Halo sadayana! Kuring ngajalankeun DataLine Cyber Defense Center. Konsumén datang ka kami kalayan tugas nyumponan sarat 152-FZ dina awan atanapi dina infrastruktur fisik.
Dina ampir unggal proyék perlu ngalaksanakeun pagawean atikan pikeun debunk mitos sabudeureun hukum ieu. Kuring geus dikumpulkeun nu misconceptions paling umum nu bisa jadi ongkosna mahal pikeun anggaran jeung sistim saraf operator data pribadi. Kuring gé geuwat nyieun reservasi yén kasus kantor nagara (GIS) kaayaan rusiah nagara, KII, jsb bakal tetep di luar lingkup artikel ieu.
Mitos 1. Kuring masang antipirus, firewall, sareng ngurilingan rak ku pager. Naha kuring nuturkeun hukum?
152-FZ sanes ngeunaan panyalindungan sistem sareng server, tapi ngeunaan panyalindungan data pribadi subjek. Ku alatan éta, patuh 152-FZ dimimitian teu kalawan antipirus, tapi ku angka nu gede ngarupakeun lembar kertas jeung masalah organisasi.
Inspektur utama, Roskomnadzor, moal ningali kana ayana sareng kaayaan alat panyalindungan téknis, tapi dina dasar hukum pikeun ngolah data pribadi (PD):
- pikeun tujuan naon anjeun ngumpulkeun data pribadi;
- naha anjeun ngumpulkeun langkung seueur ti anu anjeun peryogikeun pikeun tujuan anjeun;
- sabaraha lila anjeun nyimpen data pribadi;
- naha aya kawijakan pikeun ngolah data pribadi;
- Naha anjeun ngumpulkeun idin pikeun ngolah data pribadi, mindahkeun lintas wates, ngolah ku pihak katilu, jsb.
Jawaban kana patarosan ieu, kitu ogé prosésna sorangan, kedah dirékam dina dokumén anu luyu. Ieu jauh tina daptar lengkep naon anu kedah disiapkeun ku operator data pribadi:
- Bentuk idin standar pikeun ngolah data pribadi (ieu lembar anu ayeuna urang tandatangan ampir di mana waé dimana urang ngantunkeun nami lengkep sareng detil paspor).
- Kabijakan operator ngeunaan ngolah data pribadi ( aya saran pikeun desain).
- Pesenan pikeun janjian jalma anu tanggung jawab pikeun ngatur ngolah data pribadi.
- Katerangan padamelan jalma anu tanggung jawab pikeun ngatur ngolah data pribadi.
- Aturan pikeun kontrol internal sareng (atanapi) Inok patuh pamrosésan PD sareng sarat hukum.
- Daptar sistem inpormasi data pribadi (ISPD).
- Peraturan pikeun nyayogikeun subjek aksés kana data pribadina.
- Peraturan panyilidikan kajadian.
- Pesenan pangakuan karyawan pikeun ngolah data pribadi.
- Aturan pikeun interaksi jeung régulator.
- Bewara RKN, jsb.
- Bentuk instruksi pikeun ngolah PD.
- Modél ancaman ISPD.
Saatos ngarengsekeun masalah ieu, anjeun tiasa mimiti milih ukuran khusus sareng hartosna téknis. Mana anu anjeun peryogikeun gumantung kana sistem, kaayaan operasina, sareng ancaman ayeuna. Tapi langkung seueur ngeunaan éta engké.
Kanyataan: patuh hukum nyaéta ngadegna sarta patuh kana prosés nu tangtu, mimiti sagala, sarta ngan Bréh - pamakéan hartosna teknis husus.
Mitos 2. Kuring nyimpen data pribadi dina awan, puseur data nu meets sarat tina 152-FZ. Ayeuna aranjeunna tanggung jawab pikeun ngalaksanakeun hukum
Lamun anjeun outsourcing gudang data pribadi ka panyadia awan atawa puseur data, anjeun teu eureun jadi operator data pribadi.
Hayu urang nelepon kana definisi tina hukum pikeun pitulung:
Ngolah data pribadi - sagala tindakan (operasi) atanapi set tindakan (operasi) anu dilakukeun nganggo alat-alat automation atanapi tanpa ngagunakeun alat sapertos kitu sareng data pribadi, kalebet ngumpulkeun, ngarékam, sistematisasi, akumulasi, neundeun, klarifikasi (ngamutahirkeun, ngarobih), ékstraksi, pamakéan, mindahkeun (distribusi, rezeki, aksés), depersonalization, blocking, ngahapus, karuksakan data pribadi.
Sumber: pasal 3,
Tina sadaya tindakan ieu, panyadia ladénan tanggung jawab pikeun nyimpen sareng ngancurkeun data pribadi (nalika klien ngeureunkeun kontrak sareng anjeunna). Sagalana sejenna disadiakeun ku operator data pribadi. Ieu ngandung harti yén operator, sarta lain panyadia ladenan, nangtukeun kawijakan pikeun ngolah data pribadi, ménta consents ditandatanganan pikeun ngolah data pribadi ti klien na, nyegah sarta nalungtik kasus leakage data pribadi ka pihak katilu, jeung saterusna.
Akibatna, operator data pribadi kedah tetep ngumpulkeun dokumén anu didaptarkeun di luhur sareng ngalaksanakeun ukuran organisasi sareng téknis pikeun ngajagaan PDIS na.
Biasana, panyadia ngabantosan operator ku mastikeun patuh kana syarat hukum di tingkat infrastruktur dimana ISPD operator bakal aya: rak sareng alat atanapi awan. Anjeunna ogé ngumpulkeun pakét dokumén, nyandak ukuran organisasi sareng téknis pikeun sapotong infrastrukturna saluyu sareng 152-FZ.
Sababaraha panyadia ngabantosan kertas sareng nyayogikeun ukuran kaamanan téknis pikeun ISDN sorangan, nyaéta, dina tingkat saluhureun infrastruktur. Operator ogé bisa outsource tugas ieu, tapi tanggung jawab jeung kawajiban dina hukum teu leungit.
Kanyataan: Kalayan ngagunakeun jasa panyadia atanapi pusat data, anjeun moal tiasa ngalihkeun ka anjeunna tanggung jawab operator data pribadi sareng ngaleungitkeun tanggung jawab. Lamun panyadia janji anjeun ieu, teras, mun nempatkeun eta mildly, anjeunna bohong.
Mitos 3. Kuring boga pakét perlu dokumén jeung ukuran. Kuring nyimpen data pribadi sareng panyadia anu ngajanjikeun patuh kana 152-FZ. Dupi sadayana dina urutan?
Leres, upami anjeun émut kana pesenan. Numutkeun hukum, operator tiasa mercayakeun ngolah data pribadi ka jalma sanés, contona, panyadia ladénan anu sami. Pesenan mangrupikeun jinis perjanjian anu daptar naon anu tiasa dilakukeun ku panyadia ladénan sareng data pribadi operator.
Operator ngabogaan hak pikeun mercayakeun ngolah data pribadi ka jalma sejen kalawan idin ti subyek data pribadi, iwal mun disayogikeun ku Hukum Federal, dina dasar hiji perjangjian menyimpulkan jeung jalma ieu, kaasup kontrak kaayaan atawa kotamadya. atanapi ku nyoko kana kalakuan anu relevan ku badan nagara atanapi kotamadya (saterusna disebut operator tugas). Jalma anu ngolah data pribadi atas nama operator wajib matuh prinsip sareng aturan pikeun ngolah data pribadi anu disayogikeun ku Hukum Federal ieu.
sumber:
Kawajiban panyadia pikeun ngajaga karusiahan data pribadi sareng mastikeun kaamananna saluyu sareng sarat anu ditangtukeun ogé ditetepkeun:
Parentah operator kedah netepkeun daptar tindakan (operasi) sareng data pribadi anu bakal dilakukeun ku jalma anu ngolah data pribadi sareng tujuan ngolah, kawajiban jalma sapertos kitu kedah ditetepkeun pikeun ngajaga karusiahan data pribadi sareng mastikeun kaamanan data pribadi salila ngolah maranéhanana, kitu ogé sarat pikeun panangtayungan data pribadi olahan kudu dieusian luyu jeung hukum Federal ieu.
sumber:
Pikeun ieu, panyadia nanggungjawaban kanggo operator, sareng henteu kana subyek data pribadi:
Upami operator mercayakeun ngolah data pribadi ka jalma sanés, operator nanggung jawab kana subyek data pribadi pikeun tindakan jalma anu ditangtukeun. Jalma anu ngolah data pribadi atas nama operator tanggung jawab ka operator.
sumber: .
Éta ogé penting pikeun netepkeun dina urutan kawajiban pikeun mastikeun panyalindungan data pribadi:
Kaamanan data pribadi nalika diolah dina sistem inpormasi dipastikeun ku operator sistem ieu, anu ngolah data pribadi (saterusna disebut operator), atanapi ku jalma anu ngolah data pribadi atas nama operator dina dasar hiji perjangjian disimpulkeun sareng jalma ieu (saterusna disebut jalma anu otorisasi). Kasapukan antara operator sareng jalma anu otorisasi kedah nyayogikeun kawajiban jalma anu otorisasi pikeun mastikeun kaamanan data pribadi nalika diolah dina sistem inpormasi.
sumber:
Kanyataan: Upami anjeun masihan data pribadi ka panyadia, teras tandatangan pesenan. Dina urutan, nunjukkeun sarat pikeun mastikeun panyalindungan data pribadi subjék. Upami teu kitu, anjeun teu sasuai jeung hukum ngeunaan mindahkeun karya ngolah data pribadi ka pihak katilu, sarta panyadia teu ngahutang nanaon anjeun ngeunaan patuh kana 152-FZ.
Mitos 4. Mossad spionase kuring, atanapi kuring pasti gaduh UZ-1
Sababaraha konsumén persistently ngabuktikeun yén maranéhna boga hiji ISPD tingkat kaamanan 1 atawa 2. Paling sering ieu teu masalahna. Hayu urang émut hardware pikeun terang naha ieu kajadian.
LO, atanapi tingkat kaamanan, nangtukeun naon anu anjeun bakal ngajagaan data pribadi anjeun.
Tingkat kaamanan dipangaruhan ku titik-titik ieu:
- tipe data pribadi (husus, biometrik, sadia umum jeung sajabana);
- anu gaduh data pribadi - karyawan atanapi non-karyawan operator data pribadi;
- Jumlah subjék data pribadi - leuwih atawa kurang 100 sarébu.
- jenis ancaman ayeuna.
Ngabejaan urang ngeunaan jenis ancaman . Ieu mangrupikeun pedaran masing-masing kalayan tarjamahan gratis kuring kana basa manusa.
Ancaman Tipe 1 relevan pikeun sistem inpormasi upami ancaman anu aya hubunganana sareng ayana kamampuan anu teu didokumentasikeun (teu dinyatakeun) dina parangkat lunak sistem anu dianggo dina sistem inpormasi ogé relevan pikeun éta.
Upami anjeun ngakuan jinis ancaman ieu salaku relevan, maka anjeun yakin yén agén CIA, MI6 atanapi MOSSAD parantos nempatkeun téténggér dina sistem operasi pikeun maok data pribadi tina subjek khusus ti ISPD anjeun.
Ancaman tipe 2 relevan pikeun sistem informasi lamun ancaman pakait sareng ayana undocumented (undeclared) kamampuhan dina software aplikasi dipaké dina sistem informasi ogé relevan pikeun eta.
Upami anjeun nganggap yén ancaman jinis kadua mangrupikeun kasus anjeun, maka anjeun bobo sareng ningali kumaha agén anu sami CIA, MI6, MOSSAD, hacker atanapi grup anu jahat parantos nempatkeun téténggér dina sababaraha pakét parangkat lunak kantor pikeun moro persis. data pribadi Anjeun. Leres, aya parangkat lunak aplikasi anu diragukeun sapertos μTorrent, tapi anjeun tiasa ngadamel daptar parangkat lunak anu diidinan pikeun pamasangan sareng nandatanganan perjanjian sareng pangguna, henteu masihan hak administrator lokal ka pangguna, jsb.
Ancaman Tipe 3 relevan pikeun sistem inpormasi upami ancaman anu henteu aya hubunganana sareng ayana kamampuan anu teu didokumentasikeun (undeclared) dina sistem sareng parangkat lunak aplikasi anu dianggo dina sistem inpormasi relevan pikeun éta.
Ancaman jinis 1 sareng 2 henteu cocog pikeun anjeun, janten ieu tempat pikeun anjeun.
Kami parantos nyortir jinis ancaman, ayeuna hayu urang tingali tingkat kaamanan naon anu bakal dipibanda ku ISPD urang.
Méja dumasar kana korespondensi anu dijelaskeun dina .
Upami urang milih jinis ancaman anu katilu, maka dina kalolobaan kasus urang bakal gaduh UZ-3. Hiji-hijina iwal, nalika ancaman tipe 1 jeung 2 teu relevan, tapi tingkat kaamanan bakal tetep luhur (UZ-2), nyaéta pausahaan nu ngolah data pribadi husus non-pagawe dina jumlah leuwih ti 100. conto, pausahaan kalibet dina diagnostics médis sarta penyediaan jasa médis.
Aya ogé UZ-4, sarta kapanggih utamana di pausahaan anu bisnis teu patali jeung ngolah data pribadi non-pagawe, i.e. klien atawa kontraktor, atawa basa data pribadi leutik.
Naha éta penting pisan pikeun teu overdo eta kalawan tingkat kaamanan? Éta saderhana: sakumpulan ukuran sareng alat panyalindungan pikeun mastikeun tingkat kaamanan ieu bakal gumantung kana ieu. Nu leuwih luhur tingkat pangaweruh, leuwih bakal perlu dipigawé dina istilah organisasi jeung teknis (baca: beuki duit jeung saraf bakal perlu spent).
Di dieu, contona, kumaha susunan ukuran kaamanan robah luyu jeung PP-1119 sarua.
Ayeuna hayu urang tingali kumaha, gumantung kana tingkat kaamanan dipilih, daptar ukuran perlu robah luyu jeung Aya lampiran panjang pikeun dokumén ieu, anu netepkeun ukuran anu diperyogikeun. Jumlahna aya 109, pikeun tiap ukuran wajib KM ditetepkeun sareng ditandaan ku tanda "+" - aranjeunna leres-leres diitung dina tabel di handap ieu. Upami anjeun ngan ukur ngantunkeun anu diperyogikeun pikeun UZ-3, anjeun nampi 4.
Kanyataan: upami anjeun henteu ngumpulkeun tés atanapi biometrik ti klien, anjeun henteu paranoid ngeunaan tetengger dina sistem sareng parangkat lunak aplikasi, teras paling dipikaresep anjeun gaduh UZ-3. Éta ngagaduhan daptar ukuran organisasi sareng téknis anu lumayan anu tiasa dilaksanakeun.
Mitos 5. Sadaya sarana ngajaga data pribadi kudu Certified ku FSTEC of Rusia
Upami anjeun hoyong atanapi diwajibkeun ngalaksanakeun sertifikasi, maka paling dipikaresep anjeun kedah nganggo alat pelindung anu disertipikasi. Sertifikasi bakal dilaksanakeun ku lisénsina FSTEC Rusia, anu:
- kabetot dina ngajual alat panyalindungan informasi langkung Certified;
- bakal sieun lisénsi nu dicabut ku regulator lamun hal mana anu salah.
Upami anjeun henteu peryogi sertipikasi sareng anjeun siap pikeun mastikeun patuh kana sarat ku cara anu sanés, dingaranan dina "Nganilai efektivitas ukuran anu dilaksanakeun dina sistem panyalindungan data pribadi pikeun mastikeun kaamanan data pribadi," teras sistem kaamanan inpormasi anu disertipikasi henteu diperyogikeun pikeun anjeun. Kuring bakal coba ngajelaskeun sakeudeung rationale nu.
В nyatakeun yén perlu ngagunakeun alat pelindung anu parantos ngalaman prosedur penilaian konformitas saluyu sareng prosedur anu ditetepkeun:
Mastikeun kaamanan data pribadi kahontal, khususna:
[...] 3) pamakéan kaamanan informasi hartina geus lulus prosedur assessment minuhan luyu jeung prosedur ngadegkeun.
В Aya ogé sarat pikeun ngagunakeun alat kaamanan inpormasi anu parantos lulus prosedur pikeun ngira-ngira patuh kana sarat hukum:
[...] pamakéan alat kaamanan informasi anu geus lulus prosedur pikeun assessing patuh kana sarat tina panerapan Féderasi Rusia dina widang kaamanan informasi, dina kasus dimana pamakéan sarana sapertos diperlukeun pikeun neutralize ancaman ayeuna.
praktis duplikat ayat PP-1119:
Ukuran pikeun mastikeun kasalametan data pribadi dilaksanakeun, antara lain, ku ngagunakeun alat kaamanan inpormasi dina sistem inpormasi anu parantos lulus prosedur penilaian konformitas saluyu sareng prosedur anu ditetepkeun, dina kasus dimana pamakean alat sapertos diperyogikeun neutralize ancaman ayeuna kana kaamanan data pribadi.
Naon anu formulasi ieu gaduh umum? Éta leres - aranjeunna henteu meryogikeun panggunaan alat pelindung anu disertipikasi. Kanyataan yén aya sababaraha bentuk assessment conformity (sértipikasi sukarela atawa wajib, deklarasi conformity). Sertifikasi ngan salah sahijina. Operator tiasa nganggo produk anu henteu disertipikasi, tapi kedah nunjukkeun ka régulator kana pamariksaan yén aranjeunna parantos ngalaman sababaraha bentuk prosedur penilaian konformitas.
Upami operator mutuskeun pikeun ngagunakeun alat pelindung anu disertipikasi, maka anjeun kedah milih sistem panyalindungan inpormasi saluyu sareng panangtayungan ultrasound, anu jelas dinyatakeun dina :
Ukuran téknis pikeun ngajagaan data pribadi dilaksanakeun ku cara ngagunakeun alat kaamanan inpormasi, kalebet parangkat lunak (hardware) dimana aranjeunna dilaksanakeun, anu ngagaduhan fungsi kaamanan anu diperyogikeun.
Nalika nganggo alat kaamanan inpormasi anu disertipikasi dumasar kana syarat kaamanan inpormasi dina sistem inpormasi:
Kanyataan: Hukum henteu meryogikeun panggunaan wajib alat pelindung anu disertipikasi.
Mitos 6. Abdi peryogi panyalindungan crypto
Aya sababaraha nuansa di dieu:
- Seueur jalma yakin yén kriptografi wajib pikeun ISPD naon waé. Nyatana, aranjeunna kedah dianggo ngan upami operator henteu ningali ukuran panyalindungan anu sanés pikeun dirina sanés nganggo kriptografi.
- Upami anjeun teu tiasa ngalakukeun tanpa kriptografi, maka anjeun kedah nganggo CIPF anu disertifikasi ku FSB.
- Contona, anjeun mutuskeun pikeun host hiji ISPD dina awan panyadia ladenan, tapi anjeun teu percanten ka eta. Anjeun ngajelaskeun kahariwang anjeun dina model ancaman sareng penceroboh. Anjeun gaduh data pribadi, janten anjeun mutuskeun yén kriptografi mangrupikeun hiji-hijina cara pikeun ngajagaan diri anjeun: anjeun bakal énkripsi mesin virtual, ngawangun saluran anu aman nganggo panyalindungan kriptografi. Dina hal ieu, anjeun kedah nganggo CIPF anu disertipikasi ku FSB Rusia.
- CIPF Certified dipilih luyu jeung tingkat nu tangtu kaamanan nurutkeun .
Pikeun ISPDn sareng UZ-3, anjeun tiasa nganggo KS1, KS2, KS3. KS1 nyaeta, contona, C-Terra Virtual gateway 4.2 pikeun ngajaga saluran.
KC2, KS3 diwakilan ukur ku software jeung hardware sistem, kayaning: ViPNet Koordinator, APKSH "Buana", S-Terra Gateway, jsb.
Upami anjeun gaduh UZ-2 atanapi 1, maka anjeun peryogi panyalindungan kriptografi tina kelas KV1, 2 sareng KA. Ieu mangrupikeun sistem parangkat lunak sareng hardware khusus, aranjeunna sesah dioperasikeun, sareng ciri kinerjana sederhana.
Kanyataan: hukum teu oblige pamakéan CIPF Certified ku FSB.
sumber: www.habr.com