Hej alla! Jag driver DataLine Cyber Defense Center. Kunder kommer till oss med uppdraget att uppfylla kraven för 152-FZ i molnet eller på fysisk infrastruktur.
I nästan varje projekt är det nödvändigt att utföra utbildningsarbete för att avslöja myterna kring denna lag. Jag har samlat de vanligaste missuppfattningarna som kan bli kostsamma för personuppgiftsansvariges budget och nervsystem. Jag förbehåller mig omedelbart att fall av statliga kontor (GIS) som hanterar statshemligheter, KII, etc. kommer att förbli utanför ramen för denna artikel.
Myt 1. Jag installerade ett antivirusprogram, en brandvägg och omgav racken med ett staket. Följer jag lagen?
152-FZ handlar inte om skydd av system och servrar, utan om skydd av individers personuppgifter. Därför börjar överensstämmelse med 152-FZ inte med ett antivirus, utan med ett stort antal papperslappar och organisatoriska frågor.
Huvudinspektören, Roskomnadzor, kommer inte att titta på förekomsten och skicket för tekniska skyddsmedel, utan på den rättsliga grunden för behandling av personuppgifter (PD):
- för vilket ändamål samlar du in personuppgifter;
- om du samlar in mer av dem än du behöver för dina ändamål;
- hur länge lagrar du personuppgifter;
- finns det en policy för behandling av personuppgifter;
- Samlar du in samtycke för personuppgiftsbehandling, gränsöverskridande överföring, behandling av tredje part etc.
Svaren på dessa frågor, såväl som själva processerna, bör registreras i lämpliga dokument. Här är en långt ifrån fullständig lista över vad en personuppgiftsoperatör behöver förbereda:
- Ett standardsamtyckesformulär för behandling av personuppgifter (detta är de blad som vi nu signerar nästan överallt där vi lämnar våra fullständiga namn och passuppgifter).
- Operatörens policy för behandling av personuppgifter ( det finns rekommendationer för design).
- Föreläggande om utnämning av en person som ansvarar för att organisera behandlingen av personuppgifter.
- Arbetsbeskrivning av den person som ansvarar för att organisera behandlingen av personuppgifter.
- Regler för intern kontroll och (eller) revision av överensstämmelse av PD-behandling med lagkrav.
- Lista över personuppgiftsinformationssystem (ISPD).
- Regler för att ge personen tillgång till dennes personuppgifter.
- Incidentutredningsbestämmelser.
- Föreläggande om tillträde för anställda till behandling av personuppgifter.
- Regelverk för interaktion med tillsynsmyndigheter.
- Anmälan av RKN m.m.
- Instruktionsformulär för PD-behandling.
- ISPD-hotmodell.
Efter att ha löst dessa problem kan du börja välja specifika åtgärder och tekniska medel. Vilka du behöver beror på systemen, deras driftsförhållanden och aktuella hot. Men mer om det senare.
Verklighet: efterlevnad av lagen är upprättandet och efterlevnaden av vissa processer, först och främst, och endast för det andra - användningen av speciella tekniska medel.
Myt 2. Jag lagrar personuppgifter i molnet, ett datacenter som uppfyller kraven i 152-FZ. Nu är de ansvariga för att lagen efterlevs
När du lägger ut lagringen av personuppgifter till en molnleverantör eller datacenter upphör du inte att vara personuppgiftsoperatör.
Låt oss kalla på definitionen från lagen för hjälp:
Behandling av personuppgifter – varje åtgärd (operation) eller uppsättning åtgärder (operationer) som utförs med hjälp av automatiseringsverktyg eller utan användning av sådana medel med personuppgifter, inklusive insamling, registrering, systematisering, ackumulering, lagring, förtydligande (uppdatering, ändring), utvinning, användning, överföring (distribution, tillhandahållande, åtkomst), depersonalisering, blockering, radering, förstörelse av personuppgifter.
Källa: artikel 3,
Av alla dessa åtgärder är tjänsteleverantören ansvarig för att lagra och förstöra personuppgifter (när kunden säger upp avtalet med honom). Allt annat tillhandahålls av personuppgiftsoperatören. Detta innebär att operatören, och inte tjänsteleverantören, bestämmer policyn för behandling av personuppgifter, inhämtar undertecknade samtycken för behandling av personuppgifter från sina kunder, förebygger och utreder fall av läckage av personuppgifter till tredje part, och så vidare.
Följaktligen måste personuppgiftsoperatören fortfarande samla in de dokument som listades ovan och genomföra organisatoriska och tekniska åtgärder för att skydda sin PDIS.
Vanligtvis hjälper leverantören operatören genom att säkerställa efterlevnad av lagkrav på den infrastrukturnivå där operatörens ISPD kommer att finnas: rack med utrustning eller molnet. Han samlar också in ett paket med dokument, vidtar organisatoriska och tekniska åtgärder för sin del av infrastrukturen i enlighet med 152-FZ.
Vissa leverantörer hjälper till med pappersarbete och tillhandahållande av tekniska säkerhetsåtgärder för själva ISDN:erna, det vill säga på en nivå över infrastrukturen. Operatören kan även lägga ut dessa uppgifter på entreprenad, men ansvaret och skyldigheterna enligt lagen försvinner inte.
Verklighet: Genom att använda tjänsterna från en leverantör eller datacenter kan du inte överföra ansvaret för en personuppgiftsoperatör till honom och bli av med ansvaret. Om leverantören lovar dig detta, så ljuger han milt sagt.
Myt 3. Jag har det nödvändiga paketet med dokument och åtgärder. Jag lagrar personuppgifter hos en leverantör som lovar efterlevnad av 152-FZ. Är allt i sin ordning?
Ja, om du kommer ihåg att skriva under ordern. Enligt lag kan operatören anförtro behandlingen av personuppgifter till en annan person, till exempel samma tjänsteleverantör. En order är ett slags avtal som listar vad tjänsteleverantören kan göra med operatörens personuppgifter.
Operatören har rätt att anförtro behandlingen av personuppgifter till en annan person med samtycke från föremålet för personuppgifter, om inte annat föreskrivs i federal lag, på grundval av ett avtal som ingåtts med denna person, inklusive ett statligt eller kommunalt avtal, eller genom antagande av en relevant handling av ett statligt eller kommunalt organ (nedan kallad uppdragsutövaren). Den person som behandlar personuppgifter på uppdrag av operatören är skyldig att följa principerna och reglerna för behandling av personuppgifter enligt denna federala lag.
Källa:
Leverantörens skyldighet att upprätthålla sekretessen för personuppgifter och säkerställa dess säkerhet i enlighet med de specificerade kraven fastställs också:
Operatörens order måste definiera en lista över åtgärder (operationer) med personuppgifter som kommer att utföras av den person som behandlar personuppgifter och ändamålen med behandlingen, skyldigheten för en sådan person måste fastställas att upprätthålla sekretessen för personuppgifter och säkerställa säkerhet för personuppgifter under deras behandling, samt krav på skydd av behandlade personuppgifter ska anges enl i denna federala lag.
Källa:
För detta är leverantören ansvarig gentemot operatören och inte mot föremålet för personuppgifter:
Om operatören anförtror behandlingen av personuppgifter till en annan person, är operatören ansvarig gentemot personuppgiftsobjektet för den angivna personens handlingar. Den som behandlar personuppgifter för verksamhetsutövarens räkning är ansvarig gentemot verksamhetsutövaren.
Källa: .
Det är också viktigt att i beställningen ange skyldigheten att säkerställa skyddet av personuppgifter:
Säkerheten för personuppgifter när de behandlas i ett informationssystem säkerställs av operatören av detta system, som behandlar personuppgifter (nedan kallad operatören), eller av den person som behandlar personuppgifter för operatörens räkning på grundval av en avtal som ingåtts med denna person (nedan kallad den behöriga personen). I avtalet mellan verksamhetsutövaren och den auktoriserade personen ska det föreskrivas skyldighet för den behöriga personen att säkerställa säkerheten för personuppgifter vid behandling i informationssystemet.
Källa:
Verklighet: Om du lämnar personuppgifter till leverantören, underteckna beställningen. Ange i beställningen kravet på att säkerställa skyddet av försökspersonernas personuppgifter. I annat fall följer du inte lagen gällande överföring av personuppgiftsbehandlingsarbete till tredje part, och leverantören är inte skyldig dig något angående efterlevnad av 152-FZ.
Myt 4. Mossad spionerar på mig, eller så har jag definitivt en UZ-1
Vissa kunder bevisar ständigt att de har en ISPD på säkerhetsnivå 1 eller 2. Oftast är det inte fallet. Låt oss komma ihåg hårdvaran för att ta reda på varför detta händer.
LO, eller säkerhetsnivån, avgör vad du ska skydda dina personuppgifter från.
Säkerhetsnivån påverkas av följande punkter:
- typ av personuppgifter (särskilda, biometriska, allmänt tillgängliga och andra);
- vem som äger personuppgifterna - anställda eller icke-anställda hos personuppgiftsoperatören;
- antal personuppgifter – mer eller mindre 100 tusen.
- typer av aktuella hot.
Berättar om typer av hot . Här är en beskrivning av var och en med min gratis översättning till mänskligt språk.
Typ 1-hot är relevanta för ett informationssystem om hot associerade med förekomsten av odokumenterade (odeklarerade) förmågor i systemprogramvaran som används i informationssystemet också är relevanta för det.
Om du känner igen den här typen av hot som relevanta, så är du övertygad om att agenter från CIA, MI6 eller MOSSAD har placerat ett bokmärke i operativsystemet för att stjäla personlig information om specifika ämnen från din ISPD.
Hot av den 2:a typen är relevanta för ett informationssystem om hot förknippade med förekomsten av odokumenterade (odeklarerade) förmågor i den applikationsprogramvara som används i informationssystemet också är relevanta för det.
Om du tror att hot av den andra typen är ditt fall, då sover du och ser hur samma agenter från CIA, MI6, MOSSAD, en ond ensam hackare eller grupp har placerat bokmärken i något kontorsprogram för att jaga exakt efter dina personuppgifter. Ja, det finns tvivelaktiga program som μTorrent, men du kan göra en lista över tillåten programvara för installation och teckna ett avtal med användare, inte ge användarna lokala administratörsrättigheter, etc.
Typ 3-hot är relevanta för ett informationssystem om hot som inte är relaterade till förekomsten av odokumenterade (odeklarerade) förmågor i systemet och tillämpningsprogram som används i informationssystemet är relevanta för det.
Hot av typ 1 och 2 är inte lämpliga för dig, så det här är platsen för dig.
Vi har sorterat ut typerna av hot, låt oss nu titta på vilken säkerhetsnivå vår ISPD kommer att ha.
Tabell baserad på de överensstämmelser som anges i .
Om vi valde den tredje typen av faktiska hot, kommer vi i de flesta fall att ha UZ-3. Det enda undantaget, när hot av typ 1 och 2 inte är relevanta, men säkerhetsnivån fortfarande kommer att vara hög (UZ-2), är företag som behandlar särskilda personuppgifter om icke-anställda till ett belopp av mer än 100 000. För till exempel företag som sysslar med medicinsk diagnostik och tillhandahållande av medicinska tjänster.
Det finns också UZ-4, och det finns främst i företag vars verksamhet inte är relaterad till behandling av personuppgifter från icke-anställda, det vill säga kunder eller entreprenörer, eller så är persondatabaserna små.
Varför är det så viktigt att inte överdriva med säkerhetsnivån? Det är enkelt: uppsättningen av åtgärder och skyddsmedel för att säkerställa just denna säkerhetsnivå kommer att bero på detta. Ju högre kunskapsnivå, desto mer kommer att behöva göras i organisatoriska och tekniska termer (läs: desto mer pengar och nerver kommer att behöva spenderas).
Här är till exempel hur uppsättningen av säkerhetsåtgärder ändras i enlighet med samma PP-1119.
Låt oss nu se hur, beroende på den valda säkerhetsnivån, listan över nödvändiga åtgärder ändras i enlighet med Det finns en lång bilaga till detta dokument, som definierar nödvändiga åtgärder. Det finns 109 av dem totalt, för varje KM är obligatoriska åtgärder definierade och markerade med ett "+"-tecken - de beräknas exakt i tabellen nedan. Om du bara lämnar de som behövs för UZ-3 får du 4.
Verklighet: om du inte samlar in tester eller biometri från klienter, du är inte paranoid om bokmärken i system- och applikationsprogramvara, då har du troligen UZ-3. Den har en rimlig lista över organisatoriska och tekniska åtgärder som faktiskt kan genomföras.
Myt 5. Alla metoder för att skydda personuppgifter måste vara certifierade av Rysslands FSTEC
Om du vill eller är skyldig att genomföra certifiering, måste du med största sannolikhet använda certifierad skyddsutrustning. Certifieringen kommer att utföras av en licenstagare från FSTEC i Ryssland, som:
- intresserad av att sälja mer certifierade informationsskyddsanordningar;
- kommer att vara rädd för att licensen återkallas av tillsynsmyndigheten om något går fel.
Om du inte behöver certifiering och du är redo att bekräfta efterlevnaden av kraven på annat sätt, nämnt i "Att bedöma effektiviteten av åtgärder som implementeras inom personuppgiftsskyddssystemet för att säkerställa säkerheten för personuppgifter", då krävs inte certifierade informationssäkerhetssystem för dig. Jag ska försöka att kortfattat förklara motiveringen.
В anger att det är nödvändigt att använda skyddsutrustning som har genomgått förfarandet för bedömning av överensstämmelse i enlighet med det fastställda förfarandet:
Säkerställande av säkerheten för personuppgifter uppnås, särskilt:
[…] 3) användning av informationssäkerhetsmedel som har klarat förfarandet för bedömning av efterlevnad i enlighet med det fastställda förfarandet.
В Det finns också ett krav på att använda informationssäkerhetsverktyg som har klarat förfarandet för bedömning av efterlevnad av lagkrav:
[…] användningen av informationssäkerhetsverktyg som har klarat förfarandet för att bedöma efterlevnaden av kraven i Ryska federationens lagstiftning inom informationssäkerhetsområdet, i fall där användningen av sådana medel är nödvändig för att neutralisera aktuella hot.
praktiskt taget duplicerar paragraf PP-1119:
Åtgärder för att säkerställa säkerheten för personuppgifter genomförs bland annat genom användning av informationssäkerhetsverktyg i informationssystemet som har klarat förfarandet för bedömning av överensstämmelse i enlighet med det fastställda förfarandet, i de fall användningen av sådana verktyg är nödvändig för att neutralisera aktuella hot mot säkerheten för personuppgifter.
Vad har dessa formuleringar gemensamt? Det stämmer - de kräver inte användning av certifierad skyddsutrustning. Faktum är att det finns flera former av överensstämmelsebedömning (frivillig eller obligatorisk certifiering, försäkran om överensstämmelse). Certifiering är bara en av dem. Operatören kan använda icke-certifierade produkter, men kommer att behöva visa för tillsynsmyndigheten vid inspektion att de har genomgått någon form av förfarande för bedömning av överensstämmelse.
Om operatören bestämmer sig för att använda certifierad skyddsutrustning, är det nödvändigt att välja informationsskyddssystemet i enlighet med ultraljudsskyddet, vilket tydligt anges i :
Tekniska åtgärder för att skydda personuppgifter implementeras genom användning av informationssäkerhetsverktyg, inklusive mjukvaruverktyg (hårdvara) i vilka de är implementerade, som har nödvändiga säkerhetsfunktioner.
När du använder informationssäkerhetsverktyg certifierade enligt informationssäkerhetskrav i informationssystem:
Verklighet: Lagen kräver inte obligatorisk användning av certifierad skyddsutrustning.
Myt 6. Jag behöver kryptoskydd
Det finns några nyanser här:
- Många tror att kryptografi är obligatoriskt för alla ISPD. I själva verket bör de endast användas om operatören inte ser några andra skyddsåtgärder för sig själv än användningen av kryptografi.
- Om du inte kan klara dig utan kryptografi måste du använda CIPF certifierad av FSB.
- Du bestämmer dig till exempel för att vara värd för en ISPD i molnet hos en tjänsteleverantör, men du litar inte på den. Du beskriver din oro i en hot- och inkräktaremodell. Du har personuppgifter, så du bestämde dig för att kryptografi är det enda sättet att skydda dig själv: du kommer att kryptera virtuella maskiner, bygga säkra kanaler med kryptografiskt skydd. I det här fallet måste du använda CIPF certifierad av Rysslands FSB.
- Certifierade CIPF väljs i enlighet med en viss säkerhetsnivå enl .
För ISPDn med UZ-3 kan du använda KS1, KS2, KS3. KS1 är till exempel C-Terra Virtual Gateway 4.2 för att skydda kanaler.
KC2, KS3 representeras endast av mjukvaru- och hårdvarusystem, såsom: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway, etc.
Om du har UZ-2 eller 1 behöver du kryptografiska skyddsmedel av klass KV1, 2 och KA. Dessa är specifika mjukvaru- och hårdvarusystem, de är svåra att använda och deras prestandaegenskaper är blygsamma.
Verklighet: Lagen förpliktar inte användningen av CIPF certifierad av FSB.
Källa: will.com