tagada isikuandmete töötlemine. tuleb täpsustada isikuandmete turvalisus nende töötlemise ajal, samuti nõuded töödeldavate isikuandmete kaitsele käesoleva föderaalseaduse sätteid.
Allikas:
Selle eest vastutab teenusepakkuja operaatori, mitte isikuandmete subjekti ees:
Kui operaator usaldab isikuandmete töötlemise teisele isikule, vastutab käitaja isikuandmete subjekti ees nimetatud isiku tegude eest. Isik, kes töötleb isikuandmeid käitaja nimel, vastutab operaatori ees.
Allikas: .
Samuti on oluline korralduses sätestada isikuandmete kaitse tagamise kohustus:
Isikuandmete turvalisuse infosüsteemis töötlemisel tagab selle süsteemi operaator, kes töötleb isikuandmeid (edaspidi operaator), või isik, kes töötleb isikuandmeid operaatori nimel isikuandmeid isikuandmete töötlemisel isikuandmete töötlemisel. selle isikuga (edaspidi volitatud isik) sõlmitud leping. Käitaja ja volitatud isiku vaheline leping peab sätestama volitatud isiku kohustuse tagada infosüsteemis töötlemisel isikuandmete turvalisus.
Allikas:
Tegelikkus: Kui annate teenusepakkujale isikuandmeid, allkirjastage tellimus. Tellimuses märkige nõue tagada subjektide isikuandmete kaitse. Vastasel juhul ei järgi te isikuandmete töötlemise töö kolmandale osapoolele üleandmise kohta seadusi ja teenusepakkuja ei võlgne teile midagi seoses 152-FZ järgimisega.
Müüt 4. Mossad luurab mind või on mul kindlasti UZ-1
Mõned kliendid tõestavad järjekindlalt, et neil on turvataseme 1 või 2 ISPD. Enamasti see nii ei ole. Pidagem meeles riistvara, et välja selgitada, miks see juhtub.
LO ehk turvatase määrab, mille eest te oma isikuandmeid kaitsete.
Turvalisuse taset mõjutavad järgmised punktid:
- isikuandmete tüüp (eri-, biomeetrilised, avalikult kättesaadavad ja muud);
- kellele isikuandmed kuuluvad – isikuandmete halduri töötajad või mittetöötajad;
- isikuandmete subjektide arv – enam-vähem 100 tuhat.
- praeguste ohtude tüübid.
Räägib meile ohtude tüüpidest . Siin on igaühe kirjeldus koos minu vaba tõlkega inimkeelde.
1. tüüpi ohud on infosüsteemi jaoks olulised, kui selle jaoks on olulised ka ohud, mis on seotud infosüsteemis kasutatava süsteemitarkvara dokumenteerimata (deklareerimata) võimete olemasoluga.
Kui tunnistate seda tüüpi ohtu asjakohaseks, siis usute kindlalt, et CIA, MI6 või MOSSADi agendid on paigutanud operatsioonisüsteemi järjehoidja, et varastada teie ISPD-st konkreetsete subjektide isikuandmeid.
2. tüüpi ohud on infosüsteemi jaoks olulised, kui selle jaoks on olulised ka ohud, mis on seotud infosüsteemis kasutatava rakendustarkvara dokumenteerimata (deklareerimata) võimete olemasoluga.
Kui arvate, et teist tüüpi ähvardused on teie juhtum, siis magate ja näete, kuidas samad CIA agendid, MI6, MOSSAD, kuri üksik häkker või rühmitus on pannud mõnda kontoritarkvarapaketti järjehoidjaid, et täpselt jahtida. teie isikuandmed. Jah, on kahtlane rakendustarkvara nagu μTorrent, aga saab teha installimiseks lubatud tarkvara nimekirja ja sõlmida kasutajatega lepingu, mitte anda kasutajatele kohaliku administraatori õigusi jne.
Tüüp 3 ohud on infosüsteemi jaoks olulised, kui selle jaoks on olulised ohud, mis ei ole seotud dokumenteerimata (deklareerimata) võimaluste olemasoluga süsteemis ja infosüsteemis kasutatavas rakendustarkvaras.
1. ja 2. tüüpi ohud ei sobi teile, seega on see koht teie jaoks.
Oleme ohtude tüübid välja selgitanud, nüüd vaatame, milline on meie ISPD turvalisuse tase.
Tabel punktis täpsustatud vastavuste põhjal .
Kui valisime tegelike ohtude kolmanda tüübi, siis enamikul juhtudel on meil UZ-3. Ainus erand, kui 1. ja 2. tüüpi ohud ei ole asjakohased, kuid turvalisuse tase on endiselt kõrge (UZ-2), on ettevõtted, mis töötlevad mittetöötajate erilisi isikuandmeid rohkem kui 100 000 ulatuses. näiteks meditsiinidiagnostika ja meditsiiniteenuste osutamisega tegelevad ettevõtted.
Samuti on olemas UZ-4 ning seda leidub peamiselt ettevõtetes, mille äritegevus ei ole seotud mittetöötajate ehk klientide või töövõtjate isikuandmete töötlemisega või on isikuandmebaasid väikesed.
Miks on nii oluline turvalisuse tasemega mitte üle pingutada? See on lihtne: sellest sõltub meetmete ja kaitsevahendite kogum just sellise turvalisuse taseme tagamiseks. Mida kõrgem on teadmiste tase, seda rohkem tuleb ära teha organisatsioonilises ja tehnilises mõttes (loe: seda rohkem on vaja raha ja närve kulutada).
Siin on näiteks see, kuidas turvameetmete komplekt muutub vastavalt samale PP-1119-le.
Nüüd vaatame, kuidas olenevalt valitud turvatasemest vajalike meetmete loend vastavalt sellele muutub Sellel dokumendil on pikk lisa, kus on määratletud vajalikud meetmed. Neid on kokku 109, iga KM jaoks on kohustuslikud meetmed määratletud ja tähistatud “+” märgiga - need on allolevas tabelis täpselt välja arvutatud. Kui jätate ainult need, mis on UZ-3 jaoks vajalikud, saate 4.
Tegelikkus: kui te ei kogu klientidelt teste ega biomeetriat, pole paranoiline süsteemi- ja rakendustarkvara järjehoidjate suhtes, siis on teil tõenäoliselt UZ-3. Sellel on mõistlik loetelu organisatsioonilistest ja tehnilistest meetmetest, mida saab tegelikult rakendada.
Müüt 5. Kõik isikuandmete kaitse vahendid peavad olema Venemaa FSTECi poolt sertifitseeritud
Kui soovite või olete kohustatud sertifitseerimist läbi viima, peate suure tõenäosusega kasutama sertifitseeritud kaitsevahendeid. Sertifitseerimist viib läbi Venemaa FSTECi litsentsisaaja, kes:
- huvitatud rohkem sertifitseeritud teabekaitseseadmete müügist;
- kardab, et regulaator tühistab litsentsi, kui midagi läheb valesti.
Kui te ei vaja sertifikaati ja olete valmis nõuetele vastavust kinnitama muul viisil, mis on nimetatud “Hindades isikuandmete kaitse süsteemis rakendatud meetmete tõhusust isikuandmete turvalisuse tagamiseks”, siis sertifitseeritud infoturbesüsteemid Teile ei nõuta. Püüan lühidalt selgitada põhjendust.
В märgib, et vastavalt kehtestatud korrale on vaja kasutada vastavushindamismenetluse läbinud kaitsevahendeid:
Isikuandmete turvalisuse tagamine saavutatakse eelkõige:
[…] 3) kehtestatud korras vastavushindamise menetluse läbinud infoturbevahendite kasutamine.
В Samuti on nõutav kasutada seadusenõuetele vastavuse hindamise protseduuri läbinud infoturbe tööriistu:
[…] selliste infoturbevahendite kasutamine, mis on läbinud Venemaa Föderatsiooni infoturbe valdkonna õigusaktide nõuetele vastavuse hindamise menetluse, kui selliste vahendite kasutamine on vajalik hetkeohtude neutraliseerimiseks.
praktiliselt dubleerib lõiku PP-1119:
Isikuandmete turvalisuse tagamise meetmeid rakendatakse muuhulgas kehtestatud korras vastavushindamismenetluse läbinud infoturbevahendite kasutamise kaudu infosüsteemis juhtudel, kui selliste vahendite kasutamine on vajalik neutraliseerida praegused ohud isikuandmete turvalisusele.
Mis on neil koostistel ühist? See on õige – need ei nõua sertifitseeritud kaitsevahendite kasutamist. Fakt on see, et vastavushindamise vorme on mitu (vabatahtlik või kohustuslik sertifitseerimine, vastavusdeklaratsioon). Sertifitseerimine on vaid üks neist. Käitaja võib kasutada sertifitseerimata tooteid, kuid peab kontrollimisel tõendama reguleerivale asutusele, et need on läbinud mingi vastavushindamismenetluse.
Kui operaator otsustab kasutada sertifitseeritud kaitsevahendeid, siis on vaja valida infokaitsesüsteem vastavalt ultrahelikaitsele, mis on selgelt kirjas :
Isikuandmete kaitse tehnilisi meetmeid rakendatakse infoturbevahendite, sealhulgas tarkvara (riistvara) tööriistade kasutamise kaudu, milles need on rakendatud ja millel on vajalikud turvafunktsioonid.
Infoturbenõuete kohaselt sertifitseeritud infoturbe tööriistade kasutamisel infosüsteemides:
Tegelikkus: Seadus ei nõua sertifitseeritud kaitsevahendite kohustuslikku kasutamist.
Müüt 6. Vajan krüptokaitset
Siin on mõned nüansid:
- Paljud inimesed usuvad, et krüptograafia on iga ISPD jaoks kohustuslik. Tegelikult tuleks neid kasutada ainult siis, kui operaator ei näe enda jaoks muid kaitsemeetmeid peale krüptograafia kasutamise.
- Kui te ei saa ilma krüptograafiata hakkama, peate kasutama FSB poolt sertifitseeritud CIPF-i.
- Näiteks otsustate majutada ISPD-d teenusepakkuja pilves, kuid te ei usalda seda. Kirjeldate oma muresid ohu ja sissetungijate mudelis. Teil on isikuandmed, mistõttu otsustasite, et krüptograafia on ainus viis enda kaitsmiseks: krüptite virtuaalmasinaid, ehitate krüptokaitse abil turvalisi kanaleid. Sel juhul peate kasutama Venemaa FSB poolt sertifitseeritud CIPF-i.
- Sertifitseeritud CIPF valitakse vastavalt teatud turbetasemele vastavalt .
UZ-3-ga ISPDn jaoks saate kasutada KS1, KS2, KS3. KS1 on näiteks C-Terra Virtual Gateway 4.2 kanalite kaitseks.
KC2, KS3 on esindatud ainult tarkvara- ja riistvarasüsteemidega, nagu: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway jne.
Kui teil on UZ-2 või 1, siis vajate klasside KV1, 2 ja KA krüptokaitsevahendeid. Need on spetsiifilised tarkvara- ja riistvarasüsteemid, neid on raske kasutada ja nende jõudlusnäitajad on tagasihoidlikud.
Tegelikkus: Seadus ei kohusta kasutama FSB poolt sertifitseeritud CIPF-i.
Allikas: www.habr.com