Pershendetje te gjitheve! Unë drejtoj Qendrën e Mbrojtjes Kibernetike DataLine. Klientët vijnë tek ne me detyrën për të përmbushur kërkesat e 152-FZ në cloud ose në infrastrukturën fizike.
Pothuajse në çdo projekt është e nevojshme të kryhet një punë edukative për të rrëzuar mitet rreth këtij ligji. Unë kam mbledhur keqkuptimet më të zakonshme që mund të jenë të kushtueshme për buxhetin dhe sistemin nervor të operatorit të të dhënave personale. Unë do të bëj menjëherë një rezervë që rastet e zyrave shtetërore (GIS) që kanë të bëjnë me sekretet shtetërore, IKI, etj., do të mbeten jashtë objektit të këtij neni.
Miti 1. Instalova një antivirus, një mur zjarri dhe i rrethova raftet me një gardh. A po ndjek ligjin?
152-FZ nuk ka të bëjë me mbrojtjen e sistemeve dhe serverëve, por me mbrojtjen e të dhënave personale të subjekteve. Prandaj, pajtueshmëria me 152-FZ fillon jo me një antivirus, por me një numër të madh copë letre dhe çështje organizative.
Inspektori kryesor, Roskomnadzor, nuk do të shikojë praninë dhe gjendjen e mjeteve teknike të mbrojtjes, por bazën ligjore për përpunimin e të dhënave personale (PD):
- për çfarë qëllimi mbledhni të dhëna personale;
- nëse mbledhni më shumë prej tyre sesa ju nevojiten për qëllimet tuaja;
- për sa kohë i ruani të dhënat personale;
- a ka një politikë për përpunimin e të dhënave personale;
- A po mbledhni pëlqimin për përpunimin e të dhënave personale, transferimin ndërkufitar, përpunimin nga palët e treta, etj.
Përgjigjet e këtyre pyetjeve, si dhe vetë proceset, duhet të regjistrohen në dokumente përkatëse. Këtu është një listë jo e plotë e asaj që një operator i të dhënave personale duhet të përgatisë:
- Një formular standard i pëlqimit për përpunimin e të dhënave personale (këto janë fletët që ne tani i nënshkruajmë pothuajse kudo ku lëmë emrat tanë të plotë dhe të dhënat e pasaportës).
- Politika e operatorit në lidhje me përpunimin e të dhënave personale ( ka rekomandime për dizajn).
- Urdhër për caktimin e një personi përgjegjës për organizimin e përpunimit të të dhënave personale.
- Përshkrimi i punës së personit përgjegjës për organizimin e përpunimit të të dhënave personale.
- Rregullat për kontrollin e brendshëm dhe (ose) auditimin e përputhshmërisë së përpunimit të PD me kërkesat ligjore.
- Lista e sistemeve të informacionit të të dhënave personale (ISPD).
- Rregulloret për sigurimin e aksesit të subjektit në të dhënat e tij personale.
- Rregulloret për hetimin e incidenteve.
- Urdhër për pranimin e punonjësve në përpunimin e të dhënave personale.
- Rregulloret për ndërveprim me rregullatorët.
- Njoftimi i RKN etj.
- Formulari i udhëzimit për përpunimin e PD.
- Modeli i kërcënimit ISPD.
Pas zgjidhjes së këtyre çështjeve, mund të filloni të zgjidhni masa specifike dhe mjete teknike. Cilat prej tyre ju nevojiten varet nga sistemet, kushtet e tyre të funksionimit dhe kërcënimet aktuale. Por më shumë për këtë më vonë.
Realiteti: pajtueshmëria me ligjin është vendosja dhe respektimi i proceseve të caktuara, para së gjithash, dhe vetëm së dyti - përdorimi i mjeteve të veçanta teknike.
Miti 2. Unë ruaj të dhënat personale në cloud, një qendër të dhënash që plotëson kërkesat e 152-FZ. Tani ata janë përgjegjës për zbatimin e ligjit
Kur kontraktoni ruajtjen e të dhënave personale te një ofrues cloud ose qendër të dhënash, ju nuk pushoni së qeni një operator i të dhënave personale.
Le të kërkojmë ndihmë përkufizimin nga ligji:
Përpunimi i të dhënave personale - çdo veprim (operacion) ose grup veprimesh (operacionesh) të kryera duke përdorur mjete automatizimi ose pa përdorimin e mjeteve të tilla me të dhëna personale, duke përfshirë mbledhjen, regjistrimin, sistemimin, grumbullimin, ruajtjen, sqarimin (përditësimin, ndryshimin). nxjerrja, përdorimi, transferimi (shpërndarja, sigurimi, aksesi), depersonalizimi, bllokimi, fshirja, shkatërrimi i të dhënave personale.
Burimi: artikulli 3,
Nga të gjitha këto veprime, ofruesi i shërbimit është përgjegjës për ruajtjen dhe shkatërrimin e të dhënave personale (kur klienti zgjidh kontratën me të). Çdo gjë tjetër ofrohet nga operatori i të dhënave personale. Kjo do të thotë që operatori, dhe jo ofruesi i shërbimit, përcakton politikën për përpunimin e të dhënave personale, merr pëlqimet e nënshkruara për përpunimin e të dhënave personale nga klientët e tij, parandalon dhe heton rastet e rrjedhjes së të dhënave personale te palët e treta, etj.
Për rrjedhojë, operatori i të dhënave personale duhet ende të mbledhë dokumentet që u renditën më sipër dhe të zbatojë masat organizative dhe teknike për të mbrojtur PDIS-in e tyre.
Në mënyrë tipike, ofruesi e ndihmon operatorin duke siguruar përputhjen me kërkesat ligjore në nivelin e infrastrukturës ku do të vendoset ISPD e operatorit: raftet me pajisje ose cloud. Ai gjithashtu mbledh një paketë dokumentesh, merr masa organizative dhe teknike për pjesën e tij të infrastrukturës në përputhje me 152-FZ.
Disa ofrues ndihmojnë me shkresat dhe sigurimin e masave teknike të sigurisë për vetë ISDN-të, d.m.th., në një nivel mbi infrastrukturën. Operatori gjithashtu mund të kontraktojë këto detyra, por përgjegjësia dhe detyrimet sipas ligjit nuk zhduken.
Realiteti: Duke përdorur shërbimet e një ofruesi ose qendre të të dhënave, nuk mund t'i transferoni atij përgjegjësitë e një operatori të të dhënave personale dhe të shpëtoni nga përgjegjësia. Nëse ofruesi ju premton këtë, atëherë, për ta thënë butë, ai gënjen.
Miti 3. Kam paketën e nevojshme të dokumenteve dhe masave. Unë ruaj të dhënat personale me një ofrues që premton pajtueshmëri me 152-FZ. A është gjithçka në rregull?
Po, nëse ju kujtohet të nënshkruani urdhrin. Sipas ligjit, operatori mund t'ia besojë përpunimin e të dhënave personale një personi tjetër, për shembull, të njëjtit ofrues shërbimi. Një porosi është një lloj marrëveshjeje që liston se çfarë mund të bëjë ofruesi i shërbimit me të dhënat personale të operatorit.
Operatori ka të drejtë t'i besojë përpunimin e të dhënave personale një personi tjetër me pëlqimin e subjektit të të dhënave personale, përveç nëse parashikohet ndryshe nga Ligji Federal, në bazë të një marrëveshjeje të lidhur me këtë person, duke përfshirë një kontratë shtetërore ose komunale, ose me miratimin e një akti përkatës nga organi shtetëror ose komunal (në tekstin e mëtejmë operatori i caktimit). Personi që përpunon të dhënat personale në emër të operatorit është i detyruar të respektojë parimet dhe rregullat për përpunimin e të dhënave personale të parashikuara nga ky ligj federal.
Burimi:
Detyrimi i ofruesit për të ruajtur konfidencialitetin e të dhënave personale dhe për të siguruar sigurinë e tyre në përputhje me kërkesat e specifikuara përcaktohet gjithashtu:
Urdhri i operatorit duhet të përcaktojë një listë veprimesh (operacionesh) me të dhënat personale që do të kryhen nga personi që përpunon të dhënat personale dhe qëllimet e përpunimit, detyrimi i një personi të tillë duhet të përcaktohet për të ruajtur konfidencialitetin e të dhënave personale dhe për të siguruar siguria e të dhënave personale gjatë përpunimit të tyre, si dhe kërkesat për mbrojtjen e të dhënave personale të përpunuara duhet të specifikohen në përputhje me të këtij ligji federal.
Burimi:
Për këtë, ofruesi është përgjegjës ndaj operatorit, dhe jo ndaj subjektit të të dhënave personale:
Nëse operatori ia beson përpunimin e të dhënave personale një personi tjetër, operatori është përgjegjës ndaj subjektit të të dhënave personale për veprimet e personit të specifikuar. Personi që përpunon të dhënat personale në emër të operatorit është përgjegjës para operatorit.
Burimi: .
Është gjithashtu e rëndësishme të përcaktohet në urdhër detyrimi për të siguruar mbrojtjen e të dhënave personale:
Siguria e të dhënave personale kur përpunohen në një sistem informacioni sigurohet nga operatori i këtij sistemi, i cili përpunon të dhënat personale (në tekstin e mëtejmë operatori), ose nga personi që përpunon të dhënat personale në emër të operatorit në bazë të një marrëveshjen e lidhur me këtë person (në tekstin e mëtejmë personi i autorizuar). Marrëveshja ndërmjet operatorit dhe personit të autorizuar duhet të parashikojë detyrimin e personit të autorizuar për të garantuar sigurinë e të dhënave personale kur përpunohen në sistemin e informacionit.
Burimi:
Realiteti: Nëse i jepni të dhënat personale ofruesit, atëherë nënshkruani porosinë. Në rend tregoni kërkesën për të siguruar mbrojtjen e të dhënave personale të subjekteve. Përndryshe, ju nuk respektoni ligjin në lidhje me transferimin e punës së përpunimit të të dhënave personale te një palë e tretë dhe ofruesi nuk ju detyrohet asgjë në lidhje me pajtueshmërinë me 152-FZ.
Miti 4. Mossad po më spiunon, ose unë kam patjetër një UZ-1
Disa klientë dëshmojnë vazhdimisht se kanë një ISPD të nivelit të sigurisë 1 ose 2. Më shpesh nuk është kështu. Le të kujtojmë harduerin për të kuptuar pse ndodh kjo.
LO, ose niveli i sigurisë, përcakton nga çfarë do t'i mbroni të dhënat tuaja personale.
Niveli i sigurisë ndikohet nga pikat e mëposhtme:
- llojin e të dhënave personale (të veçanta, biometrike, të disponueshme publikisht dhe të tjera);
- i cili zotëron të dhënat personale - punonjës ose jo punonjës të operatorit të të dhënave personale;
- numri i subjekteve të të dhënave personale – pak a shumë 100 mijë.
- llojet e kërcënimeve aktuale.
Na tregon për llojet e kërcënimeve . Këtu është një përshkrim i secilit me përkthimin tim falas në gjuhën njerëzore.
Kërcënimet e llojit të parë janë të rëndësishme për një sistem informacioni nëse kërcënimet që lidhen me praninë e aftësive të padokumentuara (të padeklaruara) në softuerin e sistemit të përdorur në sistemin e informacionit janë gjithashtu të rëndësishme për të.
Nëse e njihni këtë lloj kërcënimi si të rëndësishëm, atëherë besoni me vendosmëri se agjentët e CIA-s, MI6 ose MOSSAD kanë vendosur një faqerojtës në sistemin operativ për të vjedhur të dhënat personale të subjekteve të veçanta nga ISPD-ja juaj.
Kërcënimet e llojit të dytë janë të rëndësishme për një sistem informacioni nëse kërcënimet që lidhen me praninë e aftësive të padokumentuara (të padeklaruara) në softuerin e aplikacionit të përdorur në sistemin e informacionit janë gjithashtu të rëndësishme për të.
Nëse mendoni se kërcënimet e llojit të dytë janë rasti juaj, atëherë flini dhe shihni sesi të njëjtët agjentë të CIA-s, MI6-së, MOSSAD-it, një haker apo grup i vetëm i keq kanë vendosur faqeshënues në ndonjë paketë softuerësh të zyrës për të gjuajtur saktësisht të dhënat tuaja personale. Po, ka softuer të dyshimtë aplikimi si μTorrent, por ju mund të bëni një listë të softuerëve të lejuar për instalim dhe të nënshkruani një marrëveshje me përdoruesit, të mos u jepni përdoruesve të drejta administratori lokal, etj.
Kërcënimet e tipit 3 janë të rëndësishme për një sistem informacioni nëse kërcënimet që nuk lidhen me praninë e aftësive të padokumentuara (të padeklaruara) në sistem dhe softuerin e aplikacionit të përdorur në sistemin e informacionit janë të rëndësishme për të.
Kërcënimet e llojeve 1 dhe 2 nuk janë të përshtatshme për ju, kështu që ky është vendi për ju.
Ne kemi renditur llojet e kërcënimeve, tani le të shohim se çfarë niveli sigurie do të ketë ISPD-ja jonë.
Tabela e bazuar në korrespondencën e specifikuar në .
Nëse zgjodhëm llojin e tretë të kërcënimeve aktuale, atëherë në shumicën e rasteve do të kemi UZ-3. Përjashtimi i vetëm, kur kërcënimet e llojeve 1 dhe 2 nuk janë relevante, por niveli i sigurisë do të jetë ende i lartë (UZ-2), janë kompanitë që përpunojnë të dhëna personale të veçanta të jopunonjësve në vlerën më shumë se 100. për shembull, kompanitë e angazhuara në diagnostikimin mjekësor dhe ofrimin e shërbimeve mjekësore.
Ekziston edhe UZ-4, dhe gjendet kryesisht në kompani, biznesi i të cilave nuk lidhet me përpunimin e të dhënave personale të jopunonjësve, pra klientëve ose kontraktorëve, ose bazat e të dhënave personale janë të vogla.
Pse është kaq e rëndësishme të mos e teproni me nivelin e sigurisë? Është e thjeshtë: grupi i masave dhe mjeteve të mbrojtjes për të siguruar pikërisht këtë nivel sigurie do të varet nga kjo. Sa më i lartë të jetë niveli i njohurive, aq më shumë do të duhet të bëhet në aspektin organizativ dhe teknik (lexo: aq më shumë para dhe nerva do të duhet të shpenzohen).
Këtu, për shembull, është se si ndryshon grupi i masave të sigurisë në përputhje me të njëjtin PP-1119.
Tani le të shohim se si, në varësi të nivelit të zgjedhur të sigurisë, lista e masave të nevojshme ndryshon në përputhje me Ky dokument ka një shtojcë të gjatë, e cila përcakton masat e nevojshme. Janë gjithsej 109 të tilla, për çdo KM janë përcaktuar dhe shënuar me shenjën “+” masat e detyrueshme – janë llogaritur saktësisht në tabelën e mëposhtme. Nëse lini vetëm ato që nevojiten për UZ-3, ju merrni 4.
Realiteti: nëse nuk mbledhni teste ose biometrikë nga klientët, nuk jeni paranojak për faqerojtësit në softuerin e sistemit dhe aplikacionit, atëherë ka shumë të ngjarë që të keni UZ-3. Ai ka një listë të arsyeshme të masave organizative dhe teknike që mund të zbatohen në të vërtetë.
Miti 5. Të gjitha mjetet e mbrojtjes së të dhënave personale duhet të certifikohen nga FSTEC i Rusisë
Nëse dëshironi ose ju kërkohet të kryeni certifikim, atëherë ka shumë të ngjarë që do t'ju duhet të përdorni pajisje mbrojtëse të certifikuara. Certifikimi do të kryhet nga një i licencuar i FSTEC të Rusisë, i cili:
- të interesuar për të shitur më shumë pajisje të certifikuara për mbrojtjen e informacionit;
- do të ketë frikë nga revokimi i licencës nga rregullatori nëse diçka nuk shkon.
Nëse nuk keni nevojë për certifikim dhe jeni gati të konfirmoni pajtueshmërinë me kërkesat në një mënyrë tjetër, të përmendur në "Vlerësimi i efektivitetit të masave të zbatuara brenda sistemit të mbrojtjes së të dhënave personale për të garantuar sigurinë e të dhënave personale", atëherë sistemet e certifikuara të sigurisë së informacionit nuk kërkohen për ju. Do të përpiqem të shpjegoj shkurtimisht arsyetimin.
В thekson se është e nevojshme të përdoren pajisje mbrojtëse që i janë nënshtruar procedurës së vlerësimit të konformitetit në përputhje me procedurën e vendosur:
Sigurimi i sigurisë së të dhënave personale është arritur, në veçanti:
[…] 3) përdorimi i mjeteve të sigurisë së informacionit që kanë kaluar procedurën e vlerësimit të përputhshmërisë në përputhje me procedurën e vendosur.
В Ekziston gjithashtu një kërkesë për të përdorur mjete të sigurisë së informacionit që kanë kaluar procedurën për vlerësimin e pajtueshmërisë me kërkesat ligjore:
[...] përdorimi i mjeteve të sigurisë së informacionit që i janë nënshtruar vlerësimit të përputhshmërisë me kërkesat e legjislacionit të Federatës Ruse në fushën e sigurisë së informacionit, në rastet kur përdorimi i mjeteve të tilla është i nevojshëm për të neutralizuar kërcënimet aktuale.
praktikisht dublikon paragrafin PP-1119:
Masat për të garantuar sigurinë e të dhënave personale zbatohen, ndër të tjera, nëpërmjet përdorimit të mjeteve të sigurisë së informacionit në sistemin e informacionit që kanë kaluar procedurën e vlerësimit të konformitetit në përputhje me procedurën e vendosur, në rastet kur përdorimi i këtyre mjeteve është i nevojshëm për të neutralizimi i kërcënimeve aktuale ndaj sigurisë së të dhënave personale.
Çfarë kanë të përbashkët këto formulime? Kjo është e drejtë - ata nuk kërkojnë përdorimin e pajisjeve mbrojtëse të certifikuara. Fakti është se ekzistojnë disa forma të vlerësimit të konformitetit (certifikimi vullnetar ose i detyrueshëm, deklarimi i konformitetit). Certifikimi është vetëm një prej tyre. Operatori mund të përdorë produkte të pacertifikuara, por duhet t'i demonstrojë rregullatorit pas inspektimit se ata i janë nënshtruar një lloj procedure të vlerësimit të konformitetit.
Nëse operatori vendos të përdorë pajisje mbrojtëse të certifikuara, atëherë është e nevojshme të zgjidhni sistemin e mbrojtjes së informacionit në përputhje me mbrojtjen me ultratinguj, i cili tregohet qartë në :
Masat teknike për mbrojtjen e të dhënave personale zbatohen përmes përdorimit të mjeteve të sigurisë së informacionit, duke përfshirë mjetet softuerike (hardware) në të cilat ato zbatohen, të cilat kanë funksionet e nevojshme të sigurisë.
Kur përdorni mjete të sigurisë së informacionit të certifikuara sipas kërkesave të sigurisë së informacionit në sistemet e informacionit:
Realiteti: Ligji nuk kërkon përdorimin e detyrueshëm të pajisjeve mbrojtëse të certifikuara.
Miti 6. Kam nevojë për mbrojtje kripto
Këtu ka disa nuanca:
- Shumë njerëz besojnë se kriptografia është e detyrueshme për çdo ISPD. Në fakt, ato duhet të përdoren vetëm nëse operatori nuk sheh ndonjë masë tjetër mbrojtëse për veten e tij, përveç përdorimit të kriptografisë.
- Nëse nuk mund të bëni pa kriptografi, atëherë duhet të përdorni CIPF të certifikuar nga FSB.
- Për shembull, ju vendosni të organizoni një ISPD në renë kompjuterike të një ofruesi shërbimi, por nuk i besoni. Ju përshkruani shqetësimet tuaja në një model kërcënimi dhe ndërhyrës. Ju keni të dhëna personale, ndaj keni vendosur që kriptografia është mënyra e vetme për të mbrojtur veten: do të kriptoni makinat virtuale, do të ndërtoni kanale të sigurta duke përdorur mbrojtjen kriptografike. Në këtë rast, do të duhet të përdorni CIPF të certifikuar nga FSB e Rusisë.
- CIPF-të e certifikuara zgjidhen në përputhje me një nivel të caktuar sigurie sipas .
Për ISPDn me UZ-3, mund të përdorni KS1, KS2, KS3. KS1 është, për shembull, C-Terra Virtual Gateway 4.2 për mbrojtjen e kanalit.
KC2, KS3 përfaqësohen vetëm nga sistemet softuerike dhe harduerike, si: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway etj.
Nëse keni UZ-2 ose 1, atëherë do t'ju nevojiten mjete mbrojtëse kriptografike të klasës KV1, 2 dhe KA. Këto janë sisteme specifike softuerike dhe harduerike, ato janë të vështira për t'u përdorur dhe karakteristikat e tyre të performancës janë modeste.
Realiteti: Ligji nuk e detyron përdorimin e CIPF të certifikuar nga FSB.
Burimi: www.habr.com