Sveiki visi! Aš vadovauju „DataLine“ kibernetinės gynybos centrui. Klientai ateina pas mus su užduotimi įvykdyti 152-FZ reikalavimus debesyje arba fizinėje infrastruktūroje.
Beveik kiekviename projekte būtina atlikti švietėjišką darbą, siekiant sugriauti mitus apie šį įstatymą. Surinkau dažniausiai pasitaikančias klaidingas nuomones, kurios gali brangiai kainuoti asmens duomenų valdytojo biudžetui ir nervų sistemai. Iš karto padarysiu išlygą, kad valstybės įstaigų (GIS) atvejai, susiję su valstybės paslaptimis, KII ir pan., nepateks į šio straipsnio taikymo sritį.
Mitas 1. Įdiegiau antivirusinę, ugniasienę, stelažus aptveriau tvora. Ar aš laikausi įstatymų?
152-FZ kalba ne apie sistemų ir serverių apsaugą, o apie subjektų asmens duomenų apsaugą. Todėl 152-FZ laikymasis prasideda ne nuo antivirusinės programos, o su daugybe popieriaus lapų ir organizacinių problemų.
Pagrindinis inspektorius „Roskomnadzor“ nagrinės ne techninių apsaugos priemonių buvimą ir būklę, o asmens duomenų (PD) tvarkymo teisinį pagrindą:
- kokiu tikslu renkate asmens duomenis;
- ar surenkate jų daugiau, nei jums reikia jūsų tikslams;
- kiek laiko saugote asmens duomenis;
- ar yra asmens duomenų tvarkymo politika;
- Ar renkate sutikimą dėl asmens duomenų tvarkymo, tarptautinio perdavimo, trečiųjų šalių vykdomo duomenų tvarkymo ir pan.
Atsakymai į šiuos klausimus, kaip ir patys procesai, turėtų būti užfiksuoti atitinkamuose dokumentuose. Čia yra toli gražu ne visas sąrašas, ką asmens duomenų operatorius turi parengti:
- Standartinė sutikimo dėl asmens duomenų tvarkymo forma (tai yra lapai, kuriuos dabar pasirašome beveik visur, kur paliekame savo vardus ir paso duomenis).
- Operatoriaus asmens duomenų tvarkymo politika ( yra rekomendacijų dėl dizaino).
- Įsakymas dėl asmens, atsakingo už asmens duomenų tvarkymo organizavimą, paskyrimo.
- Asmens, atsakingo už asmens duomenų tvarkymo organizavimą, pareigybės aprašymas.
- PD tvarkymo atitikties teisės aktų reikalavimams vidaus kontrolės ir (ar) audito taisyklės.
- Asmens duomenų informacinių sistemų (ISPD) sąrašas.
- Prieigos prie savo asmens duomenų subjektui suteikimo taisyklės.
- Įvykio tyrimo nuostatai.
- Įsakymas dėl darbuotojų priėmimo į asmens duomenų tvarkymą.
- Bendravimo su reguliuotojais taisyklės.
- RKN pranešimas ir kt.
- PD apdorojimo instrukcijos forma.
- ISPD grėsmės modelis.
Išsprendę šiuos klausimus, galite pradėti rinktis konkrečias priemones ir technines priemones. Kurių jums reikia, priklauso nuo sistemų, jų veikimo sąlygų ir esamų grėsmių. Bet apie tai vėliau.
Realybė: įstatymų laikymasis yra tam tikrų procesų nustatymas ir laikymasis, visų pirma, o tik antra - specialių techninių priemonių naudojimas.
Mitas 2. Asmens duomenis saugau debesyje, duomenų centre, kuris atitinka 152-FZ reikalavimus. Dabar jie yra atsakingi už įstatymų vykdymą
Kai perduodate asmens duomenų saugojimą debesijos paslaugų teikėjui arba duomenų centrui, nenustojate būti asmens duomenų operatoriumi.
Pasikvieskime į pagalbą įstatymo apibrėžimą:
Asmens duomenų tvarkymas – bet koks veiksmas (operacija) ar veiksmų (operacijų) visuma, atliekama naudojant automatizavimo priemones arba nenaudojant tokių priemonių su asmens duomenimis, įskaitant rinkimą, įrašymą, sisteminimą, kaupimą, saugojimą, išaiškinimą (atnaujinimą, keitimą), asmens duomenų išgavimas, naudojimas, perdavimas (platinimas, teikimas, prieiga), nuasmeninimas, blokavimas, ištrynimas, sunaikinimas.
Šaltinis: 3 straipsnis,
Iš visų šių veiksmų už asmens duomenų saugojimą ir sunaikinimą (klientui nutraukus su juo sutartį) atsako paslaugų teikėjas. Visa kita suteikia asmens duomenų operatorius. Tai reiškia, kad operatorius, o ne paslaugų teikėjas, nustato asmens duomenų tvarkymo politiką, iš savo klientų gauna pasirašytus sutikimus dėl asmens duomenų tvarkymo, užkerta kelią ir tiria asmens duomenų nutekėjimo trečiosioms šalims atvejus ir pan.
Vadinasi, asmens duomenų valdytojas vis tiek turi rinkti aukščiau išvardintus dokumentus ir įgyvendinti organizacines bei technines priemones savo PDIS apsaugoti.
Paprastai teikėjas padeda operatoriui, užtikrindamas, kad būtų laikomasi teisės aktų reikalavimų infrastruktūros lygiu, kuriame bus operatoriaus ISPD: stelažai su įranga arba debesis. Jis taip pat surenka dokumentų paketą, imasi organizacinių ir techninių priemonių savo infrastruktūrai pagal 152-FZ.
Kai kurie teikėjai padeda tvarkyti dokumentus ir užtikrinti technines saugumo priemones patiems ISDN, t. y. aukštesniu nei infrastruktūros lygiu. Operatorius taip pat gali perduoti šias užduotis, tačiau atsakomybė ir įsipareigojimai pagal įstatymus neišnyksta.
Realybė: Naudodamiesi tiekėjo ar duomenų centro paslaugomis, Jūs negalite jam perleisti asmens duomenų valdytojo pareigų ir atsikratyti atsakomybės. Jei paslaugų teikėjas jums tai žada, tada, švelniai tariant, jis meluoja.
Mitas 3. Turiu reikalingą dokumentų ir priemonių paketą. Asmens duomenis saugau pas tiekėją, kuris žada laikytis 152-FZ. Ar viskas tvarkoje?
Taip, jei prisimenate pasirašyti užsakymą. Pagal įstatymus operatorius gali patikėti asmens duomenų tvarkymą kitam asmeniui, pavyzdžiui, tam pačiam paslaugų teikėjui. Užsakymas yra tam tikra sutartis, kurioje nurodoma, ką paslaugų teikėjas gali daryti su operatoriaus asmens duomenimis.
Operatorius turi teisę asmens duomenų subjekto sutikimu pavesti tvarkyti asmens duomenis kitam asmeniui, jei federalinis įstatymas nenustato kitaip, remiantis su šiuo asmeniu sudaryta sutartimi, įskaitant valstybės ar savivaldybės sutartį, arba valstybės ar savivaldybės įstaigos (toliau – pavedimo vykdytojas) priėmus atitinkamą aktą. Asmuo, tvarkantis asmens duomenis operatoriaus vardu, privalo laikytis šiame federaliniame įstatyme numatytų asmens duomenų tvarkymo principų ir taisyklių.
Šaltinis:
Teikėjo pareiga išlaikyti asmens duomenų konfidencialumą ir užtikrinti jų saugumą pagal nurodytus reikalavimus taip pat nustatyta:
Operatoriaus nurodymuose turi būti nustatytas veiksmų (operacijų) su asmens duomenimis, kuriuos atliks asmens duomenis tvarkantis asmuo, sąrašas ir tvarkymo tikslai, tokiam asmeniui turi būti nustatyta pareiga išlaikyti asmens duomenų konfidencialumą ir užtikrinti, kad asmens duomenys būtų tvarkomi. asmens duomenų saugumas juos tvarkant, taip pat tvarkomų asmens duomenų apsaugos reikalavimai turi būti nurodyti vadovaujantis šio federalinio įstatymo nuostatas.
Šaltinis:
Už tai teikėjas yra atsakingas operatoriui, o ne asmens duomenų subjektui:
Jei operatorius asmens duomenų tvarkymą paveda kitam asmeniui, operatorius atsako asmens duomenų subjektui už nurodyto asmens veiksmus. Asmuo, tvarkantis asmens duomenis operatoriaus vardu, yra atsakingas operatoriui.
Šaltinis: .
Taip pat įsakyme svarbu numatyti pareigą užtikrinti asmens duomenų apsaugą:
Asmens duomenų saugumą, kai jie tvarkomi informacinėje sistemoje, užtikrina šios sistemos operatorius, tvarkantis asmens duomenis (toliau – operatorius), arba asmuo, tvarkantis asmens duomenis operatoriaus vardu pagal su šiuo asmeniu sudaryta sutartis (toliau – įgaliotas asmuo). Operatoriaus ir įgalioto asmens sutartyje turi būti numatyta įgalioto asmens pareiga užtikrinti asmens duomenų saugumą, kai jie tvarkomi informacinėje sistemoje.
Šaltinis:
Realybė: Jei teikėjui pateikiate asmens duomenis, pasirašykite užsakymą. Įsakyme nurodykite reikalavimą užtikrinti subjektų asmens duomenų apsaugą. Priešingu atveju jūs nesilaikote įstatymų dėl asmens duomenų tvarkymo darbų perdavimo trečiajai šaliai, o paslaugų teikėjas nėra jums skolingas dėl 152-FZ laikymosi.
4 mitas. Mossad mane šnipinėja arba aš tikrai turiu UZ-1
Kai kurie klientai atkakliai įrodinėja, kad turi 1 ar 2 saugumo lygio ISPD. Dažniausiai taip nėra. Prisiminkime aparatinę įrangą, kad išsiaiškintume, kodėl taip nutinka.
LO arba saugumo lygis nustato, nuo ko saugosite savo asmens duomenis.
Saugumo lygiui įtakos turi šie punktai:
- asmens duomenų tipas (specialieji, biometriniai, viešai prieinami ir kiti);
- kam priklauso asmens duomenys – asmens duomenų valdytojo darbuotojai ar ne darbuotojai;
- asmens duomenų subjektų skaičius – daugiau ar mažiau 100 tūkst.
- dabartinių grėsmių rūšys.
Papasakoja apie grėsmių tipus . Čia yra kiekvieno aprašymas su mano nemokamu vertimu į žmonių kalbą.
1-ojo tipo grėsmės informacinei sistemai aktualios, jei jai aktualios ir grėsmės, susijusios su nedokumentuotų (nedeklaruotų) galimybių buvimu informacinėje sistemoje naudojamoje sistemos programinėje įrangoje.
Jei pripažįstate, kad tokio tipo grėsmė yra aktuali, tuomet tvirtai tikite, kad CŽV, MI6 ar MOSSAD agentai operacinėje sistemoje įdėjo žymą, kad pavogtų konkrečių subjektų asmens duomenis iš jūsų ISPD.
2-ojo tipo grėsmės informacinei sistemai aktualios, jei jai aktualios ir grėsmės, susijusios su nedokumentuotų (nedeklaruotų) galimybių buvimu informacinėje sistemoje naudojamoje taikomojoje programinėje įrangoje.
Jei manote, kad antrojo tipo grėsmės yra jūsų atvejis, tada miegate ir matote, kaip tie patys CŽV agentai, MI6, MOSSAD, piktas vienišas įsilaužėlis ar grupė įdėjo žymes į kokį nors biuro programinės įrangos paketą, kad tiksliai sumedžiotų. savo asmeninius duomenis. Taip, yra abejotinos taikomosios programinės įrangos, tokios kaip μTorrent, tačiau galite sudaryti leidžiamos įdiegti programinės įrangos sąrašą ir pasirašyti sutartį su vartotojais, nesuteikti vartotojams vietinio administratoriaus teisių ir pan.
3 tipo grėsmės informacinei sistemai aktualios, jei jai aktualios grėsmės, nesusijusios su nedokumentuotų (nedeklaruotų) galimybių buvimu sistemoje ir informacinėje sistemoje naudojama taikomoji programinė įranga.
1 ir 2 tipų grėsmės jums netinka, todėl čia kaip tik jums.
Išsiaiškinome grėsmių tipus, o dabar pažiūrėkime, kokį saugumo lygį turės mūsų ISPD.
Lentelė, pagrįsta atitikmenimis, nurodytais .
Jei pasirinkome trečią realių grėsmių tipą, tada daugeliu atvejų turėsime UZ-3. Vienintelė išimtis, kai 1 ir 2 tipų grėsmės nėra aktualios, tačiau saugumo lygis vis tiek bus aukštas (UZ-2), yra įmonės, kurios tvarko specialius ne darbuotojų asmens duomenis daugiau nei 100 tūkst. Pavyzdžiui, įmonės, užsiimančios medicinine diagnostika ir medicinos paslaugų teikimu.
Taip pat yra ir UZ-4, jis daugiausia aptinkamas įmonėse, kurių veikla nėra susijusi su ne darbuotojų, t.y. klientų ar rangovų, asmens duomenų tvarkymu arba asmens duomenų bazės yra nedidelės.
Kodėl taip svarbu nepersistengti su saugumo lygiu? Tai paprasta: nuo to priklausys priemonių ir apsaugos priemonių rinkinys, užtikrinantis tokį saugumo lygį. Kuo aukštesnis žinių lygis, tuo daugiau reikės nuveikti organizacine ir technine prasme (skaitykite: tuo daugiau pinigų ir nervų reikės išleisti).
Štai, pavyzdžiui, kaip keičiasi apsaugos priemonių rinkinys pagal tą patį PP-1119.
Dabar pažiūrėkime, kaip, priklausomai nuo pasirinkto saugumo lygio, keičiasi būtinų priemonių sąrašas Prie šio dokumento yra ilgas priedas, kuriame apibrėžiamos būtinos priemonės. Iš viso jų yra 109, kiekvienam KM yra apibrėžtos ir „+“ ženklu pažymėtos privalomos priemonės - jos tiksliai apskaičiuotos žemiau esančioje lentelėje. Jei paliksite tik tuos, kurių reikia UZ-3, gausite 4.
Realybė: Jei nerenkate testų ar biometrinių duomenų iš klientų, nesate paranojiškas dėl žymių sistemos ir taikomosios programinės įrangos, tada greičiausiai turite UZ-3. Jame yra pagrįstas sąrašas organizacinių ir techninių priemonių, kurias iš tikrųjų galima įgyvendinti.
5 mitas. Visos asmens duomenų apsaugos priemonės turi būti sertifikuotos Rusijos FSTEC
Jei norite arba privalote atlikti sertifikavimą, greičiausiai turėsite naudoti sertifikuotas apsaugos priemones. Sertifikavimą atliks Rusijos FSTEC licencijos turėtojas, kuris:
- domisi daugiau sertifikuotų informacijos apsaugos priemonių pardavimu;
- bijo, kad reguliuotojas atšauks licenciją, jei kas nors nutiks.
Jei jums nereikia sertifikavimo ir esate pasirengęs patvirtinti atitiktį reikalavimams kitu, nurodytu būdu „Vertinant asmens duomenų apsaugos sistemoje įdiegtų priemonių efektyvumą asmens duomenų saugumui užtikrinti“, tuomet sertifikuotos informacijos saugos sistemos jums nereikalingos. Pabandysiu trumpai paaiškinti pagrindimą.
В nurodo, kad būtina naudoti apsaugines priemones, kurioms nustatyta tvarka buvo atlikta atitikties įvertinimo procedūra:
Užtikrinamas asmens duomenų saugumas, visų pirma:
[…] 3) informacijos saugumo priemonių, kurios nustatyta tvarka praėjo atitikties vertinimo procedūrą, naudojimas.
В Taip pat nustatytas reikalavimas naudoti informacijos saugos priemones, praėjusias teisės aktų reikalavimų atitikties vertinimo procedūrą:
[…] informacijos saugos priemonių, kurios praėjo Rusijos Federacijos teisės aktų reikalavimams informacijos saugumo srityje įvertinimo procedūrą, naudojimas tais atvejais, kai tokių priemonių naudojimas yra būtinas esamoms grėsmėms neutralizuoti.
praktiškai dubliuoja pastraipą PP-1119:
Asmens duomenų saugumą užtikrinančios priemonės įgyvendinamos, be kita ko, naudojant informacinėje sistemoje esančias informacijos saugos priemones, nustatyta tvarka praėjusias atitikties įvertinimo procedūrą, tais atvejais, kai tokių priemonių naudojimas yra būtinas, kad būtų užtikrintas asmens duomenų saugojimas. neutralizuoti esamas grėsmes asmens duomenų saugumui.
Ką bendro turi šios formuluotės? Teisingai – jiems nereikia naudoti sertifikuotų apsaugos priemonių. Faktas yra tas, kad yra keletas atitikties vertinimo formų (savanoriškas arba privalomas sertifikavimas, atitikties deklaracija). Sertifikatas yra tik vienas iš jų. Operatorius gali naudoti nesertifikuotus gaminius, tačiau patikrinimo metu turės įrodyti reguliavimo institucijai, kad jiems buvo atlikta tam tikra atitikties vertinimo procedūra.
Jei operatorius nusprendžia naudoti sertifikuotas apsaugos priemones, būtina pasirinkti informacijos apsaugos sistemą pagal ultragarso apsaugą, kuri aiškiai nurodyta :
Techninės priemonės asmens duomenims apsaugoti įgyvendinamos naudojant informacijos saugos priemones, įskaitant programines (aparatines) priemones, kuriose jos yra įdiegtos, turinčias reikiamas saugumo funkcijas.
Naudojant informacijos saugos priemones, sertifikuotas pagal informacijos saugumo reikalavimus informacinėse sistemose:
Realybė: Įstatymai nereikalauja privalomai naudoti sertifikuotas apsaugos priemones.
6 mitas. Man reikia kriptovaliutų apsaugos
Čia yra keletas niuansų:
- Daugelis žmonių mano, kad kriptografija yra privaloma bet kuriam ISPD. Tiesą sakant, jie turėtų būti naudojami tik tuo atveju, jei operatorius nemato jokių kitų apsaugos priemonių, išskyrus kriptografijos naudojimą.
- Jei negalite išsiversti be kriptografijos, turite naudoti FSB sertifikuotą CIPF.
- Pavyzdžiui, nusprendžiate talpinti ISPD paslaugų teikėjo debesyje, bet juo nepasitikite. Savo susirūpinimą apibūdinate grėsmės ir įsibrovėlio modeliu. Turite asmeninių duomenų, todėl nusprendėte, kad kriptografija yra vienintelis būdas apsisaugoti: šifruosite virtualias mašinas, kursite saugius kanalus naudodami kriptografinę apsaugą. Tokiu atveju turėsite naudoti Rusijos FSB sertifikuotą CIPF.
- Sertifikuoti CIPF parenkami laikantis tam tikro saugumo lygio pagal .
ISPDn su UZ-3 galite naudoti KS1, KS2, KS3. KS1 yra, pavyzdžiui, C-Terra Virtual Gateway 4.2 kanalams apsaugoti.
KC2, KS3 atstovauja tik programinės ir techninės įrangos sistemos, tokios kaip: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway ir kt.
Jei turite UZ-2 arba 1, tuomet jums reikės KV1, 2 ir KA klasės kriptografinės apsaugos priemonių. Tai specifinės programinės ir techninės įrangos sistemos, jas sunku valdyti, o jų veikimo charakteristikos kuklios.
Realybė: Įstatymai neįpareigoja naudoti FSB sertifikuotų CIPF.
Šaltinis: www.habr.com