Bonjou tout moun! Mwen kouri DataLine Cyber Defense Center. Kliyan yo vin jwenn nou ak travay la nan satisfè kondisyon yo nan 152-FZ nan nwaj la oswa sou enfrastrikti fizik.
Nan prèske chak pwojè li nesesè fè travay edikasyon pou demare mit ki alantou lwa sa a. Mwen te kolekte move konsepsyon ki pi komen ki ka koute chè pou bidjè a ak sistèm nève operatè done pèsonèl la. Mwen pral imedyatman fè yon rezèvasyon ke ka nan biwo leta (GIS) fè fas ak sekrè leta, KII, elatriye ap rete andeyò sijè ki abòde lan atik sa a.
Lejann 1. Mwen enstale yon antivirus, yon firewall, epi mwen antoure etajè yo ak yon kloti. Èske mwen suiv lalwa?
152-FZ se pa sou pwoteksyon sistèm ak sèvè, men sou pwoteksyon done pèsonèl sijè yo. Se poutèt sa, konfòmite ak 152-FZ kòmanse pa ak yon antivirus, men ak yon gwo kantite moso papye ak pwoblèm òganizasyonèl.
Enspektè prensipal la, Roskomnadzor, pa pral gade nan prezans ak kondisyon nan mwayen teknik nan pwoteksyon, men nan baz legal la pou pwosesis la nan done pèsonèl (PD):
- pou ki rezon ou kolekte done pèsonèl;
- si ou kolekte plis nan yo pase ou bezwen pou objektif ou;
- konbyen tan ou estoke done pèsonèl;
- èske gen yon politik pou trete done pèsonèl;
- Èske w ap kolekte konsantman pou tretman done pèsonèl, transfè transfwontyè, tretman pa twazyèm pati, elatriye.
Repons kesyon sa yo, ansanm ak pwosesis yo, yo ta dwe anrejistre nan dokiman ki apwopriye yo. Isit la se yon lis ki pa konplè sou sa yon operatè done pèsonèl bezwen prepare:
- Yon fòm konsantman estanda pou trete done pèsonèl (sa yo se fèy yo ke nou siyen kounye a prèske tout kote nou kite non konplè nou yo ak detay paspò).
- Règleman operatè a konsènan tretman done pèsonèl ( gen rekòmandasyon pou konsepsyon).
- Lòd sou randevou a nan yon moun ki responsab pou òganize pwosesis la nan done pèsonèl.
- Deskripsyon travay moun ki responsab pou òganize tretman done pèsonèl yo.
- Règ pou kontwòl entèn ak (oswa) odit sou konfòmite pwosesis PD ak egzijans legal yo.
- Lis sistèm enfòmasyon pèsonèl done (ISPD).
- Règleman pou bay sijè a aksè a done pèsonèl li.
- Règleman envestigasyon ensidan yo.
- Lòd sou admisyon nan anplwaye nan pwosesis la nan done pèsonèl.
- Règleman pou entèraksyon ak regilatè yo.
- Notifikasyon RKN, elatriye.
- Fòm enstriksyon pou pwosesis PD.
- Modèl menas ISPD.
Apre rezoud pwoblèm sa yo, ou ka kòmanse chwazi mezi espesifik ak mwayen teknik. Ki sa ou bezwen depann sou sistèm yo, kondisyon fonksyònman yo, ak menas aktyèl yo. Men, plis sou sa pita.
Reyalite: konfòmite ak lalwa Moyiz la se etablisman an ak konfòmite ak sèten pwosesis, premye a tout moun, epi sèlman dezyèmman - itilize nan mwayen espesyal teknik.
Lejann 2. Mwen sere done pèsonèl nan nwaj la, yon sant done ki satisfè kondisyon 152-FZ. Koulye a, yo responsab pou fè respekte lalwa
Lè ou konfye depo done pèsonèl yo bay yon founisè nwaj oswa yon sant done, ou pa sispann yon operatè done pèsonèl.
Se pou nou rele sou definisyon ki soti nan lwa a pou èd:
Pwosesis done pèsonèl - nenpòt aksyon (operasyon) oswa seri aksyon (operasyon) ki fèt lè l sèvi avèk zouti automatisation oswa san yo pa itilize mwayen sa yo ak done pèsonèl, ki gen ladan koleksyon, anrejistreman, sistematizasyon, akimilasyon, depo, klarifikasyon (mizajou, chanje), ekstraksyon, itilizasyon, transfè (distribisyon, pwovizyon, aksè), depèsonalizasyon, bloke, efase, destriksyon done pèsonèl.
Sous: atik 3,
Nan tout aksyon sa yo, founisè sèvis la responsab pou estoke ak detwi done pèsonèl (lè kliyan an mete fen nan kontra a avèk li). Tout lòt bagay yo bay operatè done pèsonèl la. Sa vle di ke operatè a, epi li pa founisè sèvis la, detèmine politik la pou trete done pèsonèl, jwenn konsantman siyen pou trete done pèsonèl nan men kliyan li yo, anpeche ak envestige ka nan flit nan done pèsonèl bay twazyèm pati, ak sou sa.
Kontinwe, operatè done pèsonèl la dwe toujou kolekte dokiman ki te endike anwo a epi aplike mezi òganizasyonèl ak teknik pou pwoteje PDIS yo.
Tipikman, founisè a ede operatè a nan asire konfòmite ak egzijans legal nan nivo enfrastrikti kote ISPD operatè a pral lokalize: etajè ak ekipman oswa nwaj la. Li tou kolekte yon pake dokiman, pran mezi òganizasyonèl ak teknik pou moso l 'nan enfrastrikti an akò ak 152-FZ.
Gen kèk founisè ki ede avèk dokiman ak pwovizyon mezi sekirite teknik pou ISDN yo tèt yo, sa vle di, nan yon nivo pi wo a enfrastrikti a. Operatè a kapab tou konfye travay sa yo, men responsablite ak obligasyon anba lalwa pa disparèt.
Reyalite: Lè w sèvi ak sèvis yon founisè oswa yon sant done, ou pa ka transfere l 'rèsponsablite yo nan yon operatè done pèsonèl ak debarase m de responsablite. Si founisè a pwomèt ou sa a, lè sa a, pou mete l 'dous, li ap bay manti.
Lejann 3. Mwen gen yon pake dokiman ak mezi ki nesesè yo. Mwen estoke done pèsonèl ak yon founisè ki pwomèt konfòmite ak 152-FZ. Èske tout bagay nan lòd?
Wi, si w sonje siyen lòd la. Dapre lalwa, operatè a ka konfye tretman an nan done pèsonèl nan yon lòt moun, pou egzanp, menm founisè sèvis la. Yon lòd se yon kalite akò ki bay lis sa founisè sèvis la ka fè ak done pèsonèl operatè a.
Operatè a gen dwa konfye tretman done pèsonèl yo bay yon lòt moun ak konsantman sijè a nan done pèsonèl, sof si Lwa Federal bay otreman, sou baz yon akò ki te konkli ak moun sa a, ki gen ladan yon kontra leta oswa minisipal, oswa nan adopsyon de yon zak ki enpòtan pa yon eta oswa minisipal kò (apwe sa yo refere kòm operatè plasman an). Moun k ap trete done pèsonèl la sou non operatè a oblije konfòme yo ak prensip ak règ pou trete done pèsonèl yo bay Lwa Federal sa a.
Sous:
Obligasyon founisè a pou kenbe konfidansyalite done pèsonèl yo epi asire sekirite li an akò ak kondisyon espesifye yo tou etabli:
Enstriksyon operatè a dwe defini yon lis aksyon (operasyon) ak done pèsonèl ki pral fèt pa moun nan trete done pèsonèl yo ak objektif yo nan pwosesis, obligasyon an nan yon moun sa yo dwe etabli kenbe konfidansyalite nan done pèsonèl yo epi asire yo sekirite nan done pèsonèl pandan pwosesis yo, osi byen ke kondisyon pou pwoteksyon nan trete done pèsonèl yo dwe espesifye an akò ak nan Lwa Federal sa a.
Sous:
Pou sa, founisè a responsab nan operatè a, epi yo pa nan sijè a nan done pèsonèl:
Si operatè a konfye pwosesis la nan done pèsonèl nan yon lòt moun, operatè a responsab nan sijè a nan done pèsonèl pou aksyon yo nan moun ki espesifye. Moun k ap trete done pèsonèl la sou non operatè a responsab devan operatè a.
Sous: .
Li enpòtan tou pou endike nan lòd la obligasyon pou asire pwoteksyon done pèsonèl yo:
Sekirite done pèsonèl yo lè yo trete nan yon sistèm enfòmasyon asire ke operatè a nan sistèm sa a, ki trete done pèsonèl (ki refere yo kòm operatè a), oswa pa moun nan trete done pèsonèl sou non operatè a sou baz yon akò ki te konkli ak moun sa a (apwe sa a kòm moun ki otorize). Akò ki genyen ant operatè a ak moun ki otorize a dwe bay obligasyon moun ki otorize a pou asire sekirite done pèsonèl yo lè yo trete nan sistèm enfòmasyon an.
Sous:
Reyalite: Si w bay founisè a done pèsonèl, siyen lòd la. Nan lòd la, endike egzijans pou asire pwoteksyon done pèsonèl sijè yo. Sinon, ou pa respekte lalwa konsènan transfè travay tretman done pèsonèl bay yon twazyèm pati, epi founisè a pa dwe ou anyen konsènan konfòmite ak 152-FZ.
Lejann 4. Mossad la ap espyonaj sou mwen, oswa mwen definitivman gen yon UZ-1
Gen kèk kliyan toujou pwouve ke yo gen yon ISPD nan nivo sekirite 1 oswa 2. Pi souvan sa a se pa ka a. Ann sonje pyès ki nan konpitè pou konnen poukisa sa rive.
LO a, oswa nivo sekirite, detèmine kisa ou pral pwoteje done pèsonèl ou yo.
Nivo sekirite a afekte pa pwen sa yo:
- kalite done pèsonèl (espesyal, byometrik, piblikman disponib ak lòt);
- ki moun ki posede done pèsonèl yo - anplwaye oswa ki pa anplwaye nan operatè a done pèsonèl;
- kantite sijè done pèsonèl - plis oswa mwens 100 mil.
- kalite menas aktyèl yo.
Pale nou sou kalite menas yo . Isit la se yon deskripsyon chak ak tradiksyon gratis mwen an nan lang imen.
Menas tip 1 yo enpòtan pou yon sistèm enfòmasyon si menas ki asosye ak prezans kapasite san papye (ki pa deklare) nan lojisyèl sistèm yo itilize nan sistèm enfòmasyon an gen rapò ak li tou.
Si ou rekonèt kalite menas sa a kòm enpòtan, Lè sa a, ou byen fèm kwè ke ajan nan CIA a, MI6 oswa MOSSAD te mete yon makè nan sistèm nan fonksyone yo vòlè done pèsonèl nan sijè espesifik nan ISPD ou a.
Menas 2yèm kalite a enpòtan pou yon sistèm enfòmasyon si menas ki asosye ak prezans kapasite san papye (ki pa deklare) nan lojisyèl aplikasyon yo itilize nan sistèm enfòmasyon an enpòtan tou pou li.
Si ou panse ke menas nan dezyèm kalite a se ka ou a, Lè sa a, ou dòmi epi wè ki jan ajan yo menm nan CIA, MI6, MOSSAD, yon move pirate oswa gwoup te mete signets nan kèk pake lojisyèl biwo yo nan lòd yo lachas egzakteman pou. done pèsonèl ou. Wi, gen lojisyèl aplikasyon enzitan tankou μTorrent, men ou ka fè yon lis lojisyèl pèmèt pou enstalasyon epi siyen yon akò ak itilizatè yo, pa bay itilizatè yo dwa administratè lokal yo, elatriye.
Menas tip 3 yo enpòtan pou yon sistèm enfòmasyon si menas ki pa gen rapò ak prezans kapasite san papye (ki pa deklare) nan sistèm nan ak lojisyèl aplikasyon yo itilize nan sistèm enfòmasyon an gen rapò ak li.
Menas kalite 1 ak 2 yo pa apwopriye pou ou, kidonk sa a se plas la pou ou.
Nou te klase kalite menas yo, kounye a ann gade nan ki nivo sekirite ISPD nou an pral genyen.
Tablo ki baze sou korespondans ki espesifye nan .
Si nou te chwazi twazyèm kalite menas aktyèl la, nan pifò ka nou pral gen UZ-3. Sèl eksepsyon, lè menas kalite 1 ak 2 yo pa enpòtan, men nivo sekirite a ap toujou wo (UZ-2), se konpayi ki trete done pèsonèl espesyal ki pa anplwaye nan kantite lajan plis pase 100. Pou egzanp, konpayi angaje nan dyagnostik medikal ak pwovizyon sèvis medikal.
Genyen tou UZ-4, epi li jwenn sitou nan konpayi ki gen biznis ki pa gen rapò ak pwosesis la nan done pèsonèl ki pa anplwaye yo, sa vle di kliyan oswa kontraktè, oswa baz done pèsonèl yo piti.
Poukisa li tèlman enpòtan pou pa fè twòp li ak nivo sekirite a? Li senp: seri mezi ak mwayen pwoteksyon pou asire nivo sekirite sa a pral depann de sa. Plis nivo konesans yo pi wo, se plis yo pral bezwen fè nan tèm òganizasyon ak teknik (li: plis lajan ak nè yo pral bezwen depanse).
Isit la, pou egzanp, se ki jan seri a nan mezi sekirite chanje an akò ak menm PP-1119 la.
Koulye a, kite a wè ki jan, tou depann de nivo sekirite yo chwazi a, lis mezi nesesè yo chanje an akò ak Gen yon apendis long nan dokiman sa a, ki defini mezi ki nesesè yo. Gen 109 nan yo an total, pou chak KM mezi obligatwa yo defini ak make ak yon siy "+" - yo jisteman kalkile nan tablo ki anba a. Si ou kite sèlman sa ki nesesè pou UZ-3, ou jwenn 4.
Reyalite: si ou pa kolekte tès oswa byometrik nan men kliyan, ou pa paranoya sou Bookmarks nan sistèm ak lojisyèl aplikasyon, Lè sa a, gen plis chans ou gen UZ-3. Li gen yon lis rezonab nan mezi òganizasyonèl ak teknik ki ka aktyèlman aplike.
Lejann 5. Tout mwayen pou pwoteje done pèsonèl yo dwe sètifye pa FSTEC nan Larisi
Si ou vle oswa yo oblije fè sètifikasyon, Lè sa a, gen plis chans ou pral oblije sèvi ak ekipman pwoteksyon sètifye. Sètifikasyon an pral fèt pa yon lisansye nan FSTEC nan Larisi, ki moun ki:
- enterese nan vann plis aparèy pwoteksyon enfòmasyon sètifye;
- pral pè pou lisans lan ke yo te revoke pa regilatè a si yon bagay ale mal.
Si ou pa bezwen sètifikasyon epi ou pare pou konfime konfòmite ak egzijans yo nan yon lòt fason, ki rele nan "Evalye efikasite mezi ki aplike nan sistèm pwoteksyon done pèsonèl yo pou asire sekirite done pèsonèl yo," Lè sa a, sistèm sekirite enfòmasyon sètifye yo pa obligatwa pou ou. Mwen pral eseye yon ti tan eksplike rezon an.
В deklare ke li nesesè pou sèvi ak ekipman pwoteksyon ki te sibi pwosedi evalyasyon konfòmite an akò ak pwosedi etabli a:
Asire sekirite done pèsonèl yo reyalize, an patikilye:
[…] 3) itilizasyon enfòmasyon sekirite vle di ki te pase pwosedi evalyasyon konfòmite an akò ak pwosedi etabli a.
В Genyen tou yon kondisyon pou itilize zouti sekirite enfòmasyon ki te pase pwosedi pou evalye konfòmite ak egzijans legal yo:
[…] itilize zouti sekirite enfòmasyon ki te pase pwosedi pou evalye konfòmite ak egzijans lejislasyon Federasyon Larisi la nan domèn sekirite enfòmasyon, nan ka kote itilizasyon mwayen sa yo nesesè pou netralize menas aktyèl yo.
pratikman kopi paragraf PP-1119:
Mezi pou asire sekirite done pèsonèl yo ap aplike, inter alia, atravè itilizasyon zouti sekirite enfòmasyon nan sistèm enfòmasyon an ki te pase pwosedi evalyasyon konfòmite an akò ak pwosedi etabli a, nan ka kote itilizasyon zouti sa yo nesesè pou netralize menas aktyèl pou sekirite done pèsonèl yo.
Kisa fòmilasyon sa yo genyen an komen? Sa a dwat - yo pa mande pou itilize ekipman pwoteksyon sètifye. Reyalite a se ke gen plizyè fòm evalyasyon konfòmite (sètifikasyon volontè oswa obligatwa, deklarasyon konfòmite). Sètifikasyon se jis youn nan yo. Operatè a ka sèvi ak pwodwi ki pa sètifye, men li pral bezwen demontre regilatè a lè yo enspeksyon yo ke yo te sibi kèk fòm pwosedi evalyasyon konfòmite.
Si operatè a deside sèvi ak ekipman pwoteksyon sètifye, Lè sa a, li nesesè yo chwazi sistèm nan pwoteksyon enfòmasyon an akò ak pwoteksyon nan ultrason, ki se klèman endike nan :
Yo aplike mezi teknik pou pwoteje done pèsonèl yo grasa itilizasyon zouti sekirite enfòmasyon yo, tankou zouti lojisyèl (pyès ki nan konpitè) kote yo aplike, ki gen fonksyon sekirite ki nesesè yo.
Lè w ap itilize zouti sekirite enfòmasyon ki sètifye selon kondisyon sekirite enfòmasyon yo nan sistèm enfòmasyon yo:
Reyalite: Lwa a pa egzije itilizasyon ekipman pwoteksyon sètifye.
Lejann 6. Mwen bezwen pwoteksyon kript
Gen kèk nuans isit la:
- Anpil moun kwè ke kriptografik obligatwa pou nenpòt ISPD. An reyalite, yo ta dwe itilize sèlman si operatè a pa wè okenn lòt mezi pwoteksyon pou tèt li lòt pase itilizasyon kriptografik.
- Si ou pa ka fè san kriptografik, Lè sa a, ou bezwen sèvi ak CIPF sètifye pa FSB la.
- Pou egzanp, ou deside òganize yon ISPD nan nwaj la nan yon founisè sèvis, men ou pa fè konfyans li. Ou dekri enkyetid ou yo nan yon modèl menas ak entrigan. Ou gen done pèsonèl, kidonk ou deside ke kriptografik se sèl fason pou pwoteje tèt ou: ou pral ankripte machin vityèl, bati chanèl an sekirite lè l sèvi avèk pwoteksyon kriptografik. Nan ka sa a, ou pral oblije sèvi ak CIPF sètifye pa FSB nan Larisi.
- Sètifye CIPF yo chwazi an akò ak yon sèten nivo sekirite selon .
Pou ISPDn ak UZ-3, ou ka itilize KS1, KS2, KS3. KS1 se, pou egzanp, C-Terra Virtual Gateway 4.2 pou pwoteje chanèl yo.
KC2, KS3 yo reprezante sèlman pa sistèm lojisyèl ak pyès ki nan konpitè, tankou: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway, elatriye.
Si ou gen UZ-2 oswa 1, Lè sa a, w ap bezwen mwayen pwoteksyon kriptografik nan klas KV1, 2 ak KA. Sa yo se lojisyèl espesifik ak sistèm pyès ki nan konpitè, yo difisil pou opere, ak karakteristik pèfòmans yo modès.
Reyalite: Lwa a pa oblije itilize CIPF sètifye pa FSB la.
Sous: www.habr.com