Salut tout le monde! Je dirige le DataLine Cyber Defense Center. Les clients nous confient la tâche de répondre aux exigences du 152-FZ dans le cloud ou sur une infrastructure physique.
Dans presque tous les projets, il est nécessaire de réaliser un travail pédagogique pour démystifier les mythes autour de cette loi. J'ai rassemblé les idées fausses les plus courantes qui peuvent coûter cher au budget et au système nerveux de l'opérateur de données personnelles. Je ferai immédiatement une réserve sur le fait que les cas des bureaux d'État (GIS) traitant des secrets d'État, des KII, etc. resteront en dehors du champ d'application de cet article.
Mythe 1. J'ai installé un antivirus, un pare-feu et entouré les racks d'une clôture. Est-ce que je respecte la loi ?
152-FZ ne concerne pas la protection des systèmes et des serveurs, mais la protection des données personnelles des sujets. Par conséquent, le respect du 152-FZ ne commence pas par un antivirus, mais par un grand nombre de morceaux de papier et de problèmes d'organisation.
L'inspecteur principal de Roskomnadzor n'examinera pas la présence et l'état des moyens techniques de protection, mais la base juridique du traitement des données personnelles (PD) :
- dans quel but collectez-vous des données personnelles ;
- si vous en collectez plus que ce dont vous avez besoin pour vos besoins ;
- combien de temps conservez-vous les données personnelles ;
- existe-t-il une politique de traitement des données personnelles ;
- Collectez-vous le consentement pour le traitement des données personnelles, le transfert transfrontalier, le traitement par des tiers, etc.
Les réponses à ces questions, ainsi que les processus eux-mêmes, doivent être consignés dans des documents appropriés. Voici une liste loin d’être complète de ce qu’un opérateur de données personnelles doit préparer :
- Un formulaire de consentement standard pour le traitement des données personnelles (ce sont les feuilles que nous signons désormais presque partout où nous laissons nos noms complets et les détails de notre passeport).
- Politique de l'opérateur concernant le traitement des données personnelles ( il existe des recommandations pour la conception).
- Arrêté portant nomination d'un responsable de l'organisation du traitement des données à caractère personnel.
- Description du poste du responsable de l'organisation du traitement des données personnelles.
- Règles de contrôle interne et (ou) d'audit de conformité du traitement des DP aux exigences légales.
- Liste des systèmes d'information sur les données personnelles (ISPD).
- Règlement pour permettre au sujet d'accéder à ses données personnelles.
- Règlements sur les enquêtes sur les incidents.
- Arrêté sur l'admission des salariés au traitement des données personnelles.
- Réglementations pour l'interaction avec les régulateurs.
- Notification de RKN, etc.
- Formulaire d’instructions pour le traitement PD.
- Modèle de menace ISPD.
Après avoir résolu ces problèmes, vous pouvez commencer à sélectionner des mesures et des moyens techniques spécifiques. Ceux dont vous avez besoin dépendent des systèmes, de leurs conditions de fonctionnement et des menaces actuelles. Mais plus là-dessus plus tard.
La réalité: le respect de la loi est l'établissement et le respect de certains processus, tout d'abord, et ensuite seulement - l'utilisation de moyens techniques spéciaux.
Mythe 2. Je stocke les données personnelles dans le cloud, un centre de données qui répond aux exigences du 152-FZ. Ils sont désormais responsables de l'application de la loi
Lorsque vous sous-traitez le stockage de données personnelles à un fournisseur de cloud ou à un centre de données, vous ne cessez pas d'être un opérateur de données personnelles.
Faisons appel à la définition de la loi :
Traitement des données personnelles – toute action (opération) ou ensemble d'actions (opérations) effectuée à l'aide d'outils d'automatisation ou sans l'utilisation de tels moyens avec des données personnelles, y compris la collecte, l'enregistrement, la systématisation, l'accumulation, le stockage, la clarification (mise à jour, modification), extraction, utilisation, transfert (distribution, mise à disposition, accès), dépersonnalisation, blocage, suppression, destruction de données personnelles.
Source : article 3,
Parmi toutes ces actions, le prestataire est responsable de la conservation et de la destruction des données personnelles (lorsque le client met fin au contrat avec lui). Tout le reste est fourni par l'opérateur de données personnelles. Cela signifie que l'opérateur, et non le prestataire de services, détermine la politique de traitement des données personnelles, obtient des consentements signés pour le traitement des données personnelles de ses clients, prévient et enquête sur les cas de fuite de données personnelles vers des tiers, etc.
Par conséquent, l’opérateur de données personnelles doit néanmoins collecter les documents qui ont été listés ci-dessus et mettre en œuvre des mesures organisationnelles et techniques pour protéger son PDIS.
Généralement, le fournisseur aide l’opérateur en garantissant le respect des exigences légales au niveau de l’infrastructure où sera situé l’ISPD de l’opérateur : racks avec équipements ou cloud. Il rassemble également un ensemble de documents, prend des mesures organisationnelles et techniques pour son infrastructure conformément au 152-FZ.
Certains fournisseurs aident à remplir les formalités administratives et à fournir des mesures de sécurité techniques pour les RNIS eux-mêmes, c'est-à-dire à un niveau supérieur à l'infrastructure. L'opérateur peut également externaliser ces tâches, mais la responsabilité et les obligations légales ne disparaissent pas.
La réalité: En utilisant les services d'un prestataire ou d'un centre de données, vous ne pouvez pas lui transférer les responsabilités d'un opérateur de données personnelles et vous débarrasser de toute responsabilité. Si le fournisseur vous le promet, alors, c'est un euphémisme, il ment.
Mythe 3. J'ai l'ensemble des documents et mesures nécessaires. Je stocke les données personnelles chez un fournisseur qui promet le respect du 152-FZ. Est-ce que tout est en ordre ?
Oui, si vous pensez à signer la commande. Selon la loi, l'opérateur peut confier le traitement des données personnelles à une autre personne, par exemple le même prestataire de services. Une commande est une sorte d’accord qui énumère ce que le prestataire peut faire avec les données personnelles de l’opérateur.
L'opérateur a le droit de confier le traitement des données personnelles à une autre personne avec le consentement de la personne concernée, sauf disposition contraire de la loi fédérale, sur la base d'un accord conclu avec cette personne, y compris un contrat étatique ou municipal, ou par l'adoption d'un acte pertinent par un organisme étatique ou municipal (ci-après dénommé l'opérateur de mission). La personne traitant des données personnelles pour le compte de l'opérateur est tenue de se conformer aux principes et règles de traitement des données personnelles prévus par la présente loi fédérale.
Source:
L'obligation du prestataire de maintenir la confidentialité des données personnelles et d'assurer leur sécurité conformément aux exigences spécifiées est également établie :
Les instructions de l'opérateur doivent définir une liste d'actions (opérations) avec des données personnelles qui seront effectuées par la personne traitant les données personnelles et les finalités du traitement, l'obligation d'une telle personne doit être établie pour maintenir la confidentialité des données personnelles et assurer la la sécurité des données personnelles lors de leur traitement, ainsi que les exigences relatives à la protection des données personnelles traitées doivent être précisées conformément à de cette loi fédérale.
Source:
Pour cela, le prestataire est responsable envers l'opérateur, et non envers le sujet des données personnelles :
Si l'opérateur confie le traitement des données personnelles à une autre personne, l'opérateur est responsable envers le sujet des données personnelles des actions de la personne spécifiée. La personne qui traite les données personnelles au nom de l'opérateur est responsable envers l'opérateur.
Source: .
Il est également important de stipuler dans l'arrêté l'obligation d'assurer la protection des données personnelles :
La sécurité des données personnelles lors du traitement dans un système d'information est assurée par l'opérateur de ce système, qui traite les données personnelles (ci-après dénommé l'opérateur), ou par la personne traitant les données personnelles pour le compte de l'opérateur sur la base d'un accord conclu avec cette personne (ci-après dénommée la personne autorisée). L'accord entre l'opérateur et la personne habilitée doit prévoir l'obligation de la personne habilitée d'assurer la sécurité des données personnelles lors de leur traitement dans le système d'information.
Source:
La réalité: Si vous fournissez des données personnelles au fournisseur, signez la commande. Dans la commande, indiquer l’obligation d’assurer la protection des données personnelles des sujets. Dans le cas contraire, vous ne respectez pas la loi relative au transfert du traitement des données personnelles à un tiers et le prestataire ne vous doit rien en ce qui concerne le respect du 152-FZ.
Mythe 4. Le Mossad m'espionne, ou j'ai définitivement un UZ-1
Certains clients prouvent constamment qu'ils disposent d'un ISPD de niveau de sécurité 1 ou 2. Le plus souvent, ce n'est pas le cas. Rappelons-nous le matériel pour comprendre pourquoi cela se produit.
Le LO, ou niveau de sécurité, détermine contre quoi vous protégerez vos données personnelles.
Le niveau de sécurité est affecté par les points suivants :
- type de données personnelles (spéciales, biométriques, accessibles au public et autres) ;
- à qui appartiennent les données personnelles - employés ou non-employés de l'opérateur de données personnelles ;
- nombre de personnes concernées – plus ou moins 100 XNUMX.
- types de menaces actuelles.
Nous parle des types de menaces . Voici une description de chacun avec ma traduction gratuite en langage humain.
Les menaces de type 1 sont pertinentes pour un système d'information si les menaces associées à la présence de fonctionnalités non documentées (non déclarées) dans le logiciel système utilisé dans le système d'information le sont également.
Si vous reconnaissez ce type de menace comme pertinent, alors vous croyez fermement que des agents de la CIA, du MI6 ou du MOSSAD ont placé un signet dans le système d'exploitation pour voler les données personnelles de sujets spécifiques à votre ISPD.
Les menaces du 2ème type sont pertinentes pour un système d'information si les menaces associées à la présence de fonctionnalités non documentées (non déclarées) dans le logiciel d'application utilisé dans le système d'information le sont également.
Si vous pensez que les menaces du deuxième type sont votre cas, alors vous dormez et voyez comment les mêmes agents de la CIA, du MI6, du MOSSAD, un hacker solitaire ou un groupe maléfique ont placé des signets dans un logiciel de bureau afin de rechercher exactement vos données personnelles. Oui, il existe des logiciels d'application douteux comme μTorrent, mais vous pouvez dresser une liste des logiciels autorisés à être installés et signer un accord avec les utilisateurs, sans leur accorder de droits d'administrateur local, etc.
Les menaces de type 3 sont pertinentes pour un système d'information si les menaces qui ne sont pas liées à la présence de fonctionnalités non documentées (non déclarées) dans le système et aux logiciels d'application utilisés dans le système d'information le sont.
Les menaces de types 1 et 2 ne vous conviennent pas, c'est donc l'endroit qu'il vous faut.
Nous avons trié les types de menaces, regardons maintenant quel niveau de sécurité aura notre ISPD.
Tableau basé sur les correspondances spécifiées dans .
Si nous choisissons le troisième type de menaces réelles, nous aurons dans la plupart des cas UZ-3. La seule exception, lorsque les menaces des types 1 et 2 ne sont pas pertinentes, mais que le niveau de sécurité reste élevé (UZ-2), concerne les entreprises qui traitent plus de 100 000 données personnelles spéciales de non-employés. par exemple, les entreprises engagées dans le diagnostic médical et la fourniture de services médicaux.
Il existe également l'UZ-4, et on le trouve principalement dans les entreprises dont l'activité n'est pas liée au traitement de données personnelles de non-employés, c'est-à-dire de clients ou de sous-traitants, ou dont les bases de données personnelles sont petites.
Pourquoi est-il si important de ne pas en faire trop avec le niveau de sécurité ? C’est simple : l’ensemble des mesures et moyens de protection pour assurer ce même niveau de sécurité en dépendra. Plus le niveau de connaissances est élevé, plus il faudra faire en termes organisationnels et techniques (lire : plus il faudra dépenser d'argent et de nerfs).
Voici, par exemple, comment l'ensemble des mesures de sécurité évolue conformément au même PP-1119.
Voyons maintenant comment, en fonction du niveau de sécurité choisi, la liste des mesures nécessaires évolue en fonction de Une longue annexe à ce document définit les mesures nécessaires. Il y en a 109 au total, pour chaque KM les mesures obligatoires sont définies et marquées d'un signe « + » - elles sont précisément calculées dans le tableau ci-dessous. Si vous ne laissez que ceux nécessaires à l'UZ-3, vous en obtenez 4.
La réalité: si vous ne collectez pas de tests ou de données biométriques auprès des clients, vous n'êtes pas paranoïaque à propos des signets dans les logiciels système et d'application, alors vous avez probablement UZ-3. Il contient une liste raisonnable de mesures organisationnelles et techniques qui peuvent effectivement être mises en œuvre.
Mythe 5. Tous les moyens de protection des données personnelles doivent être certifiés par le FSTEC de Russie
Si vous souhaitez ou devez effectuer une certification, vous devrez probablement utiliser un équipement de protection certifié. La certification sera effectuée par un titulaire de licence du FSTEC de Russie, qui :
- intéressé à vendre davantage de dispositifs de protection des informations certifiés ;
- aura peur que la licence soit révoquée par le régulateur en cas de problème.
Si vous n'avez pas besoin de certification et que vous êtes prêt à confirmer la conformité aux exigences d'une autre manière, indiquée dans «Évaluer l'efficacité des mesures mises en œuvre dans le cadre du système de protection des données personnelles pour assurer la sécurité des données personnelles», alors vous n'avez pas besoin de systèmes de sécurité de l'information certifiés. Je vais essayer d'en expliquer brièvement la raison.
В déclare qu'il est nécessaire d'utiliser un équipement de protection ayant subi la procédure d'évaluation de la conformité conformément à la procédure établie:
Assurer la sécurité des données personnelles est réalisé notamment :
[…] 3) l'utilisation de moyens de sécurité de l'information qui ont passé avec succès la procédure d'évaluation de la conformité conformément à la procédure établie.
В Il existe également une obligation d'utiliser des outils de sécurité de l'information ayant passé avec succès la procédure d'évaluation du respect des exigences légales :
[…] l'utilisation d'outils de sécurité de l'information ayant passé avec succès la procédure d'évaluation du respect des exigences de la législation de la Fédération de Russie dans le domaine de la sécurité de l'information, dans les cas où l'utilisation de tels moyens est nécessaire pour neutraliser les menaces actuelles.
fait pratiquement double emploi avec le paragraphe PP-1119 :
Des mesures visant à garantir la sécurité des données personnelles sont mises en œuvre, entre autres, grâce à l'utilisation d'outils de sécurité de l'information dans le système d'information qui ont passé avec succès la procédure d'évaluation de la conformité conformément à la procédure établie, dans les cas où l'utilisation de ces outils est nécessaire pour neutraliser les menaces actuelles à la sécurité des données personnelles.
Quel est le point commun entre ces formulations ? C'est vrai, ils ne nécessitent pas l'utilisation d'équipements de protection certifiés. En effet, il existe plusieurs formes d'évaluation de la conformité (certification volontaire ou obligatoire, déclaration de conformité). La certification n’en est qu’une parmi d’autres. L'opérateur peut utiliser des produits non certifiés, mais devra démontrer au régulateur lors de l'inspection qu'ils ont subi une certaine forme de procédure d'évaluation de la conformité.
Si l'opérateur décide d'utiliser un équipement de protection certifié, il est alors nécessaire de sélectionner le système de protection de l'information en fonction de la protection contre les ultrasons, qui est clairement indiquée dans :
Les mesures techniques visant à protéger les données personnelles sont mises en œuvre grâce à l'utilisation d'outils de sécurité de l'information, y compris les outils logiciels (matériels) dans lesquels elles sont mises en œuvre, qui disposent des fonctions de sécurité nécessaires.
Lors de l'utilisation d'outils de sécurité de l'information certifiés selon les exigences de sécurité de l'information dans les systèmes d'information :
La réalité: La loi n'exige pas l'utilisation obligatoire d'équipements de protection certifiés.
Mythe 6. J'ai besoin d'une protection cryptographique
Il y a quelques nuances ici :
- De nombreuses personnes pensent que la cryptographie est obligatoire pour tout ISPD. En fait, ils ne doivent être utilisés que si l'opérateur ne voit pas d'autres mesures de protection pour lui-même que l'utilisation de la cryptographie.
- Si vous ne pouvez pas vous passer de la cryptographie, vous devez alors utiliser le CIPF certifié par le FSB.
- Par exemple, vous décidez d’héberger un ISPD dans le cloud d’un fournisseur de services, mais vous ne lui faites pas confiance. Vous décrivez vos préoccupations dans un modèle de menace et d’intrus. Vous disposez de données personnelles, vous avez donc décidé que la cryptographie est le seul moyen de vous protéger : vous chiffrerez les machines virtuelles, créerez des canaux sécurisés grâce à la protection cryptographique. Dans ce cas, vous devrez utiliser le CIPF certifié par le FSB de Russie.
- Les FCPE certifiés sont sélectionnés selon un certain niveau de sécurité selon .
Pour ISPDn avec UZ-3, vous pouvez utiliser KS1, KS2, KS3. KS1 est, par exemple, C-Terra Virtual Gateway 4.2 pour protéger les canaux.
KC2, KS3 sont représentés uniquement par des systèmes logiciels et matériels, tels que : Coordinateur ViPNet, APKSH "Continent", S-Terra Gateway, etc.
Si vous possédez UZ-2 ou 1, vous aurez alors besoin de moyens de protection cryptographiques de classe KV1, 2 et KA. Il s'agit de systèmes logiciels et matériels spécifiques, difficiles à exploiter et leurs performances sont modestes.
La réalité: La loi n'oblige pas l'utilisation de FCPE certifiés par le FSB.
Source: habr.com