Hæ allir! Ég rek DataLine Cyber Defense Center. Viðskiptavinir koma til okkar með það verkefni að uppfylla kröfur 152-FZ í skýinu eða á líkamlegum innviðum.
Í næstum hverju verkefni er nauðsynlegt að vinna fræðslustarf til að afnema goðsagnirnar í kringum þessi lög. Ég hef safnað saman algengustu ranghugmyndum sem geta verið dýrar fyrir fjárhagsáætlun og taugakerfi persónuupplýsingaaðilans. Ég geri strax fyrirvara um að mál um ríkisskrifstofur (GIS) sem fjalla um ríkisleyndarmál, KII, o.s.frv., verði utan gildissviðs þessarar greinar.
Goðsögn 1. Ég setti upp vírusvörn, eldvegg og umkringdi grindirnar með girðingu. Fer ég eftir lögum?
152-FZ snýst ekki um vernd kerfa og netþjóna, heldur um vernd persónuupplýsinga einstaklinga. Þess vegna byrjar fylgni við 152-FZ ekki með vírusvörn, heldur með miklum fjölda blaða og skipulagsvandamála.
Aðalskoðunarmaður, Roskomnadzor, mun ekki skoða tilvist og ástand tæknilegra verndaraðferða, heldur lagalegan grundvöll vinnslu persónuupplýsinga (PD):
- í hvaða tilgangi safnar þú persónuupplýsingum;
- hvort þú safnar meira af þeim en þú þarft í þínum tilgangi;
- hversu lengi geymir þú persónuupplýsingar;
- er til stefna um vinnslu persónuupplýsinga;
- Ertu að safna samþykki fyrir vinnslu persónuupplýsinga, millifærslu yfir landamæri, vinnslu þriðja aðila o.s.frv.
Svörin við þessum spurningum, sem og ferlunum sjálfum, ættu að vera skráð í viðeigandi skjöl. Hér er langt frá því að vera tæmandi listi yfir það sem rekstraraðili persónuupplýsinga þarf að undirbúa:
- Staðlað samþykkiseyðublað fyrir vinnslu persónuupplýsinga (þetta eru blöðin sem við undirritum núna nánast alls staðar þar sem við skiljum eftir fullt nöfn okkar og vegabréfsupplýsingar).
- Stefna rekstraraðila varðandi vinnslu persónuupplýsinga ( það eru ráðleggingar um hönnun).
- Skipun um skipun aðila sem ber ábyrgð á skipulagningu vinnslu persónuupplýsinga.
- Starfslýsing þess sem ber ábyrgð á skipulagningu vinnslu persónuupplýsinga.
- Reglur um innra eftirlit og (eða) endurskoðun á því að PD-vinnsla sé í samræmi við lagalegar kröfur.
- Listi yfir persónuupplýsingakerfi (ISPD).
- Reglur um að veita einstaklingi aðgang að persónuupplýsingum hans.
- Reglur um rannsókn atvika.
- Tilskipun um heimild starfsmanna til vinnslu persónuupplýsinga.
- Reglur um samskipti við eftirlitsaðila.
- Tilkynning RKN o.fl.
- Leiðbeiningareyðublað fyrir PD úrvinnslu.
- ISPD ógnarlíkan.
Eftir að hafa leyst þessi mál geturðu byrjað að velja sérstakar ráðstafanir og tæknilegar leiðir. Hvaða þú þarft fer eftir kerfunum, rekstrarskilyrðum þeirra og núverandi ógnum. En meira um það síðar.
Raunveruleiki: fylgni við lög er stofnun og samræmi við ákveðna ferla, fyrst af öllu, og aðeins í öðru lagi - notkun sérstakra tæknilegra leiða.
Goðsögn 2. Ég geymi persónuleg gögn í skýinu, gagnaver sem uppfyllir kröfur 152-FZ. Nú bera þeir ábyrgð á því að lögunum sé framfylgt
Þegar þú útvistar geymslu persónuupplýsinga til skýjaveitu eða gagnaveri, hættir þú ekki að vera rekstraraðili persónuupplýsinga.
Við skulum kalla á skilgreininguna úr lögum um hjálp:
Vinnsla persónuupplýsinga – hvers kyns aðgerð (aðgerð) eða mengi aðgerða (aðgerða) sem framkvæmd er með sjálfvirkniverkfærum eða án þess að nota slíkar aðferðir með persónuupplýsingum, þ. útdráttur, notkun, flutningur (dreifing, útvegun, aðgangur), afpersónugerð, lokun, eyðing, eyðilegging persónuupplýsinga.
Heimild: 3. grein,
Af öllum þessum aðgerðum ber þjónustuveitandinn ábyrgð á að geyma og eyða persónuupplýsingum (þegar viðskiptavinur segir upp samningi við hann). Allt annað er veitt af rekstraraðila persónuupplýsinga. Þetta þýðir að rekstraraðili, en ekki þjónustuaðili, ákveður stefnu um vinnslu persónuupplýsinga, aflar undirritaðs samþykkis fyrir vinnslu persónuupplýsinga frá viðskiptavinum sínum, kemur í veg fyrir og rannsakar tilvik um leka persónuupplýsinga til þriðja aðila o.s.frv.
Þar af leiðandi verður rekstraraðili persónuupplýsinga enn að safna skjölunum sem voru talin upp hér að ofan og innleiða skipulags- og tækniráðstafanir til að vernda PDIS þeirra.
Venjulega hjálpar veitandinn rekstraraðilanum með því að tryggja að farið sé að lagalegum kröfum á innviðastigi þar sem ISPD rekstraraðilans verður staðsett: rekki með búnaði eða skýinu. Hann safnar einnig skjalapakka, gerir skipulags- og tækniráðstafanir fyrir innviði hans í samræmi við 152-FZ.
Sumir veitendur aðstoða við pappírsvinnu og útvegun tæknilegra öryggisráðstafana fyrir ISDN sjálf, þ.e.a.s. á stigi fyrir ofan innviðina. Rekstraraðili getur einnig útvistað þessum verkefnum en ábyrgð og skyldur samkvæmt lögum hverfa ekki.
Raunveruleiki: Með því að nota þjónustu þjónustuveitanda eða gagnavers geturðu ekki framselt til hans ábyrgð persónuupplýsingaaðila og losað þig undan ábyrgð. Ef þjónustuveitandinn lofar þér þessu, þá er hann vægast sagt að ljúga.
Goðsögn 3. Ég er með nauðsynlegan pakka af skjölum og ráðstöfunum. Ég geymi persónuupplýsingar hjá þjónustuaðila sem lofar að farið sé að 152-FZ. Er allt í röð og reglu?
Já, ef þú manst eftir að skrifa undir pöntunina. Samkvæmt lögum getur rekstraraðili falið öðrum aðila vinnslu persónuupplýsinga, til dæmis sama þjónustuaðila. Pöntun er eins konar samningur sem sýnir hvað þjónustuveitandinn getur gert við persónuupplýsingar símafyrirtækisins.
Rekstraraðili hefur rétt til að fela öðrum aðila vinnslu persónuupplýsinga með samþykki einstaklings persónuupplýsinga, nema annað sé kveðið á um í sambandslögum, á grundvelli samnings sem gerður hefur verið við þennan aðila, þar á meðal ríkis- eða bæjarsamnings, eða með því að ríki eða sveitarfélag (hér eftir nefnt úthlutunaraðili) samþykkti viðeigandi gerð. Sá sem vinnur persónuupplýsingar fyrir hönd rekstraraðila er skylt að fara eftir meginreglum og reglum um vinnslu persónuupplýsinga sem kveðið er á um í þessum sambandslögum.
Heimild:
Skylda veitanda til að gæta trúnaðar um persónuupplýsingar og tryggja öryggi þeirra í samræmi við tilgreindar kröfur er einnig staðfest:
Tilskipun rekstraraðila þarf að skilgreina lista yfir aðgerðir (aðgerðir) með persónuupplýsingum sem verða framkvæmdar af einstaklingi sem vinnur persónuupplýsingar og tilgangi vinnslunnar, skylda slíks einstaklings verður að vera til að gæta trúnaðar um persónuupplýsingar og tryggja að öryggi persónuupplýsinga við vinnslu þeirra, auk þess sem kröfur um vernd unnar persónuupplýsingar skulu tilgreindar skv þessara sambandslaga.
Heimild:
Fyrir þetta er veitandinn ábyrgur gagnvart rekstraraðilanum, en ekki efni persónuupplýsinga:
Ef rekstraraðili felur öðrum aðila vinnslu persónuupplýsinga er rekstraraðilinn ábyrgur gagnvart viðfangsefni persónuupplýsinga á gjörðum tilgreinds einstaklings. Sá sem vinnur persónuupplýsingar fyrir hönd rekstraraðila er ábyrgur gagnvart rekstraraðila.
Heimild: .
Einnig er mikilvægt að kveða á um í röðinni skyldu til að tryggja vernd persónuupplýsinga:
Öryggi persónuupplýsinga við vinnslu í upplýsingakerfi er tryggt af rekstraraðila þessa kerfis, sem vinnur persónuupplýsingar (hér eftir nefndur rekstraraðili), eða af þeim sem vinnur persónuupplýsingar fyrir hönd rekstraraðila á grundvelli samningi sem gerður var við þennan aðila (hér eftir nefndur viðurkenndur aðili). Í samningi rekstraraðila og viðurkennds aðila þarf að kveða á um skyldu hins viðurkennda aðila til að tryggja öryggi persónuupplýsinga við vinnslu í upplýsingakerfinu.
Heimild:
Raunveruleiki: Ef þú gefur þjónustuveitanda persónuupplýsingar skaltu skrifa undir pöntunina. Tilgreinið í pöntuninni kröfuna um að tryggja vernd persónuupplýsinga þegnanna. Að öðrum kosti uppfyllir þú ekki lög um flutning persónuupplýsingavinnu til þriðja aðila og veitandinn skuldar þér ekkert varðandi fylgni við 152-FZ.
Goðsögn 4. Mossad er að njósna um mig, eða ég á örugglega UZ-1
Sumir viðskiptavinir sanna stöðugt að þeir séu með ISPD af öryggisstigi 1 eða 2. Oftast er þetta ekki raunin. Við skulum muna vélbúnaðinn til að komast að því hvers vegna þetta gerist.
LO, eða öryggisstig, ákvarðar frá hverju þú vernda persónuupplýsingar þínar.
Öryggisstigið hefur áhrif á eftirfarandi atriði:
- tegund persónuupplýsinga (sérstök, líffræðileg tölfræði, aðgengileg almenningi og önnur);
- hver á persónuupplýsingarnar - starfsmenn eða ekki starfsmenn rekstraraðila persónuupplýsinga;
- fjöldi skráðra einstaklinga – meira og minna 100 þúsund.
- tegundir núverandi hótana.
Segir okkur frá tegundum hótana . Hér er lýsing á hverjum og einum með ókeypis þýðingu minni á mannamál.
Tegund 1 ógnir eiga við upplýsingakerfi ef ógnir sem tengjast tilvist óskráðra (ótilgreindra) getu í kerfishugbúnaði sem notaður er í upplýsingakerfinu eiga einnig við um það.
Ef þú viðurkennir að þessi tegund ógnar sé viðeigandi, þá trúir þú því staðfastlega að umboðsmenn CIA, MI6 eða MOSSAD hafi sett bókamerki í stýrikerfið til að stela persónulegum gögnum um tiltekna einstaklinga frá ISPD þinni.
Hótanir af 2. gerð eiga við um upplýsingakerfi ef ógnir tengdar tilvist óskráðra (ótilgreindra) getu í forritahugbúnaði sem notaður er í upplýsingakerfinu skipta einnig máli fyrir það.
Ef þú heldur að hótanir af annarri gerðinni séu þitt mál, þá sefurðu og sérð hvernig sömu fulltrúar CIA, MI6, MOSSAD, vondur einn tölvuþrjótur eða hópur hafa sett bókamerki í einhvern skrifstofuhugbúnaðarpakka til að leita nákvæmlega að persónuupplýsingar þínar. Já, það er til vafasöm forritunarhugbúnaður eins og μTorrent, en þú getur búið til lista yfir leyfilegan hugbúnað til uppsetningar og skrifað undir samning við notendur, ekki gefið notendum staðbundin stjórnandaréttindi o.s.frv.
Tegund 3 ógnir eiga við upplýsingakerfi ef ógnir sem tengjast ekki tilvist óskráðra (ótilgreindra) getu í kerfinu og notkunarhugbúnaði sem notaður er í upplýsingakerfinu eiga við það.
Hótanir af gerðum 1 og 2 henta þér ekki, svo þetta er staðurinn fyrir þig.
Við höfum flokkað tegundir ógnanna, nú skulum við skoða hvaða öryggisstig ISPD okkar mun hafa.
Tafla byggð á þeim samsvörun sem tilgreind eru í .
Ef við völdum þriðju gerð raunverulegra ógna, þá munum við í flestum tilfellum hafa UZ-3. Eina undantekningin, þegar hótanir af gerðum 1 og 2 eiga ekki við, en öryggisstigið verður samt hátt (UZ-2), eru fyrirtæki sem vinna sérstakar persónuupplýsingar um aðra en starfsmenn að upphæð meira en 100. til dæmis fyrirtæki sem stunda læknisfræðilega greiningu og veita læknisþjónustu.
Það er líka til UZ-4 og það er aðallega að finna í fyrirtækjum þar sem viðskipti tengjast ekki vinnslu persónuupplýsinga um aðra en starfsmenn, þ.
Af hverju er svona mikilvægt að ofleika ekki með öryggisstigið? Það er einfalt: ráðstafanir og verndaraðferðir til að tryggja einmitt þetta öryggisstig mun ráðast af þessu. Því hærra sem þekkingarstigið er, því meira þarf að gera í skipulags- og tæknilegu tilliti (lesist: því meira fé og taugar þarf að eyða).
Hér er til dæmis hvernig mengi öryggisráðstafana breytist í samræmi við sama PP-1119.
Nú skulum við sjá hvernig listi yfir nauðsynlegar ráðstafanir breytist í samræmi við valið öryggisstig Það er langur viðauki við þetta skjal sem skilgreinir nauðsynlegar ráðstafanir. Alls eru 109 þeirra, fyrir hverja KM eru lögboðnar ráðstafanir skilgreindar og merktar með „+“ tákni - þær eru nákvæmlega reiknaðar í töflunni hér að neðan. Ef þú skilur aðeins eftir þá sem þarf fyrir UZ-3 færðu 4.
Raunveruleiki: ef þú safnar ekki prófum eða líffræðilegum tölfræði frá viðskiptavinum, þú ert ekki vænisjúkur um bókamerki í kerfis- og forritahugbúnaði, þá ertu líklegast með UZ-3. Það hefur sanngjarnan lista yfir skipulags- og tækniráðstafanir sem raunverulega er hægt að framkvæma.
Goðsögn 5. Allar leiðir til að vernda persónuupplýsingar verða að vera vottaðar af FSTEC í Rússlandi
Ef þú vilt eða þarft að framkvæma vottun, þá verður þú líklegast að nota vottaðan hlífðarbúnað. Vottunin verður framkvæmd af leyfishafa FSTEC í Rússlandi, sem:
- áhuga á að selja fleiri vottuð upplýsingaverndartæki;
- mun óttast að eftirlitsaðili svipti leyfið ef eitthvað fer úrskeiðis.
Ef þú þarft ekki vottun og þú ert tilbúinn til að staðfesta að farið sé að kröfunum á annan hátt, nefnt í „Að meta skilvirkni ráðstafana sem framkvæmdar eru innan persónuverndarkerfisins til að tryggja öryggi persónuupplýsinga,“ þá er ekki krafist vottaðra upplýsingaöryggiskerfa fyrir þig. Ég ætla að reyna að útskýra í stuttu máli rökin.
В kemur fram að nauðsynlegt sé að nota hlífðarbúnað sem farið hefur í samræmismatsferli í samræmi við setta málsmeðferð:
Að tryggja að öryggi persónuupplýsinga sé náð, einkum:
[…] 3) notkun upplýsingaöryggisaðferða sem hafa staðist samræmismatsferlið í samræmi við sett málsmeðferð.
В Einnig er gerð krafa um að notast sé við upplýsingaöryggisverkfæri sem hafa staðist málsmeðferð við mat á fylgni við lagaskilyrði:
[...] notkun upplýsingaöryggistækja sem hafa staðist málsmeðferðina til að meta samræmi við kröfur löggjafar Rússlands á sviði upplýsingaöryggis, í þeim tilvikum þar sem notkun slíkra aðferða er nauðsynleg til að hlutleysa núverandi ógnir.
afritar nánast málsgrein PP-1119:
Aðgerðir til að tryggja öryggi persónuupplýsinga eru meðal annars framkvæmdar með notkun upplýsingaöryggistækja í upplýsingakerfinu sem staðist hafa samræmismatsferlið í samræmi við sett verklag, í þeim tilvikum þar sem notkun slíkra verkfæra er nauðsynleg til að óvirkja núverandi ógnir við öryggi persónuupplýsinga.
Hvað eiga þessar samsetningar sameiginlegt? Það er rétt - þeir þurfa ekki að nota vottaðan hlífðarbúnað. Staðreyndin er sú að það eru til nokkrar gerðir af samræmismati (sjálfviljug eða skyldubundin vottun, samræmisyfirlýsing). Vottun er aðeins ein af þeim. Rekstraraðili getur notað vörur sem ekki eru vottaðar en þarf að sýna eftirlitsaðilanum fram á við skoðun að þær hafi farið í gegnum einhvers konar samræmismatsferli.
Ef rekstraraðili ákveður að nota vottaðan hlífðarbúnað er nauðsynlegt að velja upplýsingaverndarkerfið í samræmi við ómskoðunarvörnina sem kemur skýrt fram í :
Tæknilegar ráðstafanir til að vernda persónuupplýsingar eru framkvæmdar með því að nota upplýsingaöryggisverkfæri, þar á meðal hugbúnaðarverkfæri (vélbúnaðar) sem þau eru innleidd í, sem hafa nauðsynlegar öryggisaðgerðir.
Þegar notuð eru upplýsingaöryggisverkfæri vottuð samkvæmt upplýsingaöryggiskröfum í upplýsingakerfum:
Raunveruleiki: Lögin krefjast ekki skyldubundinnar notkunar vottaðs hlífðarbúnaðar.
Goðsögn 6. Ég þarf dulmálsvörn
Það eru nokkur blæbrigði hér:
- Margir telja að dulritun sé skylda fyrir hvaða ISPD sem er. Reyndar ætti aðeins að nota þær ef rekstraraðili sér ekki aðrar verndarráðstafanir fyrir sjálfan sig nema notkun dulritunar.
- Ef þú getur ekki verið án dulritunar, þá þarftu að nota CIPF vottað af FSB.
- Til dæmis ákveður þú að hýsa ISPD í skýi þjónustuaðila, en þú treystir því ekki. Þú lýsir áhyggjum þínum í ógnar- og boðflennalíkani. Þú ert með persónulegar upplýsingar, svo þú ákvaðst að dulkóðun væri eina leiðin til að vernda þig: þú munt dulkóða sýndarvélar, byggja öruggar rásir með dulmálsvörn. Í þessu tilviki verður þú að nota CIPF vottað af FSB í Rússlandi.
- Vottuð CIPF eru valin í samræmi við ákveðið öryggisstig skv .
Fyrir ISPDn með UZ-3 geturðu notað KS1, KS2, KS3. KS1 er til dæmis C-Terra Virtual Gateway 4.2 til að vernda rásir.
KC2, KS3 eru aðeins táknuð með hugbúnaðar- og vélbúnaðarkerfum, svo sem: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway, osfrv.
Ef þú ert með UZ-2 eða 1, þá þarftu dulmálsvörn í flokki KV1, 2 og KA. Þetta eru sérstök hugbúnaðar- og vélbúnaðarkerfi, þau eru erfið í rekstri og afkastaeiginleikar þeirra eru hóflegir.
Raunveruleiki: Lögin skylda ekki notkun CIPF vottaðs af FSB.
Heimild: www.habr.com