Salaam wote! Ninaendesha DataLine Cyber Defense Center. Wateja huja kwetu na kazi ya kukidhi mahitaji ya 152-FZ katika wingu au kwenye miundombinu ya kimwili.
Katika karibu kila mradi ni muhimu kufanya kazi ya elimu ili kufuta hadithi karibu na sheria hii. Nimekusanya dhana potofu za kawaida ambazo zinaweza kuwa ghali kwa bajeti na mfumo wa neva wa opereta wa data ya kibinafsi. Mara moja nitaweka uhifadhi kwamba kesi za ofisi za serikali (GIS) zinazoshughulikia siri za serikali, KII, n.k. zitasalia nje ya wigo wa kifungu hiki.
Hadithi 1. Niliweka antivirus, firewall, na kuzunguka racks na uzio. Je, ninafuata sheria?
152-FZ sio juu ya ulinzi wa mifumo na seva, lakini juu ya ulinzi wa data ya kibinafsi ya masomo. Kwa hiyo, kufuata 152-FZ huanza si kwa antivirus, lakini kwa idadi kubwa ya vipande vya karatasi na masuala ya shirika.
Mkaguzi mkuu, Roskomnadzor, hataangalia uwepo na hali ya njia za kiufundi za ulinzi, lakini kwa msingi wa kisheria wa usindikaji wa data ya kibinafsi (PD):
- kwa madhumuni gani unakusanya data ya kibinafsi;
- ikiwa unakusanya zaidi yao kuliko unahitaji kwa madhumuni yako;
- unahifadhi data ya kibinafsi kwa muda gani;
- kuna sera ya kuchakata data ya kibinafsi;
- Je, unakusanya idhini ya usindikaji wa data ya kibinafsi, uhamisho wa kuvuka mpaka, usindikaji na wahusika wengine, nk.
Majibu ya maswali haya, pamoja na michakato yenyewe, inapaswa kurekodiwa katika hati zinazofaa. Hapa kuna orodha iliyo mbali na kamili ya kile mwendeshaji wa data ya kibinafsi anahitaji kuandaa:
- Fomu ya idhini ya kawaida ya usindikaji wa data ya kibinafsi (hizi ni karatasi ambazo sasa tunasaini karibu kila mahali ambapo tunaacha majina yetu kamili na maelezo ya pasipoti).
- Sera ya Opereta kuhusu usindikaji wa data ya kibinafsi ( kuna mapendekezo ya kubuni).
- Amri juu ya uteuzi wa mtu anayehusika na kuandaa usindikaji wa data ya kibinafsi.
- Maelezo ya kazi ya mtu anayehusika na kuandaa usindikaji wa data ya kibinafsi.
- Kanuni za udhibiti wa ndani na (au) ukaguzi wa kufuata uchakataji wa PD na mahitaji ya kisheria.
- Orodha ya mifumo ya habari ya data ya kibinafsi (ISPD).
- Kanuni za kumpa mhusika ufikiaji wa data yake ya kibinafsi.
- Kanuni za uchunguzi wa matukio.
- Agiza juu ya uandikishaji wa wafanyikazi kwa usindikaji wa data ya kibinafsi.
- Kanuni za mwingiliano na vidhibiti.
- Arifa ya RKN, nk.
- Fomu ya maagizo ya usindikaji wa PD.
- Mfano wa tishio wa ISPD.
Baada ya kutatua masuala haya, unaweza kuanza kuchagua hatua maalum na njia za kiufundi. Ambayo unahitaji inategemea mifumo, hali zao za uendeshaji, na vitisho vya sasa. Lakini zaidi juu ya hilo baadaye.
Ukweli: kufuata sheria ni kuanzishwa na kufuata taratibu fulani, kwanza kabisa, na pili tu - matumizi ya njia maalum za kiufundi.
Hadithi 2. Ninahifadhi data ya kibinafsi katika wingu, kituo cha data ambacho kinakidhi mahitaji ya 152-FZ. Sasa wanawajibika kutekeleza sheria
Unapotoa uhifadhi wa data ya kibinafsi kwa mtoaji wa wingu au kituo cha data, hutaacha kuwa opereta wa data ya kibinafsi.
Wacha tuombe ufafanuzi kutoka kwa sheria kwa msaada:
Usindikaji wa data ya kibinafsi - hatua yoyote (operesheni) au seti ya vitendo (shughuli) zinazofanywa kwa kutumia zana za otomatiki au bila matumizi ya njia kama hizo na data ya kibinafsi, pamoja na ukusanyaji, kurekodi, kuweka mfumo, mkusanyiko, uhifadhi, ufafanuzi (kusasisha, kubadilisha), uchimbaji, matumizi, uhamisho (usambazaji, utoaji, ufikiaji), ubinafsishaji, kuzuia, kufuta, uharibifu wa data ya kibinafsi.
Chanzo: kifungu cha 3,
Kati ya vitendo hivi vyote, mtoa huduma anajibika kwa kuhifadhi na kuharibu data ya kibinafsi (wakati mteja anamaliza mkataba naye). Kila kitu kingine hutolewa na opereta wa data ya kibinafsi. Hii ina maana kwamba operator, na si mtoa huduma, huamua sera ya usindikaji data ya kibinafsi, hupata idhini iliyosainiwa kwa usindikaji wa data ya kibinafsi kutoka kwa wateja wake, kuzuia na kuchunguza kesi za kuvuja kwa data ya kibinafsi kwa watu wa tatu, na kadhalika.
Kwa hivyo, mwendeshaji wa data ya kibinafsi lazima bado akusanye hati ambazo ziliorodheshwa hapo juu na kutekeleza hatua za shirika na kiufundi kulinda PDIS yao.
Kwa kawaida, mtoa huduma humsaidia mtoa huduma kwa kuhakikisha utiifu wa mahitaji ya kisheria katika kiwango cha miundombinu ambapo ISPD ya mhudumu itapatikana: rafu zilizo na vifaa au wingu. Pia hukusanya mfuko wa nyaraka, huchukua hatua za shirika na kiufundi kwa kipande chake cha miundombinu kwa mujibu wa 152-FZ.
Baadhi ya watoa huduma husaidia kwa makaratasi na utoaji wa hatua za usalama za kiufundi kwa ISDN zenyewe, yaani, katika ngazi ya juu ya miundombinu. Opereta pia anaweza kutoa kazi hizi, lakini jukumu na majukumu chini ya sheria hayapotei.
Ukweli: Kwa kutumia huduma za mtoa huduma au kituo cha data, huwezi kuhamisha kwake majukumu ya operator wa data binafsi na kuondokana na wajibu. Ikiwa mtoa huduma anakuahidi hili, basi, kuiweka kwa upole, anadanganya.
Hadithi 3. Nina kifurushi muhimu cha hati na hatua. Ninahifadhi data ya kibinafsi na mtoa huduma ambaye anaahidi kufuata 152-FZ. Je, kila kitu kiko katika mpangilio?
Ndio, ikiwa unakumbuka kusaini agizo. Kwa mujibu wa sheria, opereta anaweza kukabidhi usindikaji wa data ya kibinafsi kwa mtu mwingine, kwa mfano, mtoa huduma sawa. Agizo ni aina ya makubaliano ambayo huorodhesha kile ambacho mtoa huduma anaweza kufanya na data ya kibinafsi ya opereta.
Opereta ana haki ya kukabidhi usindikaji wa data ya kibinafsi kwa mtu mwingine kwa idhini ya mada ya data ya kibinafsi, isipokuwa kama imetolewa vinginevyo na Sheria ya Shirikisho, kwa msingi wa makubaliano yaliyohitimishwa na mtu huyu, pamoja na mkataba wa serikali au manispaa, au kwa kupitishwa kwa kitendo husika na halmashauri ya serikali au manispaa (hapa inajulikana kama mwendeshaji mgawo). Mtu anayesindika data ya kibinafsi kwa niaba ya mwendeshaji analazimika kufuata kanuni na sheria za usindikaji wa data ya kibinafsi iliyotolewa na Sheria hii ya Shirikisho.
Chanzo:
Wajibu wa mtoaji kutunza usiri wa data ya kibinafsi na kuhakikisha usalama wake kulingana na mahitaji maalum pia imeanzishwa:
Agizo la mwendeshaji lazima lifafanue orodha ya vitendo (shughuli) na data ya kibinafsi ambayo itafanywa na mtu anayesindika data ya kibinafsi na madhumuni ya usindikaji, jukumu la mtu kama huyo lazima lianzishwe ili kudumisha usiri wa data ya kibinafsi na kuhakikisha usalama wa data ya kibinafsi wakati wa usindikaji wao, pamoja na mahitaji ya ulinzi wa data ya kibinafsi iliyosindika lazima ielezwe kwa mujibu wa ya Sheria hii ya Shirikisho.
Chanzo:
Kwa hili, mtoaji anawajibika kwa opereta, na sio kwa mada ya data ya kibinafsi:
Ikiwa opereta anakabidhi usindikaji wa data ya kibinafsi kwa mtu mwingine, mwendeshaji anawajibika kwa mada ya data ya kibinafsi kwa vitendo vya mtu aliyeainishwa. Mtu anayechakata data ya kibinafsi kwa niaba ya mwendeshaji anawajibika kwa mwendeshaji.
Chanzo: .
Pia ni muhimu kutaja kwa utaratibu wajibu wa kuhakikisha ulinzi wa data ya kibinafsi:
Usalama wa data ya kibinafsi inapochakatwa katika mfumo wa habari huhakikishwa na mwendeshaji wa mfumo huu, ambaye huchakata data ya kibinafsi (hapa inajulikana kama opereta), au na mtu anayesindika data ya kibinafsi kwa niaba ya opereta kwa msingi wa data ya kibinafsi. makubaliano yaliyohitimishwa na mtu huyu (hapa anajulikana kama mtu aliyeidhinishwa). Mkataba kati ya operator na mtu aliyeidhinishwa lazima utoe wajibu wa mtu aliyeidhinishwa ili kuhakikisha usalama wa data ya kibinafsi wakati wa kusindika katika mfumo wa habari.
Chanzo:
Ukweli: Ikiwa unatoa data ya kibinafsi kwa mtoa huduma, basi saini amri. Katika agizo, onyesha hitaji la kuhakikisha ulinzi wa data ya kibinafsi ya masomo. Vinginevyo, hutatii sheria kuhusu uhamisho wa kazi ya usindikaji wa data binafsi kwa mtu wa tatu, na mtoa huduma hawana deni lolote kuhusu kufuata 152-FZ.
Hadithi 4. Mossad wananipeleleza, au hakika nina UZ-1
Baadhi ya wateja huendelea kuthibitisha kuwa wana ISPD ya kiwango cha 1 au 2 cha usalama. Mara nyingi hii sivyo. Wacha tukumbuke vifaa ili kujua kwanini hii inatokea.
Kiwango cha LO, au kiwango cha usalama, huamua ni nini utalinda data yako ya kibinafsi kutoka.
Kiwango cha usalama kinaathiriwa na mambo yafuatayo:
- aina ya data ya kibinafsi (maalum, biometriska, inapatikana kwa umma na wengine);
- ambaye anamiliki data ya kibinafsi - wafanyakazi au wasio wafanyakazi wa operator wa data binafsi;
- idadi ya masomo ya data ya kibinafsi - zaidi au chini ya 100 elfu.
- aina za vitisho vya sasa.
Inatuambia kuhusu aina za vitisho . Hapa kuna maelezo ya kila moja na tafsiri yangu ya bure katika lugha ya kibinadamu.
Vitisho vya aina ya 1 vinafaa kwa mfumo wa habari ikiwa vitisho vinavyohusishwa na uwepo wa uwezo usio na kumbukumbu (ambao haujatangazwa) katika programu ya mfumo unaotumiwa katika mfumo wa habari pia ni muhimu kwa ajili yake.
Ikiwa unatambua aina hii ya tishio kuwa inafaa, basi unaamini kabisa kwamba maajenti wa CIA, MI6 au MOSSAD wameweka alamisho katika mfumo wa uendeshaji ili kuiba data ya kibinafsi ya masomo mahususi kutoka kwa ISPD yako.
Vitisho vya aina ya 2 vinafaa kwa mfumo wa habari ikiwa vitisho vinavyohusishwa na uwepo wa uwezo usio na kumbukumbu (ambao haujatangazwa) katika programu ya maombi inayotumiwa katika mfumo wa habari pia ni muhimu kwa ajili yake.
Ikiwa unadhani vitisho vya aina ya pili ni kesi yako, basi unalala na kuona jinsi maajenti wale wale wa CIA, MI6, MOSSAD, hacker mbaya au kikundi wameweka alamisho kwenye kifurushi cha programu ya ofisi ili kuwinda haswa. data yako ya kibinafsi. Ndiyo, kuna programu ya kutilia shaka kama vile μTorrent, lakini unaweza kutengeneza orodha ya programu zinazoruhusiwa kusakinishwa na kusaini makubaliano na watumiaji, bila kuwapa watumiaji haki za msimamizi wa ndani, n.k.
Vitisho vya Aina ya 3 ni muhimu kwa mfumo wa habari ikiwa vitisho ambavyo havihusiani na uwepo wa uwezo ambao haujathibitishwa (ambao haujatangazwa) katika mfumo na programu ya matumizi inayotumiwa katika mfumo wa habari ni muhimu kwake.
Vitisho vya aina 1 na 2 havikufai, kwa hivyo hapa ndio mahali pako.
Tumepanga aina za vitisho, sasa tuangalie ISPD yetu itakuwa na kiwango gani cha usalama.
Jedwali kulingana na mawasiliano yaliyoainishwa katika .
Ikiwa tulichagua aina ya tatu ya vitisho halisi, basi katika hali nyingi tutakuwa na UZ-3. Isipokuwa tu, wakati vitisho vya aina 1 na 2 havihusiani, lakini kiwango cha usalama bado kitakuwa cha juu (UZ-2), ni makampuni ambayo hutengeneza data maalum ya kibinafsi ya wasio wafanyakazi kwa kiasi cha zaidi ya 100. kwa mfano, makampuni yanayohusika katika uchunguzi wa matibabu na utoaji wa huduma za matibabu.
Pia kuna UZ-4, na hupatikana hasa katika makampuni ambayo biashara haihusiani na usindikaji wa data ya kibinafsi ya wasio wafanyakazi, yaani wateja au makandarasi, au besi za data za kibinafsi ni ndogo.
Kwa nini ni muhimu sana usiiongezee na kiwango cha usalama? Ni rahisi: seti ya hatua na njia za ulinzi ili kuhakikisha kiwango hiki cha usalama kitategemea hii. Kiwango cha juu cha ujuzi, zaidi kitahitajika kufanywa kwa maneno ya shirika na kiufundi (soma: pesa zaidi na mishipa itahitaji kutumika).
Hapa, kwa mfano, ni jinsi seti ya hatua za usalama inavyobadilika kulingana na PP-1119 sawa.
Sasa hebu tuone jinsi, kulingana na kiwango kilichochaguliwa cha usalama, orodha ya hatua muhimu inabadilika kwa mujibu wa Kuna kiambatisho cha muda mrefu kwa hati hii, ambayo inafafanua hatua muhimu. Kuna 109 kati yao kwa jumla, kwa kila hatua za lazima za KM zinafafanuliwa na alama ya ishara "+" - zimehesabiwa kwa usahihi katika jedwali hapa chini. Ukiacha zile tu zinazohitajika kwa UZ-3, utapata 4.
Ukweli: ikiwa hutakusanya vipimo au biometriska kutoka kwa wateja, huna wasiwasi kuhusu alamisho katika mfumo na programu ya maombi, basi uwezekano mkubwa una UZ-3. Ina orodha nzuri ya hatua za shirika na kiufundi ambazo zinaweza kutekelezwa.
Hadithi 5. Njia zote za kulinda data za kibinafsi zinapaswa kuthibitishwa na FSTEC ya Urusi
Ikiwa unataka au unatakiwa kufanya vyeti, basi uwezekano mkubwa utalazimika kutumia vifaa vya kinga vilivyothibitishwa. Udhibitisho huo utafanywa na mwenye leseni ya FSTEC ya Urusi, ambaye:
- nia ya kuuza vifaa vya ulinzi wa habari vilivyoidhinishwa zaidi;
- ataogopa leseni kufutwa na mdhibiti ikiwa kitu kitaenda vibaya.
Iwapo huhitaji uidhinishaji na uko tayari kuthibitisha kufuata mahitaji kwa njia nyingine, iliyotajwa "Kutathmini ufanisi wa hatua zinazotekelezwa ndani ya mfumo wa ulinzi wa data ya kibinafsi ili kuhakikisha usalama wa data ya kibinafsi," basi mifumo ya usalama ya taarifa iliyoidhinishwa haihitajiki kwako. Nitajaribu kuelezea kwa ufupi mantiki.
В inasema kwamba ni muhimu kutumia vifaa vya kinga ambavyo vimepitia utaratibu wa tathmini ya kuzingatia kwa mujibu wa utaratibu uliowekwa.:
Kuhakikisha usalama wa data ya kibinafsi unapatikana, haswa:
[…] 3) matumizi ya usalama wa habari ina maana ambayo yamepitisha utaratibu wa tathmini ya kufuata kwa mujibu wa utaratibu uliowekwa.
В Pia kuna sharti la kutumia zana za usalama wa habari ambazo zimepitisha utaratibu wa kutathmini utiifu wa mahitaji ya kisheria:
[…] matumizi ya zana za usalama wa habari ambazo zimepitisha utaratibu wa kutathmini utiifu wa mahitaji ya sheria ya Shirikisho la Urusi katika uwanja wa usalama wa habari, katika hali ambapo utumiaji wa njia kama hizo ni muhimu ili kupunguza vitisho vya sasa.
inarudia aya ya PP-1119:
Hatua za kuhakikisha usalama wa data ya kibinafsi zinatekelezwa, pamoja na mengine, kupitia utumiaji wa zana za usalama wa habari katika mfumo wa habari ambao umepitisha utaratibu wa tathmini ya kufuata kulingana na utaratibu uliowekwa, katika hali ambapo utumiaji wa zana kama hizo ni muhimu. punguza vitisho vya sasa kwa usalama wa data ya kibinafsi.
Je, uundaji huu unafanana nini? Hiyo ni kweli - hawahitaji matumizi ya vifaa vya kuthibitishwa vya kinga. Ukweli ni kwamba kuna aina kadhaa za tathmini ya kufuata (udhibitisho wa hiari au wa lazima, tamko la kufuata). Uthibitisho ni mmoja wao. Opereta anaweza kutumia bidhaa ambazo hazijaidhinishwa, lakini atahitaji kuonyesha kwa kidhibiti wakati wa ukaguzi kwamba wamepitia aina fulani ya utaratibu wa kutathmini ulinganifu.
Ikiwa operator anaamua kutumia vifaa vya kinga vilivyothibitishwa, basi ni muhimu kuchagua mfumo wa ulinzi wa habari kwa mujibu wa ulinzi wa ultrasound, ambao umeelezwa wazi katika :
Hatua za kiufundi za kulinda data ya kibinafsi zinatekelezwa kwa kutumia zana za usalama wa habari, ikiwa ni pamoja na zana za programu (vifaa) ambazo zinatekelezwa, ambazo zina kazi muhimu za usalama.
Wakati wa kutumia zana za usalama wa habari zilizothibitishwa kulingana na mahitaji ya usalama wa habari katika mifumo ya habari:
Ukweli: Sheria haihitaji matumizi ya lazima ya vifaa vya kinga vilivyothibitishwa.
Hadithi 6. Ninahitaji ulinzi wa crypto
Kuna nuances chache hapa:
- Watu wengi wanaamini kwamba cryptography ni lazima kwa ISPD yoyote. Kwa kweli, zinapaswa kutumiwa tu ikiwa opereta haoni hatua zingine zozote za ulinzi kwake zaidi ya utumiaji wa kriptografia.
- Ikiwa huwezi kufanya bila cryptography, basi unahitaji kutumia CIPF kuthibitishwa na FSB.
- Kwa mfano, unaamua kukaribisha ISPD katika wingu la mtoa huduma, lakini huna imani nayo. Unaelezea wasiwasi wako kwa mtindo wa tishio na wavamizi. Una data ya kibinafsi, kwa hivyo umeamua kuwa kriptografia ndio njia pekee ya kujilinda: utasimba kwa njia fiche mashine za kawaida, tengeneza njia salama kwa kutumia ulinzi wa kriptografia. Katika kesi hii, utalazimika kutumia CIPF iliyoidhinishwa na FSB ya Urusi.
- CIPF iliyothibitishwa huchaguliwa kwa mujibu wa kiwango fulani cha usalama kulingana na .
Kwa ISPDn na UZ-3, unaweza kutumia KS1, KS2, KS3. KS1 ni, kwa mfano, C-Terra Virtual Gateway 4.2 ya kulinda njia.
KC2, KS3 zinawakilishwa na mifumo ya programu na maunzi pekee, kama vile: Mratibu wa ViPNet, APKSH "Bara", S-Terra Gateway, n.k.
Ikiwa una UZ-2 au 1, basi utahitaji njia za ulinzi wa cryptographic za darasa la KV1, 2 na KA. Hizi ni programu maalum na mifumo ya vifaa, ni vigumu kufanya kazi, na sifa zao za utendaji ni za kawaida.
Ukweli: Sheria hailazimishi matumizi ya CIPF iliyoidhinishwa na FSB.
Chanzo: mapenzi.com