Herkese selam! DataLine Siber Savunma Merkezini yönetiyorum. Müşteriler 152-FZ gereksinimlerini bulutta veya fiziksel altyapıda karşılamak için bize geliyorlar.
Hemen hemen her projede bu yasayla ilgili efsaneleri çürütmek için eğitim çalışmaları yapmak gerekiyor. Kişisel veri operatörünün bütçesine ve sinir sistemine pahalıya mal olabilecek en yaygın yanılgıları derledim. Devlet sırları, KII vb. ile ilgilenen devlet daireleri (GIS) vakalarının bu makalenin kapsamı dışında kalacağına dair derhal bir çekince koyacağım.
Efsane 1. Bir antivirüs, güvenlik duvarı kurdum ve rafları bir çitle çevreledim. Yasalara uyuyor muyum?
152-FZ, sistemlerin ve sunucuların korunmasıyla ilgili değil, kişilerin kişisel verilerinin korunmasıyla ilgilidir. Bu nedenle, 152-FZ'ye uyum antivirüsle değil, çok sayıda kağıt parçası ve organizasyonel sorunla başlar.
Ana müfettiş Roskomnadzor, teknik koruma araçlarının varlığına ve durumuna değil, kişisel verilerin (PD) işlenmesinin yasal dayanağına bakacak:
- kişisel verileri hangi amaçla topluyorsunuz;
- amaçlarınız için ihtiyaç duyduğunuzdan daha fazlasını toplayıp toplamadığınız;
- kişisel verileri ne kadar süreyle saklıyorsunuz;
- kişisel verilerin işlenmesine ilişkin bir politika var mı;
- Kişisel verilerin işlenmesi, sınır ötesi aktarımı, üçüncü şahıslar tarafından işlenmesi vb. için onay alıyor musunuz?
Bu soruların yanıtları ve süreçlerin kendisi uygun belgelere kaydedilmelidir. Burada kişisel veri operatörünün hazırlaması gerekenlerin tam olmayan bir listesi var:
- Kişisel verilerin işlenmesi için standart bir onay formu (bunlar artık hemen hemen her yere imzaladığımız ve tam adımızı ve pasaport bilgilerimizi bıraktığımız sayfalardır).
- Operatörün kişisel verilerin işlenmesine ilişkin politikası ( tasarım önerileri vardır).
- Kişisel verilerin işlenmesini organize etmekten sorumlu bir kişinin atanmasına ilişkin emir.
- Kişisel verilerin işlenmesini organize etmekten sorumlu kişinin görev tanımı.
- PD işlemlerinin yasal gerekliliklere uygunluğunun iç kontrolü ve/veya denetimi için kurallar.
- Kişisel veri bilgi sistemlerinin (ISPD) listesi.
- Konuya kişisel verilerine erişim sağlanmasına ilişkin düzenlemeler.
- Olay inceleme yönetmeliği.
- Çalışanların kişisel verilerin işlenmesine kabulüne ilişkin emir.
- Düzenleyicilerle etkileşime ilişkin düzenlemeler.
- RKN'nin bildirimi vb.
- PD işleme için talimat formu.
- ISPD tehdit modeli.
Bu sorunları çözdükten sonra belirli önlemleri ve teknik araçları seçmeye başlayabilirsiniz. Hangisine ihtiyacınız olduğu sistemlere, çalışma koşullarına ve mevcut tehditlere bağlıdır. Ancak daha sonra bunun hakkında daha fazla bilgi vereceğiz.
gerçeklik: yasaya uygunluk, her şeyden önce belirli süreçlerin kurulması ve bunlara uyulması ve yalnızca ikinci olarak özel teknik araçların kullanılmasıdır.
Efsane 2. Kişisel verileri 152-FZ gereksinimlerini karşılayan bir veri merkezi olan bulutta saklıyorum. Artık kanunun uygulanmasından onlar sorumlu
Kişisel verilerin depolanmasını bir bulut sağlayıcısına veya veri merkezine yaptırdığınızda, kişisel veri operatörü olmanız sona ermez.
Yardım için kanundaki tanıma başvuralım:
Kişisel verilerin işlenmesi - toplama, kaydetme, sistemleştirme, biriktirme, depolama, açıklama (güncelleme, değiştirme) dahil olmak üzere, otomasyon araçları kullanılarak veya kişisel verilerle bu tür araçlar kullanılmadan gerçekleştirilen herhangi bir eylem (işlem) veya eylem kümesi (işlemler), kişisel verilerin çıkarılması, kullanılması, aktarılması (dağıtım, sağlanması, erişim), duyarsızlaştırılması, engellenmesi, silinmesi, imhası.
Kaynak: makale 3,
Tüm bu eylemlerden hizmet sağlayıcı, kişisel verilerin saklanması ve yok edilmesinden (müşterinin kendisiyle olan sözleşmeyi feshettiğinde) sorumludur. Geri kalan her şey kişisel veri operatörü tarafından sağlanır. Bu, kişisel verilerin işlenmesine ilişkin politikayı hizmet sağlayıcının değil operatörün belirlemesi, müşterilerinden kişisel verilerin işlenmesi için imzalı onaylar alması, kişisel verilerin üçüncü taraflara sızması durumlarını önlemesi ve soruşturması vb. anlamına gelir.
Sonuç olarak, kişisel veri operatörünün yukarıda sıralanan belgeleri yine de toplaması ve PDIS'lerini korumak için organizasyonel ve teknik önlemleri uygulaması gerekmektedir.
Tipik olarak sağlayıcı, operatörün ISPD'sinin yerleştirileceği altyapı düzeyinde (ekipmanlı raflar veya bulut) yasal gerekliliklere uyumu sağlayarak operatöre yardımcı olur. Ayrıca 152-FZ uyarınca bir belge paketi topluyor, altyapı parçası için organizasyonel ve teknik önlemler alıyor.
Bazı sağlayıcılar, ISDN'lerin kendileri için, yani altyapının üzerinde bir düzeyde, evrak işlerinde ve teknik güvenlik önlemlerinin sağlanmasında yardımcı olur. İşletmeci bu görevleri dışarıdan da temin edebilir ancak yasa kapsamındaki sorumluluk ve yükümlülükler ortadan kalkmaz.
gerçeklik: Bir sağlayıcının veya veri merkezinin hizmetlerini kullanarak kişisel veri operatörünün sorumluluklarını ona devredemez ve sorumluluktan kurtulamazsınız. Sağlayıcı size bunu vaat ediyorsa, en hafif tabirle yalan söylüyor demektir.
Efsane 3. Gerekli belge ve önlemler paketine sahibim. Kişisel verileri 152-FZ'ye uyum sözü veren bir sağlayıcıda saklıyorum. Her şey yolunda mı?
Evet, eğer emri imzalamayı hatırlarsan. Yasaya göre operatör, kişisel verilerin işlenmesini başka bir kişiye, örneğin aynı hizmet sağlayıcıya emanet edebilir. Sipariş, servis sağlayıcının operatörün kişisel verileriyle neler yapabileceğini listeleyen bir tür anlaşmadır.
Operatör, Federal Yasa tarafından aksi belirtilmedikçe, bir eyalet veya belediye sözleşmesi de dahil olmak üzere bu kişiyle yapılan bir anlaşmaya dayanarak, kişisel verilerin konusunun rızasıyla kişisel verilerin işlenmesini başka bir kişiye emanet etme hakkına sahiptir. veya bir eyalet veya belediye organı (bundan sonra atama operatörü olarak anılacaktır) tarafından ilgili bir kanunun kabul edilmesi yoluyla. Operatör adına kişisel verileri işleyen kişi, bu Federal Kanun tarafından sağlanan kişisel verilerin işlenmesine ilişkin ilke ve kurallara uymakla yükümlüdür.
Kaynak:
Sağlayıcının kişisel verilerin gizliliğini koruma ve belirtilen gerekliliklere uygun olarak güvenliğini sağlama yükümlülüğü de belirlenmiştir:
Operatörün talimatı, kişisel verileri işleyen kişi tarafından gerçekleştirilecek kişisel verilerle ilgili eylemlerin (işlemlerin) bir listesini ve işleme amaçlarını tanımlamalı, böyle bir kişinin kişisel verilerin gizliliğini koruma ve gizliliğini sağlama yükümlülüğü oluşturulmalıdır. Kişisel verilerin işlenmesi sırasında güvenliğinin yanı sıra işlenen kişisel verilerin korunmasına ilişkin gerekliliklerin de mevzuata uygun olarak belirtilmesi gerekmektedir. bu federal yasanın
Kaynak:
Bunun için sağlayıcı, kişisel verilerin konusuna değil operatöre karşı sorumludur:
Operatör, kişisel verilerin işlenmesini başka bir kişiye emanet ederse, belirtilen kişinin eylemlerinden kişisel verilerin konusuna göre operatör sorumludur. İşletmeci adına kişisel verileri işleyen kişi, işletmeciye karşı sorumludur.
Kaynak: .
Kişisel verilerin korunmasını sağlama yükümlülüğünün de sırayla belirtilmesi önemlidir:
Kişisel verilerin bir bilgi sisteminde işlendiğinde güvenliği, kişisel verileri işleyen bu sistemin operatörü (bundan sonra operatör olarak anılacaktır) veya kişisel verileri operatör adına işleyen kişi tarafından, bu kişiyle (bundan sonra yetkili kişi olarak anılacaktır) yapılan sözleşme. İşletmeci ile yetkili kişi arasındaki sözleşmenin, yetkili kişinin kişisel verilerin bilgi sisteminde işlenirken güvenliğini sağlama yükümlülüğünü sağlaması gerekir.
Kaynak:
gerçeklik: Sağlayıcıya kişisel veriler verirseniz siparişi imzalayın. Sırada, kişilerin kişisel verilerinin korunmasının sağlanması gerekliliğini belirtin. Aksi takdirde, kişisel veri işleme işinin üçüncü bir kişiye aktarılmasına ilişkin kanuna uymamış olursunuz ve sağlayıcının 152-FZ'ye uyum konusunda size herhangi bir borcu yoktur.
Efsane 4: Mossad beni gözetliyor, yoksa kesinlikle bir UZ-1'im var
Bazı müşteriler ısrarla ISPD güvenlik düzeyi 1 veya 2'ye sahip olduklarını kanıtlarlar. Çoğu zaman durum böyle değildir. Bunun neden olduğunu anlamak için donanımı hatırlayalım.
LO veya güvenlik düzeyi, kişisel verilerinizi nelerden koruyacağınızı belirler.
Güvenlik düzeyi aşağıdaki noktalardan etkilenir:
- kişisel veri türü (özel, biyometrik, kamuya açık ve diğerleri);
- kişisel verilerin sahibi kimdir - kişisel veri operatörünün çalışanları veya çalışanı olmayanlar;
- kişisel veri sahiplerinin sayısı – aşağı yukarı 100 bin.
- mevcut tehdit türleri.
Bize tehdit türleri hakkında bilgi verir . İşte her birinin insan diline ücretsiz çevirimle birlikte bir açıklaması.
Bilgi sisteminde kullanılan sistem yazılımındaki belgelenmemiş (beyan edilmemiş) yeteneklerin varlığıyla ilişkili tehditler de bilgi sistemiyle ilgiliyse, Tip 1 tehditler bir bilgi sistemiyle ilgilidir.
Bu tür bir tehdidin ilgili olduğunu düşünüyorsanız, CIA, MI6 veya MOSSAD ajanlarının, ISPD'nizden belirli kişilerin kişisel verilerini çalmak için işletim sistemine bir yer imi yerleştirdiğine kesinlikle inanırsınız.
Bilgi sisteminde kullanılan uygulama yazılımındaki belgelenmemiş (beyan edilmemiş) yeteneklerin varlığıyla ilişkili tehditler de bununla ilgiliyse, 2. tip tehditler bir bilgi sistemiyle ilgilidir.
Eğer durumunuzun ikinci türden tehditler olduğunu düşünüyorsanız, o zaman uyursunuz ve aynı CIA, MI6, MOSSAD ajanlarının, kötü niyetli bir yalnız bilgisayar korsanının veya grubun tam olarak onları bulmak için bazı ofis yazılım paketlerine yer imleri yerleştirdiğini görürsünüz. kişisel verileriniz. Evet, μTorrent gibi şüpheli uygulama yazılımları var, ancak kurulum için izin verilen yazılımların bir listesini oluşturabilir ve kullanıcılarla bir sözleşme imzalayabilir, kullanıcılara yerel yönetici hakları vb.
Sistemde belgelenmemiş (beyan edilmemiş) yeteneklerin ve bilgi sisteminde kullanılan uygulama yazılımının varlığıyla ilgili olmayan tehditler ilgiliyse, Tip 3 tehditler bir bilgi sistemiyle ilgilidir.
1. ve 2. tür tehditler size uygun değil, bu yüzden burası tam size göre.
Tehdit türlerini sıraladık, şimdi ISPD’mizin ne düzeyde bir güvenliğe sahip olacağına bakalım.
Belirtilen yazışmalara dayalı tablo .
Üçüncü tür gerçek tehditleri seçersek, çoğu durumda UZ-3'ümüz olur. Tip 1 ve 2 tehditlerinin konuyla ilgili olmadığı ancak güvenlik seviyesinin hala yüksek olacağı (UZ-2) tek istisna, çalışan olmayanların 100'den fazla özel kişisel verilerini işleyen şirketlerdir. Örneğin, tıbbi teşhis ve tıbbi hizmetlerin sağlanmasıyla uğraşan şirketler.
Ayrıca UZ-4 de vardır ve esas olarak işi çalışan olmayanların, yani müşterilerin veya yüklenicilerin kişisel verilerinin işlenmesiyle ilgili olmayan veya kişisel veri tabanları küçük olan şirketlerde bulunur.
Güvenlik düzeyi konusunda aşırıya kaçmamak neden bu kadar önemli? Çok basit: Tam da bu düzeyde güvenliği sağlamak için alınacak önlemler ve koruma araçları buna bağlı olacaktır. Bilgi düzeyi ne kadar yüksek olursa, organizasyonel ve teknik açıdan o kadar çok şey yapılması gerekecektir (okuyun: o kadar çok para ve sinirin harcanması gerekecektir).
Örneğin, aynı PP-1119'a göre güvenlik önlemleri setinin nasıl değiştiği burada.
Şimdi seçilen güvenlik seviyesine bağlı olarak gerekli önlemler listesinin buna göre nasıl değiştiğini görelim. Bu belgede gerekli önlemleri tanımlayan uzun bir ek bulunmaktadır. Toplamda 109 adet vardır; her KM için zorunlu önlemler tanımlanmış ve “+” işaretiyle işaretlenmiştir - bunlar aşağıdaki tabloda tam olarak hesaplanır. Yalnızca UZ-3 için gerekli olanları bırakırsanız 4 alırsınız.
gerçeklik: Müşterilerden test veya biyometri toplamazsanız, sistem ve uygulama yazılımındaki yer imleri konusunda paranoyak değilsiniz, o zaman büyük olasılıkla UZ-3'ünüz var. Gerçekte uygulanabilecek organizasyonel ve teknik önlemlerin makul bir listesi vardır.
Efsane 5. Kişisel verileri korumaya yönelik tüm yöntemler Rusya FSTEC tarafından onaylanmalıdır
Sertifikasyon yapmak istiyorsanız veya gerekliyse, büyük olasılıkla sertifikalı koruyucu ekipman kullanmanız gerekecektir. Sertifikasyon, Rusya FSTEC'in lisans sahibi tarafından gerçekleştirilecektir:
- daha fazla sertifikalı bilgi koruma cihazı satmakla ilgileniyor;
- Bir şeyler ters giderse lisansın düzenleyici tarafından iptal edilmesinden korkacaklar.
Sertifikasyona ihtiyacınız yoksa ve gerekliliklere uygunluğu başka bir şekilde doğrulamaya hazırsanız, “Kişisel verilerin güvenliğinin sağlanmasına yönelik kişisel veri koruma sistemi kapsamında uygulanan tedbirlerin etkinliğinin değerlendirilmesi” durumunda sertifikalı bilgi güvenliği sistemlerine ihtiyacınız yoktur. Gerekçesini kısaca açıklamaya çalışacağım.
В uygunluk değerlendirme prosedüründen geçmiş koruyucu ekipmanın belirlenen prosedüre uygun olarak kullanılması gerektiğini belirtir:
Kişisel verilerin güvenliğinin sağlanması, özellikle:
[…] 3) belirlenen prosedüre uygun olarak uygunluk değerlendirme prosedürünü geçen bilgi güvenliği araçlarının kullanılması.
В Ayrıca, yasal gerekliliklere uygunluğun değerlendirilmesine yönelik prosedürü geçmiş olan bilgi güvenliği araçlarının kullanılmasına yönelik bir gereklilik de bulunmaktadır:
[…] Mevcut tehditleri etkisiz hale getirmek için bu tür araçların kullanılmasının gerekli olduğu durumlarda, bilgi güvenliği alanında Rusya Federasyonu mevzuatının gerekliliklerine uygunluğu değerlendirme prosedürünü geçen bilgi güvenliği araçlarının kullanılması.
pratik olarak PP-1119 paragrafını kopyalar:
Kişisel verilerin güvenliğini sağlamaya yönelik önlemler, diğerlerinin yanı sıra, bilgi sistemindeki uygunluk değerlendirme prosedürünü belirlenmiş prosedüre uygun olarak geçmiş bilgi güvenliği araçlarının kullanılması yoluyla, bu tür araçların kullanımının gerekli olduğu durumlarda uygulanır. Kişisel verilerin güvenliğine yönelik mevcut tehditleri etkisiz hale getirin.
Bu formülasyonların ortak noktası nedir? Bu doğru; sertifikalı koruyucu ekipman kullanımını gerektirmiyorlar. Gerçek şu ki, uygunluk değerlendirmesinin çeşitli biçimleri vardır (gönüllü veya zorunlu belgelendirme, uygunluk beyanı). Sertifikasyon bunlardan sadece bir tanesidir. Operatör, sertifikasız ürünler kullanabilir ancak denetimin ardından düzenleyici kuruma bunların bir tür uygunluk değerlendirme prosedüründen geçtiğini göstermesi gerekecektir.
Operatör sertifikalı koruyucu ekipman kullanmaya karar verirse, ultrason korumasına uygun olarak bilgi koruma sisteminin seçilmesi gerekir; bu, Madde XNUMX'de açıkça belirtilmiştir. :
Kişisel verilerin korunmasına yönelik teknik önlemler, uygulandıkları yazılım (donanım) araçları da dahil olmak üzere, gerekli güvenlik işlevlerine sahip bilgi güvenliği araçlarının kullanılması yoluyla uygulanmaktadır.
Bilgi sistemlerinde bilgi güvenliği gereksinimlerine göre sertifikalandırılmış bilgi güvenliği araçlarını kullanırken:
gerçeklik: Kanun, sertifikalı koruyucu ekipmanların zorunlu kullanımını gerektirmemektedir.
Efsane 6. Kripto korumasına ihtiyacım var
Burada birkaç nüans var:
- Birçok kişi kriptografinin herhangi bir ISPD için zorunlu olduğuna inanıyor. Aslında bunlar yalnızca operatörün kendisi için kriptografi kullanımı dışında başka bir koruma önlemi görmemesi durumunda kullanılmalıdır.
- Kriptografi olmadan yapamıyorsanız, FSB tarafından onaylanmış CIPF'yi kullanmanız gerekir.
- Örneğin, bir ISPD'yi bir servis sağlayıcının bulutunda barındırmaya karar verdiniz ancak ona güvenmiyorsunuz. Endişelerinizi tehdit ve davetsiz misafir modelinde açıklıyorsunuz. Kişisel verileriniz var ve bu nedenle kendinizi korumanın tek yolunun kriptografi olduğuna karar verdiniz: sanal makineleri şifreleyeceksiniz, kriptografik korumayı kullanarak güvenli kanallar oluşturacaksınız. Bu durumda Rusya FSB'si tarafından onaylanmış CIPF'yi kullanmanız gerekecektir.
- Sertifikalı CIPF, belirli bir güvenlik seviyesine göre seçilir. .
UZ-3'lü ISPDn için KS1, KS2, KS3'ü kullanabilirsiniz. KS1, örneğin kanal koruması için C-Terra Virtual Gateway 4.2'dir.
KC2, KS3 yalnızca ViPNet Koordinatörü, APKSH "Kıta", S-Terra Ağ Geçidi vb. gibi yazılım ve donanım sistemleriyle temsil edilir.
UZ-2 veya 1'iniz varsa, KV1, 2 ve KA sınıfı kriptografik koruma araçlarına ihtiyacınız olacaktır. Bunlar spesifik yazılım ve donanım sistemleridir, çalıştırılmaları zordur ve performans özellikleri mütevazıdır.
gerçeklik: Kanun, FSB tarafından onaylanmış CIPF'nin kullanımını zorunlu kılmamaktadır.
Kaynak: habr.com