Hammaga salom! Men DataLine Cyber Defense Center-ni boshqaraman. Mijozlar bizga bulutda yoki jismoniy infratuzilmada 152-FZ talablariga javob berish vazifasi bilan kelishadi.
Deyarli har bir loyihada ushbu qonun atrofidagi afsonalarni yo'q qilish uchun tarbiyaviy ishlarni olib borish kerak. Men shaxsiy ma'lumotlar operatorining byudjeti va asab tizimiga qimmatga tushishi mumkin bo'lgan eng keng tarqalgan noto'g'ri tushunchalarni to'pladim. Men darhol qayd qilamanki, davlat sirlari, KII va boshqalar bilan shug'ullanadigan davlat idoralari (GIS) holatlari ushbu maqola doirasidan tashqarida qoladi.
Mif 1. Men antivirusni, xavfsizlik devorini o'rnatdim va panjaralarni panjara bilan o'rab oldim. Men qonunga amal qilyapmanmi?
152-FZ tizimlar va serverlarni himoya qilish haqida emas, balki sub'ektlarning shaxsiy ma'lumotlarini himoya qilish haqida. Shuning uchun, 152-FZga rioya qilish antivirus bilan emas, balki ko'p sonli qog'oz va tashkiliy masalalar bilan boshlanadi.
Roskomnadzor bosh inspektori texnik himoya vositalarining mavjudligi va holatiga emas, balki shaxsiy ma'lumotlarni qayta ishlashning qonuniy asoslariga (PD) qaraydi:
- shaxsiy ma'lumotlarni qanday maqsadda yig'asiz;
- maqsadlaringiz uchun kerak bo'lgandan ko'ra ko'proq to'playsizmi;
- shaxsiy ma'lumotlarni qancha vaqt saqlaysiz;
- shaxsiy ma'lumotlarni qayta ishlash siyosati mavjudmi;
- Shaxsiy ma'lumotlarni qayta ishlash, transchegaraviy uzatish, uchinchi shaxslar tomonidan qayta ishlash va hokazolar uchun rozilik yig'yapsizmi?
Ushbu savollarga javoblar, shuningdek jarayonlarning o'zi tegishli hujjatlarda qayd etilishi kerak. Bu erda shaxsiy ma'lumotlar operatori tayyorlashi kerak bo'lgan narsalarning to'liq ro'yxatidan yiroq:
- Shaxsiy ma'lumotlarni qayta ishlash uchun standart rozilik shakli (bu biz to'liq ism va pasport ma'lumotlarini qoldiradigan deyarli hamma joyda imzolaydigan varaqlar).
- Shaxsiy ma'lumotlarni qayta ishlash bo'yicha operator siyosati ( dizayn bo'yicha tavsiyalar mavjud).
- Shaxsiy ma'lumotlarni qayta ishlashni tashkil etish uchun mas'ul shaxsni tayinlash to'g'risidagi buyruq.
- Shaxsiy ma'lumotlarni qayta ishlashni tashkil etish uchun mas'ul shaxsning ish tavsifi.
- Ichki nazorat va (yoki) PDni qayta ishlashning qonun talablariga muvofiqligini tekshirish qoidalari.
- Shaxsiy ma'lumotlarning axborot tizimlari ro'yxati (ISPD).
- Subyektga uning shaxsiy ma'lumotlariga kirishni ta'minlash qoidalari.
- Voqealarni tekshirish qoidalari.
- Xodimlarni shaxsiy ma'lumotlarni qayta ishlashga qabul qilish to'g'risidagi buyruq.
- Regulyatorlar bilan o'zaro munosabatlar qoidalari.
- RKN xabarnomasi va boshqalar.
- PD qayta ishlash bo'yicha yo'riqnoma shakli.
- ISPD tahdid modeli.
Ushbu muammolarni hal qilgandan so'ng, siz aniq chora-tadbirlar va texnik vositalarni tanlashni boshlashingiz mumkin. Qaysi biri tizimlarga, ularning ish sharoitlariga va joriy tahdidlarga bog'liq. Ammo bu haqda keyinroq.
Haqiqat: qonunga rioya qilish - bu muayyan jarayonlarni o'rnatish va ularga rioya qilish, birinchi navbatda, ikkinchidan - maxsus texnik vositalardan foydalanish.
Mif 2. Men shaxsiy ma'lumotlarni bulutda saqlayman, 152-FZ talablariga javob beradigan ma'lumotlar markazi. Endi ular qonunning bajarilishi uchun javobgardir
Shaxsiy ma'lumotlarni saqlashni bulutli provayder yoki ma'lumotlar markaziga topshirsangiz, siz shaxsiy ma'lumotlar operatori bo'lishni to'xtatmaysiz.
Keling, yordam uchun qonundagi ta'rifga murojaat qilaylik:
Shaxsiy ma'lumotlarni qayta ishlash - avtomatlashtirish vositalaridan foydalangan holda yoki bunday vositalardan foydalanmasdan amalga oshiriladigan har qanday harakat (operatsiya) yoki harakatlar (operatsiyalar) majmui shaxsiy ma'lumotlar bilan, shu jumladan to'plash, qayd etish, tizimlashtirish, to'plash, saqlash, aniqlashtirish (yangilash, o'zgartirish); shaxsiy ma'lumotlarni olish, foydalanish, uzatish (tarqatish, ta'minlash, kirish), shaxsiylashtirish, blokirovka qilish, o'chirish, yo'q qilish.
Manba: 3-modda,
Ushbu barcha harakatlardan xizmat ko'rsatuvchi provayder shaxsiy ma'lumotlarni saqlash va yo'q qilish uchun javobgardir (mijoz u bilan shartnomani bekor qilganda). Qolgan hamma narsa shaxsiy ma'lumotlar operatori tomonidan taqdim etiladi. Bu shuni anglatadiki, xizmat ko'rsatuvchi provayder emas, balki operator shaxsiy ma'lumotlarni qayta ishlash siyosatini belgilaydi, o'z mijozlaridan shaxsiy ma'lumotlarni qayta ishlash uchun imzolangan roziliklarni oladi, shaxsiy ma'lumotlarning uchinchi shaxslarga oqib chiqishi holatlarini oldini oladi va tekshiradi va hokazo.
Shunday qilib, shaxsiy ma'lumotlar operatori yuqorida sanab o'tilgan hujjatlarni to'plashi va PDISni himoya qilish uchun tashkiliy va texnik chora-tadbirlarni amalga oshirishi kerak.
Odatda, provayder operatorning ISPD joylashgan infratuzilma darajasida qonuniy talablarga muvofiqligini ta'minlash orqali operatorga yordam beradi: uskunalar yoki bulutli raflar. Shuningdek, u hujjatlar to'plamini to'playdi, 152-FZ ga muvofiq o'z infratuzilmasi uchun tashkiliy va texnik choralarni ko'radi.
Ba'zi provayderlar hujjatlarni rasmiylashtirishda va ISDN-larning o'zlari uchun texnik xavfsizlik choralarini ta'minlashda yordam beradi, ya'ni infratuzilmadan yuqori darajada. Operator ham ushbu vazifalarni autsorsingga topshirishi mumkin, lekin qonun bo'yicha javobgarlik va majburiyatlar yo'qolmaydi.
Haqiqat: Provayder yoki ma'lumotlar markazi xizmatlaridan foydalangan holda, siz unga shaxsiy ma'lumotlar operatorining mas'uliyatini o'tkaza olmaysiz va javobgarlikdan xalos bo'lolmaysiz. Agar provayder sizga buni va'da qilsa, yumshoq qilib aytganda, u yolg'on gapiradi.
Mif 3. Menda kerakli hujjatlar va chora-tadbirlar to'plami bor. Men shaxsiy ma'lumotlarni 152-FZ-ga muvofiqlikni va'da qilgan provayder bilan saqlayman. Hammasi joyidami?
Ha, agar siz buyurtmani imzolashni unutmang. Qonunga ko'ra, operator shaxsiy ma'lumotlarni qayta ishlashni boshqa shaxsga, masalan, xuddi shu xizmat ko'rsatuvchi provayderga topshirishi mumkin. Buyurtma - bu xizmat ko'rsatuvchi provayderning operatorning shaxsiy ma'lumotlari bilan nima qilishi mumkinligini ko'rsatadigan shartnoma turi.
Operator, agar Federal qonunda boshqacha qoida nazarda tutilgan bo'lmasa, ushbu shaxs bilan tuzilgan shartnoma, shu jumladan davlat yoki shahar shartnomasi asosida shaxsiy ma'lumotlar sub'ektining roziligi bilan shaxsiy ma'lumotlarni qayta ishlashni boshqa shaxsga topshirishga haqlidir. yoki davlat yoki munitsipal organ (keyingi o'rinlarda topshiriq operatori deb yuritiladi) tomonidan tegishli aktni qabul qilish orqali. Operator nomidan shaxsiy ma'lumotlarni qayta ishlovchi shaxs ushbu Federal qonunda nazarda tutilgan shaxsiy ma'lumotlarni qayta ishlash tamoyillari va qoidalariga rioya qilishi shart.
Manba:
Provayderning shaxsiy ma'lumotlarning maxfiyligini saqlash va belgilangan talablarga muvofiq xavfsizligini ta'minlash majburiyati ham belgilanadi:
Operatorning buyrug'i shaxsiy ma'lumotlarni qayta ishlovchi shaxs tomonidan amalga oshiriladigan shaxsiy ma'lumotlar bilan bog'liq harakatlar (operatsiyalar) ro'yxatini va qayta ishlash maqsadlarini belgilashi kerak, bunday shaxsning shaxsiy ma'lumotlarning maxfiyligini ta'minlash majburiyati belgilanishi kerak. shaxsiy ma'lumotlarning ularni qayta ishlash jarayonida xavfsizligi, shuningdek qayta ishlangan shaxsiy ma'lumotlarni himoya qilish talablari muvofiq belgilanishi kerak ushbu Federal qonun.
Manba:
Buning uchun provayder shaxsiy ma'lumotlar sub'ekti oldida emas, balki operator oldida javobgardir:
Agar operator shaxsiy ma'lumotlarni qayta ishlashni boshqa shaxsga topshirsa, operator ko'rsatilgan shaxsning harakatlari uchun shaxsiy ma'lumotlar sub'ekti oldida javobgar bo'ladi. Operator nomidan shaxsiy ma'lumotlarni qayta ishlovchi shaxs operator oldida javobgardir.
Manba: .
Buyurtmada shaxsiy ma'lumotlarning himoya qilinishini ta'minlash majburiyatini belgilash ham muhimdir:
Axborot tizimida ishlov berilganda shaxsiy ma'lumotlarning xavfsizligi shaxsiy ma'lumotlarni qayta ishlovchi ushbu tizim operatori (keyingi o'rinlarda operator deb yuritiladi) yoki operator nomidan shaxsiy ma'lumotlarni qayta ishlovchi shaxs tomonidan ta'minlanadi. ushbu shaxs bilan tuzilgan shartnoma (keyingi o'rinlarda vakolatli shaxs deb yuritiladi). Operator va vakolatli shaxs o'rtasidagi shartnomada vakolatli shaxsning axborot tizimida qayta ishlanayotganda shaxsiy ma'lumotlar xavfsizligini ta'minlash majburiyati nazarda tutilishi kerak.
Manba:
Haqiqat: Agar siz provayderga shaxsiy ma'lumotlarni bersangiz, buyurtmani imzolang. Buyurtmada sub'ektlarning shaxsiy ma'lumotlarini himoya qilishni ta'minlash talabini ko'rsating. Aks holda, siz shaxsiy ma'lumotlarni qayta ishlash bo'yicha ishlarni uchinchi tomonga o'tkazish bo'yicha qonunga rioya qilmaysiz va provayder 152-FZ-ga rioya qilish bo'yicha sizga hech qanday qarzdor emas.
Mif 4. Mossad menga josuslik qilmoqda, yoki menda UZ-1 aniq
Ba'zi mijozlar 1 yoki 2 darajadagi xavfsizlik darajasidagi ISPDga ega ekanligini qat'iy isbotlaydilar. Ko'pincha bunday bo'lmaydi. Buning nima uchun sodir bo'lishini tushunish uchun uskunani eslaylik.
LO yoki xavfsizlik darajasi sizning shaxsiy ma'lumotlaringizni nimadan himoya qilishingizni belgilaydi.
Xavfsizlik darajasiga quyidagi omillar ta'sir qiladi:
- shaxsiy ma'lumotlar turi (maxsus, biometrik, ommaviy va boshqalar);
- shaxsiy ma'lumotlarga kim egalik qiladi - shaxsiy ma'lumotlar operatorining xodimlari yoki xodimlari bo'lmaganlar;
- shaxsiy ma'lumotlar sub'ektlari soni - kamida 100 ming.
- joriy tahdidlarning turlari.
Bizga tahdid turlari haqida gapirib beradi . Mana, har birining tavsifi, mening inson tiliga bepul tarjimam bilan.
1-toifa tahdidlar, agar axborot tizimida foydalaniladigan tizim dasturiy ta'minotida hujjatsiz (e'lon qilinmagan) imkoniyatlar mavjudligi bilan bog'liq tahdidlar ham unga tegishli bo'lsa, axborot tizimiga tegishlidir.
Agar siz ushbu turdagi tahdidni tegishli deb bilsangiz, Markaziy razvedka boshqarmasi, MI6 yoki MOSSAD agentlari sizning ISPD dan ma'lum sub'ektlarning shaxsiy ma'lumotlarini o'g'irlash uchun operatsion tizimga xatcho'p qo'yganiga qat'iy ishonasiz.
2-toifa tahdidlar, agar axborot tizimida foydalaniladigan amaliy dasturiy ta'minotda hujjatsiz (e'lon qilinmagan) imkoniyatlar mavjudligi bilan bog'liq tahdidlar ham axborot tizimi uchun tegishli bo'lsa.
Agar siz ikkinchi turdagi tahdidlarni sizning holatingiz deb hisoblasangiz, uxlab yotgan holda, xuddi shu Markaziy razvedka boshqarmasi, MI6, MOSSAD agentlari, yolg'iz yolg'iz xaker yoki guruhning ba'zi bir ofis dasturlari to'plamiga aniq ov qilish uchun xatcho'plarni qanday joylashtirganini ko'rasiz. shaxsiy ma'lumotlaringiz. Ha, mTorrent kabi shubhali amaliy dasturlar mavjud, ammo siz o'rnatish uchun ruxsat etilgan dasturlar ro'yxatini tuzishingiz va foydalanuvchilar bilan shartnoma imzolashingiz mumkin, foydalanuvchilarga mahalliy administrator huquqlarini bermaysiz va hokazo.
3-toifa tahdidlar, agar tizimda hujjatlashtirilmagan (e'lon qilinmagan) imkoniyatlar mavjudligi bilan bog'liq bo'lmagan tahdidlar va axborot tizimida foydalaniladigan amaliy dasturiy ta'minot unga tegishli bo'lsa, axborot tizimiga tegishlidir.
1 va 2 turdagi tahdidlar siz uchun mos emas, shuning uchun bu siz uchun joy.
Biz tahdidlar turlarini saralab oldik, endi bizning ISPD qanday xavfsizlik darajasiga ega bo'lishini ko'rib chiqamiz.
Ko'rsatilgan yozishmalar asosida jadval .
Agar biz haqiqiy tahdidlarning uchinchi turini tanlagan bo'lsak, unda ko'p hollarda bizda UZ-3 bo'ladi. 1 va 2 turdagi tahdidlar tegishli bo'lmagan, ammo xavfsizlik darajasi yuqori bo'lgan yagona istisno (UZ-2), 100 000 dan ortiq miqdorda xodimlar bo'lmagan shaxslarning maxsus shaxsiy ma'lumotlarini qayta ishlaydigan kompaniyalardir. Masalan, tibbiy diagnostika va tibbiy xizmatlar ko'rsatish bilan shug'ullanadigan kompaniyalar.
UZ-4 ham mavjud bo'lib, u asosan biznesi xodimlar bo'lmaganlar, ya'ni mijozlar yoki pudratchilarning shaxsiy ma'lumotlarini qayta ishlash bilan bog'liq bo'lmagan yoki shaxsiy ma'lumotlar bazalari kichik bo'lgan kompaniyalarda uchraydi.
Nima uchun xavfsizlik darajasi bilan uni haddan tashqari oshirmaslik juda muhim? Hammasi oddiy: xavfsizlikning ushbu darajasini ta'minlash uchun chora-tadbirlar va himoya vositalari to'plami bunga bog'liq bo'ladi. Bilim darajasi qanchalik yuqori bo'lsa, tashkiliy va texnik jihatdan ko'proq ish qilish kerak bo'ladi (o'qing: ko'proq pul va nervlarni sarflash kerak bo'ladi).
Bu erda, masalan, xuddi shu PP-1119 ga muvofiq xavfsizlik choralari to'plami qanday o'zgarishi.
Keling, tanlangan xavfsizlik darajasiga qarab, kerakli choralar ro'yxati qanday o'zgarishini ko'rib chiqaylik Ushbu hujjatga zarur chora-tadbirlarni belgilaydigan uzun ilova mavjud. Ulardan jami 109 tasi bor, har bir KM uchun majburiy o'lchovlar belgilanadi va "+" belgisi bilan belgilanadi - ular quyidagi jadvalda aniq hisoblab chiqilgan. Agar siz faqat UZ-3 uchun zarur bo'lganlarni qoldirsangiz, siz 4 ta olasiz.
Haqiqat: agar siz mijozlardan testlar yoki biometrik ma'lumotlarni yig'masangiz, tizim va amaliy dasturlardagi xatcho'plar haqida paranoyak emassiz, demak sizda UZ-3 bor. U haqiqatda amalga oshirilishi mumkin bo'lgan tashkiliy va texnik chora-tadbirlarning oqilona ro'yxatiga ega.
Mif 5. Shaxsiy ma'lumotlarni himoya qilishning barcha vositalari Rossiya FSTEC tomonidan sertifikatlangan bo'lishi kerak
Agar siz sertifikatlashni xohlasangiz yoki talab qilinsangiz, sertifikatlangan himoya vositalaridan foydalanishingiz kerak bo'ladi. Sertifikatlash Rossiya FSTEC litsenziati tomonidan amalga oshiriladi, ular:
- ko'proq sertifikatlangan axborotni himoya qilish vositalarini sotishdan manfaatdor;
- agar biror narsa noto'g'ri bo'lsa, regulyator tomonidan litsenziyani bekor qilishdan qo'rqadi.
Agar sizga sertifikat kerak bo'lmasa va siz boshqa yo'l bilan belgilangan talablarga muvofiqligini tasdiqlashga tayyor bo'lsangiz "Shaxsiy ma'lumotlar xavfsizligini ta'minlash bo'yicha shaxsiy ma'lumotlarni himoya qilish tizimi doirasida amalga oshirilgan chora-tadbirlar samaradorligini baholash", keyin siz uchun sertifikatlangan axborot xavfsizligi tizimlari talab qilinmaydi. Mantiqni qisqacha tushuntirishga harakat qilaman.
В belgilangan tartibda muvofiqlikni baholash protsedurasidan o'tgan himoya vositalaridan foydalanish zarurligini ta'kidlaydi.:
Shaxsiy ma'lumotlar xavfsizligini ta'minlashga erishiladi, xususan:
[…] 3) belgilangan tartibda muvofiqlikni baholash tartibidan o‘tgan axborot xavfsizligi vositalaridan foydalanish.
В Shuningdek, qonun talablariga muvofiqligini baholash tartibidan o'tgan axborot xavfsizligi vositalaridan foydalanish talabi mavjud:
Rossiya Federatsiyasining axborot xavfsizligi sohasidagi qonun hujjatlari talablariga muvofiqligini baholash tartibidan o'tgan axborot xavfsizligi vositalaridan foydalanish, agar mavjud tahdidlarni zararsizlantirish uchun bunday vositalardan foydalanish zarur bo'lsa.
PP-1119-bandni amalda takrorlaydi:
Shaxsiy ma'lumotlar xavfsizligini ta'minlash chora-tadbirlari, jumladan, belgilangan tartibda muvofiqlikni baholash tartib-qoidalaridan o'tgan axborot tizimidagi axborot xavfsizligi vositalaridan foydalanish orqali, bunday vositalardan foydalanish zarur bo'lgan hollarda amalga oshiriladi. shaxsiy ma'lumotlar xavfsizligiga joriy tahdidlarni zararsizlantirish.
Ushbu formulalar qanday umumiylikka ega? To'g'ri - ular sertifikatlangan himoya vositalaridan foydalanishni talab qilmaydi. Gap shundaki, muvofiqlikni baholashning bir necha shakllari (ixtiyoriy yoki majburiy sertifikatlash, muvofiqlik deklaratsiyasi) mavjud. Sertifikatlash ulardan biri xolos. Operator sertifikatlanmagan mahsulotlardan foydalanishi mumkin, biroq tekshiruvdan so'ng regulyatorga ular muvofiqlikni baholash protsedurasining qandaydir shakllaridan o'tganligini ko'rsatishi kerak bo'ladi.
Agar operator sertifikatlangan himoya vositalaridan foydalanishga qaror qilsa, unda aniq ko'rsatilgan ultratovush himoyasiga muvofiq axborotni himoya qilish tizimini tanlash kerak. :
Shaxsiy ma'lumotlarni himoya qilish bo'yicha texnik chora-tadbirlar axborotni himoya qilish vositalaridan, shu jumladan ular amalga oshiriladigan, zarur xavfsizlik funktsiyalariga ega bo'lgan dasturiy (apparat) vositalaridan foydalanish orqali amalga oshiriladi.
Axborot tizimlarida axborot xavfsizligi talablariga muvofiq sertifikatlangan axborot xavfsizligi vositalaridan foydalanishda:
Haqiqat: Qonun sertifikatlangan himoya vositalaridan majburiy foydalanishni talab qilmaydi.
Mif 6. Menga kripto himoyasi kerak
Bu erda bir nechta nuanslar mavjud:
- Ko'pchilik kriptografiya har qanday ISPD uchun majburiy ekanligiga ishonishadi. Aslida, ular faqat operator kriptografiyadan foydalanishdan boshqa himoya choralarini ko'rmasagina qo'llanilishi kerak.
- Agar kriptografiyasiz qilolmasangiz, FSB tomonidan sertifikatlangan CIPF dan foydalanishingiz kerak.
- Misol uchun, siz ISPD-ni xizmat ko'rsatuvchi provayder bulutida joylashtirishga qaror qildingiz, lekin siz unga ishonmaysiz. Siz tashvishlaringizni tahdid va tajovuzkor modelida tasvirlaysiz. Sizning shaxsiy ma'lumotlaringiz bor, shuning uchun siz kriptografiya o'zingizni himoya qilishning yagona usuli deb qaror qildingiz: virtual mashinalarni shifrlaysiz, kriptografik himoyadan foydalangan holda xavfsiz kanallarni yaratasiz. Bunday holda, siz Rossiya FSB tomonidan sertifikatlangan CIPF dan foydalanishingiz kerak bo'ladi.
- Sertifikatlangan CIPF ma'lum darajadagi xavfsizlik darajasiga muvofiq tanlanadi .
UZ-3 bilan ISPDn uchun siz KS1, KS2, KS3 dan foydalanishingiz mumkin. KS1, masalan, kanallarni himoya qilish uchun C-Terra Virtual Gateway 4.2.
KC2, KS3 faqat dasturiy va apparat tizimlari bilan ifodalanadi, masalan: ViPNet Koordinatori, APKSH "Continent", S-Terra Gateway va boshqalar.
Agar sizda UZ-2 yoki 1 bo'lsa, unda sizga KV1, 2 va KA sinfidagi kriptografik himoya vositalari kerak bo'ladi. Bular o'ziga xos dasturiy ta'minot va apparat tizimlari bo'lib, ularni ishlatish qiyin va ularning ishlash ko'rsatkichlari oddiy.
Haqiqat: Qonun FSB tomonidan sertifikatlangan CIPF dan foydalanishga majbur qilmaydi.
Manba: www.habr.com