Halo semua! Saya menjalankan Pusat Pertahanan Cyber ββDataLine. Pelanggan datang kepada kami dengan tugas memenuhi persyaratan 152-FZ di cloud atau infrastruktur fisik.
Di hampir setiap proyek, perlu dilakukan upaya pendidikan untuk menghilangkan prasangka mitos seputar undang-undang ini. Saya telah mengumpulkan kesalahpahaman paling umum yang dapat merugikan anggaran dan sistem saraf operator data pribadi. Saya akan segera membuat reservasi bahwa kasus-kasus kantor negara (GIS) yang menangani rahasia negara, KII, dll akan tetap berada di luar cakupan artikel ini.
Mitos 1. Saya memasang antivirus, firewall, dan mengelilingi rak dengan pagar. Apakah saya mengikuti hukum?
152-FZ bukan tentang perlindungan sistem dan server, tetapi tentang perlindungan data pribadi subjek. Oleh karena itu, kepatuhan terhadap 152-FZ dimulai bukan dengan antivirus, tetapi dengan sejumlah besar kertas dan masalah organisasi.
Inspektur utama Roskomnadzor tidak akan melihat keberadaan dan kondisi sarana teknis perlindungan, tetapi dasar hukum pemrosesan data pribadi (PD):
- untuk tujuan apa Anda mengumpulkan data pribadi;
- apakah Anda mengumpulkan lebih banyak dari yang diperlukan untuk tujuan Anda;
- berapa lama Anda menyimpan data pribadi;
- apakah ada kebijakan untuk memproses data pribadi;
- Apakah Anda mengumpulkan persetujuan untuk pemrosesan data pribadi, transfer lintas batas, pemrosesan oleh pihak ketiga, dll.
Jawaban atas pertanyaan-pertanyaan ini, serta prosesnya sendiri, harus dicatat dalam dokumen yang sesuai. Berikut ini jauh dari daftar lengkap tentang apa yang perlu dipersiapkan oleh operator data pribadi:
- Formulir persetujuan standar untuk pemrosesan data pribadi (ini adalah lembaran yang sekarang kami tandatangani hampir di mana pun kami meninggalkan nama lengkap dan detail paspor kami).
- Kebijakan Operator mengenai pemrosesan data pribadi ( ada rekomendasi untuk desain).
- Perintah penunjukan orang yang bertanggung jawab untuk mengatur pemrosesan data pribadi.
- Deskripsi pekerjaan orang yang bertanggung jawab mengatur pemrosesan data pribadi.
- Aturan pengendalian internal dan (atau) audit kepatuhan pemrosesan PD dengan persyaratan hukum.
- Daftar sistem informasi data pribadi (ISPD).
- Peraturan untuk memberikan subjek akses ke data pribadinya.
- Peraturan investigasi insiden.
- Perintah penerimaan karyawan untuk pemrosesan data pribadi.
- Peraturan interaksi dengan regulator.
- Pemberitahuan RKN, dll.
- Formulir instruksi untuk pemrosesan PD.
- Model ancaman ISPD.
Setelah menyelesaikan masalah ini, Anda dapat mulai memilih tindakan dan sarana teknis tertentu. Yang mana yang Anda perlukan bergantung pada sistem, kondisi pengoperasiannya, dan ancaman saat ini. Tapi lebih dari itu nanti.
Realitas: kepatuhan terhadap hukum adalah penetapan dan kepatuhan terhadap proses tertentu, pertama-tama, dan yang kedua - penggunaan sarana teknis khusus.
Mitos 2. Saya menyimpan data pribadi di cloud, pusat data yang memenuhi persyaratan 152-FZ. Sekarang mereka bertanggung jawab untuk menegakkan hukum
Saat Anda melakukan outsourcing penyimpanan data pribadi ke penyedia cloud atau pusat data, Anda tidak berhenti menjadi operator data pribadi.
Mari kita minta bantuan definisi dari undang-undang:
Pemrosesan data pribadi β setiap tindakan (operasi) atau serangkaian tindakan (operasi) yang dilakukan menggunakan alat otomatisasi atau tanpa menggunakan cara tersebut dengan data pribadi, termasuk pengumpulan, pencatatan, sistematisasi, akumulasi, penyimpanan, klarifikasi (memperbarui, mengubah), ekstraksi, penggunaan, transfer (distribusi, penyediaan, akses), depersonalisasi, pemblokiran, penghapusan, penghancuran data pribadi.
Sumber: pasal 3,
Dari semua tindakan ini, penyedia layanan bertanggung jawab untuk menyimpan dan menghancurkan data pribadi (saat klien mengakhiri kontrak dengannya). Segala sesuatu yang lain disediakan oleh operator data pribadi. Artinya, operator, dan bukan penyedia layanan, yang menentukan kebijakan pemrosesan data pribadi, memperoleh persetujuan yang ditandatangani untuk pemrosesan data pribadi dari kliennya, mencegah dan menyelidiki kasus kebocoran data pribadi ke pihak ketiga, dan sebagainya.
Akibatnya, operator data pribadi tetap harus mengumpulkan dokumen-dokumen yang tercantum di atas dan menerapkan langkah-langkah organisasi dan teknis untuk melindungi PDIS mereka.
Biasanya, penyedia membantu operator dengan memastikan kepatuhan terhadap persyaratan hukum di tingkat infrastruktur tempat ISPD operator akan ditempatkan: rak dengan peralatan atau cloud. Dia juga mengumpulkan paket dokumen, mengambil tindakan organisasi dan teknis untuk infrastrukturnya sesuai dengan 152-FZ.
Beberapa penyedia membantu dengan dokumen dan penyediaan langkah-langkah keamanan teknis untuk ISDN itu sendiri, yaitu pada tingkat di atas infrastruktur. Operator juga dapat melakukan outsourcing tugas-tugas ini, namun tanggung jawab dan kewajiban berdasarkan hukum tidak hilang.
Realitas: Dengan menggunakan layanan penyedia atau pusat data, Anda tidak dapat mengalihkan tanggung jawab operator data pribadi kepadanya dan melepaskan tanggung jawab. Jika penyedia menjanjikan hal ini kepada Anda, secara halus, dia berbohong.
Mitos 3. Saya memiliki paket dokumen dan tindakan yang diperlukan. Saya menyimpan data pribadi dengan penyedia yang menjanjikan kepatuhan terhadap 152-FZ. Apakah semuanya beres?
Ya, jika Anda ingat untuk menandatangani pesanan. Secara hukum, operator dapat mempercayakan pemrosesan data pribadi kepada orang lain, misalnya penyedia layanan yang sama. Perintah adalah semacam perjanjian yang mencantumkan apa yang dapat dilakukan penyedia layanan terhadap data pribadi operator.
Operator berhak mempercayakan pemrosesan data pribadi kepada orang lain dengan persetujuan subjek data pribadi, kecuali ditentukan lain oleh Undang-undang Federal, berdasarkan perjanjian yang dibuat dengan orang ini, termasuk kontrak negara bagian atau kota, atau dengan penerapan tindakan yang relevan oleh badan negara bagian atau kota (selanjutnya disebut operator penugasan). Orang yang memproses data pribadi atas nama Operator wajib mematuhi prinsip dan aturan pemrosesan data pribadi yang diatur oleh Undang-Undang Federal ini.
Sumber:
Kewajiban Penyedia untuk menjaga kerahasiaan data pribadi dan menjamin keamanannya sesuai dengan persyaratan yang ditentukan juga ditetapkan:
Instruksi operator harus menentukan daftar tindakan (operasi) dengan data pribadi yang akan dilakukan oleh orang yang memproses data pribadi dan tujuan pemrosesan, kewajiban orang tersebut harus ditetapkan untuk menjaga kerahasiaan data pribadi dan memastikan keamanan keamanan data pribadi selama pemrosesannya, serta persyaratan untuk perlindungan data pribadi yang diproses harus ditentukan sesuai dengan dari undang-undang federal ini.
Sumber:
Untuk ini, penyedia bertanggung jawab kepada operator, dan bukan kepada subjek data pribadi:
Jika Operator mempercayakan pemrosesan data pribadi kepada orang lain, Operator bertanggung jawab kepada subjek data pribadi atas tindakan orang tersebut. Orang yang memproses data pribadi atas nama Operator bertanggung jawab kepada Operator.
Sumber: .
Penting juga untuk menetapkan dalam urutan kewajiban untuk memastikan perlindungan data pribadi:
Keamanan data pribadi ketika diproses dalam suatu sistem informasi dijamin oleh penyelenggara sistem ini, yang memproses data pribadi (selanjutnya disebut operator), atau oleh orang yang memproses data pribadi atas nama operator atas dasar suatu perjanjian yang dibuat dengan orang ini (selanjutnya disebut orang yang diberi kuasa). Perjanjian antara operator dan orang yang berwenang harus mengatur kewajiban orang yang berwenang untuk menjamin keamanan data pribadi ketika diproses dalam sistem informasi.
Sumber:
Realitas: Jika Anda memberikan data pribadi kepada penyedia, maka tandatangani pesanan. Dalam urutannya, tunjukkan persyaratan untuk memastikan perlindungan data pribadi subjek. Jika tidak, Anda tidak mematuhi hukum mengenai transfer pekerjaan pemrosesan data pribadi ke pihak ketiga, dan penyedia tidak berhutang apa pun kepada Anda terkait kepatuhan terhadap 152-FZ.
Mitos 4. Mossad sedang memata-matai saya, atau saya pasti punya UZ-1
Beberapa pelanggan terus-menerus membuktikan bahwa mereka memiliki ISPD tingkat keamanan 1 atau 2. Seringkali hal ini tidak terjadi. Mari kita ingat perangkat kerasnya untuk mencari tahu mengapa hal ini terjadi.
LO, atau tingkat keamanan, menentukan dari apa Anda akan melindungi data pribadi Anda.
Tingkat keamanan dipengaruhi oleh hal-hal berikut:
- jenis data pribadi (khusus, biometrik, tersedia untuk umum, dan lain-lain);
- siapa yang memiliki data pribadi - karyawan atau bukan karyawan operator data pribadi;
- jumlah subjek data pribadi β kurang lebih 100 ribu.
- jenis ancaman saat ini.
Memberi tahu kami tentang jenis ancaman . Berikut adalah deskripsi masing-masing dengan terjemahan gratis saya ke dalam bahasa manusia.
Ancaman tipe 1 relevan dengan sistem informasi jika ancaman yang terkait dengan adanya kemampuan yang tidak terdokumentasi (tidak diumumkan) dalam perangkat lunak sistem yang digunakan dalam sistem informasi juga relevan dengannya.
Jika Anda menganggap jenis ancaman ini relevan, maka Anda sangat yakin bahwa agen CIA, MI6, atau MOSSAD telah menandai sistem operasi untuk mencuri data pribadi subjek tertentu dari ISPD Anda.
Ancaman tipe ke-2 relevan untuk suatu sistem informasi jika ancaman yang terkait dengan adanya kemampuan yang tidak terdokumentasi (tidak diumumkan) dalam perangkat lunak aplikasi yang digunakan dalam sistem informasi juga relevan untuknya.
Jika Anda berpikir bahwa ancaman jenis kedua adalah kasus Anda, maka Anda tidur dan melihat bagaimana agen yang sama dari CIA, MI6, MOSSAD, seorang hacker atau kelompok jahat telah menandai beberapa paket perangkat lunak perkantoran untuk berburu dengan tepat. data pribadi Anda. Ya, ada perangkat lunak aplikasi yang meragukan seperti ΞΌTorrent, tetapi Anda dapat membuat daftar perangkat lunak yang diizinkan untuk instalasi dan menandatangani perjanjian dengan pengguna, tidak memberikan hak administrator lokal kepada pengguna, dll.
Ancaman tipe 3 relevan dengan sistem informasi jika ancaman yang tidak terkait dengan adanya kemampuan yang tidak terdokumentasi (tidak diumumkan) dalam sistem dan perangkat lunak aplikasi yang digunakan dalam sistem informasi relevan dengannya.
Ancaman tipe 1 dan 2 tidak cocok untuk Anda, jadi ini tempat yang tepat untuk Anda.
Kita sudah memilah jenis ancamannya, sekarang mari kita lihat tingkat keamanan apa yang dimiliki ISPD kita.
Tabel berdasarkan korespondensi yang ditentukan dalam .
Jika kita memilih jenis ancaman aktual ketiga, maka dalam banyak kasus kita akan mendapatkan UZ-3. Satu-satunya pengecualian, ketika ancaman tipe 1 dan 2 tidak relevan, namun tingkat keamanannya masih tinggi (UZ-2), adalah perusahaan yang memproses data pribadi khusus non-karyawan yang jumlahnya lebih dari 100. misalnya, perusahaan yang bergerak di bidang diagnosa medis dan penyediaan layanan medis.
Ada juga UZ-4, dan ditemukan terutama di perusahaan yang bisnisnya tidak terkait dengan pemrosesan data pribadi non-karyawan, yaitu klien atau kontraktor, atau basis data pribadinya kecil.
Mengapa sangat penting untuk tidak berlebihan dalam hal tingkat keamanan? Sederhana saja: serangkaian tindakan dan sarana perlindungan untuk memastikan tingkat keamanan akan bergantung pada hal ini. Semakin tinggi tingkat pengetahuannya, semakin banyak yang perlu dilakukan secara organisasi dan teknis (baca: semakin banyak uang dan tenaga yang perlu dikeluarkan).
Di sini, misalnya, adalah bagaimana serangkaian tindakan pengamanan berubah sesuai dengan PP-1119 yang sama.
Sekarang mari kita lihat bagaimana, bergantung pada tingkat keamanan yang dipilih, daftar tindakan yang diperlukan berubah sesuai dengan Terdapat lampiran panjang pada dokumen ini, yang menjelaskan langkah-langkah yang diperlukan. Totalnya ada 109, untuk setiap KM tindakan wajib ditentukan dan ditandai dengan tanda β+β - dihitung secara tepat pada tabel di bawah. Jika Anda hanya menyisakan yang dibutuhkan untuk UZ-3, Anda mendapatkan 4.
Realitas: jika Anda tidak mengumpulkan tes atau biometrik dari klien, Anda tidak paranoid tentang bookmark di sistem dan perangkat lunak aplikasi, kemungkinan besar Anda memiliki UZ-3. Ia memiliki daftar langkah-langkah organisasi dan teknis yang masuk akal yang benar-benar dapat diterapkan.
Mitos 5. Segala cara untuk melindungi data pribadi harus disertifikasi oleh FSTEC Rusia
Jika Anda ingin atau diharuskan melakukan sertifikasi, kemungkinan besar Anda harus menggunakan alat pelindung diri yang bersertifikat. Sertifikasi akan dilakukan oleh pemegang lisensi FSTEC Rusia, yang:
- tertarik untuk menjual lebih banyak perangkat perlindungan informasi bersertifikat;
- akan takut izinnya dicabut oleh regulator jika terjadi kesalahan.
Jika Anda tidak memerlukan sertifikasi dan Anda siap untuk mengonfirmasi kepatuhan terhadap persyaratan dengan cara lain, sebutkan di βMenilai efektivitas tindakan yang diterapkan dalam sistem perlindungan data pribadi untuk memastikan keamanan data pribadi,β maka sistem keamanan informasi bersertifikat tidak diperlukan untuk Anda. Saya akan mencoba menjelaskan secara singkat alasannya.
Π menyatakan perlu menggunakan alat pelindung diri yang telah menjalani prosedur penilaian kesesuaian sesuai dengan prosedur yang telah ditetapkan:
Memastikan keamanan data pribadi tercapai, khususnya:
[β¦] 3) penggunaan sarana keamanan informasi yang telah lulus prosedur penilaian kepatuhan sesuai dengan prosedur yang ditetapkan.
Π Ada juga persyaratan untuk menggunakan alat keamanan informasi yang telah lulus prosedur penilaian kepatuhan terhadap persyaratan hukum:
[β¦] penggunaan alat keamanan informasi yang telah lulus prosedur untuk menilai kepatuhan terhadap persyaratan undang-undang Federasi Rusia di bidang keamanan informasi, dalam kasus di mana penggunaan cara tersebut diperlukan untuk menetralisir ancaman saat ini.
praktis menduplikasi paragraf PP-1119:
Langkah-langkah untuk menjamin keamanan data pribadi dilaksanakan antara lain melalui penggunaan alat keamanan informasi dalam sistem informasi yang telah lulus prosedur penilaian kesesuaian sesuai dengan prosedur yang ditetapkan, dalam hal penggunaan alat tersebut diperlukan untuk menetralisir ancaman saat ini terhadap keamanan data pribadi.
Apa kesamaan formulasi ini? Benar - mereka tidak memerlukan penggunaan alat pelindung bersertifikat. Faktanya, ada beberapa bentuk penilaian kesesuaian (sertifikasi sukarela atau wajib, deklarasi kesesuaian). Sertifikasi hanyalah salah satunya. Operator dapat menggunakan produk yang tidak bersertifikat, namun harus menunjukkan kepada regulator setelah inspeksi bahwa produk tersebut telah menjalani beberapa bentuk prosedur penilaian kesesuaian.
Jika operator memutuskan untuk menggunakan alat pelindung diri bersertifikat, maka perlu memilih sistem perlindungan informasi yang sesuai dengan perlindungan ultrasonik, yang dinyatakan dengan jelas dalam :
Langkah-langkah teknis untuk melindungi data pribadi diterapkan melalui penggunaan alat keamanan informasi, termasuk alat perangkat lunak (perangkat keras) di mana alat tersebut diterapkan, yang memiliki fungsi keamanan yang diperlukan.
Saat menggunakan alat keamanan informasi yang disertifikasi sesuai dengan persyaratan keamanan informasi dalam sistem informasi:
Realitas: Undang-undang tidak mewajibkan penggunaan peralatan pelindung bersertifikat.
Mitos 6. Saya memerlukan perlindungan kripto
Ada beberapa nuansa di sini:
- Banyak orang percaya bahwa kriptografi adalah wajib untuk setiap ISPD. Faktanya, mereka hanya boleh digunakan jika operator tidak melihat tindakan perlindungan lain selain penggunaan kriptografi.
- Jika Anda tidak dapat melakukannya tanpa kriptografi, maka Anda perlu menggunakan CIPF yang disertifikasi oleh FSB.
- Misalnya, Anda memutuskan untuk menghosting ISPD di cloud penyedia layanan, namun Anda tidak mempercayainya. Anda menggambarkan kekhawatiran Anda dalam model ancaman dan penyusup. Anda memiliki data pribadi, jadi Anda memutuskan bahwa kriptografi adalah satu-satunya cara untuk melindungi diri Anda sendiri: Anda akan mengenkripsi mesin virtual, membangun saluran aman menggunakan perlindungan kriptografi. Dalam hal ini, Anda harus menggunakan CIPF yang disertifikasi oleh FSB Rusia.
- CIPF bersertifikat dipilih sesuai dengan tingkat keamanan tertentu menurut .
Untuk ISPDn dengan UZ-3 bisa menggunakan KS1, KS2, KS3. KS1, misalnya, adalah C-Terra Virtual Gateway 4.2 untuk melindungi saluran.
KC2, KS3 hanya diwakili oleh sistem perangkat lunak dan perangkat keras, seperti: Koordinator ViPNet, APKSH "Benua", S-Terra Gateway, dll.
Jika Anda memiliki UZ-2 atau 1, maka Anda memerlukan alat perlindungan kriptografi kelas KV1, 2 dan KA. Ini adalah sistem perangkat lunak dan perangkat keras yang spesifik, sulit dioperasikan, dan karakteristik kinerjanya sederhana.
Realitas: Undang-undang tidak mewajibkan penggunaan CIPF yang disertifikasi oleh FSB.
Sumber: www.habr.com