Hei kaikki! Käytän DataLine Cyber Defense Centeriä. Asiakkaat tulevat meille tehtäväkseen täyttää 152-FZ:n vaatimukset pilvessä tai fyysisessä infrastruktuurissa.
Melkein jokaisessa projektissa on tehtävä koulutustyötä tähän lakiin liittyvien myyttien kumoamiseksi. Olen koonnut yhteen yleisimmät väärinkäsitykset, jotka voivat tulla kalliiksi henkilötietojen ylläpitäjän budjetille ja hermojärjestelmälle. Teen välittömästi varauksen, että tapaukset, joissa valtion virastot (GIS) käsittelevät valtiosalaisuuksia, KII:ta jne., jäävät tämän artikkelin ulkopuolelle.
Myytti 1. Asensin virustorjunnan, palomuurin ja rajoitin telineet aidalla. Noudatanko lakia?
152-FZ ei koske järjestelmien ja palvelimien suojaa, vaan kohteiden henkilötietojen suojaa. Siksi 152-FZ:n noudattaminen ei ala viruksentorjuntaohjelmasta, vaan suuresta määrästä paperia ja organisaatioongelmia.
Päätarkastaja, Roskomnadzor, ei tarkastele teknisten suojakeinojen olemassaoloa ja kuntoa, vaan henkilötietojen käsittelyn oikeusperustaa (PD):
- mihin tarkoitukseen keräät henkilötietoja;
- keräätkö niitä enemmän kuin tarvitset tarkoituksiinsi;
- kuinka kauan säilytät henkilötietojasi;
- onko henkilötietojen käsittelyä koskeva käytäntö;
- Keräätkö suostumusta henkilötietojen käsittelyyn, rajat ylittävään siirtoon, kolmansien osapuolten käsittelyyn jne.
Vastaukset näihin kysymyksiin sekä itse prosessit tulee kirjata asianmukaisiin asiakirjoihin. Tässä on kaikkea muuta kuin täydellinen luettelo siitä, mitä henkilötietojen ylläpitäjän on valmisteltava:
- Vakiomuotoinen suostumuslomake henkilötietojen käsittelyä varten (nämä ovat lomakkeet, jotka allekirjoitamme nyt lähes kaikkialla, joihin jätämme koko nimemme ja passitietomme).
- Operaattorin henkilötietojen käsittelyä koskeva politiikka ( suunnitteluun on suosituksia).
- Määräys henkilötietojen käsittelyn järjestämisestä vastaavan henkilön nimittämisestä.
- Henkilötietojen käsittelyn järjestämisestä vastaavan henkilön toimenkuva.
- Säännöt sisäisestä valvonnasta ja (tai) auditoinnista PD-käsittelyn lain vaatimustenmukaisuudesta.
- Luettelo henkilötietojärjestelmistä (ISPD).
- Säännöt koehenkilölle pääsyn antamisesta henkilötietoihinsa.
- Tapahtuman tutkintasäännöt.
- Määräys työntekijöiden hyväksymisestä henkilötietojen käsittelyyn.
- Säännöt vuorovaikutuksesta sääntelyviranomaisten kanssa.
- Ilmoitus RKN:stä jne.
- Ohjelomake PD-käsittelyyn.
- ISPD-uhkamalli.
Kun olet ratkaissut nämä ongelmat, voit alkaa valita tiettyjä toimenpiteitä ja teknisiä keinoja. Se, mitä tarvitset, riippuu järjestelmistä, niiden toimintaolosuhteista ja nykyisistä uhista. Mutta siitä lisää myöhemmin.
Todellisuus: lain noudattaminen on ensinnäkin tiettyjen prosessien luominen ja noudattaminen, ja vasta toiseksi - erityisten teknisten välineiden käyttö.
Myytti 2. Tallenna henkilötietoja pilveen, palvelinkeskukseen, joka täyttää 152-FZ:n vaatimukset. Nyt he ovat vastuussa lain täytäntöönpanosta
Kun ulkoistat henkilötietojen tallennuksen pilvipalveluntarjoajalle tai datakeskukselle, et lakkaa olemasta henkilötietojen ylläpitäjä.
Kutsukaamme avuksi lain määritelmä:
Henkilötietojen käsittely – mikä tahansa toimenpide (toiminto) tai toimenpidekokonaisuus (operaatiot), joka suoritetaan automaatiotyökaluilla tai ilman tällaisia keinoja henkilötietojen kanssa, mukaan lukien kerääminen, tallentaminen, systematisointi, kerääminen, tallentaminen, selventäminen (päivitys, muuttaminen), henkilötietojen poimiminen, käyttö, siirto (jakelu, tarjoaminen, pääsy), depersonalisointi, estäminen, poistaminen, tuhoaminen.
Lähde: artikkeli 3,
Kaikista näistä toimista palveluntarjoaja on vastuussa henkilötietojen tallentamisesta ja tuhoamisesta (kun asiakas irtisanoo sopimuksen hänen kanssaan). Kaiken muun tarjoaa henkilötietojen ylläpitäjä. Tämä tarkoittaa, että operaattori, ei palveluntarjoaja, määrittelee henkilötietojen käsittelyä koskevat periaatteet, hankkii asiakkailtaan allekirjoitetut suostumukset henkilötietojen käsittelyyn, ehkäisee ja tutkii henkilötietojen vuotamista kolmansille osapuolille ja niin edelleen.
Näin ollen henkilötietojen ylläpitäjän on silti kerättävä yllä luetellut asiakirjat ja toteutettava organisatorisia ja teknisiä toimenpiteitä henkilötietojensa suojaamiseksi.
Tyypillisesti palveluntarjoaja auttaa operaattoria varmistamalla lakisääteisten vaatimusten noudattamisen sillä infrastruktuuritasolla, jossa operaattorin ISPD sijoitetaan: telineet laitteineen tai pilvi. Hän myös kerää asiakirjapaketin, toteuttaa organisatorisia ja teknisiä toimenpiteitä infrastruktuurinsa osalta 152-FZ:n mukaisesti.
Jotkut palveluntarjoajat auttavat itse ISDN-verkkojen paperityössä ja teknisten turvatoimien järjestämisessä, eli infrastruktuurin yläpuolella. Toimija voi myös ulkoistaa nämä tehtävät, mutta lain mukainen vastuu ja velvoitteet eivät katoa.
Todellisuus: Käyttämällä palveluntarjoajan tai datakeskuksen palveluita et voi siirtää hänelle henkilötietojen ylläpitäjän velvollisuuksia ja päästä eroon vastuusta. Jos palveluntarjoaja lupaa sinulle tämän, hän valehtelee lievästi sanottuna.
Myytti 3. Minulla on tarvittava paketti asiakirjoja ja toimenpiteitä. Säilytän henkilötietoja palveluntarjoajalle, joka lupaa noudattaa 152-FZ:ää. Onko kaikki kunnossa?
Kyllä, jos muistat allekirjoittaa tilauksen. Lain mukaan operaattori voi uskoa henkilötietojen käsittelyn toiselle henkilölle, esimerkiksi samalle palveluntarjoajalle. Tilaus on eräänlainen sopimus, jossa luetellaan, mitä palveluntarjoaja voi tehdä operaattorin henkilötiedoilla.
Toimijalla on oikeus uskoa henkilötietojen käsittely toiselle henkilölle henkilötietojen kohteen suostumuksella, ellei liittovaltion laissa toisin säädetä, tämän henkilön kanssa tehdyn sopimuksen perusteella, mukaan lukien valtion tai kunnallinen sopimus, tai valtion tai kunnan toimielimen (jäljempänä toimeksiannonhoitaja) antamalla asiaa koskevalla lailla. Henkilö, joka käsittelee henkilötietoja operaattorin puolesta, on velvollinen noudattamaan tässä liittovaltion laissa säädettyjä henkilötietojen käsittelyn periaatteita ja sääntöjä.
Lähde:
Palveluntarjoajan velvollisuus säilyttää henkilötietojen luottamuksellisuus ja varmistaa niiden turvallisuus määriteltyjen vaatimusten mukaisesti asetetaan myös:
Toiminnanharjoittajan ohjeissa on määriteltävä luettelo henkilötietoja käsittelevän henkilön toimista (toimista), jotka henkilötietoja käsittelevä henkilö suorittaa, sekä käsittelyn tarkoitukset, tällaisen henkilön velvollisuus pitää yllä henkilötietojen luottamuksellisuutta ja varmistaa Henkilötietojen turvallisuus niiden käsittelyn aikana sekä vaatimukset käsiteltyjen henkilötietojen suojasta on määriteltävä sen mukaisesti tämän liittovaltion lain mukaisesti.
Lähde:
Tästä palveluntarjoaja on vastuussa operaattorille, ei henkilötietojen kohteelle:
Jos toiminnanharjoittaja uskoo henkilötietojen käsittelyn toiselle henkilölle, operaattori on vastuussa henkilötietojen kohteelle mainitun henkilön toimista. Operaattorin puolesta henkilötietoja käsittelevä henkilö on vastuussa operaattorille.
Lähde: .
On myös tärkeää, että määräyksessä määrätään velvollisuudesta varmistaa henkilötietojen suoja:
Tietojärjestelmässä käsiteltyjen henkilötietojen turvallisuudesta huolehtii tämän järjestelmän ylläpitäjä, joka käsittelee henkilötietoja (jäljempänä ylläpitäjä), tai henkilö, joka käsittelee henkilötietoja toiminnanharjoittajan puolesta tietosuojalain perusteella. tämän henkilön (jäljempänä valtuutettu henkilö) kanssa tehty sopimus. Toiminnanharjoittajan ja valtuutetun välisessä sopimuksessa on määrättävä valtuutetun henkilön velvollisuudesta varmistaa henkilötietojen turvallisuus tietojärjestelmässä käsiteltäessä.
Lähde:
Todellisuus: Jos annat henkilötietojasi palveluntarjoajalle, allekirjoita tilaus. Ilmoita tilauksessa vaatimus varmistaa koehenkilön henkilötietojen suoja. Muuten et noudata lakia henkilötietojen käsittelytyön siirtämisestä kolmannelle osapuolelle, eikä palveluntarjoaja ole sinulle velkaa 152-FZ:n noudattamisesta.
Myytti 4. Mossad vakoilee minua, tai minulla on ehdottomasti UZ-1
Jotkut asiakkaat todistavat jatkuvasti, että heillä on suojaustaso 1 tai 2 oleva ISPD. Useimmiten näin ei ole. Muistakaamme laitteisto selvittääksemme, miksi näin tapahtuu.
LO eli turvallisuustaso määrittää, miltä henkilötietosi suojaavat.
Suojaustasoon vaikuttavat seuraavat seikat:
- henkilötietojen tyyppi (erityinen, biometrinen, julkisesti saatavilla ja muut);
- kuka omistaa henkilötiedot - henkilötietojen ylläpitäjän työntekijät tai ei-työntekijät;
- rekisteröityjen määrä – enemmän tai vähemmän 100 tuhatta.
- nykyisten uhkien tyyppejä.
Kertoo meille uhkatyypeistä . Tässä on kuvaus jokaisesta ilmaisella käännökselläni ihmiskielelle.
Tyypin 1 uhat ovat tietojärjestelmälle relevantteja, jos tietojärjestelmässä käytettävän järjestelmäohjelmiston dokumentoimattomien (ilmoittamattomien) ominaisuuksien esiintymiseen liittyvät uhat ovat myös tietojärjestelmän kannalta relevantteja.
Jos tunnistat tämän tyyppisen uhan merkitykselliseksi, uskot vakaasti, että CIA:n, MI6:n tai MOSSAD:n edustajat ovat lisänneet käyttöjärjestelmään kirjanmerkin varastaakseen tiettyjen kohteiden henkilötietoja ISPD:stäsi.
2. tyypin uhat ovat tietojärjestelmän kannalta merkityksellisiä, jos tietojärjestelmässä käytettävän sovellusohjelmiston dokumentoimattomien (ilmoittamattomien) ominaisuuksien esiintymiseen liittyvät uhat ovat myös tietojärjestelmän kannalta merkityksellisiä.
Jos luulet, että toisen tyyppiset uhat ovat sinun tapauksessasi, nukahdat ja näet kuinka samat CIA:n, MI6:n, MOSSADin agentit, paha yksinäinen hakkeri tai ryhmä ovat laittaneet kirjanmerkkejä johonkin toimistoohjelmistopakettiin metsästääkseen tarkasti henkilötietosi. Kyllä, on olemassa kyseenalaisia sovellusohjelmia, kuten μTorrent, mutta voit tehdä luettelon sallituista ohjelmistoista asennusta varten ja allekirjoittaa sopimuksen käyttäjien kanssa, ei anna käyttäjille paikallisia järjestelmänvalvojan oikeuksia jne.
Tyypin 3 uhat ovat tietojärjestelmän kannalta merkityksellisiä, jos uhat, jotka eivät liity dokumentoimattomien (ilmoittamattomien) ominaisuuksien olemassaoloon järjestelmässä ja tietojärjestelmässä käytettävässä sovellusohjelmistossa, ovat sen kannalta relevantteja.
Tyyppien 1 ja 2 uhat eivät sovi sinulle, joten tämä on oikea paikka sinulle.
Olemme selvittäneet uhkien tyypit, ja nyt katsotaan, mikä turvallisuustaso ISPD:llämme on.
Taulukko kohdassa määriteltyjen vastaavuuksien perusteella .
Jos valitsimme kolmannen todellisten uhkien tyypin, meillä on useimmissa tapauksissa UZ-3. Ainoa poikkeus, kun tyyppien 1 ja 2 uhat eivät ole merkityksellisiä, mutta turvallisuustaso on silti korkea (UZ-2), ovat yritykset, jotka käsittelevät yli 100 000 ei-työntekijöiden erityisiä henkilötietoja. Esimerkiksi lääketieteellistä diagnostiikkaa ja lääketieteellisiä palveluja tarjoavat yritykset.
On myös UZ-4, ja sitä löytyy pääasiassa yrityksistä, joiden liiketoiminta ei liity muiden kuin työntekijöiden eli asiakkaiden tai urakoitsijoiden henkilötietojen käsittelyyn tai henkilötietokannat ovat pieniä.
Miksi on niin tärkeää olla liioittelematta turvallisuustason kanssa? Se on yksinkertaista: toimenpiteiden ja suojakeinojen joukko tämän turvallisuustason takaamiseksi riippuu tästä. Mitä korkeampi tietotaso, sitä enemmän on tehtävä organisatorisesti ja teknisesti (lue: sitä enemmän rahaa ja hermoja tarvitaan).
Tässä on esimerkiksi kuinka turvatoimien joukko muuttuu saman PP-1119:n mukaisesti.
Katsotaan nyt, kuinka tarvittavien toimenpiteiden luettelo muuttuu valitusta suojaustasosta riippuen Tässä asiakirjassa on pitkä liite, jossa määritellään tarvittavat toimenpiteet. Niitä on yhteensä 109, jokaiselle KM:lle on määritelty ja merkitty "+"-merkillä pakolliset toimenpiteet - ne on laskettu tarkasti alla olevasta taulukosta. Jos jätät vain ne, jotka tarvitaan UZ-3:lle, saat 4.
Todellisuus: Jos et kerää testejä tai biometrisiä tietoja asiakkailta, et ole vainoharhainen järjestelmä- ja sovellusohjelmistojen kirjanmerkeistä, sinulla on todennäköisesti UZ-3. Siinä on kohtuullinen luettelo organisatorisista ja teknisistä toimenpiteistä, jotka voidaan todella toteuttaa.
Myytti 5. Kaikki keinot henkilötietojen suojaamiseksi on oltava Venäjän FSTEC:n varmentamia
Jos haluat tai olet velvollinen suorittamaan sertifioinnin, joudut todennäköisesti käyttämään sertifioituja suojavarusteita. Sertifioinnin suorittaa Venäjän FSTEC:n lisenssinhaltija, joka:
- kiinnostunut myymään enemmän sertifioituja tiedonsuojalaitteita;
- pelkäävät, että sääntelyviranomainen peruuttaa toimiluvan, jos jokin menee pieleen.
Jos et tarvitse sertifiointia ja olet valmis varmistamaan vaatimusten täyttymisen muulla, kohdassa mainitulla tavalla "Henkilötietojen suojajärjestelmässä henkilötietojen turvallisuuden varmistamiseksi toteutettujen toimenpiteiden tehokkuutta arvioitaessa" sinulta ei vaadita sertifioituja tietoturvajärjestelmiä. Yritän selittää lyhyesti perustelut.
В toteaa, että on tarpeen käyttää suojavarusteita, jotka on läpäissyt vaatimustenmukaisuuden arviointimenettelyn vakiintuneen menettelyn mukaisesti:
Henkilötietojen turvallisuuden varmistaminen saavutetaan erityisesti:
[…] 3) sellaisten tietoturvakeinojen käyttö, jotka ovat läpäisseet vaatimustenmukaisuuden arviointimenettelyn vahvistetun menettelyn mukaisesti.
В Vaatimuksena on myös käyttää tietoturvatyökaluja, jotka ovat läpäisseet lakisääteisten vaatimusten noudattamisen arvioinnin:
[…] sellaisten tietoturvatyökalujen käyttöä, joiden on arvioitu noudattavan Venäjän federaation lainsäädännön vaatimuksia tietoturvallisuuden alalla, jos tällaisten keinojen käyttö on tarpeen nykyisten uhkien neutraloimiseksi.
toistaa käytännössä kappaleen PP-1119:
Toimenpiteet henkilötietojen turvallisuuden varmistamiseksi toteutetaan muun muassa käyttämällä tietojärjestelmän tietoturvatyökaluja, jotka ovat läpäisseet vaatimustenmukaisuuden arviointimenettelyn vakiintuneen menettelyn mukaisesti, tapauksissa, joissa tällaisten työkalujen käyttö on tarpeen neutraloimaan nykyiset henkilötietojen turvallisuuteen kohdistuvat uhat.
Mitä yhteistä näillä formulaatioilla on? Aivan oikein – ne eivät vaadi sertifioitujen suojavarusteiden käyttöä. Tosiasia on, että vaatimustenmukaisuuden arvioinnilla on useita muotoja (vapaaehtoinen tai pakollinen sertifiointi, vaatimustenmukaisuusvakuutus). Sertifiointi on vain yksi niistä. Toimija voi käyttää sertifioimattomia tuotteita, mutta sen on osoitettava viranomaiselle tarkastuksen aikana, että niille on suoritettu jonkinlainen vaatimustenmukaisuuden arviointimenettely.
Jos käyttäjä päättää käyttää sertifioituja suojavarusteita, on tietoturvajärjestelmä valittava ultraäänisuojauksen mukaisesti, mikä on selkeästi merkitty :
Henkilötietojen suojaamiseen tähtäävät tekniset toimenpiteet toteutetaan käyttämällä tietoturvatyökaluja, mukaan lukien ohjelmisto- (laitteisto)työkalut, joissa ne on toteutettu ja joilla on tarvittavat suojaustoiminnot.
Käytettäessä tietoturvavaatimusten mukaisesti sertifioituja tietoturvatyökaluja tietojärjestelmissä:
Todellisuus: Laki ei edellytä sertifioitujen suojavarusteiden pakollista käyttöä.
Myytti 6. Tarvitsen kryptosuojauksen
Tässä on muutamia vivahteita:
- Monet ihmiset uskovat, että salaus on pakollinen jokaiselle ISPD:lle. Itse asiassa niitä tulisi käyttää vain, jos operaattori ei näe itselleen muita suojatoimenpiteitä kuin kryptografian käyttöä.
- Jos et tule toimeen ilman kryptografiaa, sinun on käytettävä FSB:n sertifioimaa CIPF:ää.
- Päätät esimerkiksi isännöidä ISPD:tä palveluntarjoajan pilvessä, mutta et luota siihen. Kuvaat huolesi uhka- ja tunkeilijamallilla. Sinulla on henkilökohtaisia tietoja, joten päätit, että salaus on ainoa tapa suojautua: salaat virtuaalikoneita, rakennat suojattuja kanavia salaussuojauksella. Tässä tapauksessa sinun on käytettävä Venäjän FSB:n sertifioimaa CIPF:ää.
- Sertifioitu CIPF valitaan tietyn turvallisuustason mukaisesti .
ISPDn:ssä UZ-3:lla voit käyttää KS1, KS2, KS3. KS1 on esimerkiksi C-Terra Virtual Gateway 4.2 kanavien suojaamiseen.
KC2, KS3 edustavat vain ohjelmisto- ja laitteistojärjestelmät, kuten: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway jne.
Jos sinulla on UZ-2 tai 1, tarvitset luokkien KV1, 2 ja KA salaussuojausvälineet. Nämä ovat erityisiä ohjelmisto- ja laitteistojärjestelmiä, niitä on vaikea käyttää ja niiden suorituskykyominaisuudet ovat vaatimattomat.
Todellisuus: Laki ei velvoita käyttämään FSB:n sertifioimaa CIPF:ää.
Lähde: will.com