Dag Allemaal! Ik beheer het DataLine CyberDefense Center. Klanten komen bij ons met de taak om in de cloud of op fysieke infrastructuur aan de eisen van 152-FZ te voldoen.
In bijna elk project is het noodzakelijk om educatief werk uit te voeren om de mythes rond deze wet te ontkrachten. Ik heb de meest voorkomende misvattingen verzameld die kostbaar kunnen zijn voor het budget en het zenuwstelsel van de exploitant van persoonlijke gegevens. Ik maak meteen een voorbehoud dat gevallen van staatsbureaus (GIS) die zich bezighouden met staatsgeheimen, KII, etc. buiten de reikwijdte van dit artikel zullen blijven.
Mythe 1. Ik heb een antivirusprogramma en een firewall geïnstalleerd en de racks omgeven met een hek. Volg ik de wet?
152-FZ gaat niet over de bescherming van systemen en servers, maar over de bescherming van persoonsgegevens van betrokkenen. Daarom begint de naleving van 152-FZ niet met een antivirusprogramma, maar met een groot aantal stukjes papier en organisatorische problemen.
De hoofdinspecteur Roskomnadzor zal niet kijken naar de aanwezigheid en staat van technische beschermingsmiddelen, maar naar de wettelijke basis voor de verwerking van persoonsgegevens (PD):
- met welk doel verzamelt u persoonsgegevens;
- of u er meer van verzamelt dan u nodig heeft voor uw doeleinden;
- hoe lang bewaart u persoonsgegevens;
- is er een beleid voor de verwerking van persoonsgegevens;
- Verzamelt u toestemming voor de verwerking van persoonsgegevens, grensoverschrijdende overdracht, verwerking door derden, enz.
De antwoorden op deze vragen, evenals de processen zelf, moeten worden vastgelegd in geschikte documenten. Hier is een verre van volledige lijst van wat een beheerder van persoonlijke gegevens moet voorbereiden:
- Een standaard toestemmingsformulier voor de verwerking van persoonsgegevens (dit zijn de bladen die we nu vrijwel overal ondertekenen waarop we onze volledige naam en paspoortgegevens achterlaten).
- Beleid van de exploitant met betrekking tot de verwerking van persoonsgegevens ( er zijn aanbevelingen voor ontwerp).
- Beschikking tot benoeming van een persoon die verantwoordelijk is voor het organiseren van de verwerking van persoonsgegevens.
- Functieomschrijving van de persoon die verantwoordelijk is voor het organiseren van de verwerking van persoonsgegevens.
- Regels voor interne controle en (of) audit of de PD-verwerking voldoet aan wettelijke vereisten.
- Lijst met informatiesystemen voor persoonlijke gegevens (ISPD).
- Regeling voor het verlenen van toegang aan de betrokkene tot zijn persoonsgegevens.
- Regeling incidentonderzoek.
- Beschikking over de toelating van werknemers tot de verwerking van persoonsgegevens.
- Regelgeving voor interactie met toezichthouders.
- Melding RKN etc.
- Instructieformulier voor PD-verwerking.
- ISPD-dreigingsmodel.
Nadat u deze problemen heeft opgelost, kunt u beginnen met het selecteren van specifieke maatregelen en technische middelen. Welke u nodig heeft, hangt af van de systemen, hun bedrijfsomstandigheden en de huidige bedreigingen. Maar daarover later meer.
Realiteit: naleving van de wet is in de eerste plaats het opzetten en naleven van bepaalde processen, en pas ten tweede - het gebruik van speciale technische middelen.
Mythe 2. Ik bewaar persoonlijke gegevens in de cloud, een datacenter dat voldoet aan de eisen van 152-FZ. Nu zijn zij verantwoordelijk voor de handhaving van de wet
Wanneer u de opslag van persoonsgegevens uitbesteedt aan een cloudprovider of datacenter, houdt u niet op een exploitant van persoonsgegevens te zijn.
Laten we voor hulp een beroep doen op de definitie uit de wet:
Verwerking van persoonlijke gegevens – elke actie (bewerking) of reeks acties (bewerkingen) uitgevoerd met behulp van automatiseringstools of zonder het gebruik van dergelijke middelen met persoonlijke gegevens, inclusief verzameling, registratie, systematisering, accumulatie, opslag, verduidelijking (bijwerken, wijzigen), extractie, gebruik, overdracht (distributie, verstrekking, toegang), depersonalisatie, blokkering, verwijdering, vernietiging van persoonsgegevens.
Bron: artikel 3,
Van al deze handelingen is de dienstverlener verantwoordelijk voor het opslaan en vernietigen van persoonsgegevens (wanneer de opdrachtgever de overeenkomst met hem beëindigt). Al het overige wordt geleverd door de beheerder van de persoonlijke gegevens. Dit betekent dat de exploitant, en niet de dienstverlener, het beleid voor de verwerking van persoonsgegevens bepaalt, ondertekende toestemmingen voor de verwerking van persoonsgegevens verkrijgt van haar klanten, gevallen van lekkage van persoonsgegevens naar derden voorkomt en onderzoekt, enzovoort.
Bijgevolg moet de beheerder van de persoonsgegevens nog steeds de hierboven genoemde documenten verzamelen en organisatorische en technische maatregelen implementeren om zijn PDIS te beschermen.
Doorgaans helpt de aanbieder de exploitant door ervoor te zorgen dat aan de wettelijke eisen wordt voldaan op het infrastructuurniveau waar de ISPD van de exploitant zich zal bevinden: racks met apparatuur of de cloud. Ook haalt hij een pakket documenten op, treft organisatorische en technische maatregelen voor zijn stukje infrastructuur conform 152-FZ.
Sommige aanbieders helpen met het papierwerk en het voorzien in technische beveiligingsmaatregelen voor de ISDN’s zelf, dat wil zeggen op een niveau boven de infrastructuur. De exploitant kan deze taken ook uitbesteden, maar de verantwoordelijkheid en verplichtingen op grond van de wet verdwijnen niet.
Realiteit: Door gebruik te maken van de diensten van een provider of datacenter kunt u de verantwoordelijkheden van een beheerder van persoonlijke gegevens niet aan hem overdragen en de verantwoordelijkheid wegnemen. Als de aanbieder u dit belooft, liegt hij, op zijn zachtst gezegd,.
Mythe 3. Ik heb het benodigde pakket aan documenten en maatregelen. Ik bewaar persoonsgegevens bij een aanbieder die naleving van 152-FZ belooft. Is alles in orde?
Ja, als u eraan denkt de bestelling te ondertekenen. Volgens de wet kan de exploitant de verwerking van persoonsgegevens aan een andere persoon toevertrouwen, bijvoorbeeld aan dezelfde dienstverlener. Een bestelling is een soort overeenkomst waarin staat wat de dienstverlener met de persoonsgegevens van de exploitant mag doen.
De exploitant heeft het recht om de verwerking van persoonsgegevens aan een andere persoon toe te vertrouwen met toestemming van de persoon die de persoonsgegevens betreft, tenzij anders bepaald door de federale wet, op basis van een met deze persoon gesloten overeenkomst, inclusief een staats- of gemeentelijk contract, of door vaststelling van een relevante handeling door een staats- of gemeentelijk orgaan (hierna de opdrachtverstrekker genoemd). De persoon die namens de exploitant persoonsgegevens verwerkt, is verplicht om te voldoen aan de principes en regels voor de verwerking van persoonsgegevens waarin deze federale wet voorziet.
Bron:
De verplichting van de aanbieder om de vertrouwelijkheid van persoonlijke gegevens te bewaren en de veiligheid ervan te garanderen in overeenstemming met de gespecificeerde vereisten, wordt ook vastgelegd:
De instructies van de exploitant moeten een lijst definiëren van acties (bewerkingen) met persoonlijke gegevens die zullen worden uitgevoerd door de persoon die persoonlijke gegevens verwerkt, en de doeleinden van de verwerking. De verplichting van een dergelijke persoon moet worden vastgesteld om de vertrouwelijkheid van persoonlijke gegevens te handhaven en de de beveiliging van persoonsgegevens tijdens de verwerking ervan, evenals eisen voor de bescherming van verwerkte persoonsgegevens, moeten worden gespecificeerd in overeenstemming met van deze federale wet.
Bron:
Hiervoor is de aanbieder verantwoordelijk tegenover de exploitant, en niet tegenover het onderwerp van persoonlijke gegevens:
Als de exploitant de verwerking van persoonsgegevens aan een andere persoon toevertrouwt, is de exploitant jegens de persoon die de persoonsgegevens betreft verantwoordelijk voor de handelingen van de genoemde persoon. De persoon die namens de exploitant persoonsgegevens verwerkt, is jegens de exploitant verantwoordelijk.
Bron: .
Het is ook belangrijk om in het besluit de verplichting op te nemen om de bescherming van persoonsgegevens te waarborgen:
De veiligheid van persoonsgegevens bij verwerking in een informatiesysteem wordt gewaarborgd door de exploitant van dit systeem, die persoonsgegevens verwerkt (hierna te noemen de exploitant), of door degene die namens de exploitant persoonsgegevens verwerkt op basis van een met deze persoon (hierna: de bevoegde persoon) gesloten overeenkomst. De overeenkomst tussen de exploitant en de bevoegde persoon moet voorzien in de verplichting van de bevoegde persoon om de veiligheid van persoonsgegevens te waarborgen wanneer deze in het informatiesysteem worden verwerkt.
Bron:
Realiteit: Als u persoonlijke gegevens aan de aanbieder verstrekt, onderteken dan de bestelling. Geef in de bestelling de vereiste aan om de bescherming van de persoonsgegevens van de betrokkenen te waarborgen. Anders houdt u zich niet aan de wet met betrekking tot de overdracht van persoonsgegevensverwerkingswerkzaamheden aan een derde partij en is de aanbieder u niets verschuldigd met betrekking tot de naleving van 152-FZ.
Mythe 4. De Mossad bespioneert mij, of ik heb zeker een UZ-1
Sommige klanten bewijzen hardnekkig dat ze een ISPD hebben met beveiligingsniveau 1 of 2. Meestal is dit niet het geval. Laten we de hardware onthouden om erachter te komen waarom dit gebeurt.
Het LO, of beveiligingsniveau, bepaalt waartegen u uw persoonlijke gegevens beschermt.
Het beveiligingsniveau wordt beïnvloed door de volgende punten:
- type persoonlijke gegevens (speciaal, biometrisch, openbaar beschikbaar en andere);
- wie eigenaar is van de persoonsgegevens: werknemers of niet-werknemers van de beheerder van persoonsgegevens;
- aantal betrokkenen op persoonsgegevens – ongeveer 100 duizend.
- soorten huidige dreigingen.
Vertelt ons over soorten bedreigingen . Hier is een beschrijving van elk met mijn gratis vertaling in menselijke taal.
Bedreigingen van het eerste type zijn relevant voor een informatiesysteem als bedreigingen die verband houden met de aanwezigheid van ongedocumenteerde (niet-aangegeven) mogelijkheden in de systeemsoftware die in het informatiesysteem wordt gebruikt, ook daarvoor relevant zijn.
Als u dit soort dreiging als relevant herkent, dan bent u ervan overtuigd dat agenten van de CIA, MI6 of MOSSAD een bladwijzer in het besturingssysteem hebben geplaatst om persoonlijke gegevens van specifieke onderwerpen van uw ISPD te stelen.
Bedreigingen van het tweede type zijn relevant voor een informatiesysteem als bedreigingen die verband houden met de aanwezigheid van ongedocumenteerde (niet-aangegeven) mogelijkheden in de applicatiesoftware die in het informatiesysteem wordt gebruikt, ook daarvoor relevant zijn.
Als u denkt dat bedreigingen van het tweede type uw geval zijn, dan slaapt u en ziet u hoe dezelfde agenten van de CIA, MI6, MOSSAD, een kwaadaardige eenzame hacker of groep, bladwijzers in een of ander kantoorsoftwarepakket hebben geplaatst om precies te zoeken naar uw persoonlijke gegevens. Ja, er bestaat dubieuze toepassingssoftware zoals μTorrent, maar u kunt een lijst maken met toegestane software voor installatie en een overeenkomst met gebruikers ondertekenen, gebruikers geen lokale beheerdersrechten geven, enz.
Type 3-dreigingen zijn relevant voor een informatiesysteem als bedreigingen die geen verband houden met de aanwezigheid van ongedocumenteerde (niet-aangegeven) capaciteiten in het systeem en de applicatiesoftware die in het informatiesysteem wordt gebruikt, daarvoor relevant zijn.
Bedreigingen van type 1 en 2 zijn niet geschikt voor jou, dus hier ben je aan het juiste adres.
We hebben de soorten bedreigingen uitgezocht. Laten we nu eens kijken welk beveiligingsniveau onze ISPD zal hebben.
Tabel gebaseerd op de overeenkomsten gespecificeerd in .
Als we het derde type daadwerkelijke dreiging kiezen, zullen we in de meeste gevallen UZ-3 hebben. De enige uitzondering, wanneer dreigingen van type 1 en 2 niet relevant zijn, maar het beveiligingsniveau nog steeds hoog zal zijn (UZ-2), zijn bedrijven die voor ruim 100 bijzondere persoonsgegevens van niet-werknemers verwerken. bijvoorbeeld bedrijven die zich bezighouden met medische diagnostiek en het verlenen van medische diensten.
Er is ook UZ-4, en deze wordt vooral aangetroffen in bedrijven waarvan de activiteiten geen verband houden met de verwerking van persoonsgegevens van niet-werknemers, dat wil zeggen klanten of opdrachtnemers, of waarvan de persoonsgegevensbestanden klein zijn.
Waarom is het zo belangrijk om het niet te overdrijven met het beveiligingsniveau? Het is simpel: de reeks maatregelen en beschermingsmiddelen om dit veiligheidsniveau te garanderen zal hiervan afhangen. Hoe hoger het kennisniveau, hoe meer er organisatorisch en technisch moet gebeuren (lees: hoe meer geld en zenuwen er zullen moeten worden besteed).
Hier ziet u bijvoorbeeld hoe de reeks beveiligingsmaatregelen verandert in overeenstemming met dezelfde PP-1119.
Laten we nu eens kijken hoe, afhankelijk van het geselecteerde beveiligingsniveau, de lijst met noodzakelijke maatregelen verandert in overeenstemming met Er zit een lange bijlage bij dit document, waarin de noodzakelijke maatregelen worden omschreven. Er zijn er in totaal 109, voor elke KM worden verplichte maatregelen gedefinieerd en gemarkeerd met een “+” -teken - ze worden nauwkeurig berekend in de onderstaande tabel. Als je alleen de onderdelen overhoudt die nodig zijn voor UZ-3, krijg je er 4.
Realiteit: als u geen tests of biometrische gegevens van klanten verzamelt, u niet paranoïde bent over bladwijzers in systeem- en applicatiesoftware, dan heeft u hoogstwaarschijnlijk UZ-3. Het is voorzien van een redelijke lijst met organisatorische en technische maatregelen die daadwerkelijk kunnen worden geïmplementeerd.
Mythe 5. Alle middelen om persoonlijke gegevens te beschermen moeten worden gecertificeerd door de FSTEC van Rusland
Als u certificering wilt of moet uitvoeren, zult u hoogstwaarschijnlijk gecertificeerde beschermingsmiddelen moeten gebruiken. De certificering zal worden uitgevoerd door een licentiehouder van de FSTEC van Rusland, die:
- geïnteresseerd in de verkoop van meer gecertificeerde informatiebeschermingsapparatuur;
- bang zijn dat de vergunning door de toezichthouder wordt ingetrokken als er iets misgaat.
Als u geen certificering nodig heeft en u bent bereid om de naleving van de eisen op een andere manier te bevestigen, vermeld in “Het beoordelen van de effectiviteit van maatregelen die zijn geïmplementeerd binnen het systeem voor de bescherming van persoonsgegevens om de veiligheid van persoonsgegevens te waarborgen”, dan zijn gecertificeerde informatiebeveiligingssystemen voor u niet vereist. Ik zal proberen de redenering kort uit te leggen.
В stelt dat het noodzakelijk is om beschermingsmiddelen te gebruiken die de conformiteitsbeoordelingsprocedure hebben ondergaan in overeenstemming met de vastgestelde procedure:
Het waarborgen van de veiligheid van persoonsgegevens wordt bereikt, met name:
[…] 3) het gebruik van informatiebeveiligingsmiddelen die de conformiteitsbeoordelingsprocedure hebben doorstaan in overeenstemming met de vastgestelde procedure.
В Er is ook een vereiste om informatiebeveiligingsinstrumenten te gebruiken die de procedure voor het beoordelen van de naleving van wettelijke vereisten hebben doorstaan:
[…] het gebruik van informatiebeveiligingsinstrumenten die de procedure hebben doorlopen voor het beoordelen van de naleving van de vereisten van de wetgeving van de Russische Federatie op het gebied van informatiebeveiliging, in gevallen waarin het gebruik van dergelijke middelen noodzakelijk is om de huidige bedreigingen te neutraliseren.
is vrijwel een kopie van paragraaf PP-1119:
Maatregelen om de veiligheid van persoonsgegevens te garanderen worden onder meer geïmplementeerd door het gebruik van informatiebeveiligingsinstrumenten in het informatiesysteem die de conformiteitsbeoordelingsprocedure hebben doorstaan in overeenstemming met de vastgestelde procedure, in gevallen waarin het gebruik van dergelijke instrumenten noodzakelijk is om neutraliseren van de huidige bedreigingen voor de veiligheid van persoonsgegevens.
Wat hebben deze formuleringen gemeen? Dat klopt: ze vereisen niet het gebruik van gecertificeerde beschermingsmiddelen. Feit is dat er verschillende vormen van conformiteitsbeoordeling bestaan (vrijwillige of verplichte certificering, conformiteitsverklaring). Certificering is er slechts één van. De exploitant mag niet-gecertificeerde producten gebruiken, maar zal bij inspectie aan de toezichthouder moeten aantonen dat deze een vorm van conformiteitsbeoordelingsprocedure hebben ondergaan.
Als de exploitant besluit gecertificeerde beschermingsmiddelen te gebruiken, is het noodzakelijk om het informatiebeveiligingssysteem te selecteren in overeenstemming met de ultrasone bescherming, die duidelijk wordt aangegeven in :
Technische maatregelen om persoonsgegevens te beschermen worden geïmplementeerd door het gebruik van informatiebeveiligingstools, inclusief software (hardware) tools waarin ze zijn geïmplementeerd, die over de noodzakelijke beveiligingsfuncties beschikken.
Bij het gebruik van informatiebeveiligingsinstrumenten die zijn gecertificeerd volgens de informatiebeveiligingseisen in informatiesystemen:
Realiteit: De wet vereist niet het verplichte gebruik van gecertificeerde beschermingsmiddelen.
Mythe 6. Ik heb cryptobescherming nodig
Er zijn hier een paar nuances:
- Veel mensen zijn van mening dat cryptografie verplicht is voor elke ISPD. In feite mogen ze alleen worden gebruikt als de exploitant geen andere beschermingsmaatregelen voor zichzelf ziet dan het gebruik van cryptografie.
- Als u niet zonder cryptografie kunt, moet u CIPF gebruiken die is gecertificeerd door de FSB.
- U besluit bijvoorbeeld een ISPD te hosten in de cloud van een dienstverlener, maar u vertrouwt deze niet. U beschrijft uw zorgen in een dreigings- en indringermodel. Je hebt persoonlijke gegevens, dus je hebt besloten dat cryptografie de enige manier is om jezelf te beschermen: je codeert virtuele machines, bouwt veilige kanalen met behulp van cryptografische bescherming. In dit geval moet u CIPF gebruiken die is gecertificeerd door de FSB van Rusland.
- Gecertificeerde CIPF worden geselecteerd op basis van een bepaald beveiligingsniveau .
Voor ISPDn met UZ-3 kunt u KS1, KS2, KS3 gebruiken. KS1 is bijvoorbeeld C-Terra Virtual Gateway 4.2 voor het beveiligen van kanalen.
KC2, KS3 worden alleen vertegenwoordigd door software- en hardwaresystemen, zoals: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway, enz.
Als u UZ-2 of 1 heeft, heeft u cryptografische beschermingsmiddelen van klasse KV1, 2 en KA nodig. Dit zijn specifieke software- en hardwaresystemen, ze zijn moeilijk te bedienen en hun prestatiekenmerken zijn bescheiden.
Realiteit: De wet verplicht het gebruik van door de FSB gecertificeerde CIPF niet.
Bron: www.habr.com