Ahojte všetci! Prevádzkujem DataLine Cyber Defense Center. Zákazníci k nám prichádzajú s úlohou splniť požiadavky 152-FZ v cloude alebo na fyzickej infraštruktúre.
Takmer v každom projekte je potrebné vykonať osvetovú činnosť, aby sa vyvrátili mýty okolo tohto zákona. Zozbieral som najčastejšie mylné predstavy, ktoré môžu byť nákladné pre rozpočet a nervový systém prevádzkovateľa osobných údajov. Okamžite urobím výhradu, že prípady štátnych úradov (GIS) zaoberajúcich sa štátnym tajomstvom, KII atď. zostanú mimo rámca tohto článku.
Mýtus 1. Nainštaloval som antivírus, firewall a obohnal stojany plotom. Dodržiavam zákon?
152-FZ nie je o ochrane systémov a serverov, ale o ochrane osobných údajov subjektov. Súlad s 152-FZ preto nezačína antivírusom, ale veľkým počtom papierových a organizačných problémov.
Hlavný inšpektor Roskomnadzor sa nebude zaoberať prítomnosťou a stavom technických prostriedkov ochrany, ale právnym základom spracúvania osobných údajov (OÚ):
- na aký účel zhromažďujete osobné údaje;
- či ich nazbierate viac, ako potrebujete pre svoje účely;
- ako dlho uchovávate osobné údaje;
- existujú zásady spracovania osobných údajov;
- Získavate súhlas na spracovanie osobných údajov, cezhraničný prenos, spracovanie tretími stranami atď.
Odpovede na tieto otázky, ako aj samotné procesy by mali byť zaznamenané v príslušných dokumentoch. Tu je zďaleka nie úplný zoznam toho, čo musí prevádzkovateľ osobných údajov pripraviť:
- Štandardný formulár súhlasu so spracovaním osobných údajov (to sú hárky, ktoré dnes podpisujeme takmer všade tam, kde zanechávame celé meno a údaje o pase).
- Zásady prevádzkovateľa týkajúce sa spracovania osobných údajov ( existujú odporúčania pre dizajn).
- Príkaz o určení osoby zodpovednej za organizáciu spracovania osobných údajov.
- Náplň práce osoby zodpovednej za organizáciu spracovania osobných údajov.
- Pravidlá pre vnútornú kontrolu a (alebo) audit súladu spracovania PD s právnymi požiadavkami.
- Zoznam informačných systémov osobných údajov (ISPD).
- Nariadenia o poskytovaní prístupu subjektu k jeho osobným údajom.
- Pravidlá vyšetrovania incidentov.
- Príkaz o pripustení zamestnancov k spracúvaniu osobných údajov.
- Predpisy pre interakciu s regulátormi.
- Oznámenie RKN atď.
- Formulár pokynu na spracovanie PD.
- Model hrozby ISPD.
Po vyriešení týchto problémov môžete začať s výberom konkrétnych opatrení a technických prostriedkov. Ktoré z nich potrebujete, závisí od systémov, ich prevádzkových podmienok a aktuálnych hrozieb. Ale o tom neskôr.
realita: súlad so zákonom je zriadenie a dodržiavanie určitých procesov v prvom rade a až po druhé - použitie špeciálnych technických prostriedkov.
Mýtus 2. Osobné údaje uchovávam v cloude, dátovom centre, ktoré spĺňa požiadavky 152-FZ. Teraz sú zodpovední za dodržiavanie zákona
Keď zadáte ukladanie osobných údajov poskytovateľovi cloudu alebo dátovému centru, neprestávate byť prevádzkovateľom osobných údajov.
Požiadajme o pomoc definíciu zo zákona:
Spracúvanie osobných údajov - akákoľvek akcia (operácia) alebo súbor úkonov (operácií) vykonaná pomocou nástrojov automatizácie alebo bez použitia takýchto prostriedkov s osobnými údajmi, vrátane zhromažďovania, zaznamenávania, systematizácie, zhromažďovania, uchovávania, objasňovania (aktualizácie, zmeny), extrakcia, použitie, prenos (distribúcia, poskytovanie, sprístupnenie), depersonalizácia, blokovanie, vymazanie, zničenie osobných údajov.
Zdroj: článok 3,
Zo všetkých týchto úkonov je poskytovateľ služby zodpovedný za uchovávanie a likvidáciu osobných údajov (keď s ním klient ukončí zmluvu). Všetko ostatné zabezpečuje prevádzkovateľ osobných údajov. To znamená, že prevádzkovateľ, a nie poskytovateľ služby, určuje politiku spracúvania osobných údajov, získava od svojich klientov podpísané súhlasy so spracúvaním osobných údajov, predchádza a prešetruje prípady úniku osobných údajov tretím stranám a pod.
V dôsledku toho musí prevádzkovateľ osobných údajov naďalej zhromažďovať dokumenty, ktoré boli uvedené vyššie, a vykonávať organizačné a technické opatrenia na ochranu svojho PDIS.
Poskytovateľ zvyčajne pomáha operátorovi zabezpečením súladu s právnymi požiadavkami na úrovni infraštruktúry, kde sa bude nachádzať ISPD operátora: stojany so zariadením alebo cloud. Zhromažďuje tiež balík dokumentov, prijíma organizačné a technické opatrenia pre svoju časť infraštruktúry v súlade s 152-FZ.
Niektorí poskytovatelia pomáhajú s papierovaním a zabezpečením technických bezpečnostných opatrení pre samotné ISDN, teda na úrovni nad infraštruktúrou. Prevádzkovateľ môže tieto úlohy aj outsourcovať, ale zodpovednosť a povinnosti zo zákona tým nezanikajú.
realita: Využívaním služieb poskytovateľa alebo dátového centra na neho nemôžete preniesť povinnosti prevádzkovateľa osobných údajov a zbaviť sa zodpovednosti. Ak vám to poskytovateľ sľubuje, tak mierne povedané klame.
Mýtus 3. Mám potrebný balík dokumentov a opatrení. Osobné údaje uchovávam u poskytovateľa, ktorý sľubuje dodržiavanie 152-FZ. Je všetko v poriadku?
Áno, ak nezabudnete podpísať objednávku. Prevádzkovateľ môže zo zákona poveriť spracovaním osobných údajov inú osobu, napríklad toho istého poskytovateľa služieb. Objednávka je druh zmluvy, ktorá uvádza, čo môže poskytovateľ služby urobiť s osobnými údajmi prevádzkovateľa.
Prevádzkovateľ má právo poveriť spracúvaním osobných údajov inú osobu so súhlasom subjektu osobných údajov, ak federálny zákon neustanovuje inak, a to na základe zmluvy uzatvorenej s touto osobou, vrátane štátnej alebo obecnej zmluvy, alebo prijatím príslušného zákona orgánom štátu alebo obce (ďalej len prevádzkovateľ poverenia). Osoba spracúvajúca osobné údaje v mene prevádzkovateľa je povinná dodržiavať zásady a pravidlá spracúvania osobných údajov stanovené týmto spolkovým zákonom.
Zdroj:
Ďalej sa ustanovuje povinnosť poskytovateľa zachovávať mlčanlivosť o osobných údajoch a zabezpečiť ich bezpečnosť v súlade s určenými požiadavkami:
V pokynoch prevádzkovateľa musí byť definovaný zoznam úkonov (operácií) s osobnými údajmi, ktoré bude osoba spracúvajúca osobné údaje vykonávať a účely spracúvania, musí byť ustanovená povinnosť takejto osoby zachovávať mlčanlivosť o osobných údajoch a zabezpečiť zabezpečenie osobných údajov pri ich spracúvaní, ako aj požiadavky na ochranu spracúvaných osobných údajov musia byť špecifikované v súlade s tohto federálneho zákona.
Zdroj:
Poskytovateľ za to zodpovedá prevádzkovateľovi, a nie subjektu osobných údajov:
Ak prevádzkovateľ poverí spracúvaním osobných údajov inú osobu, prevádzkovateľ zodpovedá subjektu osobných údajov za úkony uvedenej osoby. Prevádzkovateľovi zodpovedá osoba spracúvajúca osobné údaje v mene prevádzkovateľa.
Zdroj: .
V objednávke je tiež dôležité uviesť povinnosť zabezpečiť ochranu osobných údajov:
Bezpečnosť osobných údajov pri spracúvaní v informačnom systéme zabezpečuje prevádzkovateľ tohto systému, ktorý osobné údaje spracúva (ďalej len prevádzkovateľ), alebo osoba spracúvajúca osobné údaje v mene prevádzkovateľa na základe zákona č. dohoda uzatvorená s touto osobou (ďalej len oprávnená osoba). Dohoda medzi prevádzkovateľom a oprávnenou osobou musí ustanoviť povinnosť oprávnenej osoby zabezpečiť bezpečnosť osobných údajov pri spracúvaní v informačnom systéme.
Zdroj:
realita: Ak poskytovateľovi poskytnete osobné údaje, podpíšte objednávku. V objednávke uveďte požiadavku na zabezpečenie ochrany osobných údajov subjektov. V opačnom prípade nedodržiavate zákon týkajúci sa prenosu práce spracovania osobných údajov tretej strane a poskytovateľ vám v súvislosti s dodržiavaním 152-FZ nič nedlhuje.
Mýtus 4. Mossad ma špehuje, alebo určite mám UZ-1
Niektorí zákazníci neustále dokazujú, že majú ISPD úrovne zabezpečenia 1 alebo 2. Väčšinou to tak nie je. Spomeňme si na hardvér, aby sme zistili, prečo sa to deje.
LO alebo úroveň zabezpečenia určuje, pred čím budete chrániť svoje osobné údaje.
Úroveň bezpečnosti ovplyvňujú nasledujúce body:
- druh osobných údajov (špeciálne, biometrické, verejne dostupné a iné);
- kto je vlastníkom osobných údajov – zamestnanci alebo osoby, ktoré nie sú zamestnancami prevádzkovateľa osobných údajov;
- počet dotknutých osôb – viac-menej 100 tisíc.
- typy súčasných hrozieb.
Hovorí o typoch hrozieb . Tu je popis každého s mojím voľným prekladom do ľudskej reči.
Hrozby 1. typu sú pre informačný systém relevantné, ak sú preň relevantné aj hrozby spojené s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v systémovom softvéri používanom v informačnom systéme.
Ak uznávate tento typ hrozby ako relevantný, potom ste pevne presvedčení, že agenti CIA, MI6 alebo MOSSAD umiestnili do operačného systému záložku na odcudzenie osobných údajov konkrétnych subjektov z vášho ISPD.
Hrozby 2. typu sú pre informačný systém relevantné, ak sú preň relevantné aj hrozby spojené s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v aplikačnom softvéri používanom v informačnom systéme.
Ak si myslíte, že hrozby druhého typu sú váš prípad, potom spíte a uvidíte, ako tí istí agenti CIA, MI6, MOSSAD, zlý osamelý hacker alebo skupina umiestnili záložky do nejakého balíka kancelárskeho softvéru, aby presne hľadali vaše osobné údaje. Áno, existuje pochybný aplikačný softvér ako μTorrent, ale môžete vytvoriť zoznam povoleného softvéru na inštaláciu a podpísať zmluvu s používateľmi, neudeliť používateľom práva lokálneho správcu atď.
Hrozby 3. typu sú relevantné pre informačný systém, ak sú preň relevantné hrozby, ktoré nesúvisia s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v systéme a aplikačnom softvéri používanom v informačnom systéme.
Hrozby typu 1 a 2 nie sú pre vás vhodné, preto je toto miesto pre vás.
Vytriedili sme typy hrozieb, teraz sa pozrime, akú úroveň bezpečnosti bude mať naša ISPD.
Tabuľka založená na korešpondenciách uvedených v .
Ak by sme zvolili tretí typ skutočných hrozieb, tak vo väčšine prípadov budeme mať UZ-3. Jedinou výnimkou, kedy hrozby typu 1 a 2 nie sú relevantné, ale úroveň zabezpečenia bude stále vysoká (UZ-2), sú spoločnosti, ktoré spracúvajú osobitné osobné údaje nezamestnaných osôb v objeme nad 100 000. napríklad spoločnosti zaoberajúce sa lekárskou diagnostikou a poskytovaním zdravotníckych služieb.
Existuje aj UZ-4 a nachádza sa najmä v spoločnostiach, ktorých podnikanie nesúvisí so spracovaním osobných údajov osôb, ktoré nie sú zamestnancami, t.j. klientov alebo dodávateľov, alebo sú databázy osobných údajov malé.
Prečo je také dôležité nepreháňať to s úrovňou zabezpečenia? Je to jednoduché: od toho bude závisieť súbor opatrení a prostriedkov ochrany, ktoré zabezpečia práve túto úroveň bezpečnosti. Čím vyššia je úroveň vedomostí, tým viac bude potrebné urobiť organizačne a technicky (čítajte: tým viac peňazí a nervov bude potrebné minúť).
Tu je napríklad uvedené, ako sa mení súbor bezpečnostných opatrení v súlade s rovnakým PP-1119.
Teraz sa pozrime, ako sa v závislosti od zvolenej úrovne zabezpečenia mení zoznam potrebných opatrení v súlade s K tomuto dokumentu sa nachádza dlhá príloha, ktorá definuje potrebné opatrenia. Spolu ich je 109, pre každý km sú definované povinné opatrenia a označené znamienkom „+“ - sú presne vypočítané v tabuľke nižšie. Ak necháte iba tie potrebné pre UZ-3, dostanete 4.
realita: ak nezbierate testy alebo biometriu od klientov, nie ste paranoidní zo záložiek v systémovom a aplikačnom softvéri, tak s najväčšou pravdepodobnosťou máte UZ-3. Má primeraný zoznam organizačných a technických opatrení, ktoré je možné skutočne realizovať.
Mýtus 5. Všetky prostriedky ochrany osobných údajov musia byť certifikované FSTEC Ruska
Ak chcete alebo ste povinní vykonať certifikáciu, s najväčšou pravdepodobnosťou budete musieť používať certifikované ochranné prostriedky. Certifikáciu vykoná držiteľ licencie FSTEC Ruska, ktorý:
- záujem o predaj viac certifikovaných zariadení na ochranu informácií;
- bude sa báť odobratia licencie regulátorom, ak sa niečo pokazí.
Ak nepotrebujete certifikáciu a ste pripravení potvrdiť súlad s požiadavkami iným spôsobom, uvedeným v „Posúdenie účinnosti opatrení zavedených v rámci systému ochrany osobných údajov na zaistenie bezpečnosti osobných údajov,“ potom sa od vás certifikované systémy informačnej bezpečnosti nevyžadujú. Pokúsim sa stručne vysvetliť dôvody.
В uvádza, že je potrebné používať ochranné prostriedky, ktoré prešli postupom posudzovania zhody v súlade so stanoveným postupom:
Zabezpečenie bezpečnosti osobných údajov sa dosiahne najmä:
[…] 3) používanie prostriedkov informačnej bezpečnosti, ktoré prešli postupom hodnotenia zhody v súlade so stanoveným postupom.
В Existuje aj požiadavka používať nástroje informačnej bezpečnosti, ktoré prešli postupom na posúdenie súladu s právnymi požiadavkami:
[…] používanie nástrojov informačnej bezpečnosti, ktoré prešli postupom na posúdenie súladu s požiadavkami právnych predpisov Ruskej federácie v oblasti informačnej bezpečnosti v prípadoch, keď je použitie takýchto prostriedkov nevyhnutné na neutralizáciu aktuálnych hrozieb.
prakticky duplikuje odsek PP-1119:
Opatrenia na zaistenie bezpečnosti osobných údajov sa realizujú okrem iného aj používaním nástrojov informačnej bezpečnosti v informačnom systéme, ktoré prešli postupom posudzovania zhody v súlade so stanoveným postupom, v prípadoch, keď je použitie takýchto nástrojov nevyhnutné na neutralizovať aktuálne hrozby pre bezpečnosť osobných údajov.
Čo majú tieto formulácie spoločné? Je to tak – nevyžadujú používanie certifikovaných ochranných prostriedkov. Faktom je, že existuje niekoľko foriem posudzovania zhody (dobrovoľná alebo povinná certifikácia, vyhlásenie o zhode). Certifikácia je len jedným z nich. Prevádzkovateľ môže použiť necertifikované výrobky, ale bude musieť pri kontrole preukázať regulačnému orgánu, že prešli určitou formou postupu posudzovania zhody.
Ak sa prevádzkovateľ rozhodne používať certifikované ochranné prostriedky, potom je potrebné zvoliť systém ochrany informácií v súlade s ultrazvukovou ochranou, ktorá je zreteľne uvedená v :
Technické opatrenia na ochranu osobných údajov sa realizujú pomocou nástrojov informačnej bezpečnosti, vrátane softvérových (hardvérových a softvérových) nástrojov, v ktorých sú implementované a ktoré majú potrebné bezpečnostné funkcie.
Pri používaní nástrojov informačnej bezpečnosti certifikovaných podľa požiadaviek informačnej bezpečnosti v informačných systémoch:
realita: Zákon nevyžaduje povinné používanie certifikovaných ochranných prostriedkov.
Mýtus 6. Potrebujem kryptoochranu
Tu je niekoľko nuancií:
- Mnoho ľudí verí, že kryptografia je povinná pre každý ISPD. V skutočnosti by sa mali používať iba vtedy, ak prevádzkovateľ pre seba nevidí žiadne iné ochranné opatrenia okrem použitia kryptografie.
- Ak sa nezaobídete bez kryptografie, musíte použiť CIPF certifikovaný FSB.
- Napríklad sa rozhodnete hostiť ISPD v cloude poskytovateľa služieb, ale neveríte mu. Opisujete svoje obavy v modeli hrozby a votrelca. Máte osobné údaje, takže ste sa rozhodli, že kryptografia je jediný spôsob, ako sa chrániť: budete šifrovať virtuálne stroje, budovať zabezpečené kanály pomocou kryptografickej ochrany. V tomto prípade budete musieť použiť CIPF certifikovaný FSB Ruska.
- Certifikované CIPF sa vyberajú v súlade s určitou úrovňou bezpečnosti podľa .
Pre ISPDn s UZ-3 môžete použiť KS1, KS2, KS3. KS1 je napríklad C-Terra Virtual Gateway 4.2 na ochranu kanálov.
KC2, KS3 sú zastúpené iba softvérovými a hardvérovými systémami, ako sú: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway atď.
Ak máte UZ-2 alebo 1, budete potrebovať kryptografické ochranné prostriedky triedy KV1, 2 a KA. Ide o špecifické softvérové a hardvérové systémy, ich obsluha je náročná a ich výkonové charakteristiky sú skromné.
realita: Zákon nezaväzuje používať CIPF certifikované FSB.
Zdroj: hab.com