Kaixo guztioi! DataLine Cyber Defense Center exekutatzen dut. Bezeroak 152-FZ-ren eskakizunak hodeian edo azpiegitura fisikoan betetzeko zereginarekin etortzen zaizkigu.
Ia proiektu guztietan beharrezkoa da hezkuntza-lana egitea lege honen inguruko mitoak gaitzesteko. Datu pertsonalen operadorearen aurrekontua eta nerbio-sistema garestiak izan daitezkeen uste oker ohikoenak bildu ditut. Berehala erreserba egingo dut estatu-sekretuak, KII eta abarrei buruzko estatu-bulegoen (GIS) kasuak artikulu honen esparrutik kanpo geratuko direla.
Mitoa 1. Antibirus bat, suebaki bat instalatu eta bastidoreak hesi batekin inguratu nituen. Legea jarraitzen al dut?
152-FZ ez da sistemen eta zerbitzarien babesari buruzkoa, subjektuen datu pertsonalak babestea baizik. Hori dela eta, 152-FZ betetzea ez da antibirus batekin hasten, paper kopuru handiarekin eta antolaketa arazoekin baizik.
Ikuskatzaile nagusiak, Roskomnadzor, ez ditu babesteko baliabide teknikoen presentzia eta egoera aztertuko, datu pertsonalak prozesatzeko legezko oinarriak (PD) baizik:
- zer helbururekin biltzen dituzu datu pertsonalak;
- ea zure helburuetarako behar dituzunak baino gehiago biltzen dituzun;
- zenbat denbora gordetzen dituzu datu pertsonalak;
- Ba al dago datu pertsonalak tratatzeko politikarik;
- Datu pertsonalak tratatzeko, mugaz gaindiko transferentziarako, hirugarrenek prozesatzeko, etab.
Galdera hauen erantzunak, baita prozesuak beraiek ere, dokumentu egokietan jaso behar dira. Hona hemen datu pertsonalen operadoreak prestatu behar duenaren zerrenda osotik urrun:
- Datu pertsonalak tratatzeko baimen-inprimaki estandarra (orain ia nonahi sinatzen ditugun orriak dira, non gure izen-abizenak eta pasaportearen datuak uzten ditugun).
- Operadorearen politika datu pertsonalen tratamenduari buruz ( diseinurako gomendioak daude).
- Datu pertsonalen tratamendua antolatzeko arduraduna izendatzeko agindua.
- Datu pertsonalen tratamendua antolatzeko arduradunaren lanpostuaren deskribapena.
- Barne-kontrolerako eta (edo) ikuskaritzarako arauak PDren izapideak legezko eskakizunak betetzen dituela.
- Datu pertsonalen informazio sistemen zerrenda (ISPD).
- Subjektuari bere datu pertsonaletarako sarbidea emateko araudia.
- Gertakariak ikertzeko araudia.
- Langileak datu pertsonalen tratamenduan onartzeko agindua.
- Erregulatzaileekin elkarrekintzarako araudia.
- RKNren jakinarazpena, etab.
- PD izapidetzeko argibide-orria.
- ISPD mehatxu eredua.
Arazo hauek konpondu ondoren, neurri zehatzak eta bitarteko teknikoak hautatzen has zaitezke. Zeintzuk behar dituzun sistemen, haien funtzionamendu-baldintzen eta egungo mehatxuen araberakoak dira. Baina horri buruz gehiago.
Errealitatea: legea betetzea prozesu jakin batzuk ezartzea eta betetzea da, lehenik eta behin, eta soilik bigarrenik - bitarteko tekniko bereziak erabiltzea.
2. mitoa. Datu pertsonalak hodeian gordetzen ditut, 152-FZ-ren baldintzak betetzen dituen datu-zentro batean. Orain legea betearazteaz arduratzen dira
Datu pertsonalen biltegiratzea hodeiko hornitzaile edo datu-zentro bati azpikontratatzen diozunean, ez diozu uzten datu pertsonalen operadore izateari.
Dei diezaiogun legearen definizioari laguntza eskatzeko:
Datu pertsonalen tratamendua: automatizazio-tresnak erabiliz edo baliabide horiek erabili gabe datu pertsonalekin egindako edozein ekintza (eragiketa) edo ekintzen multzoa (eragiketak), biltzea, erregistratzea, sistematizazioa, metatzea, biltegiratzea, argitzea (eguneratzea, aldatzea) barne. datu pertsonalak ateratzea, erabiltzea, transferitzea (banatzea, hornitzea, sarbidea), despertsonalizatzea, blokeatzea, ezabatzea, suntsitzea.
Iturria: 3. artikulua,
Ekintza horien guztien artean, zerbitzu hornitzailea da datu pertsonalak gordetzeaz eta suntsitzeaz (bezeroak berarekin kontratua amaitzen duenean). Gainerako guztia datu pertsonalen operadoreak ematen du. Horrek esan nahi du operadoreak, eta ez zerbitzu hornitzaileak, datu pertsonalak tratatzeko politika zehazten duela, bere bezeroengandik datu pertsonalak tratatzeko sinatutako baimenak lortzen dituela, datu pertsonalak hirugarrenei isurtzeko kasuak prebenitzen eta ikertzen dituela, etab.
Ondorioz, datu pertsonalen operadoreak oraindik ere goian zerrendatutako dokumentuak bildu eta bere PDIS babesteko antolakuntza eta neurri teknikoak ezarri behar ditu.
Normalean, hornitzaileak operadoreari laguntzen dio, operadorearen ISPD kokatuko den azpiegitura mailan lege-eskakizunak betetzen direla ziurtatuz: ekipamenduekin edo hodeia duten bastidoreak. Gainera, dokumentu pakete bat biltzen du, bere azpiegiturarako antolakuntza eta neurri teknikoak hartzen ditu 152-FZren arabera.
Hornitzaile batzuek ISDNentzako izapideak egiten eta segurtasun neurri teknikoak ematen laguntzen dute, hau da, azpiegituren gainetik. Eragileak ere azpikontratatu ditzake zeregin horiek, baina legearen araberako erantzukizuna eta betebeharrak ez dira desagertzen.
Errealitatea: Hornitzaile edo datu-zentro baten zerbitzuak erabiliz gero, ezin dizkiozu datu pertsonalen operadorearen erantzukizunak transferitu eta erantzukizuna kendu. Hornitzaileak hau agintzen badizu, orduan, gutxi esanda, gezurretan ari da.
3. mitoa. Beharrezko dokumentu eta neurrien paketea daukat. Datu pertsonalak 152-FZ betetzea agintzen duen hornitzaile batekin gordetzen ditut. Dena ondo dago?
Bai, agindua sinatzeaz gogoratzen bazara. Legearen arabera, operadoreak beste pertsona bati utz diezaioke datu pertsonalen tratamendua, adibidez, zerbitzu hornitzaile berari. Agindua zerbitzu-hornitzaileak operadorearen datu pertsonalekin egin dezakeena zerrendatzen duen akordio moduko bat da.
Operadoreak eskubidea du datu pertsonalen tratamendua beste pertsona baten esku uzteko, datu pertsonalen subjektuaren baimenarekin, Lege Federalak bestelakorik xedatzen ez badu, pertsona honekin egindako hitzarmen batean oinarrituta, estatuko edo udal-kontratu bat barne. edo estatuko edo udal erakunde batek (aurrerantzean esleipen-operadoreak) dagokion egintza onartuz. Operadorearen izenean datu pertsonalak tratatzen dituen pertsona Lege Federal honek datu pertsonalak tratatzeko printzipio eta arauak betetzera behartuta dago.
Iturria:
Halaber, hornitzailearen betebeharra ezartzen da datu pertsonalen konfidentzialtasuna mantentzeko eta haien segurtasuna bermatzeko zehaztutako eskakizunen arabera:
Operadorearen argibideek datu pertsonalak tratatzen dituen pertsonak egingo dituen datu pertsonalekin eta tratamenduaren helburuak dituzten ekintzen (eragiketak) zerrenda bat definitu behar du, pertsona horren betebeharra ezarri behar da datu pertsonalen konfidentzialtasuna mantentzeko eta bermatzeko. Datu pertsonalen segurtasuna tratamenduan zehar, baita tratatutako datu pertsonalak babesteko baldintzak ere zehaztu behar dira Lege Federal honena.
Iturria:
Horretarako, hornitzailea da operadorearen erantzule, eta ez datu pertsonalen gaiarekiko:
Operadoreak datu pertsonalen tratamendua beste pertsona baten esku uzten badu, operadoreak datu pertsonalen subjektuarekiko erantzule izango du zehaztutako pertsonaren ekintzen gainean. Operadorearen izenean datu pertsonalak prozesatzen dituen pertsona da operadorearen aurrean.
Iturria: .
Era berean, garrantzitsua da aginduan datu pertsonalen babesa bermatzeko betebeharra zehaztea:
Datu pertsonalen segurtasuna informazio-sistema batean tratatzen direnean sistema honen operadoreak bermatzen du, zeinak datu pertsonalak prozesatzen ditu (aurrerantzean operadorea deitzen dena), edo operadorearen izenean datu pertsonalak prozesatzen dituen pertsonak. pertsona horrekin (aurrerantzean baimendutako pertsona deitzen den) hitzarmena. Operadorearen eta baimendutako pertsonaren arteko akordioak baimendutako pertsonak datu pertsonalen segurtasuna bermatzeko betebeharra aurreikusi behar du informazio-sisteman tratatzen direnean.
Iturria:
Errealitatea: Hornitzaileari datu pertsonalak ematen badiozu, sinatu eskaera. Aginduan, adierazi subjektuen datu pertsonalen babesa bermatzeko betekizuna. Bestela, ez duzu betetzen datu pertsonalak prozesatzeko lanak hirugarren bati lagatzeari buruzko legea, eta hornitzaileak ez dizu ezer zor 152-FZ betetzeari dagokionez.
4. mitoa. Mossad zelatatzen ari nau, edo zalantzarik gabe UZ-1 bat daukat
Bezero batzuek etengabe frogatzen dute 1 edo 2 segurtasun-mailako ISPD bat dutela. Gehienetan ez da horrela gertatzen. Gogora dezagun hardwarea zergatik gertatzen den jakiteko.
LO edo segurtasun mailak zure datu pertsonalak zertatik babestuko dituzun zehazten du.
Segurtasun maila ondoko puntuek eragiten dute:
- datu pertsonal motak (bereziak, biometrikoak, publikoki eskuragarriak eta beste batzuk);
- nor den datu pertsonalen jabea - datu pertsonalen operadorearen langileak edo langileak ez direnak;
- datu pertsonalen kopurua - 100 mila edo gehiago.
- egungo mehatxu motak.
Mehatxu motak kontatzen dizkigu . Hona hemen bakoitzaren deskribapena nire doako itzulpenarekin giza hizkuntzara.
1 motako mehatxuak garrantzitsuak dira informazio sistema baterako, baldin eta informazio sisteman erabiltzen den sistemako softwarean dokumentatu gabeko (deklaratu gabeko) gaitasunen presentziari lotutako mehatxuak ere garrantzitsuak badira.
Mehatxu mota hau garrantzitsua dela aitortzen baduzu, irmo uste duzu CIA, MI6 edo MOSSADeko agenteek sistema eragilean laster-marka bat jarri dutela zure ISPDko gai zehatzen datu pertsonalak lapurtzeko.
2. motako mehatxuak garrantzitsuak dira informazio-sistema baterako, baldin eta informazio-sisteman erabiltzen den aplikazio-softwarean dokumentatu gabeko (deklaratu gabeko) gaitasunen presentziarekin lotutako mehatxuak ere garrantzitsuak badira.
Bigarren motako mehatxuak zure kasua direla uste baduzu, orduan lo egiten duzu eta ikusiko duzu nola CIA, MI6, MOSSAD, hacker edo talde bakarti gaizto batek laster-markak jarri dituzten bulegoko software pakete batean laster-markak ehizatu ahal izateko. zure datu pertsonalak. Bai, μTorrent bezalako aplikazio-software zalantzagarria dago, baina instalatzeko baimendutako softwareen zerrenda egin dezakezu eta erabiltzaileekin akordioa sina dezakezu, erabiltzaileei tokiko administratzaile-eskubideak eman ez, etab.
3. motako mehatxuak informazio-sistema baterako garrantzitsuak dira sisteman dokumenturik gabeko (deklaratu gabeko) gaitasunen presentziarekin eta informazio-sisteman erabiltzen den aplikazio-softwarearekin zerikusia ez duten mehatxuak garrantzitsuak badira.
1. eta 2. motako mehatxuak ez dira zuretzat egokiak, beraz, hau da zuretzat lekua.
Mehatxu motak zehaztu ditugu, orain ikus dezagun zein segurtasun maila izango duen gure ISPDk.
atalean zehaztutako korrespondentzian oinarritutako taula .
Benetako mehatxuen hirugarren mota aukeratzen badugu, kasu gehienetan UZ-3 izango dugu. Salbuespen bakarra, 1. eta 2. motako mehatxuak garrantzitsuak ez direnean, baina segurtasun-maila oraindik ere altua izango denean (UZ-2), langileak ez direnen datu pertsonal bereziak 100 baino gehiago tratatzen dituzten enpresak dira. adibidez, diagnostiko medikoan eta zerbitzu medikoen hornikuntzan diharduten enpresak.
UZ-4 ere badago, eta, batez ere, langileak ez direnen datu pertsonalen tratamenduarekin zerikusirik ez duten enpresetan aurkitzen da, hau da, bezero edo kontratistak, edo datu-base pertsonalak txikiak dira.
Zergatik da hain garrantzitsua segurtasun mailarekin gehiegi ez egitea? Erraza da: horren araberakoa izango da segurtasun-maila hori bermatzeko neurri eta babes-baliabideen multzoa. Zenbat eta ezagutza maila handiagoa izan, orduan eta gehiago egin beharko da antolakuntza eta teknika aldetik (irakur ezazu: zenbat eta diru eta nerbio gehiago gastatu beharko dira).
Hona, adibidez, nola aldatzen den segurtasun neurrien multzoa PP-1119 beraren arabera.
Ikus dezagun orain hautatutako segurtasun-mailaren arabera nola aldatzen den beharrezko neurrien zerrenda. Dokumentu honen eranskin luze bat dago, beharrezko neurriak zehazten dituena. Guztira 109 dira, KM bakoitzerako derrigorrezko neurriak definitu eta "+" zeinu batekin markatzen dira - beheko taulan zehatz kalkulatzen dira. UZ-3rako behar direnak bakarrik uzten badituzu, 4 lortuko dituzu.
Errealitatea: bezeroen probak edo biometriak biltzen ez badituzu, ez zara paranoikoa sistemako eta aplikazioko softwareko laster-marken inguruan, orduan ziurrenik UZ-3 izango duzu. Benetan ezarri daitezkeen neurri antolamendu eta teknikoen arrazoizko zerrenda du.
5. mitoa. Datu pertsonalak babesteko bide guztiak Errusiako FSTECek ziurtatuta egon behar du
Ziurtagiria egin nahi baduzu edo egin behar baduzu, ziurrenik babes-ekipo ziurtatua erabili beharko duzu. Ziurtagiria Errusiako FSTEC lizentziadun batek egingo du:
- informazioa babesteko gailu ziurtatu gehiago saltzeko interesa;
- erregulatzaileak lizentzia baliogabetzeko beldur izango du zerbait gaizki ateratzen bada.
Ziurtagiria behar ez baduzu eta prest bazaude eskakizunak betetzen direla berresteko beste modu batean, izenean "Datu pertsonalak babesteko sistemaren barruan ezarritako neurrien eraginkortasuna ebaluatzea datu pertsonalen segurtasuna bermatzeko", orduan ziurtatutako informazioaren segurtasun-sistemak ez dituzu behar. Arrazoia laburki azaltzen saiatuko naiz.
В ezarritako prozeduraren arabera adostasuna ebaluatzeko prozedura jasan duten babes-ekipoak erabiltzea beharrezkoa dela adierazten du:
Datu pertsonalen segurtasuna bermatzea lortzen da, bereziki:
[…] 3) ezarritako prozeduraren arabera betetzearen ebaluazio-prozedura gainditu duten informazioaren segurtasunerako bitartekoak erabiltzea.
В Lege-eskakizunak betetzen direla ebaluatzeko prozedura gainditu duten informazioaren segurtasun-tresnak erabiltzeko betekizuna ere badago:
[…] Informazioaren segurtasun-tresnak erabiltzea Errusiar Federazioko legediaren baldintzak betetzen direla ebaluatzeko prozedura gainditu duten informazioaren segurtasun-tresnak erabiltzea, bitarteko horiek erabiltzea egungo mehatxuak neutralizatzeko beharrezkoa den kasuetan.
PP-1119 paragrafoa ia bikoiztu egiten du:
Datu pertsonalen segurtasuna bermatzeko neurriak ezartzen dira, besteak beste, ezarritako prozeduraren arabera adostasuna ebaluatzeko prozedura gainditu duten informazio-sisteman informazioaren segurtasun-tresnak erabiliz, tresna horiek erabiltzea beharrezkoa den kasuetan. datu pertsonalen segurtasunerako egungo mehatxuak neutralizatzea.
Zer dute komunean formulazio hauek? Hori bai - ez dute babes-ekipamendu ziurtaturik erabili behar. Kontua da adostasuna ebaluatzeko hainbat era daudela (borondatezko edo nahitaezko ziurtagiria, adostasun-deklarazioa). Ziurtagiria horietako bat besterik ez da. Eragileak ziurtagiririk gabeko produktuak erabil ditzake, baina adostasuna ebaluatzeko prozeduraren bat egin duela egiaztatu beharko dio arautzaileari ikuskapenean.
Operadoreak babes-ekipo ziurtatuak erabiltzea erabakitzen badu, beharrezkoa da informazioa babesteko sistema hautatzea ultrasoinu-babesaren arabera, argi eta garbi adierazita dagoena. :
Datu pertsonalak babesteko neurri teknikoak informazioaren segurtasun-tresnak erabiliz ezartzen dira, software (hardwarea) tresnak barne, beharrezko segurtasun-funtzioak dituztenak.
Informazio-sistemetan informazio-segurtasun-baldintzen arabera ziurtatutako informazioaren segurtasun-tresnak erabiltzean:
Errealitatea: Legeak ez du derrigorrezko babes-ekipamendu ziurtatua erabiltzea eskatzen.
6. mitoa. Kriptografia babesa behar dut
Hemen ñabardura batzuk daude:
- Jende askok uste du kriptografia derrigorrezkoa dela edozein ISPDrako. Izan ere, operadoreak kriptografia erabiltzeaz gain beste babes-neurririk ikusten ez badu bakarrik erabili behar dira.
- Kriptografiarik gabe ezin baduzu egin, FSBk ziurtatutako CIPF erabili behar duzu.
- Adibidez, ISPD bat zerbitzu-hornitzaile baten hodeian ostatatzea erabakitzen duzu, baina ez zara fidatzen. Zure kezkak mehatxu eta intruso eredu batean deskribatzen dituzu. Datu pertsonalak dituzu, beraz, kriptografia zure burua babesteko modu bakarra dela erabaki zenuen: makina birtualak enkriptatuko dituzu, kanal seguruak eraikiko dituzu babes kriptografikoa erabiliz. Kasu honetan, Errusiako FSBk ziurtatutako CIPF erabili beharko duzu.
- Ziurtatutako CIPF segurtasun-maila jakin baten arabera hautatzen dira .
UZ-3 duen ISPDn-erako, KS1, KS2, KS3 erabil ditzakezu. KS1 kanalak babesteko C-Terra Virtual Gateway 4.2 da, adibidez.
KC2, KS3 software eta hardware sistemen bidez soilik ordezkatzen dira, hala nola: ViPNet Koordinatzailea, APKSH "Continent", S-Terra Gateway, etab.
UZ-2 edo 1 baduzu, orduan KV1, 2 eta KA klaseko babes kriptografikoak beharko dituzu. Software eta hardware sistema espezifikoak dira, funtzionatzeko zailak dira eta haien errendimendu-ezaugarriak xumeak dira.
Errealitatea: Legeak ez du behartzen FSBk ziurtatutako CIPF erabiltzera.
Iturria: www.habr.com