個人データ事業者にとってコストがかかる可能性がある 152-FZ に関する誤解

こんにちは、みんな！ 私は DataLine Cyber​​ Defense Center を運営しています。 お客様は、クラウドまたは物理インフラストラクチャで 152-FZ の要件を満たすという課題を抱えて当社に来られます。
ほとんどすべてのプロジェクトで、この法律にまつわる誤解を暴くための教育活動を実施する必要があります。 個人データ管理者の予算や神経系に多大な損害を与える可能性のある、最も一般的な誤解を集めました。 国家機密や KII などを扱う州政府機関 (GIS) の事例は、この記事の範囲外であることを直ちに留保します。

誤解 1. ウイルス対策ソフトとファイアウォールをインストールし、ラックをフェンスで囲みました。 私は法律に従っていますか?

152-FZ はシステムやサーバーの保護に関するものではなく、対象者の個人データの保護に関するものです。 したがって、152-FZ への準拠はウイルス対策からではなく、大量の紙切れと組織の問題から始まります。
主な検査官であるロスコムナゾールは、技術的な保護手段の有無や状態ではなく、個人データ処理の法的根拠 (PD) を検査します。

• どのような目的で個人データを収集しますか。  
• 目的に必要以上にそれらを収集していないかどうか。
• 個人データをどのくらいの期間保存しますか。
• 個人データの処理に関するポリシーはありますか。
• 個人データの処理、国境を越えた転送、第三者による処理などについて同意を収集していますか。

これらの質問に対する答えとプロセス自体は、適切な文書に記録される必要があります。 以下は、個人データ管理者が準備する必要があるものの完全なリストではありません。

• 個人データの処理に関する標準的な同意書 (現在、フルネームとパスポートの詳細を残すほぼすべての場所で署名しているシートです)。
• 個人データの処理に関する運営者の方針 (ここで デザインに関する推奨事項があります)。
• 個人データの処理を整理する責任者の任命に基づいて注文します。  
• 個人データの処理を組織する責任者の職務内容。
• 内部統制および (または) PD 処理の法的要件への準拠の監査に関するルール。  
• 個人データ情報システム (ISPD) のリスト。
• 対象者に個人データへのアクセスを提供するための規制。
• 事件調査規定。
• 従業員に個人データの処理を許可するよう命令します。
• 規制当局とのやり取りに関する規制。  
• RKN等のお知らせ
• PD加工の指示書です。
• ISPD 脅威モデル。

これらの問題を解決したら、具体的な対策や技術的手段の選択を開始できます。 どのものが必要かは、システム、その動作条件、現在の脅威によって異なります。 しかし、それについては後で詳しく説明します。

現実： 法律の遵守とは、まず第一に、特定のプロセスを確立し遵守すること、そして第二に、特別な技術的手段を使用することです。

通説 2. 私は個人データをクラウド、つまり 152-FZ の要件を満たすデータ センターに保存しています。 今では彼らは法律を執行する責任を負っている

個人データの保管をクラウド プロバイダーまたはデータ センターに委託しても、個人データ オペレーターでなくなるわけではありません。
法律の定義を参考にしてみましょう。

個人データの処理 – 自動化ツールを使用して、またはそのような手段を使用せずに個人データを使用して実行されるあらゆるアクション (操作) または一連のアクション (操作)。これには、収集、記録、体系化、蓄積、保管、明確化 (更新、変更) が含まれます。個人データの抽出、使用、転送（配布、提供、アクセス）、非個人化、ブロック、削除、破壊。
出典: 記事 3、 152-FZ

これらすべての行為のうち、個人データの保管と破棄はサービスプロバイダーが責任を負います（クライアントが契約を終了した場合）。 それ以外はすべて個人データ運営者によって提供されます。 これは、サービスプロバイダーではなく、運営者が個人データの処理ポリシーを決定し、クライアントから個人データの処理について署名された同意を取得し、個人データの第三者への漏洩の防止と調査などを行うことを意味します。

したがって、個人データ管理者は、上記の文書を収集し、PDIS を保護するための組織的および技術的措置を講じる必要があります。

通常、プロバイダーは、通信事業者の ISPD が配置されるインフラストラクチャ レベル (機器を備えたラックやクラウド) での法的要件への準拠を保証することで、通信事業者を支援します。 また、文書のパッケージを収集し、152-FZ に従ってインフラストラクチャに対して組織的および技術的対策を講じます。

一部のプロバイダーは、ISDN 自体、つまりインフラストラクチャより上のレベルでの事務処理や技術的なセキュリティ対策の提供を支援しています。 事業者はこれらの業務を外部に委託することもできますが、法律上の責任や義務がなくなるわけではありません。

現実： プロバイダーやデータセンターのサービスを利用しても、個人データオペレーターの責任をプロバイダーやデータセンターに移譲して責任を免除することはできません。 プロバイダーがこれを約束した場合、控えめに言っても、そのプロバイダーは嘘をついています。

誤解 3. 私は必要な書類と対策のパッケージを持っています。 私は、152-FZ への準拠を約束するプロバイダーに個人データを保管します。 すべて順調ですか？

はい、注文書に署名することを忘れていなければ可能です。 法律により、オペレーターは個人データの処理を別の人、たとえば同じサービスプロバイダーに委託することができます。 注文は、サービスプロバイダーがオペレーターの個人データに対して何ができるかを列挙した一種の契約です。

オペレーターは、連邦法に別段の定めがない限り、州または地方自治体の契約を含む、この人物と締結された契約に基づいて、個人データの主体の同意を得て、個人データの処理を他の人に委託する権利を有します。または州または地方自治体（以下、譲渡事業者と呼びます）による対応する法律の採択によって。 オペレーターに代わって個人データを処理する人は、この連邦法で規定されている個人データ処理の原則と規則に従う義務があります。
出所： 3-FZ 第 6 条第 152 項

指定された要件に従って個人データの機密性を維持し、そのセキュリティを確保するプロバイダーの義務も確立されています。

オペレーターの指示では、個人データを処理する人が実行する個人データに関するアクション (操作) のリストと処理の目的を定義する必要があり、個人データの機密性を維持し、個人データの機密性を確保するためのそのような人の義務を確立する必要があります。処理中の個人データのセキュリティ、および処理された個人データの保護要件は、以下に従って指定する必要があります。 第19条 この連邦法の規定。
出所： 3-FZ 第 6 条第 152 項

このため、プロバイダーは個人データの主体ではなく、オペレーターに対して責任を負います。

運営者が個人データの処理を他人に委託する場合、運営者は、その特定された者の行為について、個人データの主体に対して責任を負います。 オペレーターに代わって個人データを処理する者は、オペレーターに対して責任を負います。
出所： 152-FZ.

個人データの保護を確実にする義務を命令で規定することも重要です。

情報システム内で処理される個人データの安全性は、個人データを処理する本システムの運営者（以下、運営者）または運営者に代わって個人データを処理する者によって、以下の規定に基づき確保されます。この者（以下「権限者」という）との間で締結される契約。 オペレーターと権限を与えられた人物との間の契約では、情報システムで処理される際の個人データのセキュリティを確保する権限を与えられた者の義務を規定する必要があります。
出所： 1 年 2012 月 1119 日ロシア連邦政府令第 XNUMX 号

現実： 個人データをプロバイダーに提供する場合は、注文書に署名してください。 命令には、対象者の個人データを確実に保護するための要件を示します。 それ以外の場合、お客様は個人データ処理業務の第三者への移転に関する法律を遵守しておらず、プロバイダーは 152-FZ の遵守に関してお客様に何の義務も負いません。

通説 4. モサドが私をスパイしている、あるいは私は間違いなく UZ-1 を持っている

一部の顧客は、セキュリティ レベル 1 または 2 の ISPD を持っていることをしつこく証明しますが、ほとんどの場合、これは当てはまりません。 なぜこれが起こるのかを理解するためにハードウェアを思い出してみましょう。
LO (セキュリティ レベル) は、個人データを何から保護するかを決定します。
セキュリティのレベルは次の点に影響されます。

• 個人データの種類 (特別なデータ、生体認証データ、公開されているデータなど)。
• 個人データの所有者 - 個人データ管理者の従業員または非従業員。
• 個人データ主体の数 – 多かれ少なかれ 100 万人。
• 現在の脅威の種類。

脅威の種類について教えてください 1 年 2012 月 1119 日ロシア連邦政府令第 XNUMX 号。 以下に、それぞれについて私が人間の言葉に自由に翻訳して説明します。

情報システムで使用されるシステム ソフトウェアの文書化されていない (宣言されていない) 機能の存在に関連する脅威も情報システムに関連している場合、第 1 のタイプの脅威は情報システムに関連しています。

この種の脅威が関連していると認識している場合は、CIA、MI6、または MOSSAD のエージェントがオペレーティング システムにブックマークを設定して、ISPD から特定の対象者の個人データを盗んだと確信していることになります。

2 番目のタイプの脅威は、情報システムで使用されるアプリケーション ソフトウェアの文書化されていない (宣言されていない) 機能の存在に関連する脅威も情報システムに関連する場合に、情報システムに関連します。

6 番目のタイプの脅威があなたのケースに当てはまると思うなら、あなたは寝て、CIA、MIXNUMX、MOSSAD、邪悪な単独ハッカーまたはグループの同じエージェントが、正確に狩りをするためにオフィス ソフトウェア パッケージにブックマークをどのように配置したかを確認します。あなたの個人データ。 はい、μTorrent のような疑わしいアプリケーション ソフトウェアがありますが、インストールを許可するソフトウェアのリストを作成し、ユーザーとの契約に署名したり、ユーザーにローカル管理者権限を付与したりすることはできません。

タイプ 3 の脅威は、システム内の文書化されていない (宣言されていない) 機能の存在や情報システムで使用されているアプリケーション ソフトウェアに関係のない脅威が情報システムに関連している場合に、情報システムに関連しています。

タイプ 1 と 2 の脅威はあなたには適していないため、ここが最適です。

脅威の種類を整理しました。次に、ISPD のセキュリティ レベルを見てみましょう。

で指定された対応関係に基づく表 1 年 2012 月 1119 日ロシア連邦政府令第 XNUMX 号.

実際の脅威の 3 番目のタイプを選択した場合、ほとんどの場合は UZ-1 になります。 唯一の例外は、タイプ 2 とタイプ 2 の脅威は関連しないが、セキュリティ レベルは依然として高い場合 (UZ-100)、000 万件を超える非従業員の特別な個人データを処理する企業です。たとえば、医療診断や医療サービスの提供に従事する企業などです。

UZ-4 もありますが、これは主に、業務が非従業員、つまり顧客や請負業者の個人データの処理に関連していない企業、または個人データベースが小規模な企業で見られます。

セキュリティのレベルを上げすぎないことがなぜそれほど重要なのでしょうか? それは簡単です。まさにこのレベルのセキュリティを確保するための一連の対策と保護手段は、これに依存します。 知識のレベルが高くなるほど、組織的および技術的な面でより多くのことを行う必要があります（より多くのお金と神経を費やす必要があります）。

たとえば、同じ PP-1119 に従って一連のセキュリティ対策がどのように変更されるかを示します。

では、選択したセキュリティレベルに応じて、必要な対策のリストがどのように変化するかを見てみましょう。 21 年 18.02.2013 月 XNUMX 日付ロシア FSTEC 命令第 XNUMX 号による。  この文書には長い付録があり、必要な措置を定義しています。 それらは合計 109 あり、KM ごとに必須の措置が定義され、「+」記号でマークされています。それらは以下の表で正確に計算されています。 UZ-3に必要なものだけ残すと4つになります。

現実： クライアントからテストや生体認証を収集せず、システムおよびアプリケーション ソフトウェアのブックマークについて心配していない場合は、UZ-3 を所有している可能性が高くなります。 これには、実際に実行可能な組織的および技術的対策の合理的なリストが含まれています。

通説 5. 個人データを保護するすべての手段はロシアの FSTEC によって認証されなければならない

認証を希望する場合、または認証を行う必要がある場合は、ほとんどの場合、認証された保護具を使用する必要があります。 認証は、ロシアの FSTEC のライセンシーによって行われます。

• より多くの認定情報保護デバイスの販売に興味がある。
• 何か問題があれば規制当局によってライセンスが剥奪されるのではないかと心配しています。

認証が必要なく、別の方法で要件への準拠を確認する準備ができている場合は、 ロシアFSTEC勲章第21号  「個人データのセキュリティを確保するために個人データ保護システム内で実施された対策の有効性を評価する」場合、認定された情報セキュリティ システムは必要ありません。 その根拠を簡単に説明してみます。

В 2 条 19-FZ のパラグラフ 152 定められた手順に従って適合性評価手順を経た保護具を使用する必要があると記載されています。:

個人データのセキュリティの確保、特に以下のことが実現されます。
[…] 3) 定められた手順に従って遵守性評価手順に合格した情報セキュリティ手段を使用すること。

В パラグラフ 13 PP-1119 また、法的要件への準拠を評価する手順を通過した情報セキュリティ ツールを使用する必要もあります。

[…]現在の脅威を無力化するためにそのような手段の使用が必要な場合、情報セキュリティ分野におけるロシア連邦の法律の要件への準拠を評価する手順に合格した情報セキュリティツールの使用。

FSTEC 命令番号 4 の第 21 条 段落 PP-1119 と実質的に重複します。

個人データのセキュリティを確保するための措置は、特に、確立された手順に従って適合性評価手順に合格した情報システム内の情報セキュリティツールの使用を通じて、そのようなツールの使用が必要な場合に実施されます。個人データのセキュリティに対する現在の脅威を無力化します。

これらの配合に共通するものは何でしょうか? そうです。認定された保護具を使用する必要はありません。 実際のところ、適合性評価にはいくつかの形式があります (任意または強制的な認証、適合宣言)。 認定資格はその XNUMX つにすぎません。 事業者は非認定製品を使用することはできますが、検査の際、何らかの形式の適合性評価手順を受けていることを規制当局に証明する必要があります。

オペレータが認定された保護具を使用することを決定した場合、超音波保護に従って情報保護システムを選択する必要があります。これは、図に明確に示されています。 FSTEC 注文番号 21:

個人データを保護するための技術的対策は、必要なセキュリティ機能を備えた情報セキュリティツール（これを実装するソフトウェア（ハードウェア）ツールを含む）を使用して実施されます。
情報システムにおける情報セキュリティ要件に従って認証された情報セキュリティツールを使用する場合：

ロシアFSTEC命令第12号第21条.

現実： 法律では、認定された保護具の使用を義務付けていません。

通説 6. 暗号化保護が必要です

ここにはいくつかのニュアンスがあります。

1. 多くの人は、暗号化は ISPD にとって必須であると信じています。 実際、これらは、オペレータが暗号化の使用以外に他の保護手段を考えていない場合にのみ使用する必要があります。
2. 暗号化なしではいられない場合は、FSB によって認定された CIPF を使用する必要があります。
3. たとえば、サービス プロバイダーのクラウドで ISPD をホストすることにしましたが、それを信頼していないとします。 あなたは脅威と侵入者モデルで懸念を説明します。 あなたは個人データを持っているため、自分自身を守る唯一の方法は暗号化であると判断しました。仮想マシンを暗号化し、暗号化保護を使用して安全なチャネルを構築します。 この場合、ロシアのFSBによって認定されたCIPFを使用する必要があります。
4. 認定された CIPF は、次の基準に従って一定のセキュリティレベルに従って選択されます。 注文番号 378 FSB.

UZ-3 の ISPDn の場合、KS1、KS2、KS3 を使用できます。 KS1 は、たとえば、チャネルを保護するための C-Terra Virtual Gateway 4.2 です。

KC2、KS3 は、ViPNet コーディネーター、APKSH "Continent"、S-Terra ゲートウェイなどのソフトウェアおよびハードウェア システムによってのみ表されます。

UZ-2 または 1 をお持ちの場合は、クラス KV1、2、および KA の暗号化保護手段が必要です。 これらは特殊なソフトウェアおよびハードウェア システムであり、操作が難しく、パフォーマンス特性も中程度です。

現実： 法律は、FSB によって認定された CIPF の使用を義務付けていません。

出所： habr.com