Ola a todos! Levo o Centro de defensa cibernética DataLine. Os clientes achéganse a nós coa tarefa de cumprir os requisitos de 152-FZ na nube ou na infraestrutura física.
En case todos os proxectos cómpre realizar un traballo educativo para desmontar os mitos arredor desta lei. Recollei os erros máis comúns que poden ser custosos para o orzamento e o sistema nervioso do operador de datos persoais. Inmediatamente farei unha reserva para que os casos de oficinas estatais (GIS) que traten con segredos de estado, KII, etc. queden fóra do ámbito deste artigo.
Mito 1. Instalei un antivirus, un cortalumes e rodeei os bastidores cunha cerca. Estou seguindo a lei?
152-FZ non trata da protección de sistemas e servidores, senón da protección dos datos persoais dos suxeitos. Polo tanto, o cumprimento de 152-FZ non comeza cun antivirus, senón cunha gran cantidade de papel e problemas organizativos.
O inspector principal, Roskomnadzor, non analizará a presenza e condición dos medios técnicos de protección, senón a base legal para o tratamento de datos persoais (PD):
- con que finalidade recolle datos persoais;
- se recolle máis deles do que precisa para os seus fins;
- canto tempo almacena os datos persoais;
- existe unha política de tratamento de datos persoais;
- Está a recoller o consentimento para o tratamento de datos persoais, transferencia transfronteiriza, tratamento por terceiros, etc.
As respostas a estas preguntas, así como os propios procesos, deben rexistrarse nos documentos adecuados. Aquí tes unha lista lonxe de ser completa do que debe preparar un operador de datos persoais:
- Un formulario de consentimento estándar para o tratamento de datos persoais (son as follas que agora asinamos case en todas partes onde deixamos o noso nome completo e os datos do pasaporte).
- Política do operador sobre o tratamento de datos persoais ( hai recomendacións para o deseño).
- Orde de designación dun responsable da organización do tratamento dos datos persoais.
- Descrición do posto de traballo da persoa responsable da organización do tratamento dos datos persoais.
- Normas de control interno e (ou) auditoría do cumprimento da tramitación da PD cos requisitos legais.
- Lista de sistemas de información de datos persoais (ISPD).
- Normativa para facilitar ao suxeito o acceso aos seus datos persoais.
- Normativa de investigación de incidentes.
- Orde de admisión de traballadores ao tratamento de datos persoais.
- Normativa de interacción cos reguladores.
- Notificación de RKN, etc.
- Formulario de instrucións para a tramitación da PD.
- Modelo de ameaza ISPD.
Despois de resolver estes problemas, pode comezar a seleccionar medidas específicas e medios técnicos. Cales necesitas depende dos sistemas, das súas condicións de funcionamento e das ameazas actuais. Pero máis diso máis tarde.
Realidade: cumprimento da lei é o establecemento e cumprimento de certos procesos, en primeiro lugar, e só en segundo lugar - o uso de medios técnicos especiais.
Mito 2. Almacenzo datos persoais na nube, un centro de datos que cumpre os requisitos de 152-FZ. Agora son os responsables de facer cumprir a lei
Cando subcontrata o almacenamento de datos persoais a un provedor de nube ou centro de datos, non deixa de ser un operador de datos persoais.
Imos pedir axuda á definición da lei:
Tratamento de datos persoais: calquera acción (operación) ou conxunto de accións (operacións) realizadas utilizando ferramentas de automatización ou sen o uso de tales medios con datos persoais, incluíndo a recollida, gravación, sistematización, acumulación, almacenamento, aclaración (actualización, modificación), extracción, uso, transferencia (distribución, provisión, acceso), despersonalización, bloqueo, supresión, destrución de datos persoais.
Fonte: artigo 3,
De todas estas accións, o provedor do servizo é o responsable de almacenar e destruír os datos persoais (cando o cliente rescinda o contrato con el). Todo o demais é proporcionado polo operador de datos persoais. Isto significa que o operador, e non o provedor do servizo, determina a política de tratamento de datos persoais, obtén consentimentos asinados para o tratamento de datos persoais dos seus clientes, evita e investiga casos de fuga de datos persoais a terceiros, etc.
En consecuencia, o operador de datos persoais aínda debe recoller os documentos que se enumeraron anteriormente e implementar medidas organizativas e técnicas para protexer o seu PDIS.
Normalmente, o provedor axuda ao operador garantindo o cumprimento dos requisitos legais a nivel de infraestrutura onde se situará o ISPD do operador: bastidores con equipos ou a nube. Tamén recolle un paquete de documentos, toma medidas organizativas e técnicas para a súa peza de infraestrutura de acordo co 152-FZ.
Algúns provedores axudan coa documentación e a provisión de medidas técnicas de seguridade para as propias RDSI, é dicir, a un nivel superior á infraestrutura. O operador tamén pode subcontratar estas tarefas, pero a responsabilidade e as obrigas legalmente non desaparecen.
Realidade: Ao utilizar os servizos dun provedor ou centro de datos, non pode transferirlle as responsabilidades dun operador de datos persoais e desfacerse da responsabilidade. Se o provedor che promete isto, entón, por dicilo suavemente, está mentindo.
Mito 3. Teño o paquete de documentos e medidas necesarios. Almacenzo datos persoais cun provedor que promete o cumprimento da 152-FZ. Está todo en orde?
Si, se lembra asinar o pedido. Por lei, o operador pode confiar o tratamento dos datos persoais a outra persoa, por exemplo, ao mesmo provedor de servizos. Unha orde é unha especie de acordo que enumera o que o provedor de servizos pode facer cos datos persoais do operador.
O operador ten dereito a confiar o tratamento dos datos persoais a outra persoa co consentimento do suxeito dos datos persoais, a non ser que a Lei Federal dispoña o contrario, sobre a base dun acordo celebrado con esta persoa, incluíndo un contrato estatal ou municipal, ou mediante a adopción dun acto correspondente por parte dun organismo estatal ou municipal (en diante denominado operador de cesión). A persoa que trate datos persoais por conta do operador está obrigada a cumprir os principios e normas de tratamento de datos persoais previstos nesta Lei Federal.
Fonte:
Tamén se establece a obriga do provedor de manter a confidencialidade dos datos persoais e garantir a súa seguridade de acordo cos requisitos especificados:
A orde do operador debe definir unha lista de accións (operacións) con datos persoais que realizará a persoa que trata os datos persoais e as finalidades do tratamento, debe establecerse a obriga desta persoa de manter a confidencialidade dos datos persoais e garantir a a seguridade dos datos persoais durante o seu tratamento, así como os requisitos para a protección dos datos persoais tratados deben especificarse de conformidade co desta Lei Federal.
Fonte:
Para iso, o provedor é responsable ante o operador, e non ante o suxeito dos datos persoais:
Se o operador confía o tratamento dos datos persoais a outra persoa, o operador é responsable ante o suxeito dos datos persoais das accións da persoa especificada. A persoa que procesa os datos persoais en nome do operador é responsable ante o operador.
Fonte: .
Tamén é importante estipular na orde a obriga de garantir a protección dos datos persoais:
A seguridade dos datos persoais cando se tratan nun sistema de información está garantida polo operador deste sistema, que trata os datos persoais (en diante, o operador), ou pola persoa que trata os datos persoais en nome do operador en base a unha convenio celebrado con esta persoa (en diante, a persoa autorizada). O acordo entre o operador e a persoa autorizada deberá prever a obriga da persoa autorizada de garantir a seguridade dos datos persoais cando se traten no sistema de información.
Fonte:
Realidade: Se proporcionas datos persoais ao provedor, asina o pedido. Na orde, indícase o requisito de garantir a protección dos datos persoais dos suxeitos. En caso contrario, non cumpre coa lei sobre a transferencia de traballos de tratamento de datos persoais a un terceiro e o provedor non lle debe nada respecto ao cumprimento da 152-FZ.
Mito 4. O Mossad está a espiarme, ou definitivamente teño un UZ-1
Algúns clientes demostran de xeito persistente que teñen un ISPD de nivel de seguridade 1 ou 2. A maioría das veces non é así. Lembremos o hardware para descubrir por que ocorre isto.
O LO, ou nivel de seguridade, determina o que protexerá os seus datos persoais.
O nivel de seguridade está afectado polos seguintes puntos:
- tipo de datos persoais (especial, biométricos, de acceso público e outros);
- quen é o propietario dos datos persoais: empregados ou non empregados do operador de datos persoais;
- número de suxeitos de datos persoais - máis ou menos 100 mil.
- tipos de ameazas actuais.
Fálanos dos tipos de ameazas . Aquí tes unha descrición de cada un coa miña tradución gratuíta á linguaxe humana.
As ameazas de tipo 1 son relevantes para un sistema de información se as ameazas asociadas á presenza de capacidades non documentadas (non declaradas) no software do sistema utilizado no sistema de información tamén son relevantes para el.
Se recoñeces este tipo de ameazas como relevantes, entón cres firmemente que axentes da CIA, MI6 ou MOSSAD colocaron un marcador no sistema operativo para roubar datos persoais de suxeitos específicos do teu ISPD.
As ameazas do segundo tipo son relevantes para un sistema de información se as ameazas asociadas á presenza de capacidades non documentadas (non declaradas) no software de aplicación utilizado no sistema de información tamén son relevantes para el.
Se pensas que as ameazas do segundo tipo son o teu caso, entón dormes e ves como os mesmos axentes da CIA, MI6, MOSSAD, un malvado hacker ou grupo solitario colocaron marcadores nalgún paquete de software ofimático para buscar exactamente seus datos persoais. Si, hai software de aplicación dubidoso como μTorrent, pero podes facer unha lista de software permitido para a instalación e asinar un acordo cos usuarios, non dar aos usuarios dereitos de administrador local, etc.
As ameazas de tipo 3 son relevantes para un sistema de información se as ameazas que non están relacionadas coa presenza de capacidades non documentadas (non declaradas) no sistema e o software de aplicación utilizado no sistema de información son relevantes para el.
As ameazas dos tipos 1 e 2 non son adecuadas para ti, polo que este é o lugar para ti.
Resolvemos os tipos de ameazas, agora vexamos que nivel de seguridade terá o noso ISPD.
Táboa baseada nas correspondencias especificadas en .
Se escollemos o terceiro tipo de ameazas reais, na maioría dos casos teremos UZ-3. A única excepción, cando as ameazas dos tipos 1 e 2 non son relevantes, pero o nivel de seguridade seguirá sendo elevado (UZ-2), son as empresas que procesan datos persoais especiais de non asalariados por importe de máis de 100. exemplo, empresas dedicadas ao diagnóstico médico e á prestación de servizos médicos.
Tamén existe a UZ-4, e atópase principalmente en empresas cuxo negocio non está relacionado co tratamento de datos persoais de non asalariados, é dicir, clientes ou contratistas, ou as bases de datos persoais son pequenas.
Por que é tan importante non esaxerar co nivel de seguridade? É sinxelo: disto dependerá o conxunto de medidas e medios de protección para garantir este mesmo nivel de seguridade. Canto maior sexa o nivel de coñecemento, máis haberá que facer en termos organizativos e técnicos (léase: máis diñeiro e nervios haberá que gastar).
Velaí, por exemplo, como cambia o conxunto de medidas de seguridade segundo o mesmo PP-1119.
Agora vexamos como, dependendo do nivel de seguridade seleccionado, cambia a lista de medidas necesarias de acordo co Este documento ten un longo anexo, no que se definen as medidas necesarias. Hai 109 en total, para cada KM as medidas obrigatorias están definidas e marcadas cun signo "+"; calcúlanse con precisión na táboa seguinte. Se deixas só os necesarios para UZ-3, obterás 4.
Realidade: se non recolles probas ou datos biométricos dos clientes, non estás paranoico cos marcadores no software do sistema e da aplicación, entón o máis probable é que teñas UZ-3. Ten unha lista razoable de medidas organizativas e técnicas que realmente se poden implementar.
Mito 5. Todos os medios de protección de datos persoais deben estar certificados polo FSTEC de Rusia
Se queres ou estás obrigado a realizar a certificación, o máis probable é que teñas que usar equipos de protección certificados. A certificación será realizada por un licenciado da FSTEC de Rusia, que:
- interesado en vender máis dispositivos certificados de protección da información;
- terá medo de que a licenza sexa revogada polo regulador se algo sae mal.
Se non precisa de certificación e está preparado para confirmar o cumprimento dos requisitos doutro xeito, nomeado en "Avaliar a eficacia das medidas implementadas dentro do sistema de protección de datos persoais para garantir a seguridade dos datos persoais", entón os sistemas de seguridade da información certificados non son necesarios para vostede. Intentarei explicar brevemente a razón.
В indica que é necesario empregar equipos de protección que foron sometidos ao procedemento de avaliación da conformidade segundo o procedemento establecido:
Conséguese garantir a seguridade dos datos persoais, en particular:
[…] 3) A utilización de medios de seguridade da información que superaron o procedemento de avaliación do cumprimento de acordo co procedemento establecido.
В Tamén se obriga a utilizar ferramentas de seguridade da información que teñan superado o procedemento de avaliación do cumprimento dos requisitos legais:
[…] o uso de ferramentas de seguridade da información que superaron o procedemento para avaliar o cumprimento dos requisitos da lexislación da Federación Rusa en materia de seguridade da información, nos casos en que o uso de tales medios sexa necesario para neutralizar as ameazas actuais.
duplica practicamente o parágrafo PP-1119:
As medidas para garantir a seguridade dos datos persoais implícanse, entre outras cousas, mediante o uso de ferramentas de seguridade da información no sistema de información que superaron o procedemento de avaliación da conformidade de acordo co procedemento establecido, nos casos en que o uso destas ferramentas sexa necesario para neutralizar as ameazas actuais á seguridade dos datos persoais.
Que teñen en común estas formulacións? É certo: non requiren o uso de equipos de protección certificados. O caso é que existen varias formas de avaliación da conformidade (certificación voluntaria ou obrigatoria, declaración de conformidade). A certificación é só unha delas. O operador pode utilizar produtos non certificados, pero deberá demostrarlle ao regulador durante a inspección que se someteu a algún tipo de procedemento de avaliación da conformidade.
Se o operador decide utilizar equipos de protección certificados, entón é necesario seleccionar o sistema de protección da información de acordo coa protección de ultrasóns, que se indica claramente en :
As medidas técnicas para protexer os datos persoais impléntanse mediante o uso de ferramentas de seguridade da información, incluíndo ferramentas de software (hardware) nas que están implantados, que teñen as funcións de seguridade necesarias.
Cando se utilicen ferramentas de seguridade da información certificadas segundo os requisitos de seguridade da información nos sistemas de información:
Realidade: A lei non esixe o uso obrigatorio de equipos de protección certificados.
Mito 6. Necesito protección criptográfica
Aquí hai algúns matices:
- Moitas persoas cren que a criptografía é obrigatoria para calquera ISPD. De feito, só deberían usarse se o operador non ve ningunha outra medida de protección que non sexa o uso da criptografía.
- Se non podes prescindir da criptografía, debes usar a certificación CIPF polo FSB.
- Por exemplo, decides hospedar un ISPD na nube dun provedor de servizos, pero non confías nel. Describes as túas preocupacións nun modelo de ameaza e intruso. Tes datos persoais, polo que decidiches que a criptografía é a única forma de protexerte: cifrarás máquinas virtuais, crearás canles seguras usando protección criptográfica. Neste caso, terás que usar a certificación CIPF polo FSB de Rusia.
- Os certificados CIPF son seleccionados de acordo cun certo nivel de seguridade segundo .
Para ISPDn con UZ-3, pode usar KS1, KS2, KS3. KS1 é, por exemplo, C-Terra Virtual Gateway 4.2 para protexer as canles.
KC2, KS3 están representados só por sistemas de software e hardware, como: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway, etc.
Se tes UZ-2 ou 1, necesitarás medios de protección criptográfica da clase KV1, 2 e KA. Estes son sistemas de software e hardware específicos, son difíciles de operar e as súas características de rendemento son modestas.
Realidade: A lei non obriga ao uso de CIPF certificado polo FSB.
Fonte: www.habr.com