Chào mọi người! Tôi điều hành Trung tâm phòng thủ mạng DataLine. Khách hàng đến với chúng tôi với nhiệm vụ đáp ứng các yêu cầu của 152-FZ trên đám mây hoặc trên cơ sở hạ tầng vật lý.
Trong hầu hết mọi dự án, cần phải tiến hành công tác giáo dục để vạch trần những lầm tưởng xung quanh luật này. Tôi đã thu thập những quan niệm sai lầm phổ biến nhất có thể gây tốn kém cho ngân sách và hệ thần kinh của người điều hành dữ liệu cá nhân. Tôi sẽ ngay lập tức bảo lưu rằng các trường hợp cơ quan nhà nước (GIS) xử lý bí mật nhà nước, KII, v.v. sẽ nằm ngoài phạm vi của bài viết này.
Chuyện lầm tưởng 1. Tôi đã cài đặt phần mềm chống vi-rút, tường lửa và bao quanh các giá đỡ bằng hàng rào. Tôi có tuân theo pháp luật không?
152-FZ không phải về việc bảo vệ hệ thống và máy chủ mà là về việc bảo vệ dữ liệu cá nhân của các đối tượng. Do đó, việc tuân thủ 152-FZ không bắt đầu từ phần mềm chống vi-rút mà từ một số lượng lớn giấy tờ và các vấn đề về tổ chức.
Thanh tra chính, Roskomnadzor, sẽ không xem xét sự hiện diện và tình trạng của các phương tiện bảo vệ kỹ thuật mà xem xét cơ sở pháp lý để xử lý dữ liệu cá nhân (PD):
- bạn thu thập dữ liệu cá nhân vì mục đích gì;
- liệu bạn có thu thập chúng nhiều hơn mức bạn cần cho mục đích của mình hay không;
- bạn lưu trữ dữ liệu cá nhân trong bao lâu;
- có chính sách xử lý dữ liệu cá nhân không;
- Bạn có đang thu thập sự đồng ý cho việc xử lý dữ liệu cá nhân, chuyển xuyên biên giới, xử lý bởi bên thứ ba, v.v.
Câu trả lời cho những câu hỏi này cũng như bản thân các quy trình phải được ghi lại trong các tài liệu thích hợp. Dưới đây là danh sách đầy đủ những gì nhà điều hành dữ liệu cá nhân cần chuẩn bị:
- Mẫu chấp thuận tiêu chuẩn để xử lý dữ liệu cá nhân (đây là những tờ giấy mà chúng tôi hiện ký ở hầu hết mọi nơi nơi chúng tôi để lại tên đầy đủ và chi tiết hộ chiếu của mình).
- Chính sách của nhà điều hành liên quan đến việc xử lý dữ liệu cá nhân ( có khuyến nghị cho thiết kế).
- Lệnh bổ nhiệm người chịu trách nhiệm tổ chức xử lý dữ liệu cá nhân.
- Mô tả công việc của người chịu trách nhiệm tổ chức xử lý dữ liệu cá nhân.
- Các quy tắc kiểm soát nội bộ và (hoặc) kiểm tra việc tuân thủ quy trình xử lý PD với các yêu cầu pháp lý.
- Danh sách hệ thống thông tin dữ liệu cá nhân (ISPD).
- Quy định về việc cung cấp cho đối tượng quyền truy cập vào dữ liệu cá nhân của mình.
- Quy định điều tra sự cố.
- Lệnh tiếp nhận nhân viên để xử lý dữ liệu cá nhân.
- Quy định về tương tác với cơ quan quản lý.
- Thông báo về RKN, v.v.
- Mẫu hướng dẫn xử lý PD.
- Mô hình mối đe dọa ISPD
Sau khi giải quyết những vấn đề này, bạn có thể bắt đầu lựa chọn các biện pháp và phương tiện kỹ thuật cụ thể. Những cái bạn cần tùy thuộc vào hệ thống, điều kiện hoạt động của chúng và các mối đe dọa hiện tại. Nhưng nhiều hơn về điều này sau.
Thực tế: Tuân thủ pháp luật là việc thiết lập và tuân thủ các quy trình nhất định, trước hết và thứ hai - việc sử dụng các phương tiện kỹ thuật đặc biệt.
Chuyện lầm tưởng 2. Tôi lưu trữ dữ liệu cá nhân trên đám mây, một trung tâm dữ liệu đáp ứng các yêu cầu của 152-FZ. Bây giờ họ chịu trách nhiệm thực thi pháp luật
Khi bạn thuê nhà cung cấp đám mây hoặc trung tâm dữ liệu lưu trữ dữ liệu cá nhân, bạn không ngừng là nhà điều hành dữ liệu cá nhân.
Chúng ta hãy kêu gọi định nghĩa từ pháp luật để được giúp đỡ:
Xử lý dữ liệu cá nhân - bất kỳ hành động (thao tác) hoặc tập hợp hành động (thao tác) nào được thực hiện bằng các công cụ tự động hóa hoặc không sử dụng các phương tiện đó với dữ liệu cá nhân, bao gồm thu thập, ghi lại, hệ thống hóa, tích lũy, lưu trữ, làm rõ (cập nhật, thay đổi), trích xuất, sử dụng, chuyển giao (phân phối, cung cấp, truy cập), cá nhân hóa, chặn, xóa, phá hủy dữ liệu cá nhân.
Nguồn: bài 3,
Trong tất cả những hành động này, nhà cung cấp dịch vụ có trách nhiệm lưu trữ và tiêu hủy dữ liệu cá nhân (khi khách hàng chấm dứt hợp đồng với mình). Mọi thứ khác được cung cấp bởi nhà điều hành dữ liệu cá nhân. Điều này có nghĩa là nhà điều hành chứ không phải nhà cung cấp dịch vụ sẽ xác định chính sách xử lý dữ liệu cá nhân, lấy sự đồng ý có chữ ký để xử lý dữ liệu cá nhân từ khách hàng của mình, ngăn chặn và điều tra các trường hợp rò rỉ dữ liệu cá nhân cho bên thứ ba, v.v.
Do đó, nhà điều hành dữ liệu cá nhân vẫn phải thu thập các tài liệu được liệt kê ở trên và thực hiện các biện pháp tổ chức và kỹ thuật để bảo vệ PDIS của họ.
Thông thường, nhà cung cấp giúp nhà điều hành bằng cách đảm bảo tuân thủ các yêu cầu pháp lý ở cấp cơ sở hạ tầng nơi ISPD của nhà điều hành sẽ được đặt: giá đỡ với thiết bị hoặc đám mây. Anh ta cũng thu thập một gói tài liệu, thực hiện các biện pháp tổ chức và kỹ thuật cho phần cơ sở hạ tầng của mình theo 152-FZ.
Một số nhà cung cấp trợ giúp về thủ tục giấy tờ và cung cấp các biện pháp bảo mật kỹ thuật cho chính ISDN, tức là ở cấp độ cao hơn cơ sở hạ tầng. Người vận hành cũng có thể thuê ngoài thực hiện các công việc này nhưng trách nhiệm và nghĩa vụ theo pháp luật không hề mất đi.
Thực tế: Bằng cách sử dụng dịch vụ của nhà cung cấp hoặc trung tâm dữ liệu, bạn không thể chuyển giao cho anh ta trách nhiệm của người điều hành dữ liệu cá nhân và loại bỏ trách nhiệm. Nếu nhà cung cấp hứa với bạn điều này thì nói một cách nhẹ nhàng thì anh ta đang nói dối.
Chuyện lầm tưởng 3. Tôi có đầy đủ tài liệu và biện pháp cần thiết. Tôi lưu trữ dữ liệu cá nhân với nhà cung cấp hứa tuân thủ 152-FZ. Mọi thứ có ổn không?
Có, nếu bạn nhớ ký đơn đặt hàng. Theo luật, nhà điều hành có thể ủy thác việc xử lý dữ liệu cá nhân cho người khác, chẳng hạn như cùng một nhà cung cấp dịch vụ. Lệnh là một loại thỏa thuận liệt kê những gì nhà cung cấp dịch vụ có thể làm với dữ liệu cá nhân của nhà điều hành.
Nhà điều hành có quyền ủy thác việc xử lý dữ liệu cá nhân cho người khác với sự đồng ý của chủ thể dữ liệu cá nhân, trừ khi Luật Liên bang có quy định khác, trên cơ sở thỏa thuận được ký kết với người này, bao gồm cả hợp đồng của tiểu bang hoặc thành phố, hoặc bằng việc thông qua một đạo luật liên quan của cơ quan tiểu bang hoặc thành phố (sau đây gọi là người thực hiện chuyển nhượng). Người xử lý dữ liệu cá nhân thay mặt cho nhà điều hành có nghĩa vụ tuân thủ các nguyên tắc và quy tắc xử lý dữ liệu cá nhân do Luật Liên bang này quy định.
Nguồn:
Nghĩa vụ của nhà cung cấp là duy trì tính bảo mật của dữ liệu cá nhân và đảm bảo tính bảo mật của nó theo các yêu cầu đã chỉ định cũng được thiết lập:
Hướng dẫn của người vận hành phải xác định danh sách các hành động (thao tác) với dữ liệu cá nhân sẽ được thực hiện bởi người xử lý dữ liệu cá nhân và mục đích xử lý, nghĩa vụ của người đó phải được thiết lập để duy trì tính bảo mật của dữ liệu cá nhân và đảm bảo tính bảo mật của dữ liệu cá nhân. bảo mật dữ liệu cá nhân trong quá trình xử lý, cũng như các yêu cầu bảo vệ dữ liệu cá nhân đã xử lý phải được quy định theo của Luật Liên bang này.
Nguồn:
Về điều này, nhà cung cấp chịu trách nhiệm trước nhà điều hành chứ không phải đối tượng dữ liệu cá nhân:
Nếu nhà điều hành ủy thác việc xử lý dữ liệu cá nhân cho người khác, thì nhà điều hành phải chịu trách nhiệm trước chủ thể dữ liệu cá nhân về hành động của người được chỉ định. Người xử lý dữ liệu cá nhân thay mặt nhà điều hành phải chịu trách nhiệm trước nhà điều hành.
Nguồn: .
Điều quan trọng nữa là phải quy định theo thứ tự nghĩa vụ đảm bảo bảo vệ dữ liệu cá nhân:
Tính bảo mật của dữ liệu cá nhân khi được xử lý trong hệ thống thông tin được đảm bảo bởi nhà điều hành hệ thống này, người xử lý dữ liệu cá nhân (sau đây gọi là nhà điều hành) hoặc bởi người xử lý dữ liệu cá nhân thay mặt cho nhà điều hành trên cơ sở thỏa thuận được ký kết với người này (sau đây gọi là người được ủy quyền). Thỏa thuận giữa người điều hành và người được ủy quyền phải quy định nghĩa vụ của người được ủy quyền trong việc đảm bảo an toàn dữ liệu cá nhân khi xử lý trong hệ thống thông tin.
Nguồn:
Thực tế: Nếu bạn cung cấp dữ liệu cá nhân cho nhà cung cấp thì hãy ký đơn đặt hàng. Trong trình tự, nêu rõ yêu cầu đảm bảo bảo vệ dữ liệu cá nhân của đối tượng. Mặt khác, bạn không tuân thủ luật liên quan đến việc chuyển giao công việc xử lý dữ liệu cá nhân cho bên thứ ba và nhà cung cấp không nợ bạn bất kỳ điều gì liên quan đến việc tuân thủ 152-FZ.
Chuyện lầm tưởng 4. Mossad đang theo dõi tôi, hoặc tôi chắc chắn có UZ-1
Một số khách hàng liên tục chứng minh rằng họ có ISPD ở cấp độ bảo mật 1 hoặc 2. Thông thường, trường hợp này không xảy ra. Hãy nhớ phần cứng để tìm hiểu lý do tại sao điều này xảy ra.
LO hay cấp độ bảo mật xác định bạn sẽ bảo vệ dữ liệu cá nhân của mình khỏi những gì.
Mức độ bảo mật bị ảnh hưởng bởi các điểm sau:
- loại dữ liệu cá nhân (đặc biệt, sinh trắc học, công khai và các dữ liệu khác);
- người sở hữu dữ liệu cá nhân - nhân viên hoặc không phải nhân viên của nhà điều hành dữ liệu cá nhân;
- số lượng đối tượng dữ liệu cá nhân – nhiều hơn hoặc ít hơn 100 nghìn.
- các loại mối đe dọa hiện tại.
Cho chúng tôi biết về các loại mối đe dọa . Dưới đây là mô tả của từng loại với bản dịch miễn phí của tôi sang ngôn ngữ của con người.
Các mối đe dọa loại 1 có liên quan đến hệ thống thông tin nếu các mối đe dọa liên quan đến sự hiện diện của các khả năng không được ghi lại (không được khai báo) trong phần mềm hệ thống được sử dụng trong hệ thống thông tin cũng liên quan đến nó.
Nếu bạn nhận thấy loại mối đe dọa này có liên quan thì bạn tin chắc rằng các đặc vụ CIA, MI6 hoặc MOSSAD đã đặt một dấu trang trong hệ điều hành để đánh cắp dữ liệu cá nhân của các đối tượng cụ thể từ ISPD của bạn.
Các mối đe dọa loại 2 có liên quan đến hệ thống thông tin nếu các mối đe dọa liên quan đến sự hiện diện của các khả năng không được ghi lại (không được khai báo) trong phần mềm ứng dụng được sử dụng trong hệ thống thông tin cũng có liên quan đến nó.
Nếu bạn nghĩ rằng các mối đe dọa loại thứ hai là trường hợp của bạn, thì bạn hãy ngủ và xem các đặc vụ của CIA, MI6, MOSSAD, một hacker hoặc nhóm độc ác độc ác đã đặt dấu trang vào gói phần mềm văn phòng nào đó để tìm kiếm chính xác. dữ liệu cá nhân của bạn. Có, có phần mềm ứng dụng đáng ngờ như μTorrent, nhưng bạn có thể lập danh sách phần mềm được phép cài đặt và ký thỏa thuận với người dùng, không cấp cho người dùng quyền quản trị viên cục bộ, v.v.
Các mối đe dọa loại 3 có liên quan đến hệ thống thông tin nếu các mối đe dọa không liên quan đến sự hiện diện của các khả năng không được ghi chép (không được khai báo) trong hệ thống và phần mềm ứng dụng được sử dụng trong hệ thống thông tin có liên quan đến nó.
Những mối đe dọa loại 1 và 2 không phù hợp với bạn, vì vậy đây là nơi dành cho bạn.
Chúng tôi đã sắp xếp các loại mối đe dọa, bây giờ hãy xem ISPD của chúng tôi sẽ có mức độ bảo mật nào.
Bảng dựa trên sự tương ứng được chỉ định trong .
Nếu chúng ta chọn loại mối đe dọa thực tế thứ ba, thì trong hầu hết các trường hợp, chúng ta sẽ có UZ-3. Ngoại lệ duy nhất, khi các mối đe dọa loại 1 và 2 không liên quan nhưng mức độ bảo mật vẫn cao (UZ-2), là các công ty xử lý dữ liệu cá nhân đặc biệt của những người không phải là nhân viên với số lượng hơn 100. ví dụ, các công ty tham gia chẩn đoán y tế và cung cấp dịch vụ y tế.
Ngoài ra còn có UZ-4 và nó chủ yếu được tìm thấy ở các công ty có hoạt động kinh doanh không liên quan đến việc xử lý dữ liệu cá nhân của những người không phải là nhân viên, tức là khách hàng hoặc nhà thầu hoặc cơ sở dữ liệu cá nhân có quy mô nhỏ.
Tại sao điều quan trọng là không lạm dụng nó với mức độ bảo mật? Thật đơn giản: tập hợp các biện pháp và phương tiện bảo vệ để đảm bảo mức độ bảo mật này sẽ phụ thuộc vào điều này. Trình độ kiến thức càng cao thì càng cần phải làm nhiều việc hơn về mặt tổ chức và kỹ thuật (đọc: càng cần phải chi nhiều tiền và thần kinh hơn).
Ví dụ: đây là cách tập hợp các biện pháp bảo mật thay đổi theo cùng một PP-1119.
Bây giờ hãy xem, tùy thuộc vào mức độ bảo mật đã chọn, danh sách các biện pháp cần thiết sẽ thay đổi như thế nào theo Có một phụ lục dài kèm theo tài liệu này, trong đó xác định các biện pháp cần thiết. Tổng cộng có 109 biện pháp trong số đó, đối với mỗi KM, các biện pháp bắt buộc được xác định và đánh dấu bằng dấu “+” - chúng được tính toán chính xác trong bảng bên dưới. Nếu bạn chỉ để lại những thứ cần thiết cho UZ-3, bạn sẽ nhận được 4.
Thực tế: nếu bạn không thu thập các bài kiểm tra hoặc sinh trắc học từ khách hàng, bạn không hoang tưởng về dấu trang trong hệ thống và phần mềm ứng dụng thì rất có thể bạn đã có UZ-3. Nó có một danh sách hợp lý các biện pháp tổ chức và kỹ thuật có thể thực hiện được trên thực tế.
Chuyện lầm tưởng 5. Tất cả các phương tiện bảo vệ dữ liệu cá nhân phải được FSTEC của Nga chứng nhận
Nếu bạn muốn hoặc được yêu cầu tiến hành chứng nhận thì rất có thể bạn sẽ phải sử dụng thiết bị bảo hộ đã được chứng nhận. Việc chứng nhận sẽ được thực hiện bởi người được cấp phép của FSTEC của Nga, người:
- quan tâm đến việc bán thêm các thiết bị bảo vệ thông tin được chứng nhận;
- sẽ sợ cơ quan quản lý thu hồi giấy phép nếu có sự cố xảy ra.
Nếu bạn không cần chứng nhận và bạn sẵn sàng xác nhận việc tuân thủ các yêu cầu theo cách khác, có tên trong “Đánh giá tính hiệu quả của các biện pháp được triển khai trong hệ thống bảo vệ dữ liệu cá nhân để đảm bảo an toàn cho dữ liệu cá nhân”, thì bạn không cần phải có hệ thống bảo mật thông tin được chứng nhận. Tôi sẽ cố gắng giải thích ngắn gọn lý do.
В tuyên bố rằng cần phải sử dụng thiết bị bảo vệ đã trải qua quy trình đánh giá sự phù hợp theo quy trình đã được thiết lập:
Đảm bảo đạt được tính bảo mật của dữ liệu cá nhân, cụ thể:
[…] 3) việc sử dụng các phương tiện bảo mật thông tin đã vượt qua quy trình đánh giá tuân thủ theo quy trình đã thiết lập.
В Ngoài ra còn có yêu cầu sử dụng các công cụ bảo mật thông tin đã vượt qua quy trình đánh giá việc tuân thủ các yêu cầu pháp luật:
[…] việc sử dụng các công cụ bảo mật thông tin đã vượt qua quy trình đánh giá việc tuân thủ các yêu cầu của pháp luật Liên bang Nga trong lĩnh vực bảo mật thông tin, trong trường hợp việc sử dụng các công cụ đó là cần thiết để vô hiệu hóa các mối đe dọa hiện tại.
thực tế trùng lặp đoạn PP-1119:
Các biện pháp đảm bảo an toàn dữ liệu cá nhân được thực hiện, ngoài các biện pháp khác, thông qua việc sử dụng các công cụ bảo mật thông tin trong hệ thống thông tin đã vượt qua quy trình đánh giá sự phù hợp theo quy trình đã thiết lập, trong trường hợp việc sử dụng các công cụ đó là cần thiết để vô hiệu hóa các mối đe dọa hiện tại đối với tính bảo mật của dữ liệu cá nhân.
Những công thức này có điểm gì chung? Đúng vậy - họ không yêu cầu sử dụng thiết bị bảo vệ đã được chứng nhận. Thực tế là có một số hình thức đánh giá sự phù hợp (chứng nhận tự nguyện hoặc bắt buộc, tuyên bố về sự phù hợp). Chứng nhận chỉ là một trong số đó. Nhà điều hành có thể sử dụng các sản phẩm không được chứng nhận nhưng sẽ cần chứng minh với cơ quan quản lý khi kiểm tra rằng họ đã trải qua một số hình thức thủ tục đánh giá sự phù hợp.
Nếu người vận hành quyết định sử dụng thiết bị bảo vệ đã được chứng nhận thì cần phải chọn hệ thống bảo vệ thông tin phù hợp với bảo vệ siêu âm, được nêu rõ trong :
Các biện pháp kỹ thuật để bảo vệ dữ liệu cá nhân được thực hiện thông qua việc sử dụng các công cụ bảo mật thông tin, bao gồm các công cụ phần mềm (phần cứng) mà chúng được triển khai, có các chức năng bảo mật cần thiết.
Khi sử dụng các công cụ bảo mật thông tin được chứng nhận theo yêu cầu bảo mật thông tin trong hệ thống thông tin:
Thực tế: Luật pháp không yêu cầu bắt buộc sử dụng thiết bị bảo hộ đã được chứng nhận.
Chuyện hoang đường 6. Tôi cần được bảo vệ bằng tiền điện tử
Có một vài sắc thái ở đây:
- Nhiều người tin rằng mật mã là bắt buộc đối với bất kỳ ISPD nào. Trên thực tế, chúng chỉ nên được sử dụng nếu người vận hành không thấy bất kỳ biện pháp bảo vệ nào khác cho bản thân ngoài việc sử dụng mật mã.
- Nếu bạn không thể làm gì nếu không có mật mã, thì bạn cần sử dụng CIPF được FSB chứng nhận.
- Ví dụ: bạn quyết định lưu trữ ISPD trên đám mây của nhà cung cấp dịch vụ nhưng bạn không tin tưởng nó. Bạn mô tả mối lo ngại của mình theo mô hình mối đe dọa và kẻ xâm nhập. Bạn có dữ liệu cá nhân, vì vậy bạn quyết định rằng mật mã là cách duy nhất để bảo vệ chính mình: bạn sẽ mã hóa các máy ảo, xây dựng các kênh bảo mật bằng cách sử dụng bảo vệ bằng mật mã. Trong trường hợp này, bạn sẽ phải sử dụng CIPF được FSB của Nga chứng nhận.
- CIPF được chứng nhận được lựa chọn phù hợp với mức độ bảo mật nhất định theo .
Đối với ISPDn có UZ-3, bạn có thể sử dụng KS1, KS2, KS3. Ví dụ: KS1 là C-Terra Virtual Gateway 4.2 để bảo vệ các kênh.
KC2, KS3 chỉ được đại diện bởi các hệ thống phần mềm và phần cứng như: ViPNet Coorder, APKSH “Continent”, S-Terra Gateway, v.v.
Nếu bạn có UZ-2 hoặc 1, thì bạn sẽ cần các phương tiện bảo vệ mật mã thuộc lớp KV1, 2 và KA. Đây là những hệ thống phần mềm và phần cứng cụ thể, chúng khó vận hành và đặc tính hiệu suất của chúng rất khiêm tốn.
Thực tế: Luật pháp không bắt buộc phải sử dụng CIPF được FSB chứng nhận.
Nguồn: www.habr.com