ProHoster > وبلاگ > اداره > افسانه هایی در مورد 152-FZ، که می تواند برای اپراتور داده های شخصی پرهزینه باشد

افسانه هایی در مورد 152-FZ، که می تواند برای اپراتور داده های شخصی پرهزینه باشد

سلام به همه! من مرکز دفاع سایبری DataLine را اجرا می کنم. مشتریان با وظیفه برآورده کردن الزامات 152-FZ در فضای ابری یا زیرساخت فیزیکی به ما مراجعه می کنند.
تقریباً در هر پروژه ای لازم است کار آموزشی برای از بین بردن افسانه های پیرامون این قانون انجام شود. من رایج ترین تصورات غلط را جمع آوری کرده ام که می تواند برای بودجه و سیستم عصبی اپراتور داده های شخصی گران تمام شود. من بلافاصله رزرو می کنم که موارد دفاتر دولتی (GIS) که با اسرار دولتی، KII و غیره سروکار دارند خارج از محدوده این مقاله باقی می مانند.

افسانه هایی در مورد 152-FZ، که می تواند برای اپراتور داده های شخصی پرهزینه باشد

افسانه 1. من یک آنتی ویروس، یک فایروال نصب کردم و رک ها را با یک حصار احاطه کردم. آیا من قانون را دنبال می کنم؟

152-FZ در مورد حفاظت از سیستم ها و سرورها نیست، بلکه در مورد حفاظت از داده های شخصی افراد است. بنابراین، مطابقت با 152-FZ نه با یک آنتی ویروس، بلکه با تعداد زیادی کاغذ و مسائل سازمانی آغاز می شود.
بازرس اصلی، Roskomnadzor، نه به حضور و وضعیت ابزار فنی حفاظت، بلکه به مبنای قانونی برای پردازش داده های شخصی (PD):

  • برای چه هدفی داده های شخصی را جمع آوری می کنید.  
  • آیا شما بیش از آنچه برای اهداف خود نیاز دارید جمع آوری می کنید.
  • چه مدت داده های شخصی را ذخیره می کنید.
  • آیا سیاستی برای پردازش داده های شخصی وجود دارد.
  • آیا برای پردازش داده های شخصی، انتقال فرامرزی، پردازش توسط اشخاص ثالث و غیره رضایت جمع آوری می کنید؟

پاسخ به این سوالات و همچنین خود فرآیندها باید در اسناد مناسب ثبت شوند. در اینجا لیستی دور از کامل از آنچه که یک اپراتور داده های شخصی باید آماده کند وجود دارد:

  • یک فرم رضایت استاندارد برای پردازش داده‌های شخصی (اینها برگه‌هایی هستند که اکنون تقریباً در هر جایی که نام کامل و مشخصات گذرنامه خود را گذاشته‌ایم امضا می‌کنیم).
  • خط مشی اپراتور در مورد پردازش داده های شخصی (اینجا توصیه هایی برای طراحی وجود دارد).
  • دستور انتصاب فردی مسئول سازماندهی پردازش داده های شخصی.  
  • شرح شغل فرد مسئول سازماندهی پردازش داده های شخصی.
  • قوانین کنترل داخلی و (یا) ممیزی انطباق پردازش PD با الزامات قانونی.  
  • فهرست سیستم های اطلاعات شخصی (ISPD).
  • مقررات برای دسترسی آزمودنی به داده های شخصی خود.
  • آیین نامه بررسی حادثه
  • دستور پذیرش کارمندان برای پردازش داده های شخصی.
  • مقررات برای تعامل با تنظیم کننده ها.  
  • اطلاع رسانی RKN و غیره
  • فرم دستورالعمل برای پردازش PD.
  • مدل تهدید ISPD

پس از حل این مسائل، می توانید شروع به انتخاب اقدامات خاص و ابزار فنی کنید. اینکه کدام یک نیاز دارید بستگی به سیستم ها، شرایط عملیاتی آنها و تهدیدات فعلی دارد. اما در ادامه بیشتر در مورد آن.

واقعیت: انطباق با قانون، اول از همه، ایجاد و انطباق با فرآیندهای خاص است، و تنها در مرحله دوم - استفاده از وسایل فنی خاص.

افسانه 2. من داده های شخصی را در فضای ابری ذخیره می کنم، مرکز داده ای که الزامات 152-FZ را برآورده می کند. اکنون آنها مسئول اجرای قانون هستند

هنگامی که ذخیره سازی داده های شخصی را به یک ارائه دهنده ابر یا مرکز داده برون سپاری می کنید، دیگر اپراتور داده های شخصی نیستید.
اجازه دهید از تعریف قانون کمک بخواهیم:

پردازش داده‌های شخصی - هر عمل (عملیات) یا مجموعه اقدامات (عملیات) که با استفاده از ابزارهای اتوماسیون یا بدون استفاده از چنین وسایلی با داده‌های شخصی انجام می‌شود، از جمله جمع‌آوری، ضبط، سیستم‌سازی، انباشت، ذخیره‌سازی، شفاف‌سازی (به‌روزرسانی، تغییر). استخراج، استفاده، انتقال (توزیع، ارائه، دسترسی)، غیر شخصی سازی، مسدود کردن، حذف، از بین بردن داده های شخصی.
منبع: مقاله 3، 152-FZ

از بین تمام این اقدامات، ارائه دهنده خدمات مسئول ذخیره و از بین بردن اطلاعات شخصی (زمانی که مشتری قرارداد را با او فسخ می کند) است. سایر موارد توسط اپراتور داده های شخصی ارائه می شود. این بدان معنی است که اپراتور، و نه ارائه دهنده خدمات، خط مشی پردازش داده های شخصی را تعیین می کند، رضایت نامه های امضا شده برای پردازش داده های شخصی را از مشتریان خود دریافت می کند، از نشت داده های شخصی به اشخاص ثالث جلوگیری و بررسی می کند و غیره.

در نتیجه، اپراتور داده های شخصی همچنان باید اسنادی را که در بالا ذکر شد جمع آوری کند و اقدامات سازمانی و فنی را برای محافظت از PDIS خود اجرا کند.

معمولاً، ارائه‌دهنده با اطمینان از انطباق با الزامات قانونی در سطح زیرساختی که ISPD اپراتور در آن قرار دارد، به اپراتور کمک می‌کند: قفسه‌هایی با تجهیزات یا ابر. او همچنین بسته ای از اسناد را جمع آوری می کند، اقدامات سازمانی و فنی را برای زیرساخت خود مطابق با 152-FZ انجام می دهد.

برخی از ارائه‌دهندگان به کارهای اداری و ارائه اقدامات امنیتی فنی برای خود ISDNها کمک می‌کنند، یعنی در سطحی بالاتر از زیرساخت. اپراتور می تواند این وظایف را نیز برون سپاری کند، اما مسئولیت و تعهدات طبق قانون از بین نمی رود.

واقعیت: با استفاده از خدمات یک ارائه دهنده یا مرکز داده، نمی توانید مسئولیت های یک اپراتور داده های شخصی را به او منتقل کنید و از مسئولیت خلاص شوید. اگر ارائه دهنده این وعده را به شما می دهد، به بیان ملایم، او دروغ می گوید.

افسانه 3. بسته مدارک و اقدامات لازم را دارم. من داده‌های شخصی را با ارائه‌دهنده‌ای ذخیره می‌کنم که قول انطباق با 152-FZ را می‌دهد. آیا همه چیز مرتب است؟

بله، اگر یادتان باشد که دستور را امضا کنید. طبق قانون، اپراتور می تواند پردازش داده های شخصی را به شخص دیگری، به عنوان مثال، همان ارائه دهنده خدمات، واگذار کند. سفارش نوعی توافق است که فهرستی از کارهایی که ارائه دهنده خدمات می تواند با داده های شخصی اپراتور انجام دهد را نشان می دهد.

اپراتور این حق را دارد که پردازش داده های شخصی را با رضایت موضوع داده های شخصی به شخص دیگری واگذار کند، مگر اینکه قانون فدرال بر اساس توافق نامه منعقد شده با این شخص، از جمله قرارداد ایالتی یا شهرداری، خلاف آن را مقرر کرده باشد. یا با تصویب یک قانون مربوطه توسط یک ارگان ایالتی یا شهرداری (از این پس اپراتور واگذاری نامیده می شود). شخصی که از طرف اپراتور داده های شخصی را پردازش می کند موظف است از اصول و قوانین پردازش داده های شخصی مندرج در این قانون فدرال پیروی کند.
منبع: بند 3، ماده 6، 152-FZ

تعهد ارائه دهنده به حفظ محرمانه بودن داده های شخصی و اطمینان از امنیت آن مطابق با الزامات مشخص شده نیز ایجاد می شود:

دستور اپراتور باید فهرستی از اقدامات (عملیات) با داده های شخصی را که توسط شخصی که داده های شخصی را پردازش می کند و اهداف پردازش انجام می دهد، تعریف کند، تعهد چنین شخصی باید برای حفظ محرمانه بودن داده های شخصی و اطمینان از امنیت داده های شخصی در طول پردازش آنها و همچنین الزامات حفاظت از داده های شخصی پردازش شده باید مطابق با ماده 19 این قانون فدرال
منبع: بند 3، ماده 6، 152-FZ

برای این، ارائه دهنده در قبال اپراتور مسئول است و نه در قبال موضوع داده های شخصی:

اگر اپراتور پردازش داده های شخصی را به شخص دیگری واگذار کند، اپراتور در قبال موضوع داده های شخصی مسئول اقدامات شخص مشخص شده است. شخصی که اطلاعات شخصی را از طرف اپراتور پردازش می کند در مقابل اپراتور مسئول است.
منبع: 152-FZ.

همچنین مهم است که در دستور الزامی برای اطمینان از حفاظت از داده های شخصی قید شود:

امنیت داده های شخصی هنگام پردازش در یک سیستم اطلاعاتی توسط اپراتور این سیستم، که داده های شخصی را پردازش می کند (از این پس اپراتور نامیده می شود) یا توسط شخصی که داده های شخصی را از طرف اپراتور پردازش می کند، تضمین می شود. قراردادی که با این شخص منعقد شده است (از این پس شخص مجاز نامیده می شود). توافق بین اپراتور و شخص مجاز باید تعهد شخص مجاز برای اطمینان از امنیت داده های شخصی هنگام پردازش در سیستم اطلاعاتی را پیش بینی کند.
منبع: فرمان دولت فدراسیون روسیه 1 نوامبر 2012 شماره 1119

واقعیت: اگر داده‌های شخصی را به ارائه‌دهنده می‌دهید، سفارش را امضا کنید. در ترتیب، الزامات برای اطمینان از حفاظت از داده های شخصی افراد را مشخص کنید. در غیر این صورت، شما از قانون مربوط به انتقال کار پردازش داده های شخصی به شخص ثالث پیروی نمی کنید و ارائه دهنده هیچ چیزی در رابطه با رعایت 152-FZ به شما بدهکار نیست.

افسانه 4. موساد از من جاسوسی می کند یا من قطعا یک UZ-1 دارم

برخی از مشتریان دائماً ثابت می کنند که دارای ISPD سطح امنیتی 1 یا 2 هستند. بیشتر اوقات اینطور نیست. بیایید سخت افزار را به خاطر بسپاریم تا بفهمیم چرا این اتفاق می افتد.
LO یا سطح امنیتی تعیین می کند که از چه چیزی از داده های شخصی خود محافظت خواهید کرد.
سطح امنیت تحت تأثیر موارد زیر است:

  • نوع داده های شخصی (ویژه، بیومتریک، در دسترس عموم و غیره)؛
  • که مالک داده های شخصی است - کارمندان یا غیر کارکنان اپراتور داده های شخصی؛
  • تعداد سوژه های داده های شخصی - کم و بیش 100 هزار.
  • انواع تهدیدات فعلی

در مورد انواع تهدید به ما می گوید فرمان دولت فدراسیون روسیه 1 نوامبر 2012 شماره 1119. در اینجا شرح هر یک با ترجمه رایگان من به زبان انسانی است.

تهدیدات نوع 1 برای یک سیستم اطلاعاتی مرتبط هستند در صورتی که تهدیدات مرتبط با وجود قابلیت های غیرمستند (اعلام نشده) در نرم افزار سیستم مورد استفاده در سیستم اطلاعاتی نیز برای آن مرتبط باشد.

اگر این نوع تهدید را مرتبط می‌دانید، پس قاطعانه معتقدید که عوامل سیا، MI6 یا MOSSAD یک نشانک در سیستم عامل قرار داده‌اند تا داده‌های شخصی افراد خاص را از ISPD شما بدزدند.

تهدیدات نوع 2 برای یک سیستم اطلاعاتی مرتبط هستند در صورتی که تهدیدات مرتبط با وجود قابلیت های غیرمستند (اعلام نشده) در نرم افزار کاربردی مورد استفاده در سیستم اطلاعاتی نیز برای آن مرتبط باشد.

اگر فکر می کنید تهدیدهای نوع دوم مورد شماست، پس می خوابید و می بینید که چگونه همان ماموران سیا، ام آی 6، موساد، یک هکر یا گروه شیطان صفت، بوک مارک هایی را در بسته نرم افزاری آفیس قرار داده اند تا دقیقاً به دنبال آن باشند. داده های شخصی شما بله، نرم افزار کاربردی مشکوکی مانند μTorrent وجود دارد، اما می توانید لیستی از نرم افزارهای مجاز برای نصب تهیه کنید و با کاربران قرارداد امضا کنید، نه اینکه به کاربران حقوق مدیر محلی و غیره بدهید.

تهدیدات نوع 3 در صورتی به یک سیستم اطلاعاتی مربوط می شود که تهدیدهایی که مربوط به وجود قابلیت های غیرمستند (اعلام نشده) در سیستم و نرم افزارهای کاربردی مورد استفاده در سیستم اطلاعاتی نباشد، مربوط به آن باشد.

تهدیدات نوع 1 و 2 برای شما مناسب نیستند، بنابراین این مکان برای شما مناسب است.

ما انواع تهدیدها را مرتب کرده‌ایم، اکنون بیایید ببینیم که ISPD ما چه سطحی از امنیت خواهد داشت.

افسانه هایی در مورد 152-FZ، که می تواند برای اپراتور داده های شخصی پرهزینه باشد
جدول بر اساس مطابقت های مشخص شده در فرمان دولت فدراسیون روسیه 1 نوامبر 2012 شماره 1119.

اگر نوع سوم تهدیدات واقعی را انتخاب کنیم، در بیشتر موارد UZ-3 را خواهیم داشت. تنها استثنا، زمانی که تهدیدات نوع 1 و 2 مرتبط نیستند، اما سطح امنیت همچنان بالا خواهد بود (UZ-2)، شرکت هایی هستند که داده های شخصی ویژه افراد غیرکارمند را به مقدار بیش از 100 پردازش می کنند. به عنوان مثال، شرکت هایی که در زمینه تشخیص پزشکی و ارائه خدمات پزشکی فعالیت می کنند.

UZ-4 نیز وجود دارد، و عمدتاً در شرکت‌هایی یافت می‌شود که کسب‌وکارشان به پردازش داده‌های شخصی افراد غیرکارمند، یعنی مشتریان یا پیمانکاران مرتبط نیست، یا پایگاه داده‌های شخصی کوچک است.

چرا اینقدر مهم است که در سطح امنیت زیاده روی نکنید؟ ساده است: مجموعه اقدامات و وسایل حفاظتی برای تضمین این سطح از امنیت به این بستگی دارد. هرچه سطح دانش بالاتر باشد، از نظر سازمانی و فنی باید کارهای بیشتری انجام شود (بخوانید: پول و اعصاب بیشتری باید خرج شود).

برای مثال، در اینجا نحوه تغییر مجموعه اقدامات امنیتی مطابق با همان PP-1119 است.

افسانه هایی در مورد 152-FZ، که می تواند برای اپراتور داده های شخصی پرهزینه باشد

اکنون بیایید ببینیم که چگونه بسته به سطح امنیتی انتخاب شده، لیست اقدامات لازم مطابق با آن تغییر می کند به دستور FSTEC روسیه شماره 21 مورخ 18.02.2013 فوریه XNUMX.  یک پیوست طولانی به این سند وجود دارد که اقدامات لازم را مشخص می کند. در مجموع 109 مورد از آنها وجود دارد، برای هر KM اقدامات اجباری تعریف شده و با علامت "+" مشخص شده است - آنها دقیقاً در جدول زیر محاسبه می شوند. اگر فقط موارد مورد نیاز برای UZ-3 را بگذارید، 4 می گیرید.

افسانه هایی در مورد 152-FZ، که می تواند برای اپراتور داده های شخصی پرهزینه باشد

واقعیت: اگر آزمایش‌ها یا بیومتریک‌ها را از مشتریان جمع‌آوری نمی‌کنید، در مورد نشانک‌ها در سیستم و نرم‌افزار کاربردی پارانوئید نیستید، به احتمال زیاد UZ-3 دارید. دارای فهرست معقولی از اقدامات سازمانی و فنی است که عملاً قابل اجرا هستند.

افسانه 5. تمام ابزارهای محافظت از داده های شخصی باید توسط FSTEC روسیه تأیید شود

اگر می خواهید یا نیاز به صدور گواهینامه دارید، به احتمال زیاد باید از تجهیزات حفاظتی تایید شده استفاده کنید. صدور گواهینامه توسط صاحب مجوز FSTEC روسیه انجام می شود که:

  • علاقه مند به فروش بیشتر دستگاه های حفاظت از اطلاعات گواهی شده است.
  • اگر مشکلی پیش بیاید، از لغو مجوز توسط رگولاتور می ترسد.

اگر نیازی به گواهینامه ندارید و آماده هستید تا مطابقت با الزامات را به روش دیگری تأیید کنید، به نام دستور FSTEC روسیه شماره 21  "ارزیابی اثربخشی اقدامات انجام شده در سیستم حفاظت از داده های شخصی برای اطمینان از امنیت داده های شخصی"، در این صورت سیستم های امنیتی اطلاعات تایید شده برای شما لازم نیست. من سعی می کنم به طور خلاصه دلیل آن را توضیح دهم.

В بند 2 ماده 19 152-FZ بیان می کند که لازم است از تجهیزات حفاظتی استفاده شود که طبق روال تعیین شده مراحل ارزیابی انطباق را طی کرده باشد.:

حصول اطمینان از امنیت داده های شخصی، به ویژه:
[...]
3)применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

В بند 13 PP-1119 همچنین الزامی برای استفاده از ابزارهای امنیت اطلاعات که مراحل ارزیابی مطابقت با الزامات قانونی را گذرانده اند وجود دارد:

[...]
использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

بند 4 دستور شماره 21 FSTEC عملاً پاراگراف PP-1119 را تکرار می کند:

اقدامات برای اطمینان از امنیت داده های شخصی، از جمله از طریق استفاده از ابزارهای امنیت اطلاعات در سیستم اطلاعاتی که مراحل ارزیابی انطباق را طبق روال تعیین شده گذرانده اند، در مواردی که استفاده از چنین ابزارهایی برای ضروری است، اجرا می شود. خنثی کردن تهدیدات فعلی برای امنیت داده های شخصی.

وجه اشتراک این فرمول ها چیست؟ درست است - آنها نیازی به استفاده از تجهیزات حفاظتی تایید شده ندارند. واقعیت این است که چندین اشکال ارزیابی انطباق وجود دارد (گواهینامه داوطلبانه یا اجباری، اعلام انطباق). گواهینامه تنها یکی از آنهاست. اپراتور می تواند از محصولات بدون گواهی استفاده کند، اما باید در طول بازرسی به رگولاتور نشان دهد که آنها تحت نوعی روش ارزیابی انطباق قرار گرفته اند.

اگر اپراتور تصمیم به استفاده از تجهیزات حفاظتی تایید شده داشته باشد، لازم است سیستم حفاظت اطلاعات را مطابق با حفاظت اولتراسوند انتخاب کند، که به وضوح در دستور FSTEC شماره 21:

اقدامات فنی برای حفاظت از داده‌های شخصی از طریق استفاده از ابزارهای امنیت اطلاعات، از جمله ابزارهای نرم‌افزاری (سخت‌افزاری) که در آن پیاده‌سازی شده‌اند، که عملکردهای امنیتی لازم را دارند، اجرا می‌شوند.
هنگام استفاده از ابزارهای امنیت اطلاعات که مطابق با الزامات امنیت اطلاعات در سیستم های اطلاعاتی تأیید شده اند:

افسانه هایی در مورد 152-FZ، که می تواند برای اپراتور داده های شخصی پرهزینه باشد
بند 12 دستور شماره 21 FSTEC روسیه.

واقعیت: قانون استفاده اجباری از تجهیزات حفاظتی تایید شده را الزامی نمی کند.

افسانه 6. من به حفاظت از رمزنگاری نیاز دارم

در اینجا چند تفاوت وجود دارد:

  1. بسیاری از مردم بر این باورند که رمزنگاری برای هر ISPD اجباری است. در واقع، تنها در صورتی باید از آنها استفاده کرد که اپراتور هیچ اقدام حفاظتی دیگری به جز استفاده از رمزنگاری برای خود مشاهده نکند.
  2. اگر نمی توانید بدون رمزنگاری انجام دهید، باید از CIPF تایید شده توسط FSB استفاده کنید.
  3. به عنوان مثال، شما تصمیم دارید یک ISPD را در فضای ابری یک ارائه دهنده خدمات میزبانی کنید، اما به آن اعتماد ندارید. شما نگرانی های خود را در یک مدل تهدید و مزاحم توصیف می کنید. شما داده های شخصی دارید، بنابراین تصمیم گرفتید که رمزنگاری تنها راه محافظت از خود است: ماشین های مجازی را رمزگذاری می کنید، کانال های امنی را با استفاده از حفاظت رمزنگاری ایجاد می کنید. در این مورد، شما باید از CIPF تایید شده توسط FSB روسیه استفاده کنید.
  4. CIPF گواهی شده مطابق با سطح خاصی از امنیت انتخاب می شود سفارش شماره 378 FSB.

برای ISPDn با UZ-3، می توانید از KS1، KS2، KS3 استفاده کنید. KS1 برای مثال C-Terra Virtual Gateway 4.2 برای محافظت از کانال ها است.

KC2، KS3 فقط توسط سیستم های نرم افزاری و سخت افزاری مانند: ViPNet Coordinator، APKSH "Continent"، S-Terra Gateway و غیره نمایش داده می شوند.

اگر UZ-2 یا 1 دارید، به وسایل حفاظت رمزنگاری کلاس KV1، 2 و KA نیاز خواهید داشت. اینها سیستم های نرم افزاری و سخت افزاری خاصی هستند، کار با آنها دشوار است و ویژگی های عملکرد آنها متوسط ​​است.

افسانه هایی در مورد 152-FZ، که می تواند برای اپراتور داده های شخصی پرهزینه باشد

واقعیت: قانون استفاده از CIPF تایید شده توسط FSB را الزامی نمی کند.

منبع: www.habr.com

اضافه کردن نظر