Бәріңе сәлем! Мен DataLine киберқорғаныс орталығын басқарамын. Тұтынушылар бізге бұлттағы немесе физикалық инфрақұрылымдағы 152-ФЗ талаптарын орындау міндетімен келеді.
Әрбір жобада дерлік осы заң төңірегіндегі аңыздарды жоққа шығару үшін тәрбие жұмысын жүргізу қажет. Мен жеке деректер операторының бюджеті мен жүйке жүйесіне қымбатқа түсетін ең көп таралған қате түсініктерді жинадым. Мен дереу ескертемін, мемлекеттік органдардың (ГАЖ) мемлекеттік құпиялармен, KII және т.б. мәселелерімен айналысатын істері осы баптың шеңберінен тыс қалады.
Миф 1. Мен антивирус, брандмауэр орнатып, сөрелерді қоршаумен қоршадым. Мен заңды ұстанамын ба?
152-ФЗ жүйелер мен серверлерді қорғау туралы емес, субъектілердің жеке деректерін қорғау туралы. Сондықтан, 152-ФЗ сәйкестік антивирустан емес, қағаздың көп бөлігінен және ұйымдастырушылық мәселелерден басталады.
Бас инспектор Роскомнадзор техникалық қорғау құралдарының бар-жоғы мен жағдайын емес, жеке деректерді өңдеудің құқықтық негіздерін (ПД) қарайды:
- жеке деректерді қандай мақсатпен жинайсыз;
- сіз оларды өз мақсаттарыңыз үшін қажетінен көбірек жинадыңыз ба;
- жеке деректерді қанша уақыт сақтайсыз;
- жеке деректерді өңдеу саясаты бар ма;
- Сіз жеке деректерді өңдеуге, трансшекаралық тасымалдауға, үшінші тараптардың өңдеуіне және т.б. келісімді жинап жатырсыз ба?
Бұл сұрақтарға жауаптар, сондай-ақ процестердің өзі тиісті құжаттарда жазылуы керек. Міне, жеке деректер операторы дайындайтын нәрселердің толық тізімі емес:
- Жеке деректерді өңдеуге арналған стандартты келісім нысаны (бұл парақтар қазір біз толық аты-жөнімізді және төлқұжат мәліметтерін қалдыратын барлық жерде дерлік қол қоямыз).
- Оператордың жеке деректерді өңдеуге қатысты саясаты ( жобалау бойынша ұсыныстар бар).
- Дербес деректерді өңдеуді ұйымдастыруға жауапты тұлғаны тағайындау туралы бұйрық.
- Дербес деректерді өңдеуді ұйымдастыруға жауапты тұлғаның лауазымдық сипаттамасы.
- Ішкі бақылау және (немесе) ӨҚ өңдеудің заң талаптарына сәйкестігіне аудит жүргізу ережелері.
- Дербес деректердің ақпараттық жүйелерінің тізімі (ISPD).
- Субъектіге оның жеке деректеріне қол жеткізуді қамтамасыз ету туралы ереже.
- Оқиғаларды тергеу ережелері.
- Қызметкерлерді дербес деректерді өңдеуге жіберу туралы бұйрық.
- Реттеуші органдармен өзара әрекеттесу ережелері.
- РКН хабарламасы және т.б.
- PD өңдеуге арналған нұсқаулық нысаны.
- ISPD қауіп үлгісі.
Осы мәселелерді шешкеннен кейін сіз нақты шаралар мен техникалық құралдарды таңдауға кірісе аласыз. Қайсысы қажет екені жүйелерге, олардың жұмыс жағдайларына және ағымдағы қауіптерге байланысты. Бірақ бұл туралы кейінірек.
Шындық: заңдылықты сақтау - бұл белгілі бір процестерді орнату және сақтау, біріншіден, екіншіден - арнайы техникалық құралдарды қолдану.
Миф 2. Мен жеке деректерді бұлтта, 152-ФЗ талаптарына сәйкес келетін деректер орталығында сақтаймын. Енді олар заңның орындалуына жауапты
Жеке деректерді сақтауды бұлттық провайдерге немесе деректер орталығына аутсорсинг жасағанда, сіз жеке деректер операторы болуды тоқтатпайсыз.
Заңның анықтамасын көмекке шақырайық:
Дербес деректерді өңдеу – жинақтауды, тіркеуді, жүйелеуді, жинақтауды, сақтауды, нақтылауды (жаңартуды, өзгертуді) қоса алғанда, автоматтандыру құралдарын пайдалана отырып немесе мұндай құралдарды пайдаланбай дербес деректермен орындалатын кез келген әрекет (операция) немесе әрекеттердің (операциялардың) жиынтығы; жеке деректерді алу, пайдалану, беру (тарату, қамтамасыз ету, қол жеткізу), иесіздандыру, блоктау, жою, жою.
Дереккөз: 3-бап,
Барлық осы әрекеттердің ішінде қызмет провайдері жеке деректерді сақтау және жою үшін жауап береді (клиент онымен шартты бұзған кезде). Қалғанының барлығын жеке деректер операторы қамтамасыз етеді. Бұл қызмет провайдері емес, оператор дербес деректерді өңдеу саясатын анықтайды, өз клиенттерінен дербес деректерді өңдеуге қол қойылған келісімдер алады, дербес деректердің үшінші тұлғаларға ағып кету жағдайларын болдырмайды және тексереді және т.б.
Демек, жеке деректер операторы бұрынғысынша жоғарыда аталған құжаттарды жинауы және PDIS қорғау үшін ұйымдастырушылық және техникалық шараларды орындауы керек.
Әдетте, провайдер оператордың ISPD орналасатын инфрақұрылым деңгейіндегі заңды талаптардың сақталуын қамтамасыз ету арқылы операторға көмектеседі: жабдықтары бар тіректер немесе бұлт. Ол сондай-ақ құжаттар пакетін жинайды, 152-ФЗ сәйкес инфрақұрылымының бір бөлігі үшін ұйымдастырушылық және техникалық шараларды қабылдайды.
Кейбір провайдерлер құжаттарды рәсімдеуге және ISDN-дің өздері үшін техникалық қауіпсіздік шараларын қамтамасыз етуге көмектеседі, яғни инфрақұрылымнан жоғары деңгейде. Оператор бұл міндеттерді аутсорсингке де бере алады, бірақ заң бойынша жауапкершілік пен міндеттер жойылмайды.
Шындық: Провайдердің немесе деректер орталығының қызметтерін пайдалану арқылы сіз оған жеке деректер операторының міндеттерін бере алмайсыз және жауапкершіліктен құтыла алмайсыз. Егер провайдер сізге осыны уәде етсе, жұмсақ тілмен айтқанда, ол өтірік айтады.
Миф 3. Менде қажетті құжаттар мен шаралар пакеті бар. Мен жеке деректерді 152-ФЗ сәйкестікке уәде беретін провайдерде сақтаймын. Барлығы ретімен ме?
Иә, егер сіз бұйрыққа қол қоюды ұмытпасаңыз. Заң бойынша оператор жеке деректерді өңдеуді басқа тұлғаға, мысалы, сол қызмет көрсетушіге сеніп тапсыра алады. Тапсырыс – қызмет провайдері оператордың жеке деректерімен не істей алатынын көрсететін келісімнің бір түрі.
Оператор, егер Федералдық заңда өзгеше көзделмесе, осы тұлғамен жасалған шарттың, оның ішінде мемлекеттік немесе муниципалдық шарттың негізінде дербес деректер субъектісінің келісімімен дербес деректерді өңдеуді басқа тұлғаға тапсыруға құқылы. немесе мемлекеттік немесе муниципалдық органның (бұдан әрі – тапсырма операторы) тиісті актіні қабылдауы арқылы жүзеге асырылады. Оператордың атынан дербес деректерді өңдейтін тұлға осы Федералдық заңда көзделген дербес деректерді өңдеу принциптері мен ережелерін сақтауға міндетті.
Ақпарат көзі:
Провайдердің жеке деректердің құпиялылығын сақтау және көрсетілген талаптарға сәйкес оның қауіпсіздігін қамтамасыз ету міндеті де белгіленеді:
Оператордың бұйрығында дербес деректерді өңдейтін тұлға жүзеге асыратын дербес деректермен әрекеттердің (операциялардың) тізбесі және өңдеу мақсаттары айқындалуы тиіс, мұндай тұлғаның дербес деректердің құпиялылығын сақтау және оның сақталуын қамтамасыз ету жөніндегі міндеті белгіленуі тиіс. оларды өңдеу кезінде дербес деректердің қауіпсіздігі, сондай-ақ өңделген дербес деректерді қорғау талаптары сәйкес көрсетілуі тиіс осы Федералдық заңның.
Ақпарат көзі:
Бұл үшін провайдер дербес деректер субъектісіне емес, операторға жауапты:
Егер оператор дербес деректерді өңдеуді басқа тұлғаға тапсырса, оператор көрсетілген тұлғаның әрекеттері үшін дербес деректер субъектісі алдында жауапты болады. Оператордың атынан дербес деректерді өңдейтін тұлға оператор алдында жауап береді.
Ақпарат көзі: .
Сондай-ақ бұйрықта жеке деректерді қорғауды қамтамасыз ету міндетін белгілеу маңызды:
Ақпараттық жүйеде өңдеу кезінде дербес деректердің қауіпсіздігін дербес деректерді өңдейтін осы жүйенің операторы (бұдан әрі - оператор) немесе оператордың тапсырмасы бойынша дербес деректерді өңдеуді жүзеге асыратын тұлға қамтамасыз етеді. осы тұлғамен (бұдан әрі – уәкілетті тұлға) жасалған шарт. Оператор мен уәкілетті тұлға арасындағы келісімде уәкілетті тұлғаның ақпараттық жүйеде өңдеу кезінде дербес деректердің қауіпсіздігін қамтамасыз ету міндеті көзделуі тиіс.
Ақпарат көзі:
Шындық: Егер сіз провайдерге жеке деректерді берсеңіз, бұйрыққа қол қойыңыз. Бұйрықта субъектілердің жеке деректерінің қорғалуын қамтамасыз ету талабын көрсетіңіз. Әйтпесе, сіз жеке деректерді өңдеу жұмысын үшінші тарапқа беруге қатысты заңға бағынбайсыз және провайдер сізге 152-ФЗ сәйкестікке қатысты ештеңе қарыз емес.
Миф 4. Моссад мені аңдып жатыр немесе менде міндетті түрде UZ-1 бар
Кейбір тұтынушылар 1 немесе 2 қауіпсіздік деңгейіндегі ISPD бар екенін табанды түрде дәлелдейді. Көбінесе бұлай болмайды. Неліктен бұл орын алғанын анықтау үшін аппараттық құралды еске түсірейік.
LO немесе қауіпсіздік деңгейі жеке деректеріңізді неден қорғайтыныңызды анықтайды.
Қауіпсіздік деңгейіне келесі тармақтар әсер етеді:
- жеке деректер түрі (арнайы, биометриялық, жалпыға қолжетімді және т.б.);
- дербес деректер кімге тиесілі - дербес деректер операторының қызметкерлері немесе қызметкері емес адамдар;
- дербес деректер субъектілерінің саны – 100 мыңнан астам немесе аз.
- ағымдағы қауіп түрлері.
Қауіптердің түрлері туралы айтып береді . Мұнда әрқайсысының сипаттамасы мен адам тіліне еркін аудармасы берілген.
1-ші түрдегі қауіптер, егер ақпараттық жүйеде пайдаланылатын жүйелік бағдарламалық құралда құжатталмаған (жарияланбаған) мүмкіндіктердің болуымен байланысты қауіптер де оған қатысты болса, ақпараттық жүйе үшін өзекті болып табылады.
Қауіптің осы түрін өзекті деп танысаңыз, онда сіз CIA, MI6 немесе MOSSAD агенттері сіздің ISPD-ден нақты субъектілердің жеке деректерін ұрлау үшін операциялық жүйеге бетбелгі қойғанына сенімді боласыз.
Ақпараттық жүйеде қолданылатын қолданбалы бағдарламалық құралда құжатталмаған (жарияланбаған) мүмкіндіктердің болуымен байланысты қауіптер де оған қатысты болса, 2-ші түрдегі қауіптер ақпараттық жүйе үшін өзекті болып табылады.
Егер сіз екінші түрдегі қауіп-қатер сіздің жағдайыңыз деп ойласаңыз, онда сіз ұйықтайсыз және CIA, MI6, MOSSAD агенттері, зұлым жалғыз хакер немесе топ дәл іздеу үшін кейбір кеңсе бағдарламалық жасақтама пакетіне бетбелгілерді қалай орналастырғанын көресіз. сіздің жеке деректеріңіз. Иә, μTorrent сияқты күмәнді қолданбалы бағдарламалық жасақтама бар, бірақ орнату үшін рұқсат етілген бағдарламалық жасақтаманың тізімін жасай аласыз және пайдаланушылармен келісімге қол қоя аласыз, пайдаланушыларға жергілікті әкімші құқықтарын бермей, т.б.
3 типті қауіптер, егер жүйеде құжатталмаған (жарияланбаған) мүмкіндіктердің болуына және ақпараттық жүйеде қолданылатын қолданбалы бағдарламалық қамтамасыз етудің болуына байланысты емес қауіптер оған қатысты болса, ақпараттық жүйеге қатысты.
1 және 2 түріндегі қауіптер сізге сәйкес келмейді, сондықтан бұл сізге арналған орын.
Біз қауіп түрлерін сұрыптадық, енді біздің ISPD қауіпсіздік деңгейі қандай болатынын қарастырайық.
Көрсетілген сәйкестіктерге негізделген кесте .
Егер біз нақты қауіптердің үшінші түрін таңдасақ, онда көп жағдайда бізде UZ-3 болады. 1-ші және 2-ші түрдегі қауіп-қатерлер маңызды болмаған кезде, бірақ қауіпсіздік деңгейі бұрынғысынша жоғары болған кезде (UZ-2) 100 000-нан асатын қызметкерлер емес тұлғалардың арнайы жеке деректерін өңдейтін компаниялар ғана ерекшелік болып табылады. Мысалы, медициналық диагностикамен және медициналық қызмет көрсетумен айналысатын компаниялар.
Сондай-ақ UZ-4 бар және ол негізінен бизнесі қызметкерлер еместердің, яғни клиенттердің немесе мердігерлердің жеке деректерін өңдеумен байланысты емес немесе дербес деректер базасы шағын компанияларда кездеседі.
Неліктен қауіпсіздік деңгейінен асып кетпеу соншалықты маңызды? Қарапайым: қауіпсіздіктің дәл осы деңгейін қамтамасыз ету үшін шаралар мен қорғаныс құралдарының жиынтығы осыған байланысты болады. Білім деңгейі неғұрлым жоғары болса, ұйымдастырушылық және техникалық тұрғыдан соғұрлым көп жұмыс істеу керек болады (оқыңыз: соғұрлым көп ақша мен жүйке жұмсалуы керек).
Мұнда, мысалы, қауіпсіздік шараларының жиынтығы бірдей PP-1119 сәйкес өзгереді.
Енді қауіпсіздіктің таңдалған деңгейіне байланысты қажетті шаралар тізімі сәйкес қалай өзгеретінін көрейік Бұл құжатқа қажетті шараларды айқындайтын ұзақ қосымшасы бар. Олардың барлығы 109-ы бар, әрбір КМ үшін міндетті шаралар анықталып, «+» белгісімен белгіленеді - олар төмендегі кестеде нақты есептелген. Егер сіз тек UZ-3-ке қажеттілерді қалдырсаңыз, сіз 4 аласыз.
Шындық: егер сіз клиенттерден тесттерді немесе биометрияны жинамасаңыз, сіз жүйелік және қолданбалы бағдарламалық жасақтамадағы бетбелгілер туралы параноид емессіз, онда сізде UZ-3 болуы мүмкін. Онда іс жүзінде жүзеге асырылуы мүмкін ұйымдастырушылық және техникалық шаралардың негізделген тізімі бар.
Миф 5. Жеке деректерді қорғаудың барлық құралдары Ресейдің FSTEC сертификаттауынан өтуі керек
Егер сіз сертификаттауды өткізгіңіз келсе немесе талап етілсе, сізге сертификатталған қорғаныс құралдарын пайдалануға тура келеді. Сертификаттауды Ресейдің FSTEC лицензиаты жүргізеді, ол:
- сертификатталған ақпаратты қорғау құралдарын көбірек сатуға мүдделі;
- бірдеңе дұрыс болмаса, реттеуші лицензияны қайтарып алудан қорқады.
Егер сізге сертификаттау қажет болмаса және талаптарға сәйкестігін басқа жолмен растауға дайын болсаңыз, онда аталған «Дербес деректердің қауіпсіздігін қамтамасыз ету үшін жеке деректерді қорғау жүйесі шеңберінде жүзеге асырылатын шаралардың тиімділігін бағалау», содан кейін сертификатталған ақпараттық қауіпсіздік жүйелері сізге қажет емес. Мен оның себебін қысқаша түсіндіруге тырысамын.
В белгіленген тәртіппен сәйкестікті растау рәсімінен өткен қорғаныс құралдарын пайдалану қажеттігін айтады.:
Дербес деректердің қауіпсіздігін қамтамасыз ету, атап айтқанда:
[…] 3) белгіленген тәртіппен сәйкестікті бағалау рәсімінен өткен ақпараттық қауіпсіздік құралдарын пайдалану.
В Сондай-ақ заң талаптарының сақталуын бағалау рәсімінен өткен ақпараттық қауіпсіздік құралдарын пайдалану талабы бар:
[…] ақпараттық қауіпсіздік саласындағы Ресей Федерациясының заңнамасының талаптарына сәйкестігін бағалау рәсімінен өткен ақпаратты қорғау құралдарын пайдалану, егер мұндай құралдарды пайдалану ағымдағы қауіптерді бейтараптандыру үшін қажет болған жағдайда.
ПҚ-1119-тармағын іс жүзінде қайталайды:
Дербес деректердің қауіпсіздігін қамтамасыз ету жөніндегі шаралар, атап айтқанда, белгіленген тәртіппен сәйкестікті растау рәсімінен өткен ақпараттық жүйедегі ақпараттық қауіпсіздік құралдарын пайдалану арқылы, мұндай құралдарды пайдалану қажет болған жағдайларда жүзеге асырылады. жеке деректердің қауіпсіздігіне ағымдағы қатерлерді бейтараптандыру.
Бұл тұжырымдардың ортақтығы қандай? Бұл дұрыс - олар сертификатталған қорғаныс құралдарын пайдалануды талап етпейді. Өйткені, сәйкестікті бағалаудың бірнеше нысандары бар (ерікті немесе міндетті сертификаттау, сәйкестік туралы декларация). Сертификаттау – солардың бірі ғана. Оператор сертификатталмаған өнімдерді пайдалана алады, бірақ тексеру кезінде реттеушіге олардың сәйкестікті бағалау процедурасының қандай да бір түрінен өткенін көрсетуі қажет.
Егер оператор сертификатталған қорғаныс құралдарын пайдалануды шешсе, онда ультрадыбыстық қорғанысқа сәйкес ақпаратты қорғау жүйесін таңдау қажет, ол туралы :
Дербес деректерді қорғау жөніндегі техникалық іс-шаралар ақпараттық қауіпсіздік құралдарын, оның ішінде олар іске асырылатын, қажетті қауіпсіздік функциялары бар бағдарламалық (аппараттық) құралдарды пайдалану арқылы жүзеге асырылады.
Ақпараттық жүйелерде ақпараттық қауіпсіздік талаптарына сәйкес сертификатталған ақпаратты қорғау құралдарын пайдалану кезінде:
Шындық: Заң сертификатталған қорғаныс құралдарын міндетті түрде пайдалануды талап етпейді.
Миф 6. Маған криптовалютадан қорғау керек
Мұнда бірнеше нюанстар бар:
- Көптеген адамдар криптография кез келген ISPD үшін міндетті деп санайды. Шындығында, оларды оператор криптографияны пайдаланудан басқа өзі үшін басқа қорғау шараларын көрмеген жағдайда ғана пайдалану керек.
- Егер сіз криптографиясыз жасай алмасаңыз, FSB сертификатталған CIPF пайдалануыңыз керек.
- Мысалы, сіз ISPD серверін қызмет провайдерінің бұлтында орналастыруды шешесіз, бірақ оған сенбейсіз. Сіз қауіп-қатер мен зиянкес үлгісінде алаңдаушылықтарыңызды сипаттайсыз. Сізде жеке деректер бар, сондықтан сіз криптография - өзіңізді қорғаудың жалғыз жолы деп шештіңіз: виртуалды машиналарды шифрлайсыз, криптографиялық қорғауды пайдаланып қауіпсіз арналар жасайсыз. Бұл жағдайда сізге Ресей ФСБ сертификатталған CIPF пайдалану керек.
- Сертификатталған CIPF сәйкес қауіпсіздіктің белгілі бір деңгейіне сәйкес таңдалады .
UZ-3 бар ISPDn үшін KS1, KS2, KS3 пайдалануға болады. KS1, мысалы, арналарды қорғауға арналған C-Terra виртуалды шлюз 4.2.
KC2, KS3 тек бағдарламалық-аппараттық жүйелермен ұсынылған, мысалы: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway және т.б.
Егер сізде UZ-2 немесе 1 болса, онда сізге KV1, 2 және KA класындағы криптографиялық қорғау құралдары қажет. Бұл спецификалық бағдарламалық-аппараттық жүйелер, олардың жұмыс істеуі қиын, өнімділік сипаттамалары қарапайым.
Шындық: Заң ФСБ сертификатталған CIPF пайдалануды міндеттемейді.
Ақпарат көзі: www.habr.com