Cześć wszystkim! Prowadzę centrum cyberobrony DataLine. Klienci przychodzą do nas z zadaniem spełnienia wymagań 152-FZ w chmurze lub na infrastrukturze fizycznej.
Niemal przy każdym projekcie konieczna jest praca edukacyjna, która ma na celu obalenie mitów na temat tego prawa. Zebrałem najczęstsze nieporozumienia, które mogą być kosztowne dla budżetu i układu nerwowego operatora danych osobowych. Od razu zastrzegam, że przypadki spółek państwowych (GIS) zajmujących się tajemnicą państwową, KII itp. pozostaną poza zakresem tego artykułu.
Mit 1. Zainstalowałem program antywirusowy, firewall i ogrodziłem regały płotem. Czy przestrzegam prawa?
Ustawa 152-FZ nie dotyczy ochrony systemów i serwerów, ale ochrony danych osobowych podmiotów. Dlatego zgodność z 152-FZ zaczyna się nie od programu antywirusowego, ale od dużej liczby kartek papieru i kwestii organizacyjnych.
Główny inspektor Roskomnadzor będzie sprawdzał nie obecność i stan technicznych środków ochrony, ale podstawę prawną przetwarzania danych osobowych (PD):
- w jakim celu zbierasz dane osobowe;
- czy zbierasz ich więcej, niż potrzebujesz do swoich celów;
- jak długo przechowujesz dane osobowe;
- czy istnieje polityka przetwarzania danych osobowych;
- Czy zbierasz zgodę na przetwarzanie danych osobowych, przesyłanie transgraniczne, przetwarzanie przez osoby trzecie itp.
Odpowiedzi na te pytania, jak i same procesy, należy zapisać w odpowiednich dokumentach. Oto niepełna lista tego, co musi przygotować operator danych osobowych:
- Standardowy formularz zgody na przetwarzanie danych osobowych (są to arkusze, które obecnie podpisujemy niemal wszędzie, gdzie zostawiamy swoje imię i nazwisko oraz dane paszportowe).
- Polityka Operatora dotycząca przetwarzania danych osobowych ( istnieją zalecenia dotyczące projektu).
- Zarządzenie w sprawie wyznaczenia osoby odpowiedzialnej za organizację przetwarzania danych osobowych.
- Opis stanowiska osoby odpowiedzialnej za organizację przetwarzania danych osobowych.
- Zasady kontroli wewnętrznej i (lub) audytu zgodności przetwarzania PD z wymogami prawnymi.
- Lista systemów informacji o danych osobowych (ISPD).
- Regulamin zapewnienia podmiotowi dostępu do jego danych osobowych.
- Regulamin badania incydentów.
- Zarządzenie w sprawie dopuszczenia pracowników do przetwarzania danych osobowych.
- Regulamin współpracy z organami regulacyjnymi.
- Powiadomienie RKN itp.
- Formularz instrukcji przetwarzania PD.
- Model zagrożenia ISPD.
Po rozwiązaniu tych problemów możesz zacząć wybierać konkretne środki i środki techniczne. To, które z nich będą potrzebne, zależy od systemów, warunków ich działania i bieżących zagrożeń. Ale o tym później.
Rzeczywistość: zgodność z prawem polega na ustanowieniu i przestrzeganiu określonych procesów, po pierwsze, a dopiero po drugie, na zastosowaniu specjalnych środków technicznych.
Mit 2. Przechowuję dane osobowe w chmurze, centrum danych spełniającym wymagania 152-FZ. Teraz odpowiadają za egzekwowanie prawa
Zlecając przechowywanie danych osobowych dostawcy usług w chmurze lub centrum danych, nie przestajesz być operatorem danych osobowych.
Przywołajmy na pomoc definicję z prawa:
Przetwarzanie danych osobowych – każda czynność (operacja) lub zestaw czynności (operacji) wykonywana przy użyciu narzędzi automatyzacji lub bez użycia takich środków na danych osobowych, obejmująca zbieranie, utrwalanie, systematyzowanie, gromadzenie, przechowywanie, wyjaśnianie (aktualizowanie, zmienianie), pobieranie, wykorzystywanie, przekazywanie (dystrybucja, udostępnianie, dostęp), depersonalizacja, blokowanie, usuwanie, niszczenie danych osobowych.
Źródło: artykuł 3,
Spośród wszystkich tych działań usługodawca ponosi odpowiedzialność za przechowywanie i niszczenie danych osobowych (gdy Klient rozwiąże z nim umowę). Całą resztę zapewnia operator danych osobowych. Oznacza to, że to operator, a nie usługodawca ustala politykę przetwarzania danych osobowych, pozyskuje podpisane zgody na przetwarzanie danych osobowych od swoich klientów, zapobiega i bada przypadki wycieku danych osobowych do osób trzecich i tak dalej.
W związku z tym operator danych osobowych musi w dalszym ciągu zebrać wymienione powyżej dokumenty oraz wdrożyć środki organizacyjne i techniczne w celu ochrony swojego PDIS.
Zazwyczaj dostawca pomaga operatorowi zapewniając zgodność z wymogami prawnymi na poziomie infrastruktury, na której będzie zlokalizowany ISPD operatora: stojaki ze sprzętem lub chmura. Gromadzi także pakiet dokumentów, podejmuje działania organizacyjno-techniczne dla swojego fragmentu infrastruktury zgodnie z 152-FZ.
Niektórzy dostawcy pomagają w formalnościach i zapewnieniu technicznych środków bezpieczeństwa dla samych ISDN, tj. na poziomie ponad infrastrukturą. Operator może również zlecić te zadania na zewnątrz, jednak odpowiedzialność i obowiązki wynikające z prawa nie znikają.
Rzeczywistość: Korzystając z usług dostawcy lub centrum danych nie można przenieść na niego obowiązków operatora danych osobowych i pozbyć się odpowiedzialności. Jeśli dostawca ci to obiecuje, to delikatnie mówiąc, kłamie.
Mit 3. Posiadam niezbędny pakiet dokumentów i środków. Przechowuję dane osobowe u dostawcy, który zapewnia zgodność z 152-FZ. Czy wszystko jest w porządku?
Tak, jeśli będziesz pamiętał o podpisaniu zamówienia. Zgodnie z prawem operator może powierzyć przetwarzanie danych osobowych innej osobie, np. temu samemu usługodawcy. Zamówienie to rodzaj umowy, która określa, co usługodawca może zrobić z danymi osobowymi operatora.
Operator ma prawo powierzyć przetwarzanie danych osobowych innej osobie za zgodą podmiotu danych osobowych, chyba że prawo federalne stanowi inaczej, na podstawie umowy zawartej z tą osobą, w tym umowy państwowej lub gminnej, albo w drodze przyjęcia odpowiedniej ustawy przez organ państwowy lub gminny (zwany dalej operatorem przypisania). Osoba przetwarzająca dane osobowe w imieniu operatora jest zobowiązana do przestrzegania zasad i zasad przetwarzania danych osobowych przewidzianych w niniejszej ustawie federalnej.
Źródło:
Ustala się również obowiązek dostawcy zachowania poufności danych osobowych i zapewnienia ich bezpieczeństwa zgodnie z określonymi wymogami:
Instrukcje operatora muszą określać wykaz działań (operacji) na danych osobowych, jakie będą dokonywane przez osobę przetwarzającą dane osobowe oraz cele przetwarzania, na takiej osobie musi zostać ustanowiony obowiązek zachowania poufności danych osobowych i zapewnienia bezpieczeństwo danych osobowych podczas ich przetwarzania, a także wymagania dotyczące ochrony przetwarzanych danych osobowych muszą być określone zgodnie z niniejszej ustawy federalnej.
Źródło:
W tym celu dostawca jest odpowiedzialny wobec operatora, a nie podmiotu danych osobowych:
Jeżeli Operator powierza przetwarzanie danych osobowych innej osobie, Operator odpowiada wobec podmiotu danych osobowych za działania wskazanej osoby. Odpowiedzialność przed operatorem ponosi osoba przetwarzająca dane osobowe w imieniu operatora.
Źródło: .
Ważne jest także określenie w zamówieniu obowiązku zapewnienia ochrony danych osobowych:
Bezpieczeństwo danych osobowych przetwarzanych w systemie informatycznym zapewnia operator tego systemu, który przetwarza dane osobowe (zwany dalej operatorem) lub osoba przetwarzająca dane osobowe w imieniu operatora na podstawie umowy zawartej z tą osobą (zwaną dalej osobą upoważnioną). Umowa pomiędzy operatorem a osobą upoważnioną musi przewidywać obowiązek osoby upoważnionej zapewnienia bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym.
Źródło:
Rzeczywistość: Jeśli podasz dane osobowe dostawcy, podpisz zamówienie. W zamówieniu należy wskazać wymóg zapewnienia ochrony danych osobowych podmiotów. W przeciwnym razie nie przestrzegasz prawa dotyczącego przekazania zadań związanych z przetwarzaniem danych osobowych osobie trzeciej, a dostawca nie jest Ci nic winien w związku z przestrzeganiem 152-FZ.
Mit 4. Mossad mnie szpieguje, albo na pewno mam UZ-1
Niektórzy klienci uparcie udowadniają, że posiadają ISPD poziomu bezpieczeństwa 1 lub 2. Najczęściej tak nie jest. Pamiętajmy o sprzęcie, aby dowiedzieć się, dlaczego tak się dzieje.
LO, czyli poziom bezpieczeństwa, określa, przed czym będziesz chronić swoje dane osobowe.
Na poziom bezpieczeństwa wpływają następujące punkty:
- rodzaj danych osobowych (specjalne, biometryczne, publicznie dostępne i inne);
- kto jest właścicielem danych osobowych – pracownicy lub osoby niebędące pracownikami operatora danych osobowych;
- liczba podmiotów danych osobowych – mniej więcej 100 tys.
- rodzaje aktualnych zagrożeń.
Informuje nas o rodzajach zagrożeń . Oto opis każdego z moim darmowym tłumaczeniem na ludzki język.
Zagrożenia pierwszego rodzaju są istotne dla systemu informatycznego, jeżeli istotne są dla niego także zagrożenia związane z obecnością nieudokumentowanych (niezadeklarowanych) możliwości w oprogramowaniu systemowym wykorzystywanym w systemie informatycznym.
Jeśli uznasz tego typu zagrożenie za istotne, to mocno wierzysz, że agenci CIA, MI6 lub MOSSAD umieścili zakładkę w systemie operacyjnym, aby wykraść dane osobowe określonych osób z Twojego ISPD.
Zagrożenia drugiego typu są istotne dla systemu informacyjnego, jeśli istotne są dla niego także zagrożenia związane z obecnością nieudokumentowanych (niezadeklarowanych) możliwości w oprogramowaniu użytkowym stosowanym w systemie informatycznym.
Jeśli myślisz, że Twoim przypadkiem są zagrożenia drugiego rodzaju, to śpij i zobacz, jak ci sami agenci CIA, MI6, MOSSAD, zły samotny haker lub grupa umieścili zakładki w jakimś pakiecie oprogramowania biurowego, aby dokładnie polować na Twoje dane osobowe. Tak, istnieje wątpliwe oprogramowanie, takie jak μTorrent, ale możesz sporządzić listę oprogramowania dozwolonego do instalacji i podpisać umowę z użytkownikami, nie przyznając użytkownikom uprawnień lokalnego administratora itp.
Zagrożenia typu 3 są istotne dla systemu informacyjnego, jeżeli dotyczą go zagrożenia niezwiązane z obecnością nieudokumentowanych (niezadeklarowanych) możliwości w systemie i oprogramowaniu użytkowym używanym w systemie informatycznym.
Zagrożenia typu 1 i 2 nie są dla Ciebie odpowiednie, więc to jest miejsce dla Ciebie.
Ustaliliśmy rodzaje zagrożeń, teraz przyjrzyjmy się, jaki poziom bezpieczeństwa będzie miał nasz ISPD.
Tabela na podstawie korespondencji określonej w .
Jeśli wybierzemy trzeci typ rzeczywistych zagrożeń, to w większości przypadków będziemy mieli do czynienia z UZ-3. Jedynym wyjątkiem, gdy zagrożenia typu 1 i 2 nie występują, ale poziom bezpieczeństwa i tak będzie wysoki (UZ-2), są firmy przetwarzające szczególne dane osobowe osób niebędących pracownikami w ilości ponad 100 000. Dla przykładowo firmy zajmujące się diagnostyką medyczną i świadczeniem usług medycznych.
Istnieje również UZ-4, który występuje głównie w firmach, których działalność nie jest związana z przetwarzaniem danych osobowych osób niebędących pracownikami, tj. klientów lub kontrahentów, lub których bazy danych osobowych są niewielkie.
Dlaczego tak ważne jest, aby nie przesadzić z poziomem bezpieczeństwa? To proste: od tego będzie zależał zestaw środków i środków ochrony zapewniających właśnie ten poziom bezpieczeństwa. Im wyższy poziom wiedzy, tym więcej trzeba będzie zrobić organizacyjnie i technicznie (czytaj: tym więcej pieniędzy i nerwów trzeba będzie wydać).
Oto na przykład, jak zmienia się zestaw środków bezpieczeństwa zgodnie z tym samym PP-1119.
Zobaczmy teraz, jak w zależności od wybranego poziomu bezpieczeństwa zmienia się lista niezbędnych środków zgodnie z Do tego dokumentu znajduje się długi załącznik, który określa niezbędne środki. Jest ich w sumie 109, dla każdego KM zdefiniowane są środki obowiązkowe i oznaczone znakiem „+” – są one dokładnie wyliczone w poniższej tabeli. Jeśli zostawisz tylko te potrzebne do UZ-3, otrzymasz 4.
Rzeczywistość: jeśli nie zbierasz od klientów testów ani danych biometrycznych, nie masz paranoi na punkcie zakładek w oprogramowaniu systemowym i aplikacyjnym, to najprawdopodobniej masz UZ-3. Zawiera rozsądną listę środków organizacyjnych i technicznych, które można faktycznie wdrożyć.
Mit 5. Wszystkie środki ochrony danych osobowych muszą być certyfikowane przez FSTEC Rosji
Jeśli chcesz lub jesteś zobowiązany do przeprowadzenia certyfikacji, najprawdopodobniej będziesz musiał używać atestowanego sprzętu ochronnego. Certyfikacja zostanie przeprowadzona przez licencjobiorcę FSTEC Rosji, który:
- zainteresowany sprzedażą większej liczby certyfikowanych urządzeń do ochrony informacji;
- będzie się obawiać, że regulator cofnie licencję, jeśli coś pójdzie nie tak.
Jeśli nie potrzebujesz certyfikacji i jesteś gotowy potwierdzić spełnienie wymagań w inny sposób, tzw „Oceniając skuteczność środków wdrożonych w ramach systemu ochrony danych osobowych zapewniających bezpieczeństwo danych osobowych”, wówczas certyfikowane systemy bezpieczeństwa informacji nie są dla Ciebie wymagane. Postaram się pokrótce uzasadnić.
В stwierdza, że należy stosować sprzęt ochronny, który przeszedł procedurę oceny zgodności zgodnie z ustaloną procedurą:
Zapewnienie bezpieczeństwa danych osobowych, w szczególności:
[…] 3) stosowanie środków bezpieczeństwa informacji, które przeszły procedurę oceny zgodności zgodnie z ustaloną procedurą.
В Istnieje również wymóg stosowania narzędzi bezpieczeństwa informacji, które przeszły procedurę oceny zgodności z wymogami prawnymi:
[…] stosowanie narzędzi bezpieczeństwa informacji, które przeszły procedurę oceny zgodności z wymogami ustawodawstwa Federacji Rosyjskiej w zakresie bezpieczeństwa informacji, w przypadkach, gdy użycie takich środków jest niezbędne do neutralizacji bieżących zagrożeń.
praktycznie powiela akapit PP-1119:
Wdrażane są działania zapewniające bezpieczeństwo danych osobowych m.in. poprzez stosowanie w systemie informatycznym narzędzi bezpieczeństwa informacji, które przeszły procedurę oceny zgodności zgodnie z ustaloną procedurą, w przypadkach, gdy zastosowanie takich narzędzi jest niezbędne do neutralizować aktualne zagrożenia dla bezpieczeństwa danych osobowych.
Co łączy te preparaty? Zgadza się – nie wymagają stosowania atestowanego sprzętu ochronnego. Faktem jest, że istnieje kilka form oceny zgodności (certyfikacja dobrowolna lub obowiązkowa, deklaracja zgodności). Certyfikacja to tylko jeden z nich. Operator może używać produktów niecertyfikowanych, ale podczas kontroli będzie musiał wykazać organowi regulacyjnemu, że przeszły one jakąś formę procedury oceny zgodności.
Jeżeli operator zdecyduje się na zastosowanie atestowanego sprzętu ochronnego, wówczas należy dobrać system ochrony informacji zgodnie z ochroną przed ultradźwiękami, co wyraźnie wskazano w :
Środki techniczne służące ochronie danych osobowych realizowane są poprzez zastosowanie narzędzi bezpieczeństwa informacji, w tym narzędzi programowych (sprzętowych), w których są one zaimplementowane, posiadających niezbędne funkcje bezpieczeństwa.
W przypadku korzystania z narzędzi bezpieczeństwa informacji certyfikowanych zgodnie z wymogami bezpieczeństwa informacji w systemach informatycznych:
Rzeczywistość: Prawo nie wymaga obowiązkowego stosowania atestowanego sprzętu ochronnego.
Mit 6. Potrzebuję ochrony kryptograficznej
Jest tu kilka niuansów:
- Wiele osób uważa, że kryptografia jest obowiązkowa dla każdego ISPD. Tak naprawdę należy z nich korzystać tylko wtedy, gdy operator nie widzi dla siebie innych środków ochrony niż zastosowanie kryptografii.
- Jeśli nie możesz obejść się bez kryptografii, musisz skorzystać z certyfikatu CIPF wydanego przez FSB.
- Na przykład decydujesz się na hostowanie ISPD w chmurze usługodawcy, ale nie ufasz mu. Opisujesz swoje obawy w modelu zagrożenia i intruza. Masz dane osobowe, więc zdecydowałeś, że kryptografia to jedyny sposób, aby się zabezpieczyć: będziesz szyfrować maszyny wirtualne, budować bezpieczne kanały przy użyciu ochrony kryptograficznej. W takim przypadku będziesz musiał użyć certyfikatu CIPF wydanego przez FSB Rosji.
- Certyfikowane CIPF są wybierane zgodnie z określonym poziomem bezpieczeństwa wg .
Dla ISPDn z UZ-3 można zastosować KS1, KS2, KS3. KS1 to na przykład C-Terra Virtual Gateway 4.2 do ochrony kanałów.
KC2, KS3 reprezentowane są wyłącznie przez systemy programowe i sprzętowe, takie jak: ViPNet Coordinator, APKSH „Continent”, S-Terra Gateway itp.
Jeśli masz UZ-2 lub 1, będziesz potrzebować środków ochrony kryptograficznej klasy KV1, 2 i KA. Są to specyficzne systemy oprogramowania i sprzętu, są trudne w obsłudze, a ich charakterystyka wydajnościowa jest skromna.
Rzeczywistość: Prawo nie obliguje do stosowania certyfikatu CIPF certyfikowanego przez FSB.
Źródło: www.habr.com