Halo kabeh! Aku mbukak Pusat Pertahanan Siber DataLine. Pelanggan teka karo tugas kanggo nyukupi syarat 152-FZ ing méga utawa ing infrastruktur fisik.
Ing meh saben proyek perlu kanggo nindakake karya pendidikan kanggo debunk mitos watara hukum iki. Aku wis diklumpukake misconceptions paling umum sing bisa larang regane kanggo budget lan sistem gemeter operator data pribadhi. Aku bakal langsung nggawe reservasi yen kasus kantor negara (GIS) sing ngurusi rahasia negara, KII, lan liya-liyane bakal tetep ana ing njaba ruang lingkup artikel iki.
Mitos 1. Aku nginstal antivirus, firewall, lan ngubengi rak karo pager. Apa aku ngetutake hukum?
152-FZ ora babagan proteksi sistem lan server, nanging babagan proteksi data pribadhi subyek. Mulane, tundhuk karo 152-FZ ora diwiwiti kanthi antivirus, nanging kanthi akeh potongan kertas lan masalah organisasi.
Inspektur utama, Roskomnadzor, ora bakal katon ing ngarsane lan kondisi sarana perlindungan teknis, nanging ing basis legal kanggo pangolahan data pribadi (PD):
- kanggo tujuan apa sampeyan ngumpulake data pribadhi;
- apa sampeyan ngumpulake luwih akeh tinimbang sing dibutuhake kanggo tujuan sampeyan;
- suwene sampeyan nyimpen data pribadhi;
- apa ana kabijakan kanggo ngolah data pribadhi;
- Apa sampeyan ngumpulake idin kanggo pangolahan data pribadhi, transfer lintas wates, pangolahan dening pihak katelu, lsp.
Jawaban kanggo pitakonan kasebut, uga prosese dhewe, kudu dicathet ing dokumen sing cocog. Iki minangka dhaptar lengkap sing kudu disiapake operator data pribadi:
- Wangun idin standar kanggo ngolah data pribadhi (iki minangka lembaran sing saiki ditandatangani meh ing endi wae ing ngendi kita ninggalake jeneng lengkap lan rincian paspor).
- Kabijakan operator babagan pangolahan data pribadi ( ana rekomendasi kanggo desain).
- Pesen ing janjian saka wong sing tanggung jawab kanggo ngatur pangolahan data pribadhi.
- Deskripsi proyek saka wong sing tanggung jawab kanggo ngatur pangolahan data pribadi.
- Aturan kanggo kontrol internal lan (utawa) audit tundhuk pangolahan PD karo syarat legal.
- Daftar Sistem Informasi Data Pribadi (ISPD).
- Peraturan kanggo nyedhiyakake subyek kanthi akses menyang data pribadhi.
- Peraturan investigasi kedadean.
- Pesenan kanggo diakoni karyawan kanggo ngolah data pribadi.
- Peraturan kanggo interaksi karo regulator.
- Notifikasi RKN, lsp.
- Formulir instruksi kanggo pangolahan PD.
- model ancaman ISPD.
Sawise ngrampungake masalah kasebut, sampeyan bisa miwiti milih langkah-langkah khusus lan sarana teknis. Sing sampeyan butuhake gumantung saka sistem, kahanan operasi, lan ancaman saiki. Nanging luwih ing mengko.
Kasunyatan: selaras karo hukum iku panyiapan lan selaras karo pangolahan tartamtu, pisanan kabeh, lan mung sareh - nggunakake liya technical khusus.
Mitos 2. Aku nyimpen data pribadhi ing méga, pusat data sing nyukupi syarat 152-FZ. Saiki dheweke tanggung jawab kanggo ngetrapake hukum
Nalika sampeyan outsource panyimpenan data pribadhi menyang panyedhiya maya utawa pusat data, sampeyan ora mandheg dadi operator data pribadhi.
Ayo kita nelpon definisi saka hukum kanggo bantuan:
Pangolahan data pribadhi - tumindak apa wae (operasi) utawa seperangkat tumindak (operasi) sing ditindakake nggunakake alat otomatisasi utawa tanpa nggunakake sarana kasebut kanthi data pribadhi, kalebu koleksi, rekaman, sistematisasi, akumulasi, panyimpenan, klarifikasi (nganyari, ganti), extraction, nggunakake, transfer (distribusi, panentu, akses), depersonalization, pamblokiran, pambusakan, karusakan saka data pribadhi.
Sumber: artikel 3,
Saka kabeh tumindak kasebut, panyedhiya layanan tanggung jawab kanggo nyimpen lan ngrusak data pribadhi (nalika klien mungkasi kontrak karo dheweke). Kabeh liyane diwenehake dening operator data pribadi. Iki tegese operator, lan dudu panyedhiya layanan, nemtokake kabijakan kanggo ngolah data pribadhi, entuk persetujuan sing ditandatangani kanggo ngolah data pribadhi saka klien, nyegah lan nyelidiki kasus bocor data pribadhi menyang pihak katelu, lan liya-liyane.
Akibate, operator data pribadhi isih kudu ngumpulake dokumen sing kadhaptar ing ndhuwur lan ngetrapake langkah-langkah organisasi lan teknis kanggo nglindhungi PDIS.
Biasane, panyedhiya mbantu operator kanthi mesthekake tundhuk karo syarat legal ing tingkat infrastruktur ing ngendi ISPD operator bakal ana: rak karo peralatan utawa awan. Dheweke uga nglumpukake paket dokumen, njupuk langkah-langkah organisasi lan teknis kanggo infrastruktur sing cocog karo 152-FZ.
Sawetara panyedhiya mbantu karo dokumen lan nyedhiyakake langkah-langkah keamanan teknis kanggo ISDN dhewe, yaiku, ing tingkat ndhuwur infrastruktur. Operator uga bisa outsource tugas iki, nanging tanggung jawab lan kewajiban miturut hukum ora ilang.
Kasunyatan: Kanthi nggunakake layanan panyedhiya utawa pusat data, sampeyan ora bisa nransfer tanggung jawab operator data pribadhi lan nyingkirake tanggung jawab. Yen panyedhiya njanjeni sampeyan iki, mula, kanthi gampang, dheweke ngapusi.
Mitos 3. Aku duwe paket dokumen lan langkah-langkah sing dibutuhake. Aku nyimpen data pribadhi karo panyedhiya sing janji tundhuk karo 152-FZ. Apa kabeh wis rapi?
Ya, yen sampeyan ngelingi kanggo mlebu pesenan. Miturut hukum, operator bisa ngandelake pangolahan data pribadhi marang wong liya, contone, panyedhiya layanan sing padha. Pesenan minangka jinis persetujuan sing nyathet apa sing bisa ditindakake panyedhiya layanan karo data pribadhi operator.
Operator nduweni hak kanggo ngandelake pangolahan data pribadhi marang wong liya kanthi idin saka subyek data pribadhi, kajaba diwenehake dening Hukum Federal, adhedhasar persetujuan sing ditindakake karo wong iki, kalebu kontrak negara utawa kotamadya, utawa kanthi ngetrapake tumindak sing cocog dening badan negara utawa kotamadya (sabanjuré diarani operator penugasan). Wong sing ngolah data pribadhi atas jenenge operator kudu tundhuk karo prinsip lan aturan kanggo ngolah data pribadhi sing diwenehake dening Hukum Federal iki.
Source:
Kewajiban panyedhiya kanggo njaga rahasia data pribadhi lan njamin keamanane sesuai karo syarat sing ditemtokake uga ditetepake:
Pandhuan operator kudu nemtokake dhaptar tumindak (operasi) kanthi data pribadhi sing bakal ditindakake dening wong sing ngolah data pribadhi lan tujuan pangolahan, kewajiban wong kasebut kudu ditetepake kanggo njaga rahasia data pribadhi lan njamin keamanan data pribadhi sajrone pangolahan, uga syarat kanggo pangayoman data pribadhi sing wis diproses kudu ditemtokake selaras karo saka Hukum Federal iki.
Source:
Kanggo iki, panyedhiya tanggung jawab marang operator, lan ora kanggo subyek data pribadhi:
Yen operator ngandelake pangolahan data pribadhi marang wong liya, operator kasebut tanggung jawab marang subyek data pribadhi kanggo tumindak wong kasebut. Wong sing ngolah data pribadhi atas jenenge operator tanggung jawab marang operator.
Source: .
Sampeyan uga penting kanggo nemtokake ing urutan kewajiban kanggo njamin pangayoman data pribadhi:
Keamanan data pribadhi nalika diproses ing sistem informasi dipesthekake dening operator sistem iki, sing ngolah data pribadhi (sabanjure diarani operator), utawa dening wong sing ngolah data pribadhi atas jenenge operator kanthi basis persetujuan rampung karo wong iki (sabanjuré diarani minangka wong sah). Persetujuan antarane operator lan wong sing sah kudu nyedhiyakake kewajiban wong sing sah kanggo njamin keamanan data pribadhi nalika diproses ing sistem informasi.
Source:
Kasunyatan: Yen sampeyan menehi data pribadhi menyang panyedhiya, banjur mlebu pesenan. Ing urutan kasebut, tandhani syarat kanggo njamin proteksi data pribadhi subyek. Yen ora, sampeyan ora tundhuk karo hukum babagan transfer karya pangolahan data pribadhi menyang pihak katelu, lan panyedhiya ora duwe utang apa-apa babagan tundhuk karo 152-FZ.
Mitos 4. Mossad spying ing kula, utawa aku mesthi duwe UZ-1
Sawetara pelanggan terus-terusan mbuktekake manawa dheweke duwe ISPD tingkat keamanan 1 utawa 2. Paling asring iki ora kedadeyan. Ayo dadi elinga hardware kanggo mangerteni apa iki kedaden.
LO, utawa tingkat keamanan, nemtokake saka apa sampeyan bakal nglindhungi data pribadhi.
Tingkat keamanan dipengaruhi dening titik ing ngisor iki:
- jinis data pribadhi (khusus, biometrik, kasedhiya kanggo umum lan liya-liyane);
- sing duwe data pribadhi - karyawan utawa non-karyawan operator data pribadhi;
- jumlah subyek data pribadhi - luwih utawa kurang 100 ewu.
- jinis ancaman saiki.
Nyritakake babagan jinis ancaman . Iki minangka katrangan saben wong kanthi terjemahan gratis menyang basa manungsa.
Ancaman Tipe 1 cocog karo sistem informasi yen ancaman sing ana gandhengane karo anané kapabilitas sing ora didokumentasikan (ora diumumake) ing piranti lunak sistem sing digunakake ing sistem informasi uga relevan.
Yen sampeyan ngerteni jinis ancaman iki minangka relevan, mula sampeyan yakin manawa agen CIA, MI6 utawa MOSSAD wis nyelehake tetenger ing sistem operasi kanggo nyolong data pribadhi subjek tartamtu saka ISPD sampeyan.
Ancaman saka jinis 2 cocog kanggo sistem informasi yen ancaman sing ana gandhengane karo anané kapabilitas sing ora didokumentasikan (ora diumumake) ing piranti lunak aplikasi sing digunakake ing sistem informasi uga relevan.
Yen sampeyan mikir yen ancaman saka jinis liya minangka kasus sampeyan, banjur sampeyan turu lan ndeleng kepiye agen CIA, MI6, MOSSAD, peretas utawa klompok sing jahat wis nyelehake tetenger ing sawetara paket piranti lunak kantor supaya bisa mburu kanthi tepat. data pribadi sampeyan. Ya, ana piranti lunak aplikasi sing ragu-ragu kaya μTorrent, nanging sampeyan bisa nggawe dhaptar piranti lunak sing diidini kanggo instalasi lan mlebu persetujuan karo pangguna, ora menehi hak administrator lokal pangguna, lsp.
Ancaman Tipe 3 cocog karo sistem informasi yen ancaman sing ora ana hubungane karo anané kapabilitas sing ora didokumentasikan (ora diumumake) ing sistem lan piranti lunak aplikasi sing digunakake ing sistem informasi cocog karo iku.
Ancaman jinis 1 lan 2 ora cocog kanggo sampeyan, mula iki minangka papan kanggo sampeyan.
Kita wis ngurutake jinis ancaman, saiki ayo goleki tingkat keamanan sing bakal diduweni ISPD kita.
Tabel adhedhasar korespondensi kasebut ing .
Yen kita milih jinis katelu saka ancaman nyata, ing paling kasus kita bakal duwe UZ-3. Pengecualian mung, nalika ancaman saka jinis 1 lan 2 ora cocog, nanging tingkat keamanan isih bakal dhuwur (UZ-2), yaiku perusahaan sing ngolah data pribadhi khusus non-karyawan kanthi jumlah luwih saka 100. contone, perusahaan sing melu diagnostik medis lan nyedhiyakake layanan medis.
Ana uga UZ-4, lan ditemokake utamane ing perusahaan sing bisnis ora ana hubungane karo pangolahan data pribadhi non-karyawan, yaiku klien utawa kontraktor, utawa basis data pribadhi cilik.
Yagene penting banget supaya ora ngluwihi tingkat keamanan? Iku prasaja: pesawat saka ngukur lan sarana pangayoman kanggo mesthekake tingkat keamanan banget iki bakal gumantung iki. Sing luwih dhuwur tingkat kawruh, luwih akeh sing kudu ditindakake ing istilah organisasi lan teknis (waca: luwih akeh dhuwit lan saraf sing kudu ditindakake).
Ing kene, contone, kepiye owah-owahan setelan keamanan miturut PP-1119 sing padha.
Saiki ayo ndeleng kepiye, gumantung saka tingkat keamanan sing dipilih, dhaptar langkah-langkah sing dibutuhake bakal diganti Ana lampiran dawa kanggo dokumen iki, sing nemtokake langkah-langkah sing dibutuhake. Ana total 109, kanggo saben langkah wajib KM ditetepake lan ditandhani kanthi tandha "+" - padha diwilang kanthi tepat ing tabel ing ngisor iki. Yen sampeyan ninggalake mung sing dibutuhake kanggo UZ-3, sampeyan entuk 4.
Kasunyatan: Yen sampeyan ora ngumpulake tes utawa biometrik saka klien, sampeyan ora paranoid babagan tetenger ing sistem lan piranti lunak aplikasi, mula sampeyan duwe UZ-3. Nduwe dhaptar langkah-langkah organisasi lan teknis sing bisa ditindakake kanthi bener.
Mitos 5. Kabeh cara kanggo nglindhungi data pribadhi kudu disertifikasi dening FSTEC Rusia
Yen sampeyan pengin utawa dibutuhake kanggo nindakake sertifikasi, mesthine sampeyan kudu nggunakake peralatan pelindung sing wis disertifikasi. Sertifikasi kasebut bakal ditindakake dening pemegang lisensi FSTEC Rusia, sing:
- kasengsem adol piranti proteksi informasi sing luwih disertifikasi;
- bakal wedi yen lisensi dicabut dening regulator yen ana sing salah.
Yen sampeyan ora mbutuhake sertifikasi lan sampeyan wis siyap konfirmasi kepatuhan karo syarat kasebut kanthi cara liya, jenenge ing "Nnilai efektifitas langkah-langkah sing ditindakake ing sistem perlindungan data pribadhi kanggo njamin keamanan data pribadhi," banjur sistem keamanan informasi sing disertifikasi ora dibutuhake kanggo sampeyan. Aku bakal nyoba kanggo nerangake sedhela nyoto.
В nyatakake yen perlu nggunakake peralatan protèktif sing wis ngalami prosedur penilaian kesesuaian miturut prosedur sing ditetepake:
Njamin keamanan data pribadhi, utamane:
[...] 3) nggunakake sarana keamanan informasi sing wis lulus prosedur penilaian kepatuhan sesuai karo prosedur sing wis ditetepake.
В Ana uga syarat kanggo nggunakake piranti keamanan informasi sing wis lulus prosedur kanggo netepake selaras karo syarat hukum:
[...] nggunakake piranti keamanan informasi sing wis lulus prosedur kanggo netepake tundhuk karo syarat-syarat peraturan Federasi Rusia ing bidang keamanan informasi, ing kasus-kasus nalika nggunakake sarana kasebut perlu kanggo netralake ancaman saiki.
praktis duplikat paragraf PP-1119:
Langkah-langkah kanggo mesthekake keamanan data pribadhi dileksanakake, inter alia, liwat nggunakake piranti keamanan informasi ing sistem informasi sing wis ngliwati prosedur penilaian kesesuaian sesuai karo prosedur sing ditetepake, ing kasus nalika nggunakake alat kasebut perlu kanggo neutralize ancaman saiki kanggo keamanan data pribadhi.
Apa sing padha karo formulasi kasebut? Bener - dheweke ora mbutuhake peralatan pelindung sing disertifikasi. Kasunyatane ana sawetara bentuk penilaian kesesuaian (sertifikasi sukarela utawa wajib, deklarasi kesesuaian). Sertifikasi mung salah sijine. Operator bisa nggunakake produk sing ora disertifikasi, nanging kudu nduduhake marang regulator sajrone mriksa manawa dheweke wis ngalami sawetara prosedur penilaian kesesuaian.
Yen operator mutusake nggunakake peralatan protèktif sing disertifikasi, mula kudu milih sistem perlindungan informasi sing cocog karo proteksi ultrasonik, sing dituduhake kanthi jelas ing :
Langkah-langkah teknis kanggo nglindhungi data pribadhi ditindakake kanthi nggunakake piranti keamanan informasi, kalebu piranti lunak (hardware) sing ditindakake, sing nduweni fungsi keamanan sing dibutuhake.
Nalika nggunakake piranti keamanan informasi sing disertifikasi miturut syarat keamanan informasi ing sistem informasi:
Kasunyatan: Undhang-undhang kasebut ora mbutuhake panggunaan peralatan pelindung sing disertifikasi.
Mitos 6. Aku butuh perlindungan crypto
Ana sawetara nuansa ing kene:
- Akeh wong sing percaya yen kriptografi wajib kanggo ISPD. Nyatane, kudu digunakake mung yen operator ora ndeleng langkah-langkah perlindungan liyane kanggo awake dhewe kajaba nggunakake kriptografi.
- Yen sampeyan ora bisa nindakake tanpa kriptografi, sampeyan kudu nggunakake CIPF certified dening FSB.
- Contone, sampeyan arep dadi host ISPD ing awan panyedhiya layanan, nanging sampeyan ora ngandel. Sampeyan nggambarake keprihatinan sampeyan ing model ancaman lan penyusup. Sampeyan duwe data pribadhi, mula sampeyan mutusake yen kriptografi minangka cara mung kanggo nglindhungi dhewe: sampeyan bakal ngenkripsi mesin virtual, mbangun saluran sing aman nggunakake perlindungan kriptografi. Ing kasus iki, sampeyan kudu nggunakake CIPF certified dening FSB saka Rusia.
- CIPF Certified dipilih ing sesuai karo tingkat tartamtu saka keamanan miturut .
Kanggo ISPDn karo UZ-3, sampeyan bisa nggunakake KS1, KS2, KS3. KS1, contone, C-Terra Virtual Gateway 4.2 kanggo saluran nglindhungi.
KC2, KS3 diwakili mung dening piranti lunak lan sistem hardware, kayata: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway, lsp.
Yen sampeyan duwe UZ-2 utawa 1, sampeyan butuh sarana proteksi kriptografi saka kelas KV1, 2 lan KA. Iki minangka sistem piranti lunak lan piranti keras sing spesifik, angel dioperasikake, lan karakteristik kinerja sing andhap asor.
Kasunyatan: Angger-anggering Toret ora mewajibake nggunakake CIPF sing disertifikasi dening FSB.
Source: www.habr.com