Pozdravljeni vsi skupaj! Vodim Center za kibernetsko obrambo DataLine. Stranke pridejo k nam z nalogo, da izpolnijo zahteve 152-FZ v oblaku ali na fizični infrastrukturi.
Skoraj v vsakem projektu je potrebno izvajati izobraževalno delo, da razkrijemo mite o tem zakonu. Zbral sem najpogostejša zmota, ki lahko drago stanejo proračun in živčni sistem upravljavca osebnih podatkov. Takoj bom pridržal, da bodo primeri državnih uradov (GIS), ki se ukvarjajo z državnimi skrivnostmi, KII itd., ostali zunaj obsega tega članka.
Mit 1. Inštaliral sem antivirus, požarni zid in regale obdal z ograjo. Ali upoštevam zakon?
152-FZ ne gre za zaščito sistemov in strežnikov, temveč za varstvo osebnih podatkov subjektov. Zato se skladnost s 152-FZ ne začne z protivirusnim programom, temveč z velikim številom kosov papirja in organizacijskih vprašanj.
Glavni inšpektor, Roskomnadzor, ne bo gledal na prisotnost in stanje tehničnih sredstev zaščite, temveč na pravno podlago za obdelavo osebnih podatkov (PD):
- za kakšen namen zbirate osebne podatke;
- ali jih zberete več, kot jih potrebujete za svoje namene;
- koliko časa hranite osebne podatke;
- ali obstaja politika obdelave osebnih podatkov;
- Ali zbirate soglasje za obdelavo osebnih podatkov, čezmejni prenos, obdelavo s strani tretjih oseb itd.
Odgovore na ta vprašanja, pa tudi procese same, je treba zapisati v ustrezne dokumente. Tukaj je daleč nepopoln seznam tega, kar mora pripraviti upravljavec osebnih podatkov:
- Standardni obrazec za soglasje za obdelavo osebnih podatkov (to so listi, ki jih zdaj podpišemo skoraj povsod, kjer pustimo svoja polna imena in podatke o potnem listu).
- Politika upravljavca glede obdelave osebnih podatkov ( obstajajo priporočila za oblikovanje).
- Odredba o imenovanju odgovorne osebe za organizacijo obdelave osebnih podatkov.
- Opis del odgovorne osebe za organizacijo obdelave osebnih podatkov.
- Pravila za notranji nadzor in (ali) revizijo skladnosti obdelave PD z zakonskimi zahtevami.
- Seznam informacijskih sistemov osebnih podatkov (ISPD).
- Pravila za zagotavljanje dostopa subjekta do njegovih osebnih podatkov.
- Predpisi o preiskavi incidentov.
- Odredba o sprejemu delavcev v obdelavo osebnih podatkov.
- Predpisi za interakcijo z regulatorji.
- Obvestilo RKN itd.
- Navodilo za obdelavo PD.
- Model grožnje ISPD.
Po rešitvi teh vprašanj lahko začnete z izbiro posebnih ukrepov in tehničnih sredstev. Katere potrebujete, je odvisno od sistemov, njihovih pogojev delovanja in trenutnih groženj. A več o tem kasneje.
realnost: skladnost z zakonom je vzpostavitev in skladnost z določenimi procesi, najprej, in šele drugič - uporaba posebnih tehničnih sredstev.
Mit 2. Osebne podatke hranim v oblaku, podatkovnem centru, ki izpolnjuje zahteve 152-FZ. Zdaj so odgovorni za izvajanje zakona
Ko shranjevanje osebnih podatkov oddate ponudniku oblaka ali podatkovnemu centru, s tem ne prenehate biti upravljavec osebnih podatkov.
Naj na pomoč pokličemo definicijo iz zakona:
Obdelava osebnih podatkov – vsako dejanje (operacija) ali niz dejanj (operacij), ki se izvajajo z uporabo orodij za avtomatizacijo ali brez uporabe takih sredstev z osebnimi podatki, vključno z zbiranjem, beleženjem, sistematizacijo, zbiranjem, shranjevanjem, pojasnjevanjem (posodabljanjem, spreminjanjem), ekstrakcija, uporaba, prenos (distribucija, posredovanje, dostop), depersonalizacija, blokiranje, izbris, uničenje osebnih podatkov.
Vir: člen 3,
Od vseh teh dejanj je ponudnik storitev odgovoren za shranjevanje in uničenje osebnih podatkov (ko naročnik z njim prekine pogodbo). Vse ostalo zagotavlja upravljavec osebnih podatkov. To pomeni, da operater in ne ponudnik storitev določa politiko obdelave osebnih podatkov, od svojih naročnikov pridobiva podpisana soglasja za obdelavo osebnih podatkov, preprečuje in preiskuje primere odtekanja osebnih podatkov tretjim osebam ipd.
Posledično mora upravljavec osebnih podatkov še vedno zbirati zgoraj naštete dokumente in izvajati organizacijske in tehnične ukrepe za zaščito svojih ZIZP.
Običajno ponudnik pomaga operaterju tako, da zagotovi skladnost z zakonskimi zahtevami na infrastrukturni ravni, kjer se bo nahajal operaterjev ISPD: stojala z opremo ali oblak. Zbere tudi paket dokumentov, sprejme organizacijske in tehnične ukrepe za svoj del infrastrukture v skladu s 152-FZ.
Nekateri ponudniki pomagajo pri papirologiji in zagotavljanju tehničnih varnostnih ukrepov za ISDN-je sami, torej na ravni nad infrastrukturo. Operater lahko te naloge izvaja tudi zunanjim izvajalcem, vendar odgovornost in obveznosti po zakonu ne izginejo.
realnost: Z uporabo storitev ponudnika ali podatkovnega centra nanj ne morete prenesti odgovornosti upravljavca osebnih podatkov in se znebiti odgovornosti. Če vam ponudnik to obljubi, potem, milo rečeno, laže.
Mit 3. Imam potreben paket dokumentov in ukrepov. Osebne podatke hranim pri ponudniku, ki obljublja skladnost s 152-FZ. Je vse v redu?
Da, če se spomnite podpisati naročilo. Po zakonu lahko upravljavec obdelavo osebnih podatkov zaupa drugi osebi, na primer istemu ponudniku storitev. Naročilo je neke vrste pogodba, v kateri je navedeno, kaj lahko izvajalec stori z osebnimi podatki operaterja.
Upravljavec ima pravico, da obdelavo osebnih podatkov zaupa drugi osebi s privolitvijo subjekta osebnih podatkov, razen če zvezni zakon ne določa drugače, na podlagi sporazuma, sklenjenega s to osebo, vključno z državno ali občinsko pogodbo, ali s sprejemom ustreznega akta državnega ali občinskega organa (v nadaljnjem besedilu izvajalec dodelitve). Oseba, ki obdeluje osebne podatke v imenu operaterja, je dolžna upoštevati načela in pravila za obdelavo osebnih podatkov, ki jih določa ta zvezni zakon.
Vir:
Določa se tudi obveznost ponudnika, da varuje zaupnost osebnih podatkov in zagotavlja njihovo varnost v skladu z navedenimi zahtevami:
V navodilih upravljavca mora biti opredeljen seznam dejanj (operacij) z osebnimi podatki, ki jih bo izvajala oseba, ki obdeluje osebne podatke, in nameni obdelave, določena mora biti obveznost te osebe, da varuje zaupnost osebnih podatkov in zagotavlja varnosti osebnih podatkov med njihovo obdelavo, kot tudi zahteve za varstvo obdelanih osebnih podatkov je treba določiti v skladu z tega zveznega zakona.
Vir:
Za to je ponudnik odgovoren upravljavcu in ne subjektu osebnih podatkov:
Če upravljavec obdelavo osebnih podatkov zaupa drugi osebi, odgovarja subjektu osebnih podatkov za dejanja navedene osebe. Oseba, ki obdeluje osebne podatke v imenu upravljavca, je odgovorna upravljavcu.
Vir: .
Pomembno je tudi, da se v odredbi določi obveznost zagotavljanja varstva osebnih podatkov:
Varnost osebnih podatkov pri obdelavi v informacijskem sistemu zagotavlja upravljavec tega sistema, ki obdeluje osebne podatke (v nadaljevanju upravljavec), ali oseba, ki v imenu upravljavca obdeluje osebne podatke na podlagi pogodbo, sklenjeno s to osebo (v nadaljevanju pooblaščenec). V dogovoru med upravljavcem in pooblaščeno osebo mora biti določena obveznost pooblaščene osebe, da zagotavlja varnost osebnih podatkov pri obdelavi v informacijskem sistemu.
Vir:
realnost: Če ponudniku posredujete osebne podatke, podpišite naročilo. V odredbi navedite zahtevo po zagotavljanju varstva osebnih podatkov subjektov. V nasprotnem primeru ne upoštevate zakona o prenosu obdelave osebnih podatkov na tretjo osebo in vam ponudnik ne dolguje ničesar glede skladnosti s 152-FZ.
Mit 4. Mossad vohuni za mano ali pa zagotovo imam UZ-1
Nekatere stranke vztrajno dokazujejo, da imajo ISPD varnostne stopnje 1 ali 2. Najpogosteje temu ni tako. Spomnimo se strojne opreme, da ugotovimo, zakaj se to zgodi.
LO ali raven varnosti določa, pred čim boste varovali svoje osebne podatke.
Na raven varnosti vplivajo naslednje točke:
- vrsta osebnih podatkov (posebni, biometrični, javno dostopni in drugi);
- kdo je lastnik osebnih podatkov – zaposleni ali nezaposleni pri upravljavcu osebnih podatkov;
- število oseb, na katere se nanašajo osebni podatki – več ali manj 100 tisoč.
- vrste trenutnih groženj.
Pove nam o vrstah groženj . Tukaj je opis vsakega z mojim brezplačnim prevodom v človeški jezik.
Grožnje tipa 1 so pomembne za informacijski sistem, če so zanj pomembne tudi grožnje, povezane s prisotnostjo nedokumentiranih (nedeklariranih) zmogljivosti v sistemski programski opremi, ki se uporablja v informacijskem sistemu.
Če prepoznate to vrsto grožnje kot pomembno, potem ste trdno prepričani, da so agenti Cie, MI6 ali MOSSAD v operacijski sistem postavili zaznamek za krajo osebnih podatkov določenih subjektov iz vašega ISPD.
Grožnje 2. vrste so relevantne za informacijski sistem, če so zanj relevantne tudi grožnje, povezane s prisotnostjo nedokumentiranih (nedeklariranih) zmogljivosti v aplikacijski programski opremi, ki se uporablja v informacijskem sistemu.
Če mislite, da so grožnje druge vrste vaš primer, potem spite in vidite, kako so isti agenti Cie, MI6, MOSSAD, zlobni osamljeni heker ali skupina postavili zaznamke v nek pisarniški programski paket, da bi lovili točno vaše osebne podatke. Da, obstaja dvomljiva programska oprema, kot je μTorrent, vendar lahko naredite seznam dovoljene programske opreme za namestitev in podpišete pogodbo z uporabniki, uporabnikom ne dodelite pravic lokalnega skrbnika itd.
Grožnje tipa 3 so relevantne za informacijski sistem, če so zanj relevantne grožnje, ki niso povezane s prisotnostjo nedokumentiranih (nedeklariranih) zmogljivosti v sistemu in aplikacijski programski opremi, ki se uporablja v informacijskem sistemu.
Grožnje tipa 1 in 2 za vas niso primerne, zato je to mesto za vas.
Razvrstili smo vrste groženj, zdaj pa poglejmo, kakšno raven varnosti bo imel naš ISPD.
Tabela na podlagi korespondenc, navedenih v .
Če izberemo tretjo vrsto dejanskih groženj, potem bomo imeli v večini primerov UZ-3. Edina izjema, ko grožnje tipa 1 in 2 niso relevantne, a bo stopnja varnosti še vedno visoka (UZ-2), so podjetja, ki obdelujejo posebne osebne podatke nezaposlenih v obsegu nad 100. na primer podjetja, ki se ukvarjajo z medicinsko diagnostiko in zagotavljanjem zdravstvenih storitev.
Obstaja tudi UZ-4, najdemo pa ga predvsem v podjetjih, katerih dejavnost ni povezana z obdelavo osebnih podatkov nezaposlenih, torej naročnikov ali izvajalcev, ali pa so zbirke osebnih podatkov majhne.
Zakaj je tako pomembno, da ne pretiravate s stopnjo varnosti? Preprosto: od tega bo odvisen nabor ukrepov in zaščitnih sredstev za zagotavljanje te stopnje varnosti. Višji kot je nivo znanja, več bo treba narediti v organizacijskem in tehničnem smislu (beri: več denarja in živcev).
Tukaj je na primer, kako se nabor varnostnih ukrepov spreminja v skladu z istim PP-1119.
Zdaj pa poglejmo, kako se glede na izbrano raven varnosti seznam potrebnih ukrepov spremeni v skladu z K temu dokumentu je dolga priloga, ki opredeljuje potrebne ukrepe. Skupaj jih je 109, za vsako KM so določeni in označeni z znakom “+” obvezni ukrepi – natančno so izračunani v spodnji tabeli. Če pustite samo tiste, ki so potrebni za UZ-3, dobite 4.
realnost: če ne zbirate testov ali biometrije od strank, niste paranoični glede zaznamkov v sistemski in aplikacijski programski opremi, potem imate najverjetneje UZ-3. Ima razumen seznam organizacijskih in tehničnih ukrepov, ki jih je dejansko mogoče izvesti.
Mit 5. Vsa sredstva za zaščito osebnih podatkov morajo biti certificirana s strani FSTEC Rusije
Če želite ali morate izvesti certificiranje, potem boste najverjetneje morali uporabljati certificirano zaščitno opremo. Certifikacijo bo izvedel imetnik licence FSTEC Rusije, ki:
- zainteresirani za prodajo več certificiranih naprav za zaščito informacij;
- se bo bal, da bo regulator odvzel dovoljenje, če bo kaj narobe.
Če ne potrebujete certifikata in ste pripravljeni potrditi skladnost z zahtevami na drug način, imenovan v »Ocenjevanje učinkovitosti izvedenih ukrepov v okviru sistema varstva osebnih podatkov za zagotavljanje varnosti osebnih podatkov«, potem certificirani sistemi za varovanje informacij za vas niso potrebni. Poskušal bom na kratko razložiti utemeljitev.
В navaja, da je treba uporabljati zaščitno opremo, ki je prestala postopek ugotavljanja skladnosti po predpisanem postopku.:
Zagotavljanje varnosti osebnih podatkov je doseženo zlasti:
[…] 3) uporaba informacijskovarnostnih sredstev, ki so prestala postopek ugotavljanja skladnosti po predpisanem postopku.
В Obstaja tudi zahteva po uporabi orodij za informacijsko varnost, ki so prestala postopek presoje skladnosti z zakonskimi zahtevami:
[…] uporaba orodij za informacijsko varnost, ki so prestala postopek ocenjevanja skladnosti z zahtevami zakonodaje Ruske federacije na področju informacijske varnosti, v primerih, ko je uporaba takih sredstev potrebna za nevtralizacijo trenutnih groženj.
praktično podvaja odstavek PP-1119:
Ukrepi za zagotavljanje varnosti osebnih podatkov se med drugim izvajajo z uporabo orodij za varovanje informacij v informacijskem sistemu, ki so prestala postopek ugotavljanja skladnosti po predpisanem postopku, v primerih, ko je uporaba teh orodij nujna za nevtralizirati trenutne grožnje varnosti osebnih podatkov.
Kaj imajo te formulacije skupnega? Tako je – ne zahtevajo uporabe certificirane zaščitne opreme. Dejstvo je, da obstaja več oblik ugotavljanja skladnosti (prostovoljno ali obvezno certificiranje, izjava o skladnosti). Certificiranje je le eden izmed njih. Upravljavec lahko uporablja necertificirane izdelke, vendar bo moral regulatorju ob inšpekcijskem pregledu dokazati, da je bila zanje opravljena neka oblika postopka ugotavljanja skladnosti.
Če se upravljavec odloči za uporabo certificirane zaščitne opreme, je potrebno izbrati sistem varovanja informacij v skladu z ultrazvočno zaščito, kar je jasno navedeno v :
Tehnični ukrepi za varovanje osebnih podatkov se izvajajo z uporabo orodij za varovanje informacij, vključno s programskimi (strojnimi) orodji, v katerih so implementirani, ki imajo potrebne varnostne funkcije.
Pri uporabi orodij za informacijsko varnost, certificiranih po zahtevah glede informacijske varnosti v informacijskih sistemih:
realnost: Zakon ne zahteva obvezne uporabe certificirane zaščitne opreme.
Mit 6. Potrebujem kripto zaščito
Tukaj je nekaj odtenkov:
- Veliko ljudi verjame, da je kriptografija obvezna za vsak ISPD. Pravzaprav jih je treba uporabiti le, če operater zase ne vidi drugih zaščitnih ukrepov razen uporabe kriptografije.
- Če ne morete brez kriptografije, potem morate uporabiti CIPF, ki ga je potrdil FSB.
- Na primer, odločite se gostiti ISPD v oblaku ponudnika storitev, vendar mu ne zaupate. Svoje skrbi opisujete v modelu grožnje in vsiljivca. Imate osebne podatke, zato ste se odločili, da je kriptografija edini način, da se zaščitite: šifrirali boste virtualne stroje, zgradili varne kanale s kriptografsko zaščito. V tem primeru boste morali uporabiti CIPF, ki ga je potrdil FSB Rusije.
- Certificirani CIPF so izbrani v skladu z določeno stopnjo varnosti glede na .
Za ISPDn z UZ-3 lahko uporabite KS1, KS2, KS3. KS1 je na primer C-Terra Virtual Gateway 4.2 za zaščito kanalov.
KC2, KS3 predstavljajo samo sistemi programske in strojne opreme, kot so: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway itd.
Če imate UZ-2 ali 1, boste potrebovali sredstva za kriptografsko zaščito razreda KV1, 2 in KA. Gre za specifične sisteme programske in strojne opreme, ki jih je težko upravljati, njihove zmogljivosti pa so skromne.
realnost: Zakon ne obvezuje uporabe CIPF, ki ga je potrdil FSB.
Vir: www.habr.com