Всім привіт! Я керую центром кіберзахисту DataLine. До нас приходять замовники із завданням виконання вимог 152-ФЗ у хмарі або на фізичній інфраструктурі.
Практично у кожному проекті доводиться проводити просвітницьку роботу з розвінчання міфів навколо цього закону. Я зібрав найчастіші помилки, які можуть дорого обійтися бюджету та нервовій системі оператора персональних даних. Відразу зазначу, що випадки держконтор (ГІС), які мають справу з держтаємницею, КІІ та ін. залишаться за рамками цієї статті.
Міф 1. Я поставив антивірус, міжмережевий екран, обгородив стійки огорожею. Я ж дотримуюсь закону?
152-ФЗ – не захист систем і серверів, а захист персональних даних суб'єктів. Тому дотримання 152-ФЗ починається не з антивірусу, а з великої кількості папірців та організаційних моментів.
Головний перевіряючий, Роскомнагляд, дивитиметься не на наявність та стан технічних засобів захисту, а на правові підстави для обробки персональних даних (ПДн):
- з якою метою ви збираєте персональні дані;
- чи не збираєте ви їх більше, ніж потрібно для ваших цілей;
- скільки зберігаєте персональні дані;
- чи є політика обробки персональних даних;
- чи збираєте згоду на обробку ПДН, на транскордонну передачу, на обробку третіми особами та ін.
Відповіді на ці питання, а також самі процеси мають бути зафіксовані у відповідних документах. Ось далеко не повний перелік того, що потрібно підготувати оператору персональних даних:
- Типова форма згоди на обробку персональних даних (це листи, які ми зараз підписуємо практично скрізь, де залишаємо свої ПІБ, паспортні дані).
- Політика оператора щодо обробки ПДН ( є рекомендації щодо оформлення).
- Наказ про призначення відповідального за організацію обробки ПДН.
- Посадова інструкція відповідального за організацію обробки ПДН.
- Правила внутрішнього контролю та (або) аудиту відповідності обробки ПДН вимогам закону.
- Перелік інформаційних систем персональних даних (ІСПД).
- Регламент надання доступу суб'єкта до його ПДН.
- Регламент розслідування інцидентів
- Наказ про допуск працівників до обробки ПДН.
- Регламент взаємодії із регуляторами.
- Повідомлення РКН та ін.
- Форма доручення обробки ПДН.
- Модель загроз ІСПДн.
Після вирішення цих питань можна приступати до підбору конкретних заходів та технічних засобів. Які саме вам знадобляться, залежить від систем, умов їх роботи та актуальних загроз. Але про це трохи згодом.
реальність: дотримання закону – це налагодження та дотримання певних процесів, насамперед, і лише у другу – використання спеціальних технічних засобів.
Міф 2. Я зберігаю персональні дані у хмарі, дата-центрі, що відповідає вимогам 152-ФЗ. Тепер вони відповідають за дотримання закону
Коли ви віддаєте на аутсорсинг зберігання персональних даних хмарному провайдеру або в дата-центрі, то ви не перестаєте бути оператором персональних даних.
Закличемо на допомогу визначення із закону:
Обробка персональних даних – будь-яка дія (операція) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збирання, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), вилучення, використання, передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних.
Джерело: стаття 3,
З усіх цих процесів сервіс-провайдер відповідає за зберігання та знищення персональних даних (коли клієнт розриває з ним договір). Решта забезпечує оператор персональних даних. Це означає, що оператор, а не сервіс-провайдер, визначає політику обробки персональних даних, отримує від своїх клієнтів підписані згоди на обробку персональних даних, запобігає та розслідує випадки витоку персональних даних на бік тощо.
Отже, оператор персональних даних, як і раніше, має зібрати документи, які були перераховані вище, та виконати організаційні та технічні заходи для захисту своїх ІСПДн.
Зазвичай провайдер допомагає оператору тим, що забезпечує відповідність вимогам закону на рівні інфраструктури, де розміщуватимуться ІСПД оператора: стійки з обладнанням або хмара. Він також збирає пакет документів, вживає організаційних та технічних заходів для свого шматка інфраструктури у відповідність до 152-ФЗ.
Деякі провайдери допомагають з оформленням документів та забезпеченням технічних засобів захисту для самих ІСПДн, тобто рівня вище за інфраструктуру. Оператор теж може віддати ці завдання на аутсорсинг, але сама відповідальність та зобов'язання згідно із законом нікуди не зникають.
реальність: звертаючись до послуг провайдера або дата-центру, ви не можете передати йому обов'язки оператора персональних даних та позбутися відповідальності. Якщо провайдер вам це обіцяє, то він лукавить.
Міф 3. Необхідний пакет документів та заходів у мене є. Персональні дані зберігаю у провайдера, який обіцяє відповідність 152-ФЗ. Усі в ажурі?
Так, якщо ви не забули підписати доручення. За законом оператор може доручити обробку персональних даних іншій особі, наприклад тому ж сервіс-провайдеру. Доручення - це свого роду договір, де перераховується, що сервіс-провайдер може робити з персональними даними оператора.
Оператор має право доручити обробку персональних даних іншій особі за згодою суб'єкта персональних даних, якщо інше не передбачено Федеральним законом, на підставі договору, що укладається з цією особою, в тому числі державного або муніципального контракту, або шляхом прийняття державним або муніципальним органом відповідного акта (далі – доручення оператора). Особа, яка здійснює обробку персональних даних за дорученням оператора, зобов'язана дотримуватися принципів і правил обробки персональних даних, передбачених цим Законом.
Джерело:
Тут же закріплюється обов'язок провайдера дотримуватися конфіденційності персональних даних та забезпечувати їхню безпеку відповідно до зазначених вимог:
У дорученні оператора повинні бути визначені перелік дій (операцій) з персональними даними, які будуть здійснюватися особою, яка здійснює обробку персональних даних, та мети обробки, має бути встановлений обов'язок такої особи дотримуватись конфіденційності персональних даних та забезпечувати безпеку персональних даних при їх обробці, а також повинні бути зазначені вимоги до захисту оброблюваних персональних даних відповідно до цього Федерального закону.
Джерело:
За це провайдер несе відповідальність перед оператором, а не перед суб'єктом персональних даних:
Якщо оператор доручає обробку персональних даних іншій особі, відповідальність перед суб'єктом персональних даних за дії зазначеної особи несе оператор. Особа, яка здійснює обробку персональних даних за дорученням оператора, відповідає перед оператором.
Джерело: .
У дорученні також важливо прописати обов'язок забезпечення захисту персональних даних:
Безпека персональних даних при їх обробці в інформаційній системі забезпечує оператор цієї системи, який обробляє персональні дані (далі – оператор), або особа, яка здійснює обробку персональних даних за дорученням оператора на підставі договору, що укладається з цією особою (далі – уповноважена особа). Договір між оператором та уповноваженою особою повинен передбачати обов'язок уповноваженої особи забезпечити безпеку персональних даних при їх обробці в інформаційній системі.
Джерело:
реальність: якщо віддаєте персональні дані провайдеру, підписуйте доручення. У дорученні вказуйте вимогу щодо забезпечення захисту ПДН суб'єктів. Інакше ви не дотримуєтеся закону в частині передачі робіт обробки персональних даних третьою особою і провайдер в частині дотримання 152-ФЗ вам нічого не зобов'язаний.
Міф 4. За мною шпигунить Моссад, або У мене неодмінно УЗ-1
Деякі замовники наполегливо доводять, що у них ІСПД рівня захищеності 1 або 2. Найчастіше це не так. Згадаймо матч, щоб розібратися, чому так виходить.
УЗ, або рівень захищеності, визначає, від чого ви захищатимете персональні дані.
На рівень захищеності впливають такі моменти:
- тип персональних даних (спеціальні, біометричні, загальнодоступні та інші);
- кому належать персональні дані – співробітникам чи неспівробітникам оператора перданних;
- кількість суб'єктів персональних даних – більш-менш 100 тис.
- типи актуальних небезпек.
Про типи загроз нам розповідає . Ось опис кожного з моїм вільним перекладом на людську мову.
Загрози 1-го типу є актуальними для інформаційної системи, якщо для неї в тому числі актуальні загрози, пов'язані з наявністю недокументованих (недекларованих) можливостей у системному програмному забезпеченні, що використовується в інформаційній системі.
Якщо ви визнаєте цей тип загроз актуальним, то ви свято вірите в те, що агенти ЦРУ, МІ-6 або МОССАД розмістили в операційній системі закладку, щоб красти персональні дані конкретних суб'єктів саме з ваших ІСПДн.
Загрози 2-го типу є актуальними для інформаційної системи, якщо для неї в тому числі актуальні загрози, пов'язані з наявністю недокументованих (недекларованих) можливостей у прикладному програмному забезпеченні, що використовується в інформаційній системі.
Якщо вважаєте, що загрози другого типу – це ваш випадок, то ви спите і бачите, як ті ж агенти ЦРУ, МІ-6, МОСАД, злісний хакер-одинак або угруповання розмістили закладки в якомусь пакеті програм для офісу, щоб полювати саме за вашими персональними даними. Так, є сумнівне прикладне програмне забезпечення типу μTorrent, але можна зробити список дозволеного софту до встановлення та підписати з користувачами угоду, не давати користувачам права локальних адміністраторів тощо.
Загрози 3-го типу є актуальними для інформаційної системи, якщо для неї актуальні загрози, не пов'язані з наявністю недокументованих (недекларованих) можливостей у системному та прикладному програмному забезпеченні, що використовується в інформаційній системі.
Вам не підходять погрози 1 та 2 типів, отже, вам сюди.
З типами загроз розібралися, тепер дивимося, який рівень захищеності буде у нашої ІСПДн.
Таблиця на основі відповідностей, прописаних у .
Якщо ми вибрали третій тип актуальних загроз, то здебільшого ми матимемо УЗ-3. Єдиний виняток, коли загрози 1 та 2 типу не актуальні, але рівень захищеності все одно буде високим (УЗ-2), – це компанії, які обробляють спеціальні персональні дані неспівробітників в обсязі понад 100 000. Наприклад, компанії, які займаються медичною діагностикою та наданням медичні послуги.
Є ще УЗ-4, і він зустрічається переважно у компаній, чий бізнес не пов'язаний з обробкою персональних даних неспівробітників, тобто клієнтів чи підрядників, або бази персональних даних малі.
Чому так важливо не переборщити із рівнем захищеності? Все просто: від цього залежатиме набір заходів та засобів захисту для забезпечення цього рівня захищеності. Чим вище УЗ, тим більше треба буде зробити в організаційному та технічному плані (читай: тим більше грошей і нервів потрібно буде витратити).
Ось, наприклад, як змінюється набір заходів забезпечення безпеки відповідно до того ж ПП-1119.
Тепер дивимося, як, залежно від обраного рівня захищеності, змінюється список необхідних заходів відповідно до До цього документа є довжелезний додаток, де визначаються необхідні заходи. Усього їх 109, для кожного УЗ визначені та відзначені знаком «+» обов'язкові заходи – вони таки розраховані в таблиці нижче. Якщо залишити лише ті, які потрібні для УЗ-3, то вийде 4.
реальність: якщо ви не збираєте аналізи чи біометрію клієнтів, ви не параноїк боїтеся закладок у системному та прикладному ПЗ, то, швидше за все, у вас УЗ-3. Для нього передбачений список організаційних і технічних заходів, які реально виконати.
Міф 5. Усі засоби захисту (СЗІ) персональних даних повинні бути сертифіковані ФСТЕК Росії
Якщо ви хочете або зобов'язані провести атестацію, то, швидше за все, вам доведеться використовувати сертифіковані засоби захисту. Атестацію проводитиме ліцензіат ФСТЕК Росії, який:
- зацікавлений продати більше сертифікованих СЗІ;
- боятиметься відкликання ліцензії регулятором, якщо щось піде не так.
Якщо атестація вам не потрібна і ви готові підтвердити виконання вимог іншим способом, названим у "Оцінка ефективності реалізованих у рамках системи захисту персональних даних заходів щодо забезпечення безпеки персональних даних", то сертифіковані СЗІ для вас не є обов'язковими. Постараюся коротко навести обґрунтування.
В йдеться про те, що потрібно використовувати засоби захисту, які пройшли в установленому порядку процедуру оцінки відповідності:
Забезпечення безпеки персональних даних досягається, зокрема:
[…] 3) застосуванням процедуру оцінки відповідності засобів захисту інформації, що пройшли в установленому порядку.
В також є вимога щодо використання засобів захисту інформації, які пройшли процедуру оцінки відповідності вимогам законодавства:
[...] використання засобів захисту інформації, що пройшли процедуру оцінки відповідності вимогам законодавства Російської Федерації в галузі забезпечення безпеки інформації, у разі, коли застосування таких засобів необхідне нейтралізації актуальних загроз.
практично дублює пункт ПП-1119:
Заходи щодо забезпечення безпеки персональних даних реалізуються у тому числі за допомогою застосування в інформаційній системі засобів захисту інформації, які пройшли в установленому порядку процедуру оцінки відповідності, у випадках, коли застосування таких засобів необхідне для нейтралізації актуальних загроз безпеці персональних даних.
Що спільного у цих формулювань? Правильно – у них немає вимог використовувати сертифіковані засоби захисту. Справа в тому, що форм оцінки відповідності дещо (добровільна або обов'язкова сертифікація, декларування відповідності). Сертифікація – це лише одна з них. Оператор може використовувати несертифіковані засоби, але потрібно буде продемонструвати регулятору під час перевірки, що для них пройдено процедуру оцінки відповідності у будь-якій формі.
Якщо ж оператор вирішує використовувати сертифіковані засоби захисту, то потрібно вибирати СЗІ у відповідність до УЗ, про що явно зазначено в :
Технічні заходи захисту персональних даних реалізуються у вигляді застосування засобів захисту, зокрема програмних (програмно-апаратних) засобів, у яких вони реалізовані, мають необхідні функції безпеки.
При використанні в інформаційних системах, сертифікованих за вимогами безпеки інформації засобів захисту інформації:
реальність: закон не потребує обов'язкового використання сертифікованих засобів захисту.
Міф 6. Мені потрібний криптозахист
Тут кілька нюансів:
- Багато хто вважає, що криптографія обов'язкова для будь-яких ІСПД. Насправді використовувати їх потрібно лише у випадку, якщо оператор не бачить для себе інших заходів захисту, крім застосування криптографії.
- Якщо без криптографії ніяк, потрібно використовувати СКЗІ, сертифіковані ФСБ.
- Наприклад, ви вирішили розмістити ІСПДн у хмарі сервіс-провайдера, але не довіряєте йому. Свої побоювання ви описуєте в моделі загроз та порушника. У вас ПДн, тому ви вирішили, що криптографія - єдиний спосіб захисту: шифруватимете віртуальні машини, будувати захищені канали за допомогою криптозахисту. І тут доведеться застосовувати СКЗІ, сертифіковані ФСБ Росії.
- Сертифіковані СКЗІ підбираються відповідно до певного рівня захищеності згідно .
Для ІСПД з УЗ-3 можна використовувати КС1, КС2, КС3. КС1 – це, наприклад, C-Терра Віртуальний шлюз 4.2 для захисту каналів.
KC2, КС3 представлені лише програмно-апаратними комплексами, такими як ViPNet Coordinator, АПКШ «Континент», С-Терра Шлюз і т.д.
Якщо у вас УЗ-2 або 1, то вам будуть потрібні засоби криптозахисту класу КВ1, 2 і КА. Це специфічні програмно-апаратні комплекси, які їх складно експлуатувати, а характеристики продуктивності скромні.
реальність: закон не зобов'язує використати СКЗІ, сертифіковані ФСБ.
Джерело: habr.com