Mīti par 152-FZ, kas personas datu operatoram var izmaksāt dārgi

Sveiki visiem! Es vadu DataLine kiberaizsardzības centru. Klienti nāk pie mums ar uzdevumu izpildīt 152-FZ prasības mākonī vai fiziskajā infrastruktūrā.
Gandrīz katrā projektā ir jāveic izglītojošs darbs, lai kliedētu mītus par šo likumu. Esmu apkopojis izplatītākos maldīgos priekšstatus, kas var dārgi izmaksāt personas datu operatora budžetam un nervu sistēmai. Tūlīt izteikšu atrunu, ka gadījumi, kad valsts iestādes (ĢIS) nodarbojas ar valsts noslēpumu, KII utt., paliks ārpus šī panta darbības jomas.

Mīts 1. Es uzinstalēju antivīrusu, ugunsmūri un aplencu statīvus ar žogu. Vai es ievēroju likumu?

152-FZ nav par sistēmu un serveru aizsardzību, bet gan par subjektu personas datu aizsardzību. Tāpēc atbilstība 152-FZ sākas nevis ar antivīrusu, bet gan ar lielu skaitu papīra lapu un organizatoriskiem jautājumiem.
Galvenais inspektors Roskomnadzor izskatīs nevis tehnisko aizsardzības līdzekļu esamību un stāvokli, bet gan personas datu (PD) apstrādes tiesisko pamatu:

• kādam nolūkam jūs vācat personas datus;  
• vai jūs savācat tos vairāk, nekā nepieciešams jūsu mērķiem;
• cik ilgi jūs glabājat personas datus;
• vai pastāv personas datu apstrādes politika;
• Vai jūs vācat piekrišanu personas datu apstrādei, pārrobežu pārsūtīšanai, trešo personu veiktajai apstrādei utt.

Atbildes uz šiem jautājumiem, kā arī paši procesi jāfiksē atbilstošos dokumentos. Šeit ir tālu no pilnīgs saraksts ar to, kas jāsagatavo personas datu operatoram:

• Standarta piekrišanas veidlapa personas datu apstrādei (tās ir lapas, kuras mēs tagad parakstām gandrīz visur, kur atstājam savu vārdu un pases datus).
• Operatora politika attiecībā uz personas datu apstrādi (šeit ir ieteikumi dizainam).
• Rīkojums par personas datu apstrādes organizēšanu atbildīgās personas iecelšanu.  
• Par personas datu apstrādes organizēšanu atbildīgās personas amata apraksts.
• Iekšējās kontroles un (vai) audita noteikumi par PD apstrādes atbilstību tiesību aktu prasībām.  
• Personas datu informācijas sistēmu (ISPD) saraksts.
• Noteikumi par subjekta piekļuves nodrošināšanu saviem personas datiem.
• Incidentu izmeklēšanas noteikumi.
• Rīkojums par darbinieku pielaidi personas datu apstrādei.
• Noteikumi mijiedarbībai ar regulatoriem.  
• Paziņojums par RKN utt.
• Instrukcijas veidlapa PD apstrādei.
• ISPD draudu modelis.

Pēc šo jautājumu atrisināšanas jūs varat sākt izvēlēties konkrētus pasākumus un tehniskos līdzekļus. Kuri no tiem ir nepieciešami, ir atkarīgs no sistēmām, to darbības apstākļiem un pašreizējiem draudiem. Bet vairāk par to vēlāk.

Realitāte: likuma ievērošana ir noteiktu procesu noteikšana un ievērošana, pirmkārt, un tikai otrkārt - īpašu tehnisko līdzekļu izmantošana.

Mīts 2. Es glabāju personas datus mākonī, datu centrā, kas atbilst 152-FZ prasībām. Tagad viņi ir atbildīgi par likuma izpildi

Nododot personas datu glabāšanu mākoņpakalpojumu sniedzējam vai datu centram, jūs nepārtraucat būt par personas datu operatoru.
Lūgsim palīgā definīciju no likuma:

Personas datu apstrāde – jebkura darbība (operācija) vai darbību (operāciju) kopums, kas tiek veikts, izmantojot automatizācijas rīkus vai bez šādu līdzekļu izmantošanas ar personas datiem, tai skaitā vākšana, reģistrēšana, sistematizēšana, uzkrāšana, glabāšana, precizēšana (atjaunināšana, mainīšana), personas datu iegūšana, izmantošana, nodošana (izplatīšana, nodrošināšana, piekļuve), depersonalizācija, bloķēšana, dzēšana, iznīcināšana.
Avots: 3. pants, 152-FZ

No visām šīm darbībām pakalpojumu sniedzējs ir atbildīgs par personas datu uzglabāšanu un iznīcināšanu (kad klients pārtrauc ar viņu līgumu). Visu pārējo nodrošina personas datu operators. Tas nozīmē, ka operators, nevis pakalpojumu sniedzējs nosaka personas datu apstrādes politiku, iegūst no saviem klientiem parakstītu piekrišanu personas datu apstrādei, novērš un izmeklē personas datu noplūdes gadījumus trešajām personām utt.

Līdz ar to personas datu operatoram joprojām ir jāapkopo iepriekš uzskaitītie dokumenti un jāīsteno organizatoriski un tehniski pasākumi, lai aizsargātu savu PDIS.

Parasti pakalpojumu sniedzējs palīdz operatoram, nodrošinot atbilstību likumdošanas prasībām tajā infrastruktūras līmenī, kurā atradīsies operatora ISPD: plaukti ar aprīkojumu vai mākonis. Viņš arī savāc dokumentu paketi, veic organizatoriskos un tehniskos pasākumus savai infrastruktūrai saskaņā ar 152-FZ.

Daži pakalpojumu sniedzēji palīdz ar dokumentu noformēšanu un tehnisko drošības pasākumu nodrošināšanu pašiem ISDN, t.i., līmenī virs infrastruktūras. Šos uzdevumus operators var izmantot arī ārpakalpojumu sniedzējiem, taču atbildība un pienākumi, kas noteikti likumā, nekur nepazūd.

Realitāte: Izmantojot pakalpojumu sniedzēja vai datu centra pakalpojumus, jūs nevarat viņam nodot personas datu operatora pienākumus un atbrīvoties no atbildības. Ja pakalpojumu sniedzējs jums to sola, tad, maigi izsakoties, viņš melo.

Mīts 3. Man ir nepieciešamā dokumentu un pasākumu pakete. Es glabāju personas datus pie pakalpojumu sniedzēja, kurš sola atbilstību 152-FZ. Vai viss ir kārtībā?

Jā, ja atceraties parakstīt pasūtījumu. Saskaņā ar likumu operators personas datu apstrādi var uzticēt citai personai, piemēram, tam pašam pakalpojumu sniedzējam. Pasūtījums ir sava veida līgums, kurā ir norādīts, ko pakalpojumu sniedzējs var darīt ar operatora personas datiem.

Operatoram ir tiesības uzticēt personas datu apstrādi citai personai ar personas datu subjekta piekrišanu, ja vien federālajā likumā nav noteikts citādi, pamatojoties uz ar šo personu noslēgtu vienošanos, tostarp valsts vai pašvaldības līgumu, vai valsts vai pašvaldības institūcijas (turpmāk – norīkojuma operators) pieņemot attiecīgu aktu. Personai, kas apstrādā personas datus operatora vārdā, ir jāievēro šajā federālajā likumā noteiktie personas datu apstrādes principi un noteikumi.
Avots: 3. klauzula, 6. pants, 152-FZ

Tāpat ir noteikts nodrošinātāja pienākums saglabāt personas datu konfidencialitāti un nodrošināt to drošību atbilstoši noteiktajām prasībām:

Operatora norādījumos ir jādefinē ar personas datiem veikto darbību (operāciju) saraksts, kuras veiks personas, kas apstrādā personas datus, un apstrādes mērķi, jānosaka šādas personas pienākums saglabāt personas datu konfidencialitāti un nodrošināt personas datu apstrādi. personas datu drošība to apstrādes laikā, kā arī prasības apstrādāto personas datu aizsardzībai ir jāprecizē saskaņā ar 19. pants šī federālā likuma apakšpunktā.
Avots: 3. klauzula, 6. pants, 152-FZ

Par to pakalpojumu sniedzējs ir atbildīgs operatora, nevis personas datu subjekta priekšā:

Ja operators personas datu apstrādi uztic citai personai, operators ir atbildīgs personas datu subjekta priekšā par norādītās personas darbībām. Persona, kas apstrādā personas datus operatora vārdā, ir atbildīga operatora priekšā.
Avots: 152-FZ.

Tāpat svarīgi rīkojumā noteikt pienākumu nodrošināt personas datu aizsardzību:

Personas datu drošību, tos apstrādājot informācijas sistēmā, nodrošina šīs sistēmas operators, kurš apstrādā personas datus (turpmāk – operators), vai persona, kas apstrādā personas datus operatora uzdevumā, pamatojoties uz līgums, kas noslēgts ar šo personu (turpmāk – pilnvarotā persona). Operatora un pilnvarotās personas līgumā jāparedz pilnvarotās personas pienākums nodrošināt personas datu drošību, tos apstrādājot informācijas sistēmā.
Avots: Krievijas Federācijas valdības 1. gada 2012. novembra dekrēts Nr. 1119

Realitāte: Ja sniedzat pakalpojumu sniedzējam personas datus, parakstiet pasūtījumu. Rīkojumā norādiet prasību nodrošināt subjektu personas datu aizsardzību. Pretējā gadījumā jūs neievērojat likumu par personas datu apstrādes darbu nodošanu trešajai pusei, un pakalpojumu sniedzējs jums nav parādā par atbilstību 152-FZ.

Mīts 4. Mossad mani izspiego, vai man noteikti ir UZ-1

Daži klienti neatlaidīgi pierāda, ka viņiem ir 1. vai 2. drošības līmeņa ISPD. Visbiežāk tas tā nav. Atcerēsimies aparatūru, lai noskaidrotu, kāpēc tas notiek.
LO jeb drošības līmenis nosaka, no kā aizsargāsiet savus personas datus.
Drošības līmeni ietekmē šādi punkti:

• personas datu veids (speciālais, biometriskais, publiski pieejams un citi);
• kam pieder personas dati - personas datu operatora darbinieki vai nedarbinieki;
• personas datu subjektu skaits – vairāk vai mazāk 100 tūkstoši.
• pašreizējo draudu veidi.

Stāsta par draudu veidiem Krievijas Federācijas valdības 1. gada 2012. novembra dekrēts Nr. 1119. Šeit ir katras apraksts ar manu bezmaksas tulkojumu cilvēku valodā.

1. tipa apdraudējumi informācijas sistēmai ir aktuāli, ja uz to attiecas arī apdraudējumi, kas saistīti ar nedokumentētu (nedeklarētu) spēju esamību informācijas sistēmā izmantotajā sistēmas programmatūrā.

Ja jūs atzīstat šāda veida draudus par būtisku, tad jūs esat stingri pārliecināts, ka CIP, MI6 vai MOSSAD aģenti operētājsistēmā ir ievietojuši grāmatzīmi, lai no jūsu ISPD nozagtu konkrētu subjektu personas datus.

2. tipa draudi informācijas sistēmai ir aktuāli, ja tai ir aktuāli arī apdraudējumi, kas saistīti ar nedokumentētu (nedeklarētu) iespēju esamību informācijas sistēmā izmantotajā lietojumprogrammatūrā.

Ja domā, ka tavs gadījums ir otra veida draudi, tad tu guli un redzi, kā tie paši CIP aģenti, MI6, MOSSAD, ļauns vientuļš hakeris vai grupējums ir ievietojuši grāmatzīmes kādā biroja programmatūras pakotnē, lai nomedītu tieši jūsu personas dati. Jā, ir apšaubāma lietojumprogrammatūra, piemēram, μTorrent, taču jūs varat izveidot instalēšanai atļautās programmatūras sarakstu un parakstīt līgumu ar lietotājiem, nepiešķirt lietotājiem vietējā administratora tiesības utt.

3. tipa apdraudējumi attiecas uz informācijas sistēmu, ja tai ir aktuāli apdraudējumi, kas nav saistīti ar nedokumentētu (nedeklarētu) spēju esamību sistēmā un informācijas sistēmā izmantotajā lietojumprogrammatūrā.

1. un 2. tipa draudi jums nav piemēroti, tāpēc šī ir vieta jums.

Mēs esam noskaidrojuši draudu veidus, tagad apskatīsim, kāds drošības līmenis būs mūsu ISPD.

Tabula, kuras pamatā ir norādītās atbilstības Krievijas Federācijas valdības 1. gada 2012. novembra dekrēts Nr. 1119.

Ja mēs izvēlējāmies trešo reālo draudu veidu, tad vairumā gadījumu mums būs UZ-3. Vienīgais izņēmums, kad 1. un 2. tipa draudi nav aktuāli, bet drošības līmenis joprojām būs augsts (UZ-2), ir uzņēmumi, kas apstrādā īpašus nedarbinieku personas datus vairāk nekā 100 000 apmērā. Piemēram, uzņēmumi, kas nodarbojas ar medicīnisko diagnostiku un medicīnisko pakalpojumu sniegšanu.

Ir arī UZ-4, un tas atrodams galvenokārt uzņēmumos, kuru bizness nav saistīts ar ne-darbinieku, t.i., klientu vai darbuzņēmēju, personas datu apstrādi vai arī personas datu bāzes ir nelielas.

Kāpēc ir tik svarīgi nepārspīlēt ar drošības līmeni? Tas ir vienkārši: no tā būs atkarīgs pasākumu un aizsardzības līdzekļu kopums, lai nodrošinātu tieši šo drošības līmeni. Jo augstāks zināšanu līmenis, jo vairāk būs jāpaveic organizatoriskā un tehniskā ziņā (lasi: jo vairāk naudas un nervu būs jātērē).

Lūk, piemēram, kā mainās drošības pasākumu kopums saskaņā ar to pašu PP-1119.

Tagad redzēsim, kā atkarībā no izvēlētā drošības līmeņa mainās nepieciešamo pasākumu saraksts atbilstoši Ar Krievijas FSTEC rīkojumu Nr. 21, datēts ar 18.02.2013. gada XNUMX. februāri.  Šim dokumentam ir garš pielikums, kurā noteikti nepieciešamie pasākumi. Kopā tie ir 109, katram KM noteikti obligātie pasākumi un atzīmēti ar “+” zīmi - tie ir precīzi aprēķināti zemāk esošajā tabulā. Ja atstājat tikai tos, kas nepieciešami UZ-3, jūs saņemsiet 4.

Realitāte: ja nevācat no klientiem testus vai biometrijas datus, neesat paranoisks par grāmatzīmēm sistēmu un lietojumprogrammatūrā, tad visticamāk jums ir UZ-3. Tam ir saprātīgs organizatorisko un tehnisko pasākumu saraksts, kurus faktiski var īstenot.

Mīts 5. Visiem personas datu aizsardzības līdzekļiem jābūt sertificētiem Krievijas FSTEC

Ja vēlaties vai jums ir jāveic sertifikācija, visticamāk, jums būs jāizmanto sertificēti aizsardzības līdzekļi. Sertificēšanu veiks Krievijas FSTEC licenciāts, kurš:

• interesē vairāk sertificētu informācijas aizsardzības ierīču pārdošanu;
• baidīsies no regulatora atņemt licenci, ja kaut kas noiet greizi.

Ja jums nav nepieciešama sertifikācija un esat gatavs apstiprināt atbilstību prasībām citā veidā, kas norādīts Krievijas FSTEC rīkojums Nr.21  “Novērtējot personas datu aizsardzības sistēmā īstenoto pasākumu efektivitāti personas datu drošības nodrošināšanai”, tad sertificētas informācijas drošības sistēmas Jums nav nepieciešamas. Mēģināšu īsi izskaidrot pamatojumu.

В 2 19-FZ panta 152. punkts nosaka, ka nepieciešams izmantot aizsardzības līdzekļus, kuriem noteiktā kārtībā ir veikta atbilstības novērtēšanas procedūra:

Tiek nodrošināta personas datu drošība, jo īpaši:
[…] 3) tādu informācijas drošības līdzekļu izmantošanu, kuri ir izturējuši atbilstības novērtēšanas procedūru noteiktajā kārtībā.

В PP-13 1119. punktu Tāpat ir noteikta prasība izmantot informācijas drošības rīkus, kas ir izturējuši tiesību aktu prasību ievērošanas novērtēšanas procedūru:

[…] informācijas drošības rīku izmantošana, kas ir izturējuši Krievijas Federācijas tiesību aktu prasībām informācijas drošības jomā atbilstības novērtēšanas procedūru gadījumos, kad šādu līdzekļu izmantošana ir nepieciešama, lai neitralizētu pašreizējos draudus.

FSTEC rīkojuma Nr.4 21.punkts praktiski dublē PP-1119 punktu:

Personas datu drošības nodrošināšanas pasākumi tiek īstenoti, cita starpā, informācijas sistēmā izmantojot informācijas drošības rīkus, kas noteiktā kārtībā ir izgājuši atbilstības novērtēšanas procedūru, gadījumos, kad šādu rīku izmantošana ir nepieciešama neitralizēt pašreizējos draudus personas datu drošībai.

Kas šiem formulējumiem ir kopīgs? Tieši tā – tajos nav jāizmanto sertificēti aizsardzības līdzekļi. Fakts ir tāds, ka pastāv vairāki atbilstības novērtēšanas veidi (brīvprātīga vai obligāta sertifikācija, atbilstības deklarācija). Sertifikācija ir tikai viena no tām. Operators var izmantot nesertificētus produktus, taču pēc pārbaudes viņam būs jāpierāda regulatoram, ka tiem ir veikta kāda veida atbilstības novērtēšanas procedūra.

Ja operators nolemj izmantot sertificētus aizsardzības līdzekļus, tad ir nepieciešams izvēlēties informācijas aizsardzības sistēmu atbilstoši ultraskaņas aizsardzībai, kas ir skaidri norādīta FSTEC rīkojums Nr.21:

Tehniskie pasākumi personas datu aizsardzībai tiek īstenoti, izmantojot informācijas drošības rīkus, tajā skaitā programmatūras (aparatūras) rīkus, kuros tie tiek īstenoti, kuriem ir nepieciešamās drošības funkcijas.
Izmantojot informācijas sistēmās atbilstoši informācijas drošības prasībām sertificētus informācijas drošības rīkus:

Krievijas FSTEC rīkojuma Nr. 12 21. punkts.

Realitāte: Likums neparedz obligātu sertificētu aizsardzības līdzekļu lietošanu.

Mīts 6. Man ir nepieciešama kriptogrāfijas aizsardzība

Šeit ir dažas nianses:

1. Daudzi cilvēki uzskata, ka kriptogrāfija ir obligāta jebkuram ISPD. Faktiski tos vajadzētu izmantot tikai tad, ja operators neredz citus aizsardzības pasākumus, izņemot kriptogrāfijas izmantošanu.
2. Ja nevarat iztikt bez kriptogrāfijas, jums ir jāizmanto FSB sertificēts CIPF.
3. Piemēram, jūs nolemjat mitināt ISPD pakalpojumu sniedzēja mākonī, taču neuzticaties tam. Jūs aprakstāt savas bažas draudu un ielaušanās modelī. Jums ir personas dati, tāpēc nolēmāt, ka kriptogrāfija ir vienīgais veids, kā sevi pasargāt: šifrēsit virtuālās mašīnas, veidosit drošus kanālus, izmantojot kriptogrāfisko aizsardzību. Šajā gadījumā jums būs jāizmanto Krievijas FSB sertificēts CIPF.
4. Sertificētie CIPF tiek izvēlēti atbilstoši noteiktam drošības līmenim saskaņā ar rīkojums Nr.378 FSB.

ISPDn ar UZ-3 varat izmantot KS1, KS2, KS3. KS1 ir, piemēram, C-Terra Virtual Gateway 4.2 kanālu aizsardzībai.

KC2, KS3 pārstāv tikai programmatūras un aparatūras sistēmas, piemēram: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway utt.

Ja jums ir UZ-2 vai 1, tad jums būs nepieciešami KV1, 2 un KA klases kriptogrāfiskās aizsardzības līdzekļi. Tās ir specifiskas programmatūras un aparatūras sistēmas, tās ir grūti darbināmas, un to veiktspējas raksturlielumi ir pieticīgi.

Realitāte: Likums neuzliek par pienākumu izmantot FSB sertificētu CIPF.

Avots: www.habr.com