Hoi allegearre! Ik rinne de DataLine cyber ferdigening sintrum. Klanten komme nei ús mei de taak om te foldwaan oan de easken fan 152-FZ yn 'e wolk of op fysike ynfrastruktuer.
Yn hast elk projekt is it nedich om edukatyf wurk út te fieren om de myten om dizze wet te ûntbinen. Ik haw de meast foarkommende misferstannen sammele dy't kostber wêze kinne foar it budzjet en it senuwstelsel fan 'e operator fan persoanlike gegevens. Ik sil daliks in foarbehâld meitsje dat gefallen fan steatskantoaren (GIS) dy't dwaande binne mei steatsgeheimen, KII, ensfh.
Myte 1. Ik ynstallearre in antivirus, in brânmuorre, en omjûn de rekken mei in hek. Folgje ik de wet?
152-FZ giet net oer de beskerming fan systemen en servers, mar oer de beskerming fan persoanlike gegevens fan ûnderwerpen. Dêrom begjint it neilibjen fan 152-FZ net mei in antivirus, mar mei in grut oantal stikken papier en organisatoaryske problemen.
De haadynspekteur, Roskomnadzor, sil net sjen nei de oanwêzigens en tastân fan technyske middels fan beskerming, mar nei de juridyske basis foar de ferwurking fan persoanlike gegevens (PD):
- foar hokker doel sammelje jo persoanlike gegevens;
- oft jo mear sammelje dan jo nedich binne foar jo doelen;
- hoe lang bewarje jo persoanlike gegevens;
- is der in belied foar it ferwurkjen fan persoanlike gegevens;
- Sammelje jo tastimming foar it ferwurkjen fan persoanlike gegevens, grinzen oerdracht, ferwurkjen troch tredden, ensfh.
De antwurden op dizze fragen, lykas de prosessen sels, moatte wurde opnommen yn passende dokuminten. Hjir is in fier fan folsleine list fan wat in operator foar persoanlike gegevens moat tariede:
- In standert tastimmingformulier foar it ferwurkjen fan persoanlike gegevens (dit binne de blêden dy't wy no hast oeral ûndertekenje wêr't wy ús folsleine nammen en paspoartgegevens litte).
- Operator's belied oangeande de ferwurking fan persoanlike gegevens ( d'r binne oanbefellings foar ûntwerp).
- Oardering oer de beneaming fan in persoan ferantwurdlik foar it organisearjen fan de ferwurking fan persoanlike gegevens.
- Taakbeskriuwing fan de persoan ferantwurdlik foar it organisearjen fan de ferwurking fan persoanlike gegevens.
- Regels foar ynterne kontrôle en (of) kontrôle fan it neilibjen fan PD-ferwurking mei wetlike easken.
- List fan ynformaasjesystemen foar persoanlike gegevens (ISPD).
- Regeljouwing foar it jaan fan it ûnderwerp tagong ta syn persoanlike gegevens.
- Ynsidint ûndersyk regeljouwing.
- Oardering oer de talitting fan meiwurkers ta de ferwurking fan persoanlike gegevens.
- Regeljouwing foar ynteraksje mei tafersjochhâlders.
- Notifikaasje fan RKN, ensfh.
- Ynstruksjeformulier foar PD-ferwurking.
- ISPD bedriging model.
Nei it oplossen fan dizze problemen, kinne jo begjinne te selektearjen spesifike maatregels en technyske middels. Hokker jo nedich binne hinget ôf fan 'e systemen, har bedriuwsbetingsten en hjoeddeistige bedrigingen. Mar dêr letter mear oer.
Werklikheid: neilibjen fan 'e wet is de oprjochting en neilibjen fan bepaalde prosessen, earst fan alle, en allinnich twadde - it brûken fan spesjale technyske middels.
Myte 2. Ik bewarje persoanlike gegevens yn 'e wolk, in datasintrum dat foldocht oan de easken fan 152-FZ. No binne se ferantwurdlik foar it hanthavenjen fan de wet
As jo de opslach fan persoanlike gegevens útbesteegje oan in wolkprovider of datasintrum, stopje jo net in operator foar persoanlike gegevens te wêzen.
Lit ús de definysje út 'e wet oanroppe foar help:
Ferwurkjen fan persoanlike gegevens - elke aksje (operaasje) of set fan aksjes (operaasjes) útfierd mei help fan automatisearringsynstruminten of sûnder it brûken fan sokke middels mei persoanlike gegevens, ynklusyf sammeljen, opnimmen, systematisearjen, sammeljen, opslaan, ferdúdlikjen (bywurkjen, feroarjen), ekstraksje, gebrûk, oerdracht (distribúsje, foarsjenning, tagong), depersonalisaasje, blokkearjen, wiskjen, ferneatiging fan persoanlike gegevens.
Boarne: artikel 3,
Fan al dizze aksjes is de tsjinstferliener ferantwurdlik foar it bewarjen en ferneatigjen fan persoanlike gegevens (as de klant it kontrakt mei him beëiniget). Al it oare wurdt levere troch de operator fan persoanlike gegevens. Dat betsjut dat de operator, en net de tsjinstferliener, it belied foar it ferwurkjen fan persoanlike gegevens bepaalt, ûndertekene tastimmingen foar de ferwurking fan persoanlike gegevens fan syn kliïnten krijt, gefallen fan lekken fan persoanlike gegevens oan tredden foarkomt en ûndersiket, ensfh.
Dêrtroch moat de operator fan persoanlike gegevens noch de dokuminten sammelje dy't hjirboppe neamd binne en organisatoaryske en technyske maatregels útfiere om har PDIS te beskermjen.
Typysk helpt de provider de operator troch te garandearjen neilibjen fan wetlike easken op it ynfrastruktuernivo wêr't de ISPD fan 'e operator sil sitte: racks mei apparatuer of de wolk. Hy sammelet ek in pakket fan dokuminten, nimt organisatoaryske en technyske maatregels foar syn stik ynfrastruktuer yn oerienstimming mei 152-FZ.
Guon providers helpe mei papierwurk en it oanbieden fan technyske feiligensmaatregels foar de ISDN's sels, dus op in nivo boppe de ynfrastruktuer. De eksploitant kin dizze taken ek útbesteegje, mar de ferantwurdlikens en ferplichtingen ûnder de wet ferdwine net.
Werklikheid: Troch de tsjinsten fan in provider of datasintrum te brûken, kinne jo de ferantwurdlikheden fan in operator foar persoanlike gegevens net oan him oerdrage en fan ferantwurdlikens kwytreitsje. As de provider jo dit belooft, dan liegt er, om it licht te sizzen.
Myte 3. Ik haw it nedige pakket fan dokuminten en maatregels. Ik bewarje persoanlike gegevens by in provider dy't belooft neilibjen fan 152-FZ. Is alles yn oarder?
Ja, as jo ûnthâlde de bestelling te tekenjen. By wet kin de operator de ferwurking fan persoanlike gegevens oan in oare persoan tafertrouwe, bygelyks deselde tsjinstferliener. In bestelling is in soarte fan oerienkomst dy't oplist wat de tsjinstferliener kin dwaan mei de persoanlike gegevens fan 'e operator.
De operator hat it rjocht om de ferwurking fan persoanlike gegevens oan in oare persoan te fertrouwen mei de tastimming fan it ûnderwerp fan persoanlike gegevens, útsein as oars bepaald troch federale wet, op basis fan in oerienkomst sletten mei dizze persoan, ynklusyf in steats- of gemeentlike kontrakt, of troch it fêststellen fan in relevante hanneling troch in steats- of gemeentlik orgaan (hjirnei oantsjutten as de opdrachtexploitant). De persoan dy't persoanlike gegevens ferwurket út namme fan 'e operator is ferplichte om te foldwaan oan' e begjinsels en regels foar it ferwurkjen fan persoanlike gegevens foarsjoen troch dizze federale wet.
Boarne:
De ferplichting fan 'e provider om de fertroulikens fan persoanlike gegevens te behâlden en har feiligens te garandearjen yn oerienstimming mei de spesifisearre easken is ek fêststeld:
De opdracht fan 'e operator moat in list definiearje mei aksjes (operaasjes) mei persoanlike gegevens dy't sille wurde útfierd troch de persoan dy't persoanlike gegevens ferwurket en de doelen fan ferwurking, de ferplichting fan sa'n persoan moat fêststeld wurde om de fertroulikens fan persoanlike gegevens te behâlden en te garandearjen feiligens fan persoanlike gegevens tidens harren ferwurking, likegoed as easken foar de beskerming fan ferwurke persoanlike gegevens moatte wurde spesifisearre yn oerienstimming mei fan dizze federale wet.
Boarne:
Dêrfoar is de provider ferantwurdlik foar de operator, en net foar it ûnderwerp fan persoanlike gegevens:
As de operator de ferwurking fan persoanlike gegevens oan in oare persoan fertrout, is de operator ferantwurdlik foar it ûnderwerp fan persoanlike gegevens foar de aksjes fan 'e oantsjutte persoan. De persoan dy't persoanlike gegevens ferwurket út namme fan 'e operator is ferantwurdlik foar de operator.
Boarne: .
It is ek wichtich om yn 'e folchoarder de ferplichting te bepalen om de beskerming fan persoanlike gegevens te garandearjen:
De feiligens fan persoanlike gegevens by ferwurking yn in ynformaasjesysteem wurdt garandearre troch de operator fan dit systeem, dy't persoanlike gegevens ferwurket (hjirnei oantsjutten as de operator), of troch de persoan dy't persoanlike gegevens ferwurket út namme fan de operator op basis fan in oerienkomst sletten mei dizze persoan (hjirnei oantsjutten as de autorisearre persoan). De oerienkomst tusken de operator en de autorisearre persoan moat soargje foar de ferplichting fan 'e autorisearre persoan om de feiligens fan persoanlike gegevens te garandearjen by ferwurking yn it ynformaasjesysteem.
Boarne:
Werklikheid: As jo persoanlike gegevens oan 'e provider jouwe, tekenje dan de bestelling. Jou yn 'e oarder de eask oan om de beskerming fan persoanlike gegevens fan' e ûnderwerpen te garandearjen. Oars, jo net foldwaan oan de wet oangeande de oerdracht fan persoanlike gegevens ferwurkjen wurk oan in tredde partij, en de provider is net skuldich jo neat oangeande it neilibjen fan 152-FZ.
Myte 4. De Mossad bespionearret my, of ik haw perfoarst in UZ-1
Guon klanten bewize oanhâldend dat se in ISPD hawwe fan feiligensnivo 1 of 2. Meast faak is dit net it gefal. Litte wy de hardware ûnthâlde om út te finen wêrom't dit bart.
De LO, of feiligensnivo, bepaalt wêrfoar jo jo persoanlike gegevens sille beskermje.
It nivo fan feiligens wurdt beynfloede troch de folgjende punten:
- soarte fan persoanlike gegevens (spesjaal, biometrysk, iepenbier beskikber en oaren);
- wa is eigner fan de persoanlike gegevens - meiwurkers of net-meiwurkers fan de persoanlike gegevens operator;
- oantal persoanlike gegevens ûnderwerpen - mear of minder 100 tûzen.
- soarten hjoeddeistige bedrigings.
Fertelt ús oer soarten bedrigingen . Hjir is in beskriuwing fan elk mei myn fergese oersetting yn minsklike taal.
Bedrigingen fan it 1e type binne relevant foar in ynformaasjesysteem as bedrigingen dy't ferbûn binne mei de oanwêzigens fan net-dokumintearre (net ferklearre) mooglikheden yn 'e systeemsoftware dy't brûkt wurdt yn it ynformaasjesysteem dêrfoar ek relevant binne.
As jo dit type bedriging as relevant erkenne, dan leauwe jo fêst dat aginten fan 'e CIA, MI6 of MOSSAD in blêdwizer yn it bestjoeringssysteem pleatst hawwe om persoanlike gegevens fan spesifike ûnderwerpen fan jo ISPD te stellen.
Bedrigingen fan it 2e type binne relevant foar in ynformaasjesysteem as bedrigingen dy't ferbûn binne mei de oanwêzigens fan net-dokumintearre (net ferklearre) mooglikheden yn 'e applikaasjesoftware dy't brûkt wurdt yn it ynformaasjesysteem dêrfoar ek relevant binne.
As jo tinke dat bedrigingen fan it twadde type jo gefal binne, dan sliepe jo en sjoch hoe't deselde aginten fan 'e CIA, MI6, MOSSAD, in kweade iensume hacker of groep blêdwizers pleatst hawwe yn wat kantoarsoftwarepakket om krekt op te jagen jo persoanlike gegevens. Ja, d'r is dubieuze applikaasjesoftware lykas μTorrent, mar jo kinne in list meitsje mei tastiene software foar ynstallaasje en in oerienkomst tekenje mei brûkers, gjin brûkers lokale behearderrjochten jaan, ensfh.
Type 3-bedrigingen binne relevant foar in ynformaasjesysteem as bedrigingen dy't net relatearje oan de oanwêzigens fan net-dokumintearre (net-ferklearre) mooglikheden yn it systeem en tapassingssoftware dy't brûkt wurdt yn it ynformaasjesysteem dêrfoar relevant binne.
Bedrigings fan typen 1 en 2 binne net geskikt foar jo, dus dit is it plak foar jo.
Wy hawwe de soarten bedrigingen sorteare, litte wy no sjen op hokker nivo fan feiligens ús ISPD sil hawwe.
Tabel basearre op de korrespondinsjes spesifisearre yn .
As wy keas foar it tredde type fan eigentlike bedrigingen, dan hawwe wy yn 'e measte gefallen UZ-3. De ienige útsûndering, doe't bedrigings fan typen 1 en 2 binne net relevant, mar it nivo fan feiligens sil noch wêze heech (UZ-2), binne bedriuwen dy't ferwurkje spesjale persoanlike gegevens fan net-meiwurkers yn it bedrach fan mear as 100 Foar bygelyks bedriuwen dwaande mei medyske diagnostyk en it leverjen fan medyske tsjinsten.
Der is ek UZ-4, en it wurdt fûn benammen yn bedriuwen waans bedriuw is net yn ferbân mei de ferwurking fan persoanlike gegevens fan net-meiwurkers, i.e. kliïnten of oannimmers, of de persoanlike gegevens bases binne lyts.
Wêrom is it sa wichtich om it net te oerdriuwen mei it nivo fan feiligens? It is ienfâldich: de set fan maatregels en beskermingsmiddels om dit krekte nivo fan feiligens te garandearjen sil hjirfan ôfhingje. Hoe heger it kennisnivo, hoe mear der organisatoarysk en technysk dien wurde moat (lês: hoe mear jild en senuwen moatte wurde útjûn).
Hjir is bygelyks hoe't de set fan feiligensmaatregels feroaret yn oerienstimming mei deselde PP-1119.
Litte wy no sjen hoe't, ôfhinklik fan it selektearre nivo fan feiligens, de list fan nedige maatregels feroaret yn oerienstimming mei Der is in lange taheakke oan dit dokumint, dêr't de nedige maatregels definieare. D'r binne yn totaal 109 fan har, foar elke KM wurde ferplichte maatregels definieare en markearre mei in "+" teken - se wurde krekt berekkene yn 'e tabel hjirûnder. As jo allinich dejingen litte dy't nedich binne foar UZ-3, krije jo 4.
Werklikheid: as jo gjin tests of biometrie sammelje fan kliïnten, binne jo net paranoïde oer blêdwizers yn systeem- en applikaasjesoftware, dan hawwe jo wierskynlik UZ-3. It hat in ridlike list fan organisatoaryske en technyske maatregels dy't eins kinne wurde útfierd.
Myte 5. Alle middels foar it beskermjen fan persoanlike gegevens moatte sertifisearre wurde troch de FSTEC fan Ruslân
As jo sertifikaasje wolle of binne ferplichte om sertifisearring út te fieren, dan sille jo wierskynlik sertifisearre beskermjende apparatuer moatte brûke. De sertifikaasje sil wurde útfierd troch in lisinsjenimmer fan 'e FSTEC fan Ruslân, dy't:
- ynteressearre yn it ferkeapjen fan mear sertifisearre apparaten foar beskerming fan ynformaasje;
- sil bang wêze dat de lisinsje troch de tafersjochhâlder ynlutsen wurdt as der wat mis giet.
As jo net nedich sertifisearring en jo binne ree om te befêstigjen neilibjen fan de easken op in oare wize, neamd yn "It beoardieljen fan de effektiviteit fan maatregels útfierd binnen it systeem foar beskerming fan persoanlike gegevens om de feiligens fan persoanlike gegevens te garandearjen," dan binne sertifisearre ynformaasjebefeiligingssystemen net foar jo ferplicht. Ik sil besykje de reden koart út te lizzen.
В stelt dat it nedich is om beskermingsapparatuer te brûken dy't de proseduere foar konformiteitsbeoardieling hat ûndergien yn oerienstimming mei de fêststelde proseduere:
It garandearjen fan de feiligens fan persoanlike gegevens wurdt berikt, benammen:
[...]
3)применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
В D'r is ek in eask om ark foar ynformaasjefeiligens te brûken dy't de proseduere hawwe trochjûn foar it beoardieljen fan neilibjen fan wetlike easken:
[...]
использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
praktysk duplikearret paragraaf PP-1119:
Maatregels om de feiligens fan persoanlike gegevens te garandearjen wurde útfierd, ûnder oaren troch it brûken fan ark foar ynformaasjefeiligens yn it ynformaasjesysteem dy't de proseduere foar konformiteitbeoardieling hawwe trochjûn yn oerienstimming mei de fêststelde proseduere, yn gefallen wêr't it gebrûk fan sokke ark nedich is om aktuele bedrigingen foar de feiligens fan persoanlike gegevens neutralisearje.
Wat hawwe dizze formulearringen mienskiplik? Dat is krekt - se hawwe gjin gebrûk fan sertifisearre beskermjende apparatuer nedich. It feit is dat d'r ferskate foarmen fan konformiteitsbeoardieling binne (frijwillige as ferplichte sertifikaasje, konformiteitsferklearring). Sertifikaasje is mar ien fan har. De operator kin net-sertifisearre produkten brûke, mar sil by ynspeksje oan de tafersjochhâlder moatte demonstrearje dat se ien of oare foarm fan konformiteitsbeoardielingsproseduere hawwe ûndergien.
As de operator beslút om sertifisearre beskermingsapparatuer te brûken, dan is it needsaaklik om it systeem foar ynformaasjebeskerming te selektearjen yn oerienstimming mei de ultrasoundbeskerming, dy't dúdlik oanjûn is yn :
Technyske maatregels om persoanlike gegevens te beskermjen wurde útfierd troch it brûken fan ark foar ynformaasjefeiligens, ynklusyf software (hardware) ark wêryn se wurde ymplementearre, dy't de nedige feiligensfunksjes hawwe.
By it brûken fan ark foar ynformaasjefeiligens sertifisearre neffens easken foar ynformaasjefeiligens yn ynformaasjesystemen:
Werklikheid: De wet fereasket it ferplichte gebrûk fan sertifisearre beskermingsapparatuer net.
Myte 6. Ik haw Krypto-beskerming nedich
D'r binne hjir in pear nuânses:
- In protte minsken leauwe dat kryptografy ferplicht is foar elke ISPD. Eins moatte se allinich brûkt wurde as de operator gjin oare beskermingsmaatregels foar himsels sjocht as it gebrûk fan kryptografy.
- As jo net kinne sûnder kryptografy, dan moatte jo CIPF-sertifisearre troch de FSB brûke.
- Jo beslute bygelyks om in ISPD te hostjen yn 'e wolk fan in tsjinstferliener, mar jo fertrouwe it net. Jo beskriuwe jo soargen yn in bedrigings- en ynkringermodel. Jo hawwe persoanlike gegevens, dus jo hawwe besletten dat kryptografy de ienige manier is om josels te beskermjen: jo sille firtuele masines fersiferje, feilige kanalen bouwe mei kryptografyske beskerming. Yn dit gefal sille jo CIPF moatte brûke sertifisearre troch de FSB fan Ruslân.
- Sertifisearre CIPF wurde selektearre yn oerienstimming mei in bepaald nivo fan feiligens neffens .
Foar ISPDn mei UZ-3 kinne jo KS1, KS2, KS3 brûke. KS1 is bygelyks C-Terra Virtual Gateway 4.2 foar kanaal beskerming.
KC2, KS3 wurde allinich fertsjintwurdige troch software- en hardwaresystemen, lykas: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway, ensfh.
As jo UZ-2 of 1 hawwe, dan sille jo kryptografyske beskermingsmiddels fan klasse KV1, 2 en KA nedich hawwe. Dit binne spesifike software- en hardwaresystemen, se binne lestich te betsjinjen, en har prestaasjes skaaimerken binne beskieden.
Werklikheid: De wet ferplichtet it gebrûk fan CIPF sertifisearre troch de FSB net.
Boarne: www.habr.com