Hei alle sammen! Jeg driver DataLine Cyber Defense Center. Kunder kommer til oss med oppgaven å oppfylle kravene til 152-FZ i skyen eller på fysisk infrastruktur.
I nesten alle prosjekter er det nødvendig å utføre pedagogisk arbeid for å avlive mytene rundt denne loven. Jeg har samlet de vanligste misoppfatningene som kan være kostbare for budsjettet og nervesystemet til personopplysningsoperatøren. Jeg tar umiddelbart forbehold om at saker om statskontorer (GIS) som omhandler statshemmeligheter, KII osv. vil forbli utenfor rammen av denne artikkelen.
Myte 1. Jeg installerte et antivirus, en brannmur og omringet stativene med et gjerde. Følger jeg loven?
152-FZ handler ikke om beskyttelse av systemer og servere, men om beskyttelse av personopplysninger til subjekter. Derfor begynner overholdelse av 152-FZ ikke med et antivirus, men med et stort antall stykker papir og organisatoriske problemer.
Hovedinspektøren, Roskomnadzor, vil ikke se på tilstedeværelsen og tilstanden til tekniske beskyttelsesmidler, men på det juridiske grunnlaget for behandling av personopplysninger (PD):
- for hvilket formål samler du inn personopplysninger;
- om du samler inn flere av dem enn du trenger for dine formål;
- hvor lenge lagrer du personopplysninger;
- er det en policy for behandling av personopplysninger;
- Innhenter du samtykke til behandling av personopplysninger, grenseoverskridende overføring, behandling av tredjeparter osv.
Svarene på disse spørsmålene, så vel som selve prosessene, bør registreres i passende dokumenter. Her er en langt fra fullstendig liste over hva en personopplysningsoperatør trenger å forberede:
- Et standard samtykkeskjema for behandling av personopplysninger (dette er arkene som vi nå signerer nesten overalt der vi legger igjen vårt fulle navn og passdetaljer).
- Operatørens retningslinjer for behandling av personopplysninger ( det er anbefalinger for design).
- Pålegg om utnevnelse av en person som er ansvarlig for å organisere behandlingen av personopplysninger.
- Stillingsbeskrivelse av den ansvarlige for organisering av behandlingen av personopplysninger.
- Regler for internkontroll og (eller) revisjon av overholdelse av PD-behandling med lovkrav.
- Liste over informasjonssystemer for personopplysninger (ISPD).
- Regler for å gi forsøkspersonen tilgang til hans personopplysninger.
- Hendelsesgranskningsforskrifter.
- Pålegg om opptak av ansatte til behandling av personopplysninger.
- Regelverk for samhandling med regulatorer.
- Melding til RKN mv.
- Instruksjonsskjema for PD-behandling.
- ISPD trusselmodell.
Etter å ha løst disse problemene, kan du begynne å velge spesifikke tiltak og tekniske midler. Hvilke du trenger avhenger av systemene, deres driftsforhold og aktuelle trusler. Men mer om det senere.
Virkelighet: overholdelse av loven er etablering og overholdelse av visse prosesser, først og fremst, og bare for det andre - bruk av spesielle tekniske midler.
Myte 2. Jeg lagrer personlige data i skyen, et datasenter som oppfyller kravene til 152-FZ. Nå har de ansvaret for å håndheve loven
Når du outsourcer lagring av personopplysninger til en skyleverandør eller datasenter, slutter du ikke å være personopplysningsoperatør.
La oss påkalle definisjonen fra loven om hjelp:
Behandling av personopplysninger - enhver handling (operasjon) eller sett med handlinger (operasjoner) utført ved bruk av automatiseringsverktøy eller uten bruk av slike midler med personopplysninger, inkludert innsamling, registrering, systematisering, akkumulering, lagring, avklaring (oppdatering, endring), utvinning, bruk, overføring (distribusjon, levering, tilgang), depersonalisering, blokkering, sletting, ødeleggelse av personopplysninger.
Kilde: artikkel 3,
Av alle disse handlingene er tjenesteleverandøren ansvarlig for å lagre og ødelegge personopplysninger (når klienten sier opp kontrakten med ham). Alt annet er levert av personopplysningsoperatøren. Dette betyr at operatøren, og ikke tjenesteleverandøren, fastsetter retningslinjer for behandling av personopplysninger, innhenter signerte samtykker for behandling av personopplysninger fra sine klienter, forhindrer og etterforsker tilfeller av lekkasje av personopplysninger til tredjeparter, og så videre.
Følgelig må personopplysningsoperatøren fortsatt samle inn dokumentene som er oppført ovenfor og iverksette organisatoriske og tekniske tiltak for å beskytte sin PDIS.
Vanligvis hjelper leverandøren operatøren ved å sikre overholdelse av lovkrav på infrastrukturnivået der operatørens ISPD vil være plassert: stativer med utstyr eller skyen. Han samler også en pakke med dokumenter, tar organisatoriske og tekniske tiltak for sitt stykke infrastruktur i samsvar med 152-FZ.
Noen tilbydere hjelper til med papirarbeid og levering av tekniske sikkerhetstiltak for ISDN-ene selv, det vil si på et nivå over infrastrukturen. Operatøren kan også sette ut disse oppgavene, men ansvaret og forpliktelsene etter loven forsvinner ikke.
Virkelighet: Ved å bruke tjenestene til en leverandør eller datasenter kan du ikke overføre ansvaret til en personopplysningsoperatør til ham og bli kvitt ansvaret. Hvis leverandøren lover deg dette, så lyver han mildt sagt.
Myte 3. Jeg har den nødvendige pakken med dokumenter og tiltak. Jeg lagrer personopplysninger hos en leverandør som lover overholdelse av 152-FZ. Er alt i orden?
Ja, hvis du husker å signere bestillingen. Ved lov kan operatøren overlate behandlingen av personopplysninger til en annen person, for eksempel samme tjenesteleverandør. En ordre er en slags avtale som viser hva tjenesteleverandøren kan gjøre med operatørens personopplysninger.
Operatøren har rett til å overlate behandlingen av personopplysninger til en annen person med samtykke fra gjenstanden for personopplysninger, med mindre annet er bestemt av føderal lov, på grunnlag av en avtale inngått med denne personen, inkludert en statlig eller kommunal kontrakt, eller ved vedtak av en relevant handling av et statlig eller kommunalt organ (heretter kalt oppdragsoperatør). Personen som behandler personopplysninger på vegne av operatøren er forpliktet til å overholde prinsippene og reglene for behandling av personopplysninger fastsatt i denne føderale loven.
Kilde:
Leverandørens plikt til å opprettholde konfidensialiteten til personopplysninger og sikre sikkerheten i samsvar med de spesifiserte kravene er også etablert:
Operatørens instrukser må definere en liste over handlinger (operasjoner) med personopplysninger som skal utføres av personen som behandler personopplysninger og formålene med behandlingen, plikten til en slik person må etableres for å opprettholde konfidensialiteten til personopplysninger og sikre sikkerhet for personopplysninger under behandlingen av dem, samt krav til beskyttelse av behandlede personopplysninger skal spesifiseres iht av denne føderale loven.
Kilde:
For dette er leverandøren ansvarlig overfor operatøren, og ikke overfor gjenstanden for personopplysninger:
Hvis operatøren overlater behandlingen av personopplysninger til en annen person, er operatøren ansvarlig overfor gjenstanden for personopplysninger for handlingene til den angitte personen. Den som behandler personopplysninger på vegne av operatøren er ansvarlig overfor operatøren.
Kilde: .
Det er også viktig å fastsette i bestillingen plikten til å sikre beskyttelse av personopplysninger:
Sikkerheten til personopplysninger når de behandles i et informasjonssystem er sikret av operatøren av dette systemet, som behandler personopplysninger (heretter kalt operatøren), eller av den som behandler personopplysninger på vegne av operatøren på grunnlag av en avtale inngått med denne personen (heretter referert til som den autoriserte personen). Avtalen mellom operatøren og den autoriserte skal gi rom for den autorisertes plikt til å ivareta sikkerheten til personopplysninger ved behandling i informasjonssystemet.
Kilde:
Virkelighet: Hvis du gir personopplysninger til leverandøren, signerer du bestillingen. I bestillingen, angi kravet om å sikre beskyttelsen av forsøkspersonens personopplysninger. Ellers overholder du ikke loven om overføring av personopplysningsarbeid til tredjepart, og leverandøren skylder deg ikke noe angående overholdelse av 152-FZ.
Myte 4. Mossad spionerer på meg, eller jeg har definitivt en UZ-1
Noen kunder beviser vedvarende at de har en ISPD på sikkerhetsnivå 1 eller 2. Som oftest er dette ikke tilfelle. La oss huske maskinvaren for å finne ut hvorfor dette skjer.
LO, eller sikkerhetsnivået, avgjør hva du skal beskytte personopplysningene dine mot.
Sikkerhetsnivået påvirkes av følgende punkter:
- type personopplysninger (spesielle, biometriske, offentlig tilgjengelige og andre);
- hvem som eier personopplysningene – ansatte eller ikke-ansatte hos personopplysningsoperatøren;
- antall personopplysninger – mer eller mindre 100 tusen.
- typer aktuelle trusler.
Forteller oss om typer trusler . Her er en beskrivelse av hver med min gratis oversettelse til menneskelig språk.
Type 1-trusler er relevante for et informasjonssystem dersom trusler knyttet til tilstedeværelsen av udokumenterte (udeklarerte) evner i systemprogramvaren som brukes i informasjonssystemet, også er relevante for det.
Hvis du anerkjenner denne typen trusler som relevant, så har du stor tro på at agenter fra CIA, MI6 eller MOSSAD har plassert et bokmerke i operativsystemet for å stjele personopplysninger om bestemte personer fra din ISPD.
Trusler av 2. type er relevante for et informasjonssystem dersom trusler knyttet til tilstedeværelsen av udokumenterte (ikke-erklærte) evner i applikasjonsprogramvaren som brukes i informasjonssystemet også er relevante for det.
Hvis du tror at trusler av den andre typen er ditt tilfelle, så sover du og ser hvordan de samme agentene fra CIA, MI6, MOSSAD, en ond ensom hacker eller gruppe har plassert bokmerker i en kontorprogramvarepakke for å lete nøyaktig etter dine personlige data. Ja, det er tvilsom applikasjonsprogramvare som μTorrent, men du kan lage en liste over tillatt programvare for installasjon og signere en avtale med brukere, ikke gi brukere lokale administratorrettigheter osv.
Type 3-trusler er relevante for et informasjonssystem dersom trusler som ikke er relatert til tilstedeværelsen av udokumenterte (udeklarerte) evner i systemet og applikasjonsprogramvare som brukes i informasjonssystemet, er relevante for det.
Trusler av type 1 og 2 passer ikke for deg, så dette er stedet for deg.
Vi har sortert ut typene trusler, la oss nå se på hvilket sikkerhetsnivå vår ISPD vil ha.
Tabell basert på samsvarene spesifisert i .
Hvis vi valgte den tredje typen faktiske trusler, vil vi i de fleste tilfeller ha UZ-3. Det eneste unntaket, når trusler av type 1 og 2 ikke er relevante, men sikkerhetsnivået fortsatt vil være høyt (UZ-2), er selskaper som behandler spesielle personopplysninger om ikke-ansatte i et beløp på mer enn 100 000. For for eksempel selskaper som driver med medisinsk diagnostikk og levering av medisinske tjenester.
Det er også UZ-4, og det finnes hovedsakelig i selskaper hvis virksomhet ikke er relatert til behandling av personopplysninger til ikke-ansatte, det vil si kunder eller entreprenører, eller persondatabasene er små.
Hvorfor er det så viktig å ikke overdrive med sikkerhetsnivået? Det er enkelt: settet med tiltak og beskyttelsesmidler for å sikre nettopp dette sikkerhetsnivået vil avhenge av dette. Jo høyere kunnskapsnivå, desto mer må gjøres organisatorisk og teknisk (les: jo mer penger og nerver må brukes).
Her er for eksempel hvordan settet med sikkerhetstiltak endres i henhold til samme PP-1119.
La oss nå se hvordan, avhengig av valgt sikkerhetsnivå, endres listen over nødvendige tiltak i henhold til Det er et langt vedlegg til dette dokumentet, som definerer nødvendige tiltak. Det er 109 av dem totalt, for hver KM er obligatoriske tiltak definert og merket med et "+"-tegn - de er nøyaktig beregnet i tabellen nedenfor. Hvis du bare legger igjen de som trengs for UZ-3, får du 4.
Virkelighet: hvis du ikke samler tester eller biometri fra klienter, er du ikke paranoid om bokmerker i system- og applikasjonsprogramvare, så har du mest sannsynlig UZ-3. Den har en rimelig liste over organisatoriske og tekniske tiltak som faktisk kan gjennomføres.
Myte 5. Alle midler for å beskytte personopplysninger må være sertifisert av FSTEC i Russland
Hvis du ønsker eller er pålagt å utføre sertifisering, må du mest sannsynlig bruke sertifisert verneutstyr. Sertifiseringen vil bli utført av en lisenshaver av FSTEC i Russland, som:
- interessert i å selge mer sertifisert informasjonsbeskyttelsesutstyr;
- vil være redd for at lisensen blir tilbakekalt av regulatoren dersom noe går galt.
Hvis du ikke trenger sertifisering og du er klar til å bekrefte samsvar med kravene på en annen måte, navngitt i "Vurdere effektiviteten av tiltak implementert i persondatabeskyttelsessystemet for å sikre sikkerheten til personopplysninger," så er det ikke nødvendig med sertifiserte informasjonssikkerhetssystemer for deg. Jeg skal prøve å kort forklare begrunnelsen.
В sier at det er nødvendig å bruke verneutstyr som har gjennomgått samsvarsvurderingsprosedyren i henhold til fastsatt prosedyre:
Sikre at sikkerheten til personopplysninger oppnås, spesielt:
[…] 3) bruk av informasjonssikkerhetsmidler som har bestått samsvarsvurderingsprosedyren i samsvar med den etablerte prosedyren.
В Det er også et krav om å bruke informasjonssikkerhetsverktøy som har bestått prosedyren for å vurdere samsvar med lovkrav:
[…] bruk av informasjonssikkerhetsverktøy som har bestått prosedyren for å vurdere samsvar med kravene i lovgivningen i Den russiske føderasjonen innen informasjonssikkerhet, i tilfeller der bruken av slike midler er nødvendig for å nøytralisere nåværende trusler.
dupliserer praktisk talt avsnitt PP-1119:
Tiltak for å sikre sikkerheten til personopplysninger iverksettes blant annet ved bruk av informasjonssikkerhetsverktøy i informasjonssystemet som har bestått samsvarsvurderingsprosedyren i henhold til fastsatt prosedyre, i tilfeller hvor bruk av slike verktøy er nødvendig for å nøytralisere aktuelle trusler mot sikkerheten til personopplysninger.
Hva har disse formuleringene til felles? Det stemmer – de krever ikke bruk av sertifisert verneutstyr. Faktum er at det finnes flere former for samsvarsvurdering (frivillig eller obligatorisk sertifisering, samsvarserklæring). Sertifisering er bare en av dem. Operatøren kan bruke ikke-sertifiserte produkter, men må demonstrere overfor regulatoren ved inspeksjon at de har gjennomgått en form for samsvarsvurderingsprosedyre.
Hvis operatøren bestemmer seg for å bruke sertifisert verneutstyr, er det nødvendig å velge informasjonsbeskyttelsessystemet i samsvar med ultralydbeskyttelsen, som er tydelig angitt i :
Tekniske tiltak for å beskytte personopplysninger iverksettes gjennom bruk av informasjonssikkerhetsverktøy, inkludert programvare (hardware) verktøy som de er implementert i, som har nødvendige sikkerhetsfunksjoner.
Ved bruk av informasjonssikkerhetsverktøy sertifisert i henhold til informasjonssikkerhetskrav i informasjonssystemer:
Virkelighet: Loven krever ikke obligatorisk bruk av sertifisert verneutstyr.
Myte 6. Jeg trenger kryptobeskyttelse
Det er noen nyanser her:
- Mange tror at kryptografi er obligatorisk for enhver ISPD. Faktisk bør de bare brukes hvis operatøren ikke ser noen andre beskyttelsestiltak for seg selv enn bruk av kryptografi.
- Hvis du ikke kan klare deg uten kryptografi, må du bruke CIPF-sertifisert av FSB.
- For eksempel bestemmer du deg for å være vert for en ISPD i skyen til en tjenesteleverandør, men du stoler ikke på den. Du beskriver bekymringene dine i en trussel- og inntrengermodell. Du har personlige data, så du bestemte deg for at kryptografi er den eneste måten å beskytte deg selv på: du vil kryptere virtuelle maskiner, bygge sikre kanaler ved hjelp av kryptografisk beskyttelse. I dette tilfellet må du bruke CIPF sertifisert av FSB i Russland.
- Sertifiserte CIPF velges i henhold til et visst sikkerhetsnivå iht .
For ISPDn med UZ-3 kan du bruke KS1, KS2, KS3. KS1 er for eksempel C-Terra Virtual Gateway 4.2 for å beskytte kanaler.
KC2, KS3 er kun representert av programvare- og maskinvaresystemer, slik som: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway, etc.
Hvis du har UZ-2 eller 1, trenger du kryptografiske beskyttelsesmidler i klasse KV1, 2 og KA. Dette er spesifikke programvare- og maskinvaresystemer, de er vanskelige å betjene, og ytelsesegenskapene deres er beskjedne.
Virkelighet: Loven forplikter ikke bruk av CIPF sertifisert av FSB.
Kilde: www.habr.com