Ciao a tutti! Gestisco il DataLine Cyber Defense Center. I clienti si rivolgono a noi con il compito di soddisfare i requisiti di 152-FZ nel cloud o sull'infrastruttura fisica.
In quasi tutti i progetti è necessario svolgere un lavoro educativo per sfatare i miti attorno a questa legge. Ho raccolto le idee sbagliate più comuni che possono costare caro al budget e al sistema nervoso dell'operatore dei dati personali. Faccio subito una riserva sul fatto che i casi di uffici statali (GIS) che si occupano di segreti di stato, KII, ecc. rimarranno fuori dall'ambito di questo articolo.
Mito 1. Ho installato un antivirus, un firewall e ho circondato gli scaffali con una recinzione. Sto seguendo la legge?
152-FZ non riguarda la protezione dei sistemi e dei server, ma la protezione dei dati personali dei soggetti. Pertanto, la conformità con 152-FZ non inizia con un antivirus, ma con un gran numero di documenti e questioni organizzative.
L'ispettore principale, Roskomnadzor, esaminerà non la presenza e lo stato dei mezzi tecnici di protezione, ma la base giuridica per il trattamento dei dati personali (PD):
- per quale scopo raccogli i dati personali;
- se ne raccogli più di quelli necessari per i tuoi scopi;
- per quanto tempo conservi i dati personali;
- esiste una politica per il trattamento dei dati personali;
- Stai raccogliendo il consenso per il trattamento dei dati personali, il trasferimento transfrontaliero, il trattamento da parte di terzi, ecc.
Le risposte a queste domande, così come i processi stessi, dovrebbero essere registrati in documenti appropriati. Ecco un elenco tutt'altro che completo di ciò che un operatore di dati personali deve preparare:
- Un modulo di consenso standard per il trattamento dei dati personali (sono i fogli che ormai firmiamo quasi ovunque dove lasciamo i nostri nomi completi e i dettagli del passaporto).
- Politica dell'operatore relativa al trattamento dei dati personali ( ci sono raccomandazioni per la progettazione).
- Provvedimento sulla nomina di un responsabile organizzativo del trattamento dei dati personali.
- Descrizione del lavoro del responsabile dell'organizzazione del trattamento dei dati personali.
- Regole per il controllo interno e (o) la verifica della conformità del trattamento dei PD con i requisiti legali.
- Elenco dei sistemi informativi sui dati personali (ISPD).
- Regolamento per l'accesso dell'interessato ai propri dati personali.
- Norme per le indagini sugli incidenti.
- Ordinanza sull'ammissione dei dipendenti al trattamento dei dati personali.
- Regolamento per l'interazione con i regolatori.
- Notifica di RKN, ecc.
- Modulo di istruzioni per l'elaborazione PD.
- Modello di minaccia ISPD.
Dopo aver risolto questi problemi, puoi iniziare a selezionare misure specifiche e mezzi tecnici. Quelli di cui hai bisogno dipendono dai sistemi, dalle loro condizioni operative e dalle minacce attuali. Ma ne parleremo più avanti.
la realtà: il rispetto della legge è innanzitutto l'istituzione e il rispetto di determinati processi e solo in secondo luogo l'uso di mezzi tecnici speciali.
Mito 2. Memorizzo i dati personali nel cloud, un data center che soddisfa i requisiti di 152-FZ. Ora sono loro a dover far rispettare la legge
Quando esternalizzi l'archiviazione dei dati personali a un fornitore di servizi cloud o a un data center, non smetti di essere un operatore di dati personali.
Chiediamo aiuto alla definizione della legge:
Trattamento dei dati personali – qualsiasi azione (operazione) o insieme di azioni (operazioni) eseguite utilizzando strumenti di automazione o senza l'uso di tali mezzi con dati personali, inclusa raccolta, registrazione, sistematizzazione, accumulazione, conservazione, chiarimento (aggiornamento, modifica), estrazione, utilizzo, trasferimento (distribuzione, fornitura, accesso), depersonalizzazione, blocco, cancellazione, distruzione dei dati personali.
Fonte: articolo 3,
Di tutte queste azioni, il fornitore di servizi è responsabile della conservazione e della distruzione dei dati personali (quando il cliente rescinde il contratto con lui). Tutto il resto viene fornito dal gestore dei dati personali. Ciò significa che l'operatore, e non il fornitore di servizi, determina la politica per il trattamento dei dati personali, ottiene i consensi firmati per il trattamento dei dati personali dai propri clienti, previene e indaga sui casi di fuga di dati personali a terzi e così via.
Di conseguenza, l'operatore dei dati personali deve comunque raccogliere i documenti sopra elencati e attuare misure organizzative e tecniche per proteggere la propria PDIS.
In genere, il fornitore aiuta l'operatore garantendo il rispetto dei requisiti legali a livello di infrastruttura in cui sarà situato l'ISPD dell'operatore: rack con apparecchiature o cloud. Raccoglie anche un pacchetto di documenti, adotta misure organizzative e tecniche per la sua infrastruttura secondo 152-FZ.
Alcuni fornitori aiutano con le pratiche burocratiche e con le misure tecniche di sicurezza per gli ISDN stessi, cioè a un livello superiore all'infrastruttura. L'operatore può anche esternalizzare questi compiti, ma le responsabilità e gli obblighi previsti dalla legge non vengono meno.
la realtà: Utilizzando i servizi di un fornitore o di un data center, non è possibile trasferirgli le responsabilità di un operatore di dati personali e liberarsi della responsabilità. Se il fornitore ti promette questo, allora, per usare un eufemismo, sta mentendo.
Mito 3. Ho il pacchetto necessario di documenti e misure. Conservo i dati personali presso un fornitore che promette il rispetto della 152-FZ. È tutto in ordine?
Sì, se ti ricordi di firmare l'ordine. Per legge, l'operatore può affidare il trattamento dei dati personali a un'altra persona, ad esempio allo stesso fornitore di servizi. Un ordine è una sorta di accordo che elenca cosa può fare il fornitore di servizi con i dati personali dell’operatore.
L'operatore ha il diritto di affidare il trattamento dei dati personali a un'altra persona con il consenso dell'interessato, salvo diversa disposizione della legge federale, sulla base di un accordo concluso con questa persona, compreso un contratto statale o comunale, ovvero mediante adozione di un atto rilevante da parte di un ente statale o comunale (di seguito denominato gestore dell'assegnazione). La persona che tratta i dati personali per conto dell'operatore è tenuta a rispettare i principi e le regole per il trattamento dei dati personali previsti dalla presente legge federale.
Fonte:
Viene inoltre stabilito l'obbligo del fornitore di mantenere la riservatezza dei dati personali e di garantirne la sicurezza in conformità con i requisiti specificati:
Le istruzioni dell'operatore devono definire un elenco di azioni (operazioni) con dati personali che saranno eseguite dalla persona che tratta dati personali e le finalità del trattamento, deve essere stabilito l'obbligo di tale persona di mantenere la riservatezza dei dati personali e di garantire la la sicurezza dei dati personali durante il trattamento, nonché i requisiti per la protezione dei dati personali trattati devono essere specificati in conformità con di questa legge federale.
Fonte:
Per questo il fornitore è responsabile nei confronti dell'operatore e non nei confronti dell'oggetto dei dati personali:
Se l'operatore affida il trattamento dei dati personali a un'altra persona, l'operatore è responsabile nei confronti del soggetto dei dati personali per le azioni della persona indicata. La persona che tratta i dati personali per conto dell'operatore è responsabile nei confronti dell'operatore.
Fonte: .
È inoltre importante prevedere nell’ordinanza l’obbligo di garantire la protezione dei dati personali:
La sicurezza dei dati personali trattati in un sistema informativo è garantita dal gestore di tale sistema che tratta i dati personali (di seguito denominato gestore) o dalla persona che tratta dati personali per conto del gestore sulla base di un contratto concluso con tale persona (di seguito denominata persona autorizzata). L'accordo tra l'operatore e la persona autorizzata deve prevedere l'obbligo della persona autorizzata di garantire la sicurezza dei dati personali durante il trattamento nel sistema informativo.
Fonte:
la realtà: Se fornisci dati personali al fornitore, firma l'ordine. Nell’ordine indicare l’obbligo di garantire la protezione dei dati personali degli interessati. In caso contrario, non rispetti la legge relativa al trasferimento del lavoro di elaborazione dei dati personali a terzi e il fornitore non ti deve nulla in merito al rispetto della 152-FZ.
Mito 4. Il Mossad mi sta spiando, oppure ho sicuramente un UZ-1
Alcuni clienti dimostrano persistentemente di avere un ISPD di livello di sicurezza 1 o 2. Molto spesso non è così. Ricordiamo l'hardware per capire perché ciò accade.
Il LO, o livello di sicurezza, determina da cosa proteggerai i tuoi dati personali.
Il livello di sicurezza è influenzato dai seguenti punti:
- tipo di dati personali (speciali, biometrici, disponibili al pubblico e altri);
- chi è titolare dei dati personali - dipendenti o meno del titolare dei dati personali;
- numero di interessati – più o meno 100mila.
- tipi di minacce attuali.
Ci parla dei tipi di minacce . Ecco una descrizione di ciascuno con la mia traduzione gratuita nel linguaggio umano.
Le minacce del 1° tipo sono rilevanti per un sistema informativo se sono rilevanti anche le minacce associate alla presenza di capacità non documentate (non dichiarate) nel software di sistema utilizzato nel sistema informativo.
Se riconosci questo tipo di minaccia come rilevante, allora credi fermamente che gli agenti della CIA, dell'MI6 o del MOSSAD abbiano inserito un segnalibro nel sistema operativo per rubare dati personali di soggetti specifici al tuo ISPD.
Le minacce del 2° tipo sono rilevanti per un sistema informativo se sono rilevanti anche le minacce associate alla presenza di capacità non documentate (non dichiarate) nel software applicativo utilizzato nel sistema informativo.
Se pensi che le minacce del secondo tipo facciano al caso tuo, allora dormi e vedi come gli stessi agenti della CIA, dell'MI6, del MOSSAD, un hacker o un gruppo malvagio solitario hanno inserito segnalibri in qualche pacchetto software per ufficio per cercare esattamente i tuoi dati personali Sì, esistono software applicativi dubbi come μTorrent, ma puoi creare un elenco dei software consentiti per l'installazione e firmare un accordo con gli utenti, non concedere agli utenti i diritti di amministratore locale, ecc.
Le minacce di tipo 3 sono rilevanti per un sistema informativo se sono rilevanti per esso le minacce che non sono correlate alla presenza di capacità non documentate (non dichiarate) nel sistema e nel software applicativo utilizzato nel sistema informativo.
Le minacce di tipo 1 e 2 non sono adatte a te, quindi questo è il posto che fa per te.
Abbiamo risolto i tipi di minacce, ora vediamo quale livello di sicurezza avrà il nostro ISPD.
Tabella basata sulle corrispondenze specificate in .
Se scegliamo il terzo tipo di minacce reali, nella maggior parte dei casi avremo UZ-3. L'unica eccezione, quando le minacce di tipo 1 e 2 non sono rilevanti, ma il livello di sicurezza sarà comunque elevato (UZ-2), sono le aziende che trattano dati personali speciali di non dipendenti per un importo di oltre 100. ad esempio, le aziende impegnate nella diagnostica medica e nella fornitura di servizi medici.
Esiste anche l'UZ-4, e si trova principalmente nelle aziende la cui attività non è correlata al trattamento dei dati personali di non dipendenti, cioè clienti o appaltatori, o le banche dati personali sono piccole.
Perché è così importante non esagerare con il livello di sicurezza? È semplice: da questo dipenderà l’insieme delle misure e dei mezzi di protezione per garantire proprio questo livello di sicurezza. Quanto più alto è il livello di conoscenza, tanto più bisognerà fare in termini organizzativi e tecnici (leggi: più soldi e nervi dovranno essere spesi).
Ecco, ad esempio, come cambia l'insieme delle misure di sicurezza secondo lo stesso PP-1119.
Vediamo ora come, a seconda del livello di sicurezza selezionato, cambia l'elenco delle misure necessarie A questo documento c’è una lunga appendice, che definisce le misure necessarie. Ce ne sono 109 in totale, per ogni KM le misure obbligatorie sono definite e contrassegnate con un segno “+” - sono calcolate esattamente nella tabella seguente. Se lasci solo quelli necessari per UZ-3, ne ottieni 4.
la realtà: se non raccogli test o dati biometrici dai clienti, non sei paranoico riguardo ai segnalibri nel software di sistema e applicativo, molto probabilmente hai UZ-3. Dispone di un elenco ragionevole di misure organizzative e tecniche che possono effettivamente essere implementate.
Mito 5. Tutti i mezzi di protezione dei dati personali devono essere certificati dall'FSTEC della Russia
Se desideri o sei tenuto a condurre la certificazione, molto probabilmente dovrai utilizzare dispositivi di protezione certificati. La certificazione sarà effettuata da un licenziatario del FSTEC della Russia, che:
- interessati a vendere più dispositivi certificati per la protezione delle informazioni;
- avrà paura che la licenza venga revocata dal regolatore se qualcosa va storto.
Se non hai bisogno della certificazione e sei pronto a confermare la conformità ai requisiti in un altro modo, indicato in "Valutare l'efficacia delle misure implementate all'interno del sistema di protezione dei dati personali per garantire la sicurezza dei dati personali", quindi non sono richiesti sistemi di sicurezza delle informazioni certificati. Cercherò di spiegare brevemente la motivazione.
В afferma che è necessario utilizzare dispositivi di protezione che sono stati sottoposti alla procedura di valutazione della conformità secondo la procedura stabilita:
La garanzia della sicurezza dei dati personali è garantita, in particolare:
[…] 3) l'utilizzo di mezzi di sicurezza informatica che hanno superato la procedura di valutazione della conformità secondo la procedura stabilita.
В Esiste inoltre l'obbligo di utilizzare strumenti di sicurezza delle informazioni che hanno superato la procedura di valutazione della conformità ai requisiti legali:
[…] l'uso di strumenti di sicurezza delle informazioni che hanno superato la procedura per valutare la conformità ai requisiti della legislazione della Federazione Russa nel campo della sicurezza delle informazioni, nei casi in cui l'uso di tali mezzi è necessario per neutralizzare le minacce attuali.
praticamente duplica il paragrafo PP-1119:
Le misure per garantire la sicurezza dei dati personali sono attuate, tra l'altro, attraverso l'uso di strumenti di sicurezza delle informazioni nel sistema informativo che hanno superato la procedura di valutazione della conformità secondo la procedura stabilita, nei casi in cui l'uso di tali strumenti è necessario per neutralizzare le attuali minacce alla sicurezza dei dati personali.
Cosa hanno in comune queste formulazioni? Esatto: non richiedono l'uso di dispositivi di protezione certificati. Il fatto è che esistono diverse forme di valutazione della conformità (certificazione volontaria o obbligatoria, dichiarazione di conformità). La certificazione è solo una di queste. L'operatore può utilizzare prodotti non certificati, ma dovrà dimostrare all'autorità di regolamentazione al momento dell'ispezione che sono stati sottoposti a una qualche forma di procedura di valutazione della conformità.
Se l'operatore decide di utilizzare dispositivi di protezione certificati, è necessario selezionare il sistema di protezione delle informazioni in conformità con la protezione dagli ultrasuoni, che è chiaramente indicata in :
Le misure tecniche per proteggere i dati personali sono implementate attraverso l'uso di strumenti di sicurezza delle informazioni, inclusi strumenti software (hardware) in cui sono implementate, che hanno le necessarie funzioni di sicurezza.
Quando si utilizzano strumenti di sicurezza delle informazioni certificati secondo i requisiti di sicurezza delle informazioni nei sistemi informativi:
la realtà: La legge non impone l’uso obbligatorio di dispositivi di protezione certificati.
Mito 6. Ho bisogno di protezione crittografica
Ci sono alcune sfumature qui:
- Molte persone credono che la crittografia sia obbligatoria per qualsiasi ISPD. Infatti, dovrebbero essere utilizzati solo se l'operatore non vede per sé altre misure di protezione oltre all'uso della crittografia.
- Se non puoi fare a meno della crittografia, devi utilizzare la certificazione CIPF dell'FSB.
- Ad esempio, decidi di ospitare un ISPD nel cloud di un fornitore di servizi, ma non ti fidi. Descrivi le tue preoccupazioni in un modello di minaccia e intruso. Hai dati personali, quindi hai deciso che la crittografia è l'unico modo per proteggerti: crittograferai le macchine virtuali, costruirai canali sicuri utilizzando la protezione crittografica. In questo caso, dovrai utilizzare il CIPF certificato dall'FSB russo.
- I CIPF certificati vengono selezionati in base a un certo livello di sicurezza in base .
Per ISPDn con UZ-3, è possibile utilizzare KS1, KS2, KS3. KS1 è, ad esempio, C-Terra Virtual Gateway 4.2 per la protezione del canale.
KC2, KS3 sono rappresentati solo da sistemi software e hardware, quali: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway, ecc.
Se hai UZ-2 o 1, avrai bisogno di mezzi di protezione crittografica di classe KV1, 2 e KA. Si tratta di sistemi software e hardware specifici, sono difficili da utilizzare e le loro caratteristiche prestazionali sono modeste.
la realtà: La legge non obbliga all'uso del CIPF certificato dal FSB.
Fonte: habr.com