Sziasztok! A DataLine Cyber Defense Centert futtatom. Ügyfeleink azzal a feladattal keresnek fel bennünket, hogy felhőben vagy fizikai infrastruktúrán teljesítsék a 152-FZ követelményeit.
Szinte minden projektben oktatási munkát kell végezni a törvény körüli mítoszok megdöntésére. Összegyűjtöttem a leggyakoribb tévhiteket, amelyek költségesek lehetnek a személyes adatok kezelőjének költségvetése és idegrendszere számára. Azonnal fenntartással élek, hogy az államtitokkal, KII-vel stb. foglalkozó állami hivatalok (GIS) ügyei kívül maradjanak e cikk keretein.
Tévhit 1. Telepítettem egy vírusirtót, egy tűzfalat, és kerítéssel vettem körül az állványokat. Követem a törvényt?
A 152-FZ nem a rendszerek és szerverek védelméről szól, hanem az alanyok személyes adatainak védelméről. Ezért a 152-FZ-nek való megfelelés nem egy vírusirtóval kezdődik, hanem nagyszámú papírdarabbal és szervezeti problémával.
A fő ellenőr, a Roskomnadzor nem a technikai védelmi eszközök meglétét és állapotát fogja vizsgálni, hanem a személyes adatok feldolgozásának jogalapját (PD):
- milyen célból gyűjt személyes adatokat;
- többet gyűjt belőlük, mint amennyire szüksége van a céljaihoz;
- mennyi ideig tárolja a személyes adatokat;
- van-e szabályzat a személyes adatok kezelésére;
- Hozzájárul-e személyes adatok feldolgozásához, határokon átnyúló továbbításához, harmadik felek általi feldolgozásához stb.
Az ezekre a kérdésekre adott válaszokat, valamint magukat a folyamatokat megfelelő dokumentumokban kell rögzíteni. Íme egy messze nem teljes lista arról, hogy a személyes adatok kezelőjének mire kell felkészülnie:
- Szabványos beleegyezési űrlap a személyes adatok feldolgozásához (ezek azok a lapok, amelyeket ma már szinte mindenhol aláírunk, ahol a teljes nevünket és útlevéladatainkat megadjuk).
- Az üzemeltető személyes adatok kezelésére vonatkozó szabályzata ( vannak ajánlások a tervezéshez).
- Rendelet a személyes adatok kezelésének megszervezéséért felelős személy kijelöléséről.
- A személyes adatok kezelésének megszervezéséért felelős személy munkaköri leírása.
- A PD-feldolgozás jogszabályi előírásoknak való megfelelőségének belső ellenőrzésére és (vagy) auditjára vonatkozó szabályok.
- A személyes adatok információs rendszereinek listája (ISPD).
- Az alany személyes adataihoz való hozzáférés biztosítására vonatkozó szabályok.
- Az incidens kivizsgálási szabályzata.
- Rendelet a munkavállalók személyes adatok kezelésébe való bekapcsolódásáról.
- A szabályozókkal való interakció szabályai.
- Értesítés az RKN-ről stb.
- Utasítási űrlap a PD feldolgozásához.
- ISPD fenyegetési modell.
A problémák megoldása után megkezdheti a konkrét intézkedések és technikai eszközök kiválasztását. Hogy melyikre van szüksége, az a rendszerektől, azok működési feltételeitől és az aktuális fenyegetésektől függ. De erről majd később.
Valóság: A törvénynek való megfelelés mindenekelőtt bizonyos folyamatok létrehozása és betartása, másodsorban pedig speciális technikai eszközök alkalmazása.
2. mítosz. A személyes adatokat a felhőben tárolom, egy adatközpontban, amely megfelel a 152-FZ követelményeinek. Most ők a felelősek a törvények betartatásáért
Ha a személyes adatok tárolását felhőszolgáltatóhoz vagy adatközponthoz adja ki, nem szűnik meg személyes adatok üzemeltetője lenni.
Hívjuk segítségül a törvény definícióját:
Személyes adatok feldolgozása – minden olyan művelet (művelet), vagy műveletek (műveletek) összessége, amelyeket automatizálási eszközökkel vagy ilyen eszközök használata nélkül hajtanak végre a személyes adatokkal, ideértve a gyűjtést, rögzítést, rendszerezést, felhalmozást, tárolást, pontosítást (frissítést, módosítást), személyes adatok kinyerése, felhasználása, átadása (terjesztése, biztosítása, hozzáférése), személytelenítése, zárolása, törlése, megsemmisítése.
Forrás: 3. cikk,
Mindezek közül a szolgáltató felelős a személyes adatok tárolásáért és megsemmisítéséért (amikor az ügyfél felmondja vele a szerződést). Minden mást a személyes adatok kezelője biztosít. Ez azt jelenti, hogy az üzemeltető, és nem a szolgáltató határozza meg a személyes adatok kezelésére vonatkozó szabályzatot, aláírt hozzájárulásokat szerez ügyfeleitől a személyes adatok kezeléséhez, megakadályozza és kivizsgálja a személyes adatok harmadik félhez való kiszivárgását stb.
Következésképpen a személyes adatok kezelőjének továbbra is össze kell gyűjtenie a fent felsorolt dokumentumokat, és szervezési és technikai intézkedéseket kell végrehajtania PDIS-jének védelme érdekében.
A szolgáltató jellemzően azzal segíti az üzemeltetőt, hogy biztosítja a jogszabályi követelményeknek való megfelelést azon az infrastruktúra szintjén, ahol az üzemeltető ISPD-je elhelyezkedik: berendezésekkel ellátott állványok vagy felhő. Ezenkívül összegyűjt egy dokumentumcsomagot, szervezési és technikai intézkedéseket tesz az infrastruktúrájára vonatkozóan a 152-FZ szerint.
Egyes szolgáltatók maguk is segítenek a papírmunkában és műszaki biztonsági intézkedések megtételében maguknak az ISDN-nek, azaz az infrastruktúra feletti szinten. Az üzemeltető ezeket a feladatokat is kiszervezheti, de a jogszabályi felelősség és kötelezettségek nem szűnnek meg.
Valóság: Egy szolgáltató vagy adatközpont szolgáltatásainak igénybevételével nem ruházhatja át rá a személyes adatok kezelőjének felelősségét, és nem szabadulhat meg a felelősségtől. Ha a szolgáltató ezt megígéri, akkor finoman szólva is hazudik.
3. mítosz. Rendelkezem a szükséges dokumentumokkal és intézkedésekkel. A személyes adatokat olyan szolgáltatónál tárolom, aki ígéretet tesz a 152-FZ betartására. Minden rendben van?
Igen, ha emlékszik aláírni a megrendelést. A törvény értelmében az üzemeltető a személyes adatok feldolgozásával más személyt is megbízhat, például ugyanazt a szolgáltatót. A megrendelés egyfajta megállapodás, amely felsorolja, hogy a szolgáltató mit tehet az üzemeltető személyes adataival.
Az üzemeltetőnek jogában áll a személyes adatok feldolgozását más személyre bízni a személyes adatok alanyának hozzájárulásával, hacsak a szövetségi törvény másként nem rendelkezik, az ezzel a személlyel kötött megállapodás alapján, beleértve az állami vagy önkormányzati szerződést, vagy az állami vagy önkormányzati szerv (a továbbiakban: megbízáskezelő) erre vonatkozó jogszabályának elfogadásával. Az üzemeltető nevében személyes adatokat feldolgozó személy köteles betartani a személyes adatok feldolgozására vonatkozó, a jelen szövetségi törvényben meghatározott elveket és szabályokat.
Forrás:
Megállapítja továbbá a szolgáltató azon kötelezettségét, hogy a személyes adatok bizalmas kezelését és biztonságát a meghatározott követelményeknek megfelelően biztosítsa:
Az üzemeltető utasításában meg kell határozni a személyes adatokkal a személyes adatokkal végrehajtandó műveletek (műveletek) listáját, valamint az adatkezelés céljait, meg kell határozni az ilyen személy kötelezettségét a személyes adatok titkosságának megőrzésére és a szerint kell meghatározni a személyes adatok biztonságát azok kezelése során, valamint a kezelt személyes adatok védelmére vonatkozó követelményeket e szövetségi törvény rendelkezéseit.
Forrás:
Ezért a szolgáltató az üzemeltetőnek, nem pedig a személyes adatok alanyának felel:
Ha az üzemeltető a személyes adatok feldolgozását más személyre bízza, az üzemeltető felelősséggel tartozik a személyes adatok alanyával szemben az adott személy cselekedeteiért. A személyes adatokat az üzemeltető nevében feldolgozó személy az üzemeltető felé tartozik felelősséggel.
Forrás: .
Fontos továbbá a végzésben rögzíteni a személyes adatok védelmének biztosítására vonatkozó kötelezettséget:
Az információs rendszerben feldolgozott személyes adatok biztonságáról a rendszer üzemeltetője, aki a személyes adatokat kezeli (a továbbiakban: üzemeltető), vagy az üzemeltető megbízásából személyes adatot a személyes adatokat feldolgozó személy biztosítja. ezzel a személlyel (a továbbiakban: meghatalmazott) kötött megállapodás. Az üzemeltető és a meghatalmazott közötti megállapodásnak rendelkeznie kell a meghatalmazott azon kötelezettségéről, hogy az információs rendszerben történő feldolgozás során gondoskodjon a személyes adatok biztonságáról.
Forrás:
Valóság: Ha személyes adatokat ad meg a szolgáltatónak, akkor írja alá a megrendelést. A végzésben tüntesse fel az alanyok személyes adatainak védelmének biztosítására vonatkozó követelményt. Ellenkező esetben Ön nem tartja be a személyes adatok feldolgozásának harmadik félnek történő átadására vonatkozó jogszabályokat, és a szolgáltató nem tartozik Önnek semmivel a 152-FZ betartásával kapcsolatban.
4. tévhit. A Moszad kémkedik utánam, vagy határozottan UZ-1-em van
Egyes ügyfelek folyamatosan bizonyítják, hogy 1. vagy 2. biztonsági szintű ISPD-vel rendelkeznek. Leggyakrabban ez nem így van. Emlékezzünk a hardverre, hogy kitaláljuk, miért történik ez.
Az LO vagy biztonsági szint határozza meg, hogy mitől védi meg személyes adatait.
A biztonsági szintet a következő pontok befolyásolják:
- a személyes adatok típusa (speciális, biometrikus, nyilvánosan elérhető és mások);
- ki birtokolja a személyes adatokat - a személyes adatok kezelőjének alkalmazottai vagy nem alkalmazottai;
- személyes érintettek száma – több-kevesebb 100 ezer.
- aktuális fenyegetések típusai.
A fenyegetések típusairól szól . Íme mindegyik leírása, ingyenes fordításommal emberi nyelvre.
Az 1-es típusú fenyegetések akkor relevánsak egy információs rendszerre nézve, ha az információs rendszerben használt rendszerszoftver dokumentálatlan (bejelentetlen) képességeinek jelenlétével kapcsolatos fenyegetések is relevánsak számára.
Ha felismeri az ilyen típusú fenyegetést, akkor határozottan úgy gondolja, hogy a CIA, az MI6 vagy a MOSSAD ügynökei könyvjelzőt helyeztek el az operációs rendszerben, hogy ellopják bizonyos alanyok személyes adatait az Ön ISPD-jéből.
A 2. típusú fenyegetések akkor relevánsak egy információs rendszer esetében, ha az információs rendszerben használt alkalmazási szoftverben dokumentálatlan (be nem jelentett) képességek jelenlétével kapcsolatos fenyegetések is relevánsak számára.
Ha úgy gondolja, hogy a második típusú fenyegetés az Ön esete, akkor aludjon, és nézze meg, hogy a CIA, az MI6, a MOSSAD ugyanazon ügynökei, egy gonosz magányos hacker vagy csoport könyvjelzőket helyeztek el valamilyen irodai szoftvercsomagban, hogy pontosan rávadászhassanak. személyes adatait. Igen, vannak kétes alkalmazásszoftverek, mint például a μTorrent, de készíthet egy listát a telepítéshez engedélyezett szoftverekről, és szerződést köthet a felhasználókkal, nem adhat helyi rendszergazdai jogokat stb.
A 3-as típusú fenyegetések akkor relevánsak egy információs rendszer számára, ha olyan fenyegetések relevánsak számára, amelyek nem a rendszerben és az információs rendszerben használt alkalmazási szoftverekben nem dokumentált (bejelentetlen) képességek jelenlétével kapcsolatosak.
Az 1-es és 2-es típusú fenyegetés nem megfelelő az Ön számára, ezért itt a helye.
Kiválasztottuk a fenyegetések típusait, most nézzük meg, milyen szintű lesz az ISPD-nk biztonsága.
pontjában meghatározott megfelelések alapján készült táblázat .
Ha a tényleges fenyegetések harmadik típusát választottuk, akkor a legtöbb esetben UZ-3 lesz. Az egyetlen kivétel, amikor az 1-es és 2-es típusú fenyegetések nem relevánsak, de a biztonsági szint továbbra is magas lesz (UZ-2), azok a cégek, amelyek nem alkalmazottak speciális személyes adatait dolgozzák fel 100 000-nél nagyobb mennyiségben. például az orvosi diagnosztikával és orvosi szolgáltatások nyújtásával foglalkozó cégek.
Létezik az UZ-4 is, és főleg azoknál a cégeknél található meg, amelyek tevékenysége nem kapcsolódik nem munkavállalók, azaz megbízók vagy vállalkozók személyes adatainak feldolgozásához, vagy a személyes adatbázisuk kicsi.
Miért olyan fontos, hogy ne vigyük túlzásba a biztonsági szintet? Egyszerű: ezen múlik, hogy milyen intézkedések és védelmi eszközök biztosítják ezt a biztonsági szintet. Minél magasabb a tudásszint, annál többet kell tenni szervezési és technikai szempontból (olvassa el: annál több pénzt és ideget kell költeni).
Itt van például, hogyan változik a biztonsági intézkedések halmaza ugyanazon PP-1119 szerint.
Most nézzük meg, hogy a kiválasztott biztonsági szinttől függően hogyan változik a szükséges intézkedések listája ennek megfelelően Ennek a dokumentumnak egy hosszú függeléke van, amely meghatározza a szükséges intézkedéseket. Összesen 109 db van belőlük, minden KM-hez kötelező intézkedések vannak meghatározva és „+” jellel jelölve – ezeket az alábbi táblázat pontosan kiszámolja. Ha csak az UZ-3-hoz szükségeseket hagyja meg, 4-et kap.
Valóság: ha nem gyűjt teszteket vagy biometrikus adatokat az ügyfelektől, nem paranoiás a rendszer- és alkalmazásszoftverekben található könyvjelzők miatt, akkor valószínűleg UZ-3-mal rendelkezik. Ésszerű listával rendelkezik a ténylegesen végrehajtható szervezési és technikai intézkedésekről.
5. mítosz. A személyes adatok védelmének minden eszközét az oroszországi FSTEC-nek kell tanúsítania
Ha tanúsítást szeretne vagy kötelező, akkor valószínűleg tanúsított védőfelszerelést kell használnia. A tanúsítást az oroszországi FSTEC engedélyese végzi, aki:
- érdeklődik több tanúsított információvédelmi eszköz értékesítése iránt;
- félni fog attól, hogy a szabályozó visszavonja az engedélyt, ha valami elromlik.
Ha nincs szüksége tanúsításra, és készen áll a követelményeknek való megfelelést más módon is megerősíteni, a ben megnevezett módon „A személyes adatvédelmi rendszerben a személyes adatok biztonsága érdekében végrehajtott intézkedések hatékonyságának értékelése”, akkor az Ön számára nem szükséges tanúsított információbiztonsági rendszer. Megpróbálom röviden elmagyarázni az indoklást.
В kimondja, hogy a megállapított eljárásnak megfelelően a megfelelőségértékelési eljáráson átesett védőfelszerelést kell használni:
A személyes adatok biztonságának biztosítása megvalósul, különösen:
[…] 3) olyan információbiztonsági eszközök alkalmazása, amelyek a megállapított eljárásnak megfelelően megfeleltek a megfelelőségértékelési eljáráson.
В Követelmény továbbá olyan információbiztonsági eszközök használatára, amelyek megfeleltek a jogszabályi követelményeknek való megfelelés értékelésének:
[…] olyan információbiztonsági eszközök használata, amelyek átmentek az Orosz Föderáció információbiztonsági jogszabályai követelményeinek való megfelelés értékelésére szolgáló eljáráson, olyan esetekben, amikor ilyen eszközök használata szükséges a jelenlegi fenyegetések semlegesítéséhez.
gyakorlatilag megismétli a PP-1119 bekezdést:
A személyes adatok biztonságát biztosító intézkedéseket többek között az információs rendszerben a megfelelőségértékelési eljáráson a megállapított eljárásnak megfelelően átesett információbiztonsági eszközök használatával hajtják végre, olyan esetekben, amikor ilyen eszközök használata szükséges a semlegesíteni a személyes adatok biztonságát fenyegető jelenlegi fenyegetéseket.
Mi a közös ezekben a megfogalmazásokban? Így van – nem követelik meg a tanúsított védőfelszerelés használatát. Az tény, hogy a megfelelőségértékelésnek többféle formája létezik (önkéntes vagy kötelező tanúsítás, megfelelőségi nyilatkozat). A tanúsítás csak egy ezek közül. Az üzemeltető használhat nem tanúsított termékeket, de az ellenőrzés során bizonyítania kell a szabályozónak, hogy átestek valamilyen megfelelőségértékelési eljáráson.
Ha a kezelő minősített védőfelszerelés használata mellett dönt, akkor az ultrahangos védelemnek megfelelő információvédelmi rendszert kell kiválasztani, amelyet egyértelműen jelez. :
A személyes adatok védelmét szolgáló technikai intézkedések információbiztonsági eszközök használatával valósulnak meg, beleértve a szoftver (hardver) eszközöket is, amelyekben ezek megvalósulnak, és amelyek rendelkeznek a szükséges biztonsági funkciókkal.
Az információs rendszerekben az információbiztonsági követelményeknek megfelelően tanúsított információbiztonsági eszközök használatakor:
Valóság: A törvény nem írja elő a tanúsított védőfelszerelés kötelező használatát.
6. mítosz. Titkosító védelemre van szükségem
Itt van néhány árnyalat:
- Sokan úgy vélik, hogy a kriptográfia minden ISPD számára kötelező. Valójában csak akkor szabad ezeket használni, ha az üzemeltető a kriptográfia használatán kívül más védelmi intézkedést nem lát maga számára.
- Ha nem nélkülözheti a titkosítást, akkor az FSB által hitelesített CIPF-et kell használnia.
- Például úgy dönt, hogy egy ISPD-t egy szolgáltató felhőjében tárol, de nem bízik benne. Fenyegetés és behatoló modellben írja le aggályait. Személyes adatokkal rendelkezik, ezért úgy döntött, hogy a titkosítás az egyetlen módja annak, hogy megvédje magát: titkosítja a virtuális gépeket, biztonságos csatornákat épít ki kriptográfiai védelem segítségével. Ebben az esetben az orosz FSB által hitelesített CIPF-et kell használnia.
- A tanúsított CIPF-et egy bizonyos biztonsági szint szerint választják ki .
Az UZ-3-mal rendelkező ISPDn esetén használhatja a KS1, KS2, KS3-at. A KS1 például a C-Terra Virtual Gateway 4.2 a csatornavédelemhez.
A KC2, KS3 csak szoftver- és hardverrendszerek által képviselt, mint például: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway stb.
Ha UZ-2 vagy 1 van, akkor KV1, 2 és KA osztályú kriptográfiai védelmi eszközökre lesz szüksége. Ezek specifikus szoftver- és hardverrendszerek, nehezen kezelhetőek, teljesítményjellemzőik szerények.
Valóság: A törvény nem kötelezi az FSB által hitelesített CIPF használatát.
Forrás: will.com