Olá a todos! Eu administro o Centro de Defesa Cibernética DataLine. Os clientes nos procuram com a tarefa de atender aos requisitos da 152-FZ na nuvem ou em infraestrutura física.
Em quase todos os projetos é necessário realizar um trabalho educativo para desmascarar os mitos em torno desta lei. Reuni os equívocos mais comuns que podem custar caro ao orçamento e ao sistema nervoso do operador de dados pessoais. Farei imediatamente uma reserva de que os casos de repartições públicas (GIS) que lidam com segredos de estado, KII, etc., permanecerão fora do âmbito deste artigo.
Mito 1. Instalei um antivírus, um firewall e cerquei os racks com uma cerca. Estou seguindo a lei?
152-FZ não trata da proteção de sistemas e servidores, mas sim da proteção dos dados pessoais dos sujeitos. Portanto, a conformidade com 152-FZ não começa com um antivírus, mas com um grande número de papéis e questões organizacionais.
O inspetor principal, Roskomnadzor, não analisará a presença e o estado dos meios técnicos de proteção, mas sim a base jurídica para o tratamento de dados pessoais (PD):
- com que finalidade recolhe dados pessoais;
- se você coleta mais deles do que o necessário para seus propósitos;
- por quanto tempo você armazena dados pessoais;
- existe uma política de tratamento de dados pessoais;
- Você está coletando consentimento para processamento de dados pessoais, transferência transfronteiriça, processamento por terceiros, etc.
As respostas a estas questões, bem como os próprios processos, deverão ser registados em documentos apropriados. Aqui está uma lista nada completa do que um operador de dados pessoais precisa preparar:
- Um formulário de consentimento padrão para o tratamento de dados pessoais (são as folhas que agora assinamos em quase todos os lugares onde deixamos nossos nomes completos e dados do passaporte).
- Política da Operadora em relação ao tratamento de dados pessoais ( existem recomendações para design).
- Despacho sobre a nomeação de um responsável pela organização do tratamento de dados pessoais.
- Descrição do cargo do responsável pela organização do tratamento de dados pessoais.
- Regras para controle interno e (ou) auditoria da conformidade do processamento de PD com os requisitos legais.
- Lista de sistemas de informação de dados pessoais (ISPD).
- Regulamento para fornecer ao titular acesso aos seus dados pessoais.
- Regulamentos de investigação de incidentes.
- Ordem de admissão de colaboradores ao tratamento de dados pessoais.
- Regulamentos para interação com reguladores.
- Notificação de RKN, etc.
- Formulário de instruções para processamento de PD.
- Modelo de ameaça ISPD.
Depois de resolver esses problemas, você pode começar a selecionar medidas e meios técnicos específicos. Quais deles você precisa depende dos sistemas, de suas condições operacionais e das ameaças atuais. Mas falaremos mais sobre isso mais tarde.
Realidade: o cumprimento da lei é o estabelecimento e cumprimento de determinados processos, em primeiro lugar, e só em segundo lugar - a utilização de meios técnicos especiais.
Mito 2. Armazeno dados pessoais na nuvem, um data center que atende aos requisitos do 152-FZ. Agora eles são responsáveis por fazer cumprir a lei
Ao terceirizar o armazenamento de dados pessoais para um provedor de nuvem ou data center, você não deixa de ser um operador de dados pessoais.
Vamos pedir ajuda à definição da lei:
Tratamento de dados pessoais – qualquer ação (operação) ou conjunto de ações (operações) realizadas com recurso a ferramentas de automatização ou sem recurso a tais meios com dados pessoais, incluindo recolha, registo, sistematização, acumulação, armazenamento, esclarecimento (atualização, alteração), extração, uso, transferência (distribuição, fornecimento, acesso), despersonalização, bloqueio, exclusão, destruição de dados pessoais.
Fonte: artigo 3,
De todas estas ações, o prestador de serviço é responsável pelo armazenamento e destruição dos dados pessoais (quando o cliente rescinde o contrato com ele). Todo o resto é fornecido pelo operador de dados pessoais. Isto significa que o operador, e não o prestador de serviço, determina a política de tratamento de dados pessoais, obtém consentimentos assinados para o tratamento de dados pessoais dos seus clientes, previne e investiga casos de fuga de dados pessoais a terceiros, e assim por diante.
Consequentemente, o operador de dados pessoais deve ainda recolher os documentos acima listados e implementar medidas organizacionais e técnicas para proteger o seu PDIS.
Normalmente, o fornecedor ajuda o operador garantindo o cumprimento dos requisitos legais ao nível da infraestrutura onde estará localizado o ISPD do operador: racks com equipamentos ou nuvem. Ele também coleta um pacote de documentos, toma medidas organizacionais e técnicas para sua infraestrutura de acordo com 152-FZ.
Alguns fornecedores ajudam com a documentação e com o fornecimento de medidas técnicas de segurança para as próprias RDIS, ou seja, a um nível acima da infra-estrutura. A operadora também pode terceirizar essas tarefas, mas a responsabilidade e as obrigações previstas na lei não desaparecem.
Realidade: Ao utilizar os serviços de um provedor ou data center, você não pode transferir para ele as responsabilidades de um operador de dados pessoais e se livrar da responsabilidade. Se o provedor promete isso a você, então, para dizer o mínimo, ele está mentindo.
Mito 3. Tenho o pacote de documentos e medidas necessários. Armazeno dados pessoais com um provedor que promete conformidade com 152-FZ. Está tudo em ordem?
Sim, se você se lembrar de assinar o pedido. Por lei, o operador pode confiar o tratamento dos dados pessoais a outra pessoa, por exemplo, o mesmo prestador de serviços. Um pedido é uma espécie de acordo que lista o que o prestador de serviço pode fazer com os dados pessoais da operadora.
O operador tem o direito de confiar o processamento de dados pessoais a outra pessoa com o consentimento do titular dos dados pessoais, salvo disposição em contrário da Lei Federal, com base em um acordo celebrado com essa pessoa, incluindo um contrato estadual ou municipal, ou por adoção de ato pertinente por órgão estadual ou municipal (doravante denominado operador de cessão). A pessoa que trata dados pessoais em nome da operadora está obrigada a cumprir os princípios e regras de tratamento de dados pessoais previstos nesta Lei Federal.
Fonte:
Fica também estabelecida a obrigação do fornecedor de manter a confidencialidade dos dados pessoais e garantir a sua segurança de acordo com os requisitos especificados:
As instruções do operador devem definir uma lista de ações (operações) com dados pessoais que serão realizadas pela pessoa que processa os dados pessoais e as finalidades do processamento, deve ser estabelecida a obrigação de tal pessoa de manter a confidencialidade dos dados pessoais e garantir o a segurança dos dados pessoais durante o seu processamento, bem como os requisitos para a proteção dos dados pessoais processados devem ser especificados de acordo com desta Lei Federal.
Fonte:
Por isso, o fornecedor é responsável perante o operador, e não perante o titular dos dados pessoais:
Se o operador confiar o tratamento de dados pessoais a outra pessoa, o operador é responsável perante o titular dos dados pessoais pelas ações da pessoa especificada. A pessoa que processa dados pessoais em nome do operador é responsável perante o operador.
Fonte: .
É também importante estipular no despacho a obrigação de garantir a proteção dos dados pessoais:
A segurança dos dados pessoais quando tratados num sistema de informação é garantida pelo operador deste sistema, que trata os dados pessoais (doravante designado por operador), ou pela pessoa que trata os dados pessoais em nome do operador com base num acordo celebrado com esta pessoa (doravante denominada pessoa autorizada). O acordo entre o operador e a pessoa autorizada deve prever a obrigação da pessoa autorizada de garantir a segurança dos dados pessoais quando processados no sistema de informação.
Fonte:
Realidade: Se você fornecer dados pessoais ao provedor, assine o pedido. No pedido, indique a exigência de garantir a proteção dos dados pessoais dos titulares. Caso contrário, você não cumprirá a lei relativa à transferência do trabalho de processamento de dados pessoais para terceiros, e o provedor não lhe deverá nada em relação ao cumprimento do 152-FZ.
Mito 4. O Mossad está me espionando ou definitivamente tenho um UZ-1
Alguns clientes provam persistentemente que possuem um ISPD de nível de segurança 1 ou 2. Na maioria das vezes, este não é o caso. Vamos lembrar o hardware para descobrir por que isso acontece.
O LO, ou nível de segurança, determina do que você protegerá seus dados pessoais.
O nível de segurança é afetado pelos seguintes pontos:
- tipo de dados pessoais (especiais, biométricos, publicamente disponíveis e outros);
- quem é o proprietário dos dados pessoais – funcionários ou não funcionários do operador de dados pessoais;
- número de titulares de dados pessoais – mais ou menos 100 mil.
- tipos de ameaças atuais.
Nos informa sobre os tipos de ameaças . Aqui está uma descrição de cada um com minha tradução gratuita para a linguagem humana.
As ameaças do tipo 1 são relevantes para um sistema de informação se as ameaças associadas à presença de capacidades não documentadas (não declaradas) no software do sistema utilizado no sistema de informação também forem relevantes para ele.
Se você reconhece este tipo de ameaça como relevante, então você acredita firmemente que agentes da CIA, MI6 ou MOSSAD colocaram um marcador no sistema operacional para roubar dados pessoais de assuntos específicos do seu ISPD.
As ameaças do 2º tipo são relevantes para um sistema de informação se as ameaças associadas à presença de capacidades não documentadas (não declaradas) no software aplicativo utilizado no sistema de informação também forem relevantes para ele.
Se você acha que ameaças do segundo tipo são o seu caso, então durma e veja como os mesmos agentes da CIA, MI6, MOSSAD, um hacker ou grupo malvado e solitário colocaram marcadores em algum pacote de software de escritório para caçar exatamente seus dados pessoais. Sim, existem softwares aplicativos duvidosos como o μTorrent, mas você pode fazer uma lista de softwares permitidos para instalação e assinar um contrato com os usuários, não conceder aos usuários direitos de administrador local, etc.
As ameaças do tipo 3 são relevantes para um sistema de informação se as ameaças que não estão relacionadas com a presença de capacidades não documentadas (não declaradas) no sistema e no software de aplicação utilizado no sistema de informação forem relevantes para ele.
Ameaças dos tipos 1 e 2 não são adequadas para você, então este é o lugar para você.
Classificamos os tipos de ameaças, agora vamos ver qual nível de segurança nosso ISPD terá.
Tabela baseada nas correspondências especificadas em .
Se escolhermos o terceiro tipo de ameaças reais, na maioria dos casos teremos UZ-3. A única exceção, quando as ameaças dos tipos 1 e 2 não são relevantes, mas o nível de segurança ainda será elevado (UZ-2), são as empresas que processam dados pessoais especiais de não funcionários em montante superior a 100. por exemplo, empresas envolvidas em diagnósticos médicos e prestação de serviços médicos.
Existe também o UZ-4, que é encontrado principalmente em empresas cujos negócios não estão relacionados ao tratamento de dados pessoais de não funcionários, ou seja, clientes ou contratados, ou as bases de dados pessoais são pequenas.
Por que é tão importante não exagerar no nível de segurança? É simples: disso dependerá o conjunto de medidas e meios de proteção para garantir esse mesmo nível de segurança. Quanto maior o nível de conhecimento, mais será necessário fazer em termos organizacionais e técnicos (leia-se: mais dinheiro e nervosismo terão de ser gastos).
Aqui, por exemplo, é mostrado como o conjunto de medidas de segurança muda de acordo com o mesmo PP-1119.
Agora vamos ver como, dependendo do nível de segurança selecionado, a lista de medidas necessárias muda de acordo com Há um longo apêndice a este documento, que define as medidas necessárias. São 109 no total, para cada KM as medidas obrigatórias são definidas e marcadas com um sinal “+” - são calculadas com precisão na tabela abaixo. Se você deixar apenas os necessários para o UZ-3, você ganha 4.
Realidade: se você não coleta testes ou biometria de clientes, não fica paranóico com marcadores no sistema e no software aplicativo, então provavelmente você tem UZ-3. Possui uma lista razoável de medidas organizacionais e técnicas que podem realmente ser implementadas.
Mito 5. Todos os meios de proteção de dados pessoais devem ser certificados pelo FSTEC da Rússia
Se você quiser ou for obrigado a realizar a certificação, provavelmente terá que usar equipamento de proteção certificado. A certificação será realizada por um licenciado do FSTEC da Rússia, que:
- interessado em vender mais dispositivos certificados de proteção de informações;
- terá medo de que a licença seja revogada pelo regulador se algo der errado.
Se você não precisa de certificação e está pronto para confirmar a conformidade com os requisitos de outra forma, indicada em “Avaliar a eficácia das medidas implementadas no âmbito do sistema de proteção de dados pessoais para garantir a segurança dos dados pessoais”, então não são necessários sistemas de segurança da informação certificados para você. Tentarei explicar brevemente o raciocínio.
В afirma que é necessária a utilização de equipamentos de proteção que tenham sido submetidos ao procedimento de avaliação da conformidade de acordo com o procedimento estabelecido:
A garantia da segurança dos dados pessoais é alcançada, nomeadamente:
[…] 3) a utilização de meios de segurança da informação que tenham passado no procedimento de avaliação de conformidade de acordo com o procedimento estabelecido.
В Há também a obrigatoriedade de utilização de ferramentas de segurança da informação que tenham passado no procedimento de avaliação do cumprimento dos requisitos legais:
[…] a utilização de ferramentas de segurança da informação que tenham passado no procedimento de avaliação do cumprimento dos requisitos da legislação da Federação Russa no domínio da segurança da informação, nos casos em que a utilização de tais meios seja necessária para neutralizar as ameaças atuais.
praticamente duplica o parágrafo PP-1119:
As medidas para garantir a segurança dos dados pessoais são implementadas, nomeadamente, através da utilização de ferramentas de segurança da informação no sistema de informação que tenham passado no procedimento de avaliação da conformidade de acordo com o procedimento estabelecido, nos casos em que a utilização de tais ferramentas seja necessária para neutralizar as ameaças atuais à segurança dos dados pessoais.
O que essas formulações têm em comum? É isso mesmo – eles não exigem o uso de equipamentos de proteção certificados. O facto é que existem diversas formas de avaliação da conformidade (certificação voluntária ou obrigatória, declaração de conformidade). A certificação é apenas uma delas. O operador pode utilizar produtos não certificados, mas precisará demonstrar ao regulador, após a inspeção, que eles foram submetidos a algum tipo de procedimento de avaliação de conformidade.
Caso o operador decida utilizar equipamento de proteção certificado, é necessário selecionar o sistema de proteção de informações de acordo com a proteção ultrassônica, que está claramente indicada em :
As medidas técnicas de proteção de dados pessoais são implementadas através da utilização de ferramentas de segurança da informação, incluindo ferramentas de software (hardware) nas quais são implementadas, que possuem as funções de segurança necessárias.
Ao utilizar ferramentas de segurança da informação certificadas de acordo com os requisitos de segurança da informação em sistemas de informação:
Realidade: A lei não exige o uso obrigatório de equipamentos de proteção certificados.
Mito 6. Preciso de proteção criptográfica
Existem algumas nuances aqui:
- Muitas pessoas acreditam que a criptografia é obrigatória para qualquer ISPD. Na verdade, eles devem ser usados apenas se o operador não vir nenhuma outra medida de proteção para si além do uso de criptografia.
- Se você não pode viver sem criptografia, precisará usar o CIPF certificado pelo FSB.
- Por exemplo, você decide hospedar um ISPD na nuvem de um provedor de serviços, mas não confia nele. Você descreve suas preocupações em um modelo de ameaça e intrusão. Você tem dados pessoais, então decidiu que a criptografia é a única maneira de se proteger: você criptografará máquinas virtuais, construirá canais seguros usando proteção criptográfica. Neste caso, você terá que usar o CIPF certificado pelo FSB da Rússia.
- Os CIPF certificados são selecionados de acordo com um determinado nível de segurança de acordo com .
Para ISPDn com UZ-3, você pode usar KS1, KS2, KS3. KS1 é, por exemplo, C-Terra Virtual Gateway 4.2 para proteção de canais.
KC2, KS3 são representados apenas por sistemas de software e hardware, tais como: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway, etc.
Se você tiver UZ-2 ou 1, precisará de meios de proteção criptográfica das classes KV1, 2 e KA. Estes são sistemas de software e hardware específicos, são difíceis de operar e suas características de desempenho são modestas.
Realidade: A lei não obriga a utilização de CIPF certificado pelo FSB.
Fonte: habr.com