Kamusta kayong lahat! Pinapatakbo ko ang DataLine Cyber Defense Center. Dumating sa amin ang mga customer na may tungkuling matugunan ang mga kinakailangan ng 152-FZ sa cloud o sa pisikal na imprastraktura.
Sa halos lahat ng proyekto, kinakailangan na magsagawa ng gawaing pang-edukasyon upang mapawalang-bisa ang mga alamat sa paligid ng batas na ito. Nakolekta ko ang mga pinakakaraniwang maling akala na maaaring magastos sa badyet at nervous system ng personal data operator. Agad akong magpapareserba na ang mga kaso ng mga tanggapan ng estado (GIS) na nakikitungo sa mga lihim ng estado, KII, atbp. ay mananatili sa labas ng saklaw ng artikulong ito.
Pabula 1. Nag-install ako ng antivirus, firewall, at pinalibutan ng bakod ang mga rack. Sumusunod ba ako sa batas?
Ang 152-FZ ay hindi tungkol sa proteksyon ng mga system at server, ngunit tungkol sa proteksyon ng personal na data ng mga paksa. Samakatuwid, ang pagsunod sa 152-FZ ay nagsisimula hindi sa isang antivirus, ngunit sa isang malaking bilang ng mga piraso ng papel at mga isyu sa organisasyon.
Ang pangunahing inspektor, Roskomnadzor, ay hindi titingnan ang pagkakaroon at kondisyon ng mga teknikal na paraan ng proteksyon, ngunit sa ligal na batayan para sa pagproseso ng personal na data (PD):
- para sa anong layunin ka nangongolekta ng personal na data;
- kung mangolekta ka ng higit sa mga ito kaysa sa kailangan mo para sa iyong mga layunin;
- gaano katagal ka nag-iimbak ng personal na data;
- mayroon bang patakaran para sa pagproseso ng personal na data;
- Nangongolekta ka ba ng pahintulot para sa pagpoproseso ng personal na data, paglilipat ng cross-border, pagproseso ng mga third party, atbp.
Ang mga sagot sa mga tanong na ito, pati na rin ang mga proseso mismo, ay dapat na maitala sa naaangkop na mga dokumento. Narito ang isang malayo sa kumpletong listahan ng kung ano ang kailangang ihanda ng isang operator ng personal na data:
- Isang karaniwang form ng pahintulot para sa pagproseso ng personal na data (ito ang mga sheet na pinipirmahan namin ngayon halos saanman kung saan iniiwan namin ang aming buong pangalan at mga detalye ng pasaporte).
- Patakaran ng operator tungkol sa pagproseso ng personal na data ( may mga rekomendasyon para sa disenyo).
- Order sa appointment ng isang taong responsable para sa pag-aayos ng pagproseso ng personal na data.
- Paglalarawan ng trabaho ng taong responsable para sa pag-aayos ng pagproseso ng personal na data.
- Mga panuntunan para sa panloob na kontrol at (o) pag-audit ng pagsunod sa pagproseso ng PD sa mga legal na kinakailangan.
- Listahan ng mga personal data information system (ISPD).
- Mga regulasyon para sa pagbibigay sa paksa ng access sa kanyang personal na data.
- Mga regulasyon sa pagsisiyasat ng insidente.
- Order sa pagpasok ng mga empleyado sa pagproseso ng personal na data.
- Mga regulasyon para sa pakikipag-ugnayan sa mga regulator.
- Abiso ng RKN, atbp.
- Form ng pagtuturo para sa pagproseso ng PD.
- Modelo ng pagbabanta ng ISPD.
Pagkatapos malutas ang mga isyung ito, maaari kang magsimulang pumili ng mga partikular na hakbang at teknikal na paraan. Alin sa mga kailangan mo ay depende sa mga system, kanilang mga kondisyon sa pagpapatakbo, at kasalukuyang mga banta. Ngunit higit pa sa na mamaya.
Reality: Ang pagsunod sa batas ay ang pagtatatag at pagsunod sa ilang mga proseso, una sa lahat, at pangalawa lamang - ang paggamit ng mga espesyal na teknikal na paraan.
Pabula 2. Nag-iimbak ako ng personal na data sa cloud, isang data center na nakakatugon sa mga kinakailangan ng 152-FZ. Ngayon sila ang may pananagutan sa pagpapatupad ng batas
Kapag in-outsource mo ang storage ng personal na data sa isang cloud provider o data center, hindi ka titigil sa pagiging personal data operator.
Tawagan natin ang kahulugan mula sa batas para sa tulong:
Pagproseso ng personal na data - anumang aksyon (operasyon) o hanay ng mga aksyon (operasyon) na isinagawa gamit ang mga tool sa automation o nang walang paggamit ng mga naturang paraan sa personal na data, kabilang ang pagkolekta, pag-record, systematization, akumulasyon, imbakan, paglilinaw (pag-update, pagbabago), pagkuha, paggamit, paglilipat (pamamahagi, probisyon, pag-access), depersonalization, pagharang, pagtanggal, pagkasira ng personal na data.
Pinagmulan: artikulo 3,
Sa lahat ng mga pagkilos na ito, ang service provider ay may pananagutan sa pag-iimbak at pagsira ng personal na data (kapag tinapos ng kliyente ang kontrata sa kanya). Lahat ng iba pa ay ibinibigay ng personal data operator. Nangangahulugan ito na ang operator, at hindi ang service provider, ang nagtatakda ng patakaran para sa pagproseso ng personal na data, kumukuha ng mga nilagdaang pahintulot para sa pagproseso ng personal na data mula sa mga kliyente nito, pinipigilan at sinisiyasat ang mga kaso ng pagtagas ng personal na data sa mga third party, at iba pa.
Dahil dito, dapat pa ring kolektahin ng operator ng personal na data ang mga dokumentong nakalista sa itaas at magpatupad ng mga pang-organisasyon at teknikal na hakbang upang protektahan ang kanilang PDIS.
Karaniwan, tinutulungan ng provider ang operator sa pamamagitan ng pagtiyak sa pagsunod sa mga legal na kinakailangan sa antas ng imprastraktura kung saan matatagpuan ang ISPD ng operator: mga rack na may kagamitan o cloud. Nangongolekta din siya ng isang pakete ng mga dokumento, nagsasagawa ng mga pang-organisasyon at teknikal na hakbang para sa kanyang piraso ng imprastraktura alinsunod sa 152-FZ.
Tumutulong ang ilang provider sa mga papeles at pagbibigay ng mga teknikal na hakbang sa seguridad para sa mga ISDN mismo, ibig sabihin, sa antas na mas mataas sa imprastraktura. Maaari ding i-outsource ng operator ang mga gawaing ito, ngunit hindi nawawala ang responsibilidad at obligasyon sa ilalim ng batas.
Reality: Sa pamamagitan ng paggamit ng mga serbisyo ng isang provider o data center, hindi mo maaaring ilipat sa kanya ang mga responsibilidad ng isang personal na data operator at mapupuksa ang responsibilidad. Kung ipinangako ito sa iyo ng tagapagkaloob, kung gayon, upang ilagay ito nang mahinahon, nagsisinungaling siya.
Pabula 3. Mayroon akong kinakailangang pakete ng mga dokumento at hakbang. Nag-iimbak ako ng personal na data sa isang provider na nangangako ng pagsunod sa 152-FZ. Maayos ba ang lahat?
Oo, kung naaalala mong lagdaan ang order. Ayon sa batas, maaaring ipagkatiwala ng operator ang pagproseso ng personal na data sa ibang tao, halimbawa, ang parehong service provider. Ang isang order ay isang uri ng kasunduan na naglilista kung ano ang maaaring gawin ng service provider sa personal na data ng operator.
Ang operator ay may karapatang ipagkatiwala ang pagpoproseso ng personal na data sa ibang tao na may pahintulot ng paksa ng personal na data, maliban kung iba ang ibinigay ng Pederal na Batas, batay sa isang kasunduan na natapos sa taong ito, kabilang ang isang kontrata ng estado o munisipyo, o sa pamamagitan ng pag-ampon ng isang nauugnay na aksyon ng isang estado o munisipal na katawan (mula rito ay tinutukoy bilang operator ng pagtatalaga). Ang taong nagpoproseso ng personal na data sa ngalan ng operator ay obligadong sumunod sa mga prinsipyo at panuntunan para sa pagproseso ng personal na data na ibinigay ng Pederal na Batas na ito.
Pinagmulan:
Ang obligasyon ng provider na panatilihin ang pagiging kumpidensyal ng personal na data at tiyakin ang seguridad nito alinsunod sa mga tinukoy na kinakailangan ay itinatag din:
Ang mga tagubilin ng operator ay dapat tukuyin ang isang listahan ng mga aksyon (operasyon) na may personal na data na isasagawa ng taong nagpoproseso ng personal na data at ang mga layunin ng pagproseso, ang obligasyon ng naturang tao ay dapat na maitatag upang mapanatili ang pagiging kompidensiyal ng personal na data at matiyak ang seguridad ng personal na data sa panahon ng kanilang pagproseso, pati na rin ang mga kinakailangan para sa proteksyon ng naprosesong personal na data ay dapat na tinukoy alinsunod sa ng Pederal na Batas na ito.
Pinagmulan:
Para dito, ang provider ay may pananagutan sa operator, at hindi sa paksa ng personal na data:
Kung ipinagkatiwala ng operator ang pagproseso ng personal na data sa ibang tao, ang operator ay may pananagutan sa paksa ng personal na data para sa mga aksyon ng tinukoy na tao. Ang taong nagpoproseso ng personal na data sa ngalan ng operator ay may pananagutan sa operator.
Pinagmulan: .
Mahalaga rin na itakda sa pagkakasunud-sunod ang obligasyon na tiyakin ang proteksyon ng personal na data:
Ang seguridad ng personal na data kapag naproseso sa isang sistema ng impormasyon ay sinisiguro ng operator ng system na ito, na nagpoproseso ng personal na data (mula rito ay tinutukoy bilang operator), o ng taong nagpoproseso ng personal na data sa ngalan ng operator batay sa isang kasunduan na natapos sa taong ito (mula rito ay tinutukoy bilang awtorisadong tao). Ang kasunduan sa pagitan ng operator at ng awtorisadong tao ay dapat magbigay para sa obligasyon ng awtorisadong tao na tiyakin ang seguridad ng personal na data kapag naproseso sa sistema ng impormasyon.
Pinagmulan:
Reality: Kung magbibigay ka ng personal na data sa provider, pagkatapos ay lagdaan ang order. Sa pagkakasunud-sunod, ipahiwatig ang kinakailangan upang matiyak ang proteksyon ng personal na data ng mga paksa. Kung hindi, hindi ka sumusunod sa batas tungkol sa paglipat ng personal na data processing work sa isang third party, at ang provider ay walang utang sa iyo tungkol sa pagsunod sa 152-FZ.
Pabula 4. Ang Mossad ay naninilip sa akin, o tiyak na mayroon akong UZ-1
Ang ilang mga customer ay patuloy na nagpapatunay na mayroon silang ISPD ng antas ng seguridad 1 o 2. Kadalasan ay hindi ito ang kaso. Tandaan natin ang hardware para malaman kung bakit ito nangyayari.
Tinutukoy ng LO, o antas ng seguridad, kung saan mo protektahan ang iyong personal na data.
Ang antas ng seguridad ay apektado ng mga sumusunod na punto:
- uri ng personal na data (espesyal, biometric, available sa publiko at iba pa);
- na nagmamay-ari ng personal na data – mga empleyado o hindi empleyado ng operator ng personal na data;
- bilang ng mga paksa ng personal na data – higit pa o mas mababa sa 100 libo.
- mga uri ng kasalukuyang banta.
Sinasabi sa amin ang tungkol sa mga uri ng pagbabanta . Narito ang isang paglalarawan ng bawat isa sa aking libreng pagsasalin sa wika ng tao.
Ang mga banta ng Type 1 ay may kaugnayan sa isang sistema ng impormasyon kung ang mga banta na nauugnay sa pagkakaroon ng mga hindi dokumentado (hindi idineklara) na mga kakayahan sa software ng system na ginamit sa sistema ng impormasyon ay may kaugnayan din dito.
Kung kinikilala mong may kaugnayan ang ganitong uri ng pagbabanta, lubos kang naniniwala na ang mga ahente ng CIA, MI6 o MOSSAD ay naglagay ng bookmark sa operating system upang magnakaw ng personal na data ng mga partikular na paksa mula sa iyong ISPD.
Ang mga banta ng ika-2 uri ay may kaugnayan para sa isang sistema ng impormasyon kung ang mga banta na nauugnay sa pagkakaroon ng hindi dokumentado (hindi idineklara) na mga kakayahan sa software ng application na ginamit sa sistema ng impormasyon ay may kaugnayan din para dito.
Kung sa tingin mo ay ang mga banta ng pangalawang uri ang iyong kaso, pagkatapos ay matutulog ka at makita kung paano ang parehong mga ahente ng CIA, MI6, MOSSAD, isang masamang nag-iisang hacker o grupo ay naglagay ng mga bookmark sa ilang office software package upang eksaktong manghuli para sa iyong personal na data. Oo, mayroong kahina-hinalang software ng application tulad ng μTorrent, ngunit maaari kang gumawa ng isang listahan ng pinapayagang software para sa pag-install at pumirma ng isang kasunduan sa mga user, hindi bigyan ang mga user ng mga karapatan ng lokal na administrator, atbp.
Ang mga uri ng 3 na pagbabanta ay may kaugnayan sa isang sistema ng impormasyon kung ang mga banta na hindi nauugnay sa pagkakaroon ng mga hindi dokumentado (hindi idineklara) na mga kakayahan sa system at software ng application na ginamit sa sistema ng impormasyon ay may kaugnayan dito.
Ang mga banta ng uri 1 at 2 ay hindi angkop para sa iyo, kaya ito ang lugar para sa iyo.
Inayos namin ang mga uri ng pagbabanta, tingnan natin ngayon kung anong antas ng seguridad ang mayroon ang aming ISPD.
Talahanayan batay sa mga sulat na tinukoy sa .
Kung pinili namin ang pangatlong uri ng aktwal na pagbabanta, sa karamihan ng mga kaso magkakaroon kami ng UZ-3. Ang tanging pagbubukod, kapag ang mga banta ng mga uri 1 at 2 ay hindi nauugnay, ngunit ang antas ng seguridad ay magiging mataas pa rin (UZ-2), ay mga kumpanyang nagpoproseso ng espesyal na personal na data ng mga hindi empleyado sa halagang higit sa 100. Para sa halimbawa, ang mga kumpanyang nakikibahagi sa mga medikal na diagnostic at pagbibigay ng mga serbisyong medikal.
Mayroon ding UZ-4, at ito ay matatagpuan higit sa lahat sa mga kumpanya na ang negosyo ay hindi nauugnay sa pagproseso ng personal na data ng mga hindi empleyado, ibig sabihin, mga kliyente o kontratista, o ang mga personal na data base ay maliit.
Bakit napakahalaga na huwag lumampas sa antas ng seguridad? Ito ay simple: ang hanay ng mga hakbang at paraan ng proteksyon upang matiyak na ang mismong antas ng seguridad ay nakasalalay dito. Kung mas mataas ang antas ng kaalaman, mas maraming kailangang gawin sa mga terminong pang-organisasyon at teknikal (basahin: mas maraming pera at nerbiyos ang kailangang gastusin).
Narito, halimbawa, kung paano nagbabago ang hanay ng mga hakbang sa seguridad alinsunod sa parehong PP-1119.
Ngayon tingnan natin kung paano, depende sa napiling antas ng seguridad, ang listahan ng mga kinakailangang hakbang ay nagbabago alinsunod sa Mayroong mahabang apendiks sa dokumentong ito, na tumutukoy sa mga kinakailangang hakbang. Mayroong 109 sa kanila sa kabuuan, para sa bawat KM na ipinag-uutos na mga hakbang ay tinukoy at minarkahan ng isang "+" na senyales - ang mga ito ay tumpak na kinakalkula sa talahanayan sa ibaba. Kung iiwan mo lang ang mga kailangan para sa UZ-3, makakakuha ka ng 4.
Reality: kung hindi ka nangongolekta ng mga pagsubok o biometrics mula sa mga kliyente, hindi ka paranoid tungkol sa mga bookmark sa system at application software, malamang na mayroon kang UZ-3. Mayroon itong makatwirang listahan ng mga pang-organisasyon at teknikal na hakbang na maaaring aktwal na ipatupad.
Pabula 5. Ang lahat ng paraan ng pagprotekta sa personal na data ay dapat na sertipikado ng FSTEC ng Russia
Kung gusto mo o kailangan mong magsagawa ng sertipikasyon, malamang na kakailanganin mong gumamit ng sertipikadong kagamitan sa proteksyon. Ang sertipikasyon ay isasagawa ng isang lisensyado ng FSTEC ng Russia, na:
- interesado sa pagbebenta ng higit pang mga sertipikadong kagamitan sa proteksyon ng impormasyon;
- ay matatakot sa lisensya na bawiin ng regulator kung may mali.
Kung hindi mo kailangan ng sertipikasyon at handa ka nang kumpirmahin ang pagsunod sa mga kinakailangan sa ibang paraan, pinangalanan sa "Pagtatasa sa pagiging epektibo ng mga hakbang na ipinatupad sa loob ng sistema ng proteksyon ng personal na data upang matiyak ang seguridad ng personal na data," pagkatapos ay hindi kinakailangan para sa iyo ang mga sertipikadong sistema ng seguridad ng impormasyon. Susubukan kong ipaliwanag nang maikli ang katwiran.
В nagsasaad na kinakailangang gumamit ng mga kagamitang pang-proteksyon na sumailalim sa pamamaraan ng pagtatasa ng conformity alinsunod sa itinatag na pamamaraan:
Ang pagtiyak sa seguridad ng personal na data ay nakakamit, lalo na:
[…] 3) ang paggamit ng seguridad ng impormasyon ay nangangahulugan na nakapasa sa pamamaraan ng pagtasa sa pagsunod alinsunod sa itinatag na pamamaraan.
В Mayroon ding kinakailangan na gumamit ng mga tool sa seguridad ng impormasyon na nakapasa sa pamamaraan para sa pagtatasa ng pagsunod sa mga legal na kinakailangan:
[…] ang paggamit ng mga tool sa seguridad ng impormasyon na sumailalim sa pagtatasa ng pagsunod sa mga kinakailangan ng batas ng Russian Federation sa larangan ng seguridad ng impormasyon, sa mga kaso kung saan ang paggamit ng mga naturang paraan ay kinakailangan upang neutralisahin ang mga kasalukuyang banta.
halos duplicate ng talata PP-1119:
Ang mga hakbang upang matiyak na ang seguridad ng personal na data ay ipinatupad, inter alia, sa pamamagitan ng paggamit ng mga tool sa seguridad ng impormasyon sa sistema ng impormasyon na nakapasa sa pamamaraan ng pagtatasa ng conformity alinsunod sa itinatag na pamamaraan, sa mga kaso kung saan ang paggamit ng mga naturang tool ay kinakailangan upang neutralisahin ang mga kasalukuyang banta sa seguridad ng personal na data.
Ano ang pagkakatulad ng mga pormulasyon na ito? Tama iyon - hindi nila hinihiling ang paggamit ng mga sertipikadong kagamitan sa proteksyon. Ang katotohanan ay mayroong ilang mga anyo ng pagtatasa ng pagsunod (boluntaryo o ipinag-uutos na sertipikasyon, deklarasyon ng pagsunod). Ang sertipikasyon ay isa lamang sa kanila. Maaaring gumamit ang operator ng mga hindi na-certify na produkto, ngunit kakailanganing ipakita sa regulator sa panahon ng inspeksyon na sumailalim sila sa ilang paraan ng pamamaraan ng pagtatasa ng conformity.
Kung nagpasya ang operator na gumamit ng sertipikadong kagamitan sa proteksyon, kinakailangan na piliin ang sistema ng proteksyon ng impormasyon alinsunod sa proteksyon ng ultrasound, na malinaw na ipinahiwatig sa :
Ang mga teknikal na hakbang upang protektahan ang personal na data ay ipinapatupad sa pamamagitan ng paggamit ng mga tool sa seguridad ng impormasyon, kabilang ang mga tool sa software (hardware) kung saan ipinatupad ang mga ito, na mayroong mga kinakailangang function ng seguridad.
Kapag gumagamit ng mga tool sa seguridad ng impormasyon na na-certify ayon sa mga kinakailangan sa seguridad ng impormasyon sa mga sistema ng impormasyon:
Reality: Ang batas ay hindi nangangailangan ng mandatoryong paggamit ng mga sertipikadong kagamitan sa proteksyon.
Pabula 6. Kailangan ko ng proteksyon ng crypto
Mayroong ilang mga nuances dito:
- Maraming tao ang naniniwala na ang cryptography ay sapilitan para sa anumang ISPD. Sa katunayan, dapat lamang itong gamitin kung ang operator ay hindi nakakakita ng anumang iba pang mga hakbang sa proteksyon para sa kanyang sarili maliban sa paggamit ng cryptography.
- Kung hindi mo magagawa nang walang cryptography, kailangan mong gumamit ng CIPF na sertipikado ng FSB.
- Halimbawa, nagpasya kang mag-host ng ISPD sa cloud ng isang service provider, ngunit hindi mo ito pinagkakatiwalaan. Inilalarawan mo ang iyong mga alalahanin sa isang modelo ng pagbabanta at nanghihimasok. Mayroon kang personal na data, kaya nagpasya kang ang cryptography ay ang tanging paraan upang maprotektahan ang iyong sarili: mag-e-encrypt ka ng mga virtual machine, bubuo ng mga secure na channel gamit ang cryptographic na proteksyon. Sa kasong ito, kakailanganin mong gumamit ng CIPF na sertipikado ng FSB ng Russia.
- Ang sertipikadong CIPF ay pinili alinsunod sa isang tiyak na antas ng seguridad ayon sa .
Para sa ISPDn na may UZ-3, maaari mong gamitin ang KS1, KS2, KS3. Ang KS1 ay, halimbawa, C-Terra Virtual Gateway 4.2 para sa pagprotekta sa mga channel.
Ang KC2, KS3 ay kinakatawan lamang ng mga software at hardware system, gaya ng: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway, atbp.
Kung mayroon kang UZ-2 o 1, kakailanganin mo ang cryptographic protection na paraan ng klase na KV1, 2 at KA. Ang mga ito ay mga partikular na software at hardware system, ang mga ito ay mahirap gamitin, at ang kanilang mga katangian ng pagganap ay katamtaman.
Reality: Hindi inoobliga ng batas ang paggamit ng CIPF na sertipikado ng FSB.
Pinagmulan: www.habr.com