Bok svima! Vodim DataLine Cyber Defense Center. Kupci nam dolaze sa zadatkom ispunjavanja zahtjeva 152-FZ u oblaku ili na fizičkoj infrastrukturi.
Gotovo u svakom projektu potrebno je provoditi edukativni rad kako bi se razotkrili mitovi oko ovog zakona. Prikupio sam najčešće zablude koje mogu skupo koštati proračun i živčani sustav operatera osobnih podataka. Odmah ću napraviti rezervu da će slučajevi državnih ureda (GIS) koji se bave državnim tajnama, KII itd. ostati izvan opsega ovog članka.
Mit 1. Instalirao sam antivirusni program, vatrozid i okružio regale ogradom. Poštujem li zakon?
152-FZ ne govori o zaštiti sustava i poslužitelja, već o zaštiti osobnih podataka subjekata. Stoga usklađenost s 152-FZ ne počinje s antivirusom, već s velikim brojem komada papira i organizacijskih pitanja.
Glavni inspektor, Roskomnadzor, neće gledati na prisutnost i stanje tehničkih sredstava zaštite, već na pravnu osnovu za obradu osobnih podataka (PD):
- u koju svrhu prikupljate osobne podatke;
- skupljate li ih više nego što vam je potrebno za vaše potrebe;
- koliko dugo čuvate osobne podatke;
- postoji li politika obrade osobnih podataka;
- Prikupljate li privolu za obradu osobnih podataka, prekogranični prijenos, obradu od strane trećih strana i sl.
Odgovore na ova pitanja, kao i same procese, potrebno je evidentirati u odgovarajućim dokumentima. Ovdje je daleko nepotpun popis onoga što operater osobnih podataka treba pripremiti:
- Standardni obrazac privole za obradu osobnih podataka (to su listovi koje sada potpisujemo gotovo posvuda gdje ostavljamo svoja puna imena i podatke o putovnici).
- Politika operatera u vezi s obradom osobnih podataka ( postoje preporuke za dizajn).
- Nalog o imenovanju osobe odgovorne za organizaciju obrade osobnih podataka.
- Opis poslova odgovorne osobe za organizaciju obrade osobnih podataka.
- Pravila za unutarnju kontrolu i (ili) reviziju usklađenosti obrade PD-a sa zakonskim zahtjevima.
- Popis informacijskih sustava osobnih podataka (ISPD).
- Propisi za pružanje subjektu pristupa njegovim osobnim podacima.
- Propisi o istrazi incidenata.
- Nalog o primanju zaposlenika u obradu osobnih podataka.
- Propisi za interakciju s regulatorima.
- Obavijest RKN-a itd.
- Obrazac upute za PD obradu.
- ISPD model prijetnje.
Nakon rješavanja ovih problema, možete pristupiti odabiru određenih mjera i tehničkih sredstava. Koje trebate ovisi o sustavima, njihovim radnim uvjetima i trenutnim prijetnjama. Ali o tome kasnije.
Stvarnost: usklađenost sa zakonom je uspostava i usklađenost s određenim procesima, prije svega, a tek drugo - korištenje posebnih tehničkih sredstava.
Mit 2. Pohranjujem osobne podatke u oblaku, podatkovnom centru koji ispunjava zahtjeve 152-FZ. Sada su oni odgovorni za provođenje zakona
Kada pohranjivanje osobnih podataka prepustite pružatelju usluga oblaka ili podatkovnom centru, ne prestajete biti operater osobnih podataka.
U pomoć pozovimo definiciju iz zakona:
Obrada osobnih podataka – svaka radnja (operacija) ili skup radnji (operacija) koja se izvodi pomoću alata za automatizaciju ili bez upotrebe takvih sredstava s osobnim podacima, uključujući prikupljanje, bilježenje, sistematizaciju, akumulaciju, pohranu, pojašnjenje (ažuriranje, promjenu), izdvajanje, korištenje, prijenos (distribucija, pružanje, pristup), depersonalizacija, blokiranje, brisanje, uništavanje osobnih podataka.
Izvor: članak 3,
Od svih ovih radnji, pružatelj usluga je odgovoran za pohranjivanje i uništavanje osobnih podataka (kada klijent s njim raskine ugovor). Sve ostalo osigurava operater osobnih podataka. To znači da operater, a ne pružatelj usluga, utvrđuje politiku obrade osobnih podataka, od svojih klijenata dobiva potpisane privole za obradu osobnih podataka, sprječava i istražuje slučajeve curenja osobnih podataka trećim stranama i sl.
Slijedom toga, operater osobnih podataka i dalje mora prikupljati dokumente koji su gore navedeni i provoditi organizacijske i tehničke mjere za zaštitu svog PDIS-a.
Obično pružatelj pomaže operateru osiguravajući usklađenost sa zakonskim zahtjevima na razini infrastrukture na kojoj će se nalaziti operaterov ISPD: regali s opremom ili oblak. Također prikuplja paket dokumenata, poduzima organizacijske i tehničke mjere za svoj dio infrastrukture u skladu sa 152-FZ.
Neki pružatelji pomažu oko papirologije i osiguravanja tehničkih sigurnosnih mjera za same ISDN-ove, tj. na razini iznad infrastrukture. Operater može i eksternalizirati ove poslove, ali odgovornost i obveze prema zakonu time ne nestaju.
Stvarnost: Korištenjem usluga pružatelja ili podatkovnog centra ne možete na njega prenijeti odgovornosti operatera osobnih podataka i osloboditi se odgovornosti. Ako vam pružatelj to obeća, onda, blago rečeno, laže.
Mit 3. Imam potreban paket dokumenata i mjera. Osobne podatke pohranjujem kod pružatelja koji obećava usklađenost s 152-FZ. Je li sve u redu?
Da, ako se sjećate potpisati nalog. Prema zakonu, operater može povjeriti obradu osobnih podataka drugoj osobi, na primjer, istom pružatelju usluga. Narudžba je vrsta ugovora koji navodi što pružatelj usluga može učiniti s osobnim podacima operatera.
Operater ima pravo povjeriti obradu osobnih podataka drugoj osobi uz pristanak subjekta osobnih podataka, osim ako nije drugačije određeno saveznim zakonom, na temelju sporazuma sklopljenog s ovom osobom, uključujući državni ili općinski ugovor, ili donošenjem odgovarajućeg akta državnog ili općinskog tijela (u daljnjem tekstu: operator dodjele). Osoba koja obrađuje osobne podatke u ime operatera dužna je pridržavati se načela i pravila obrade osobnih podataka predviđenih ovim Saveznim zakonom.
Izvor:
Također je utvrđena obveza pružatelja da čuva povjerljivost osobnih podataka i osigurava njihovu sigurnost u skladu s navedenim zahtjevima:
Upute operatera moraju definirati popis radnji (operacija) s osobnim podacima koje će provoditi osoba koja obrađuje osobne podatke i svrhe obrade, mora biti utvrđena obveza takve osobe da čuva povjerljivost osobnih podataka i osigurava sigurnost osobnih podataka tijekom njihove obrade, kao i zahtjevi za zaštitu obrađenih osobnih podataka moraju biti navedeni u skladu s ovog saveznog zakona.
Izvor:
Za to je pružatelj odgovoran operateru, a ne subjektu osobnih podataka:
Ukoliko operater obradu osobnih podataka povjeri drugoj osobi, operater odgovara subjektu osobnih podataka za postupke navedene osobe. Osoba koja u ime operatora obrađuje osobne podatke odgovorna je operateru.
Izvor: .
Također je važno u nalogu odrediti obvezu osiguranja zaštite osobnih podataka:
Sigurnost osobnih podataka prilikom obrade u informacijskom sustavu osigurava operater tog sustava koji obrađuje osobne podatke (u daljnjem tekstu operater) ili osoba koja u ime operatera obrađuje osobne podatke na temelju ugovor sklopljen s ovom osobom (u daljnjem tekstu: ovlaštena osoba). Ugovorom između operatora i ovlaštene osobe mora biti propisana obveza ovlaštene osobe da osigura sigurnost osobnih podataka prilikom obrade u informacijskom sustavu.
Izvor:
Stvarnost: Ako davatelju dajete osobne podatke, tada potpišite narudžbu. U nalogu navesti zahtjev za osiguranjem zaštite osobnih podataka ispitanika. U suprotnom, ne poštujete zakon u vezi s prijenosom obrade osobnih podataka trećoj strani, a pružatelj vam ne duguje ništa u vezi s poštivanjem 152-FZ.
Mit 4. Mossad me špijunira ili definitivno imam UZ-1
Neki kupci uporno dokazuju da imaju ISPD sigurnosne razine 1 ili 2. Najčešće to nije slučaj. Sjetimo se hardvera da shvatimo zašto se to događa.
LO ili razina sigurnosti određuje od čega ćete štititi svoje osobne podatke.
Na razinu sigurnosti utječu sljedeće točke:
- vrsta osobnih podataka (posebni, biometrijski, javno dostupni i drugi);
- tko posjeduje osobne podatke - zaposlenici ili ne-zaposlenici operatera osobnih podataka;
- broj subjekata osobnih podataka – više ili manje 100 tisuća.
- vrste trenutnih prijetnji.
Govori nam o vrstama prijetnji . Ovdje je opis svakog s mojim besplatnim prijevodom na ljudski jezik.
Prijetnje tipa 1 relevantne su za informacijski sustav ako su za njega relevantne i prijetnje povezane s prisutnošću nedokumentiranih (nedeklariranih) mogućnosti u softveru sustava koji se koristi u informacijskom sustavu.
Ako ovu vrstu prijetnje prepoznajete kao relevantnu, onda čvrsto vjerujete da su agenti CIA-e, MI6 ili MOSSAD-a postavili oznaku u operativni sustav kako bi ukrali osobne podatke određenih subjekata s vašeg ISPD-a.
Prijetnje 2. vrste relevantne su za informacijski sustav ako su za njega relevantne i prijetnje povezane s prisutnošću nedokumentiranih (nedeklariranih) mogućnosti u aplikacijskom softveru koji se koristi u informacijskom sustavu.
Ako mislite da su prijetnje drugog tipa vaš slučaj, onda spavate i gledate kako su isti agenti CIA-e, MI6, MOSSAD-a, zli usamljeni haker ili grupa postavili bookmarke u neki uredski programski paket kako bi lovili točno na vaše osobne podatke. Da, postoji sumnjiv aplikacijski softver poput μTorrenta, ali možete napraviti popis dopuštenog softvera za instalaciju i potpisati ugovor s korisnicima, ne dati korisnicima prava lokalnog administratora itd.
Prijetnje tipa 3 relevantne su za informacijski sustav ako su za njega relevantne prijetnje koje nisu povezane s prisutnošću nedokumentiranih (nedeklariranih) sposobnosti u sustavu i aplikacijskom softveru koji se koristi u informacijskom sustavu.
Prijetnje tipa 1 i 2 nisu prikladne za vas, stoga je ovo mjesto za vas.
Razvrstali smo vrste prijetnji, sada pogledajmo koju će razinu sigurnosti imati naš ISPD.
Tablica na temelju korespondencija navedenih u .
Ako odaberemo treću vrstu stvarnih prijetnji, tada ćemo u većini slučajeva imati UZ-3. Jedina iznimka, kada prijetnje tipa 1 i 2 nisu relevantne, ali će razina sigurnosti i dalje biti visoka (UZ-2), su tvrtke koje obrađuju posebne osobne podatke osoba koje nisu zaposlenici u iznosu većem od 100. primjerice tvrtke koje se bave medicinskom dijagnostikom i pružanjem medicinskih usluga.
Postoji i UZ-4, a nalazi se uglavnom u tvrtkama čije poslovanje nije vezano uz obradu osobnih podataka osoba koje nisu zaposlenici, odnosno naručitelja ili izvođača ili su baze osobnih podataka male.
Zašto je toliko važno ne pretjerati s razinom sigurnosti? Jednostavno je: o tome će ovisiti skup mjera i sredstava zaštite koji će osigurati upravo tu razinu sigurnosti. Što je razina znanja viša, to će se više morati raditi u organizacijskom i tehničkom smislu (čitaj: više novca i živaca).
Evo, na primjer, kako se skup sigurnosnih mjera mijenja u skladu s istim PP-1119.
Sada da vidimo kako se, ovisno o odabranoj razini sigurnosti, popis potrebnih mjera mijenja u skladu s Ovom dokumentu postoji poduži prilog u kojem su definirane potrebne mjere. Ukupno ih je 109, za svaku KM definirane su obvezne mjere i označene znakom “+” – one su precizno izračunate u tabeli ispod. Ako ostavite samo one potrebne za UZ-3, dobivate 4.
Stvarnost: ako ne skupljate testove ili biometriju od klijenata, niste paranoični zbog bookmarkova u sistemskom i aplikativnom softveru, onda najvjerojatnije imate UZ-3. Ima razuman popis organizacijskih i tehničkih mjera koje se stvarno mogu provesti.
Mit 5. Sva sredstva zaštite osobnih podataka moraju biti certificirana od strane FSTEC-a Rusije
Ako želite ili morate provesti certificiranje, najvjerojatnije ćete morati koristiti certificiranu zaštitnu opremu. Certifikaciju će provesti ovlaštenik FSTEC-a Rusije, koji:
- zainteresirani za prodaju više certificiranih uređaja za zaštitu informacija;
- bojat će se oduzimanja licence od strane regulatora ako nešto pođe po zlu.
Ako vam nije potrebna certifikacija, a spremni ste potvrditi usklađenost sa zahtjevima na drugi način, naveden u „Procjena učinkovitosti mjera koje se provode u okviru sustava zaštite osobnih podataka za osiguranje sigurnosti osobnih podataka“, tada za vas nisu potrebni certificirani sustavi informacijske sigurnosti. Pokušat ću ukratko objasniti obrazloženje.
В navodi da je potrebno koristiti zaštitnu opremu koja je prošla postupak ocjenjivanja sukladnosti prema utvrđenom postupku:
Osiguranje sigurnosti osobnih podataka postiže se, posebice:
[…] 3) korištenje sredstava informacijske sigurnosti koja su prošla postupak ocjene sukladnosti prema utvrđenom postupku.
В Također postoji zahtjev za korištenje alata za informacijsku sigurnost koji su prošli proceduru ocjene usklađenosti sa zakonskim zahtjevima:
[…] korištenje alata za informacijsku sigurnost koji su prošli postupak procjene usklađenosti sa zahtjevima zakonodavstva Ruske Federacije u području informacijske sigurnosti, u slučajevima kada je uporaba takvih sredstava neophodna za neutraliziranje trenutnih prijetnji.
praktički duplicira paragraf PP-1119:
Mjere osiguranja sigurnosti osobnih podataka provode se, između ostalog, korištenjem alata za informacijsku sigurnost u informacijskom sustavu koji su prošli postupak ocjenjivanja sukladnosti prema utvrđenom postupku, u slučajevima kada je korištenje takvih alata potrebno neutralizirati trenutne prijetnje sigurnosti osobnih podataka.
Što je zajedničko ovim formulacijama? Tako je – ne zahtijevaju korištenje certificirane zaštitne opreme. Činjenica je da postoji više oblika ocjenjivanja sukladnosti (dobrovoljna ili obvezna certifikacija, izjava o sukladnosti). Certifikacija je samo jedna od njih. Operater može koristiti necertificirane proizvode, ali morat će pokazati regulatoru nakon inspekcije da su prošli neki oblik postupka ocjenjivanja sukladnosti.
Ukoliko se operater odluči koristiti certificiranu zaštitnu opremu, tada je potrebno odabrati sustav zaštite informacija u skladu s ultrazvučnom zaštitom, što je jasno naznačeno u :
Tehničke mjere zaštite osobnih podataka provode se korištenjem informacijskih sigurnosnih alata, uključujući softverske (hardverske) alate u kojima su implementirane, a koji imaju potrebne sigurnosne funkcije.
Pri korištenju informacijskih sigurnosnih alata certificiranih prema zahtjevima informacijske sigurnosti u informacijskim sustavima:
Stvarnost: Zakon ne nalaže obveznu uporabu certificirane zaštitne opreme.
Mit 6. Trebam kripto zaštitu
Ovdje postoji nekoliko nijansi:
- Mnogi ljudi vjeruju da je kriptografija obavezna za svaki ISPD. Zapravo, treba ih koristiti samo ako operater za sebe ne vidi druge mjere zaštite osim korištenja kriptografije.
- Ako ne možete bez kriptografije, onda trebate koristiti CIPF certificiran od strane FSB-a.
- Na primjer, odlučili ste ugostiti ISPD u oblaku davatelja usluga, ali mu ne vjerujete. Svoje brige opisujete u modelu prijetnje i uljeza. Imate osobne podatke, pa ste odlučili da je kriptografija jedini način da se zaštitite: šifrirat ćete virtualne strojeve, izgraditi sigurne kanale koristeći kriptografsku zaštitu. U tom slučaju morat ćete koristiti CIPF koji je ovjerio FSB Rusije.
- Certificirani CIPF odabiru se u skladu s određenom razinom sigurnosti prema .
Za ISPDn s UZ-3 možete koristiti KS1, KS2, KS3. KS1 je npr. C-Terra Virtual Gateway 4.2 za zaštitu kanala.
KC2, KS3 predstavljaju samo softverski i hardverski sustavi, kao što su: ViPNet Coordinator, APKSH "Kontinent", S-Terra Gateway itd.
Ako imate UZ-2 ili 1, tada će vam trebati sredstva kriptografske zaštite klase KV1, 2 i KA. To su specifični softverski i hardverski sustavi, teški su za rukovanje, a performanse su im skromne.
Stvarnost: Zakon ne obvezuje korištenje CIPF-a ovjerenog od strane FSB-a.
Izvor: www.habr.com