大家好! 我负责管理 DataLine 网络防御中心。 客户来找我们的任务是满足云中或物理基础设施上的 152-FZ 的要求。
几乎在每个项目中,都有必要开展教育工作,以揭穿围绕该法律的神话。 我收集了最常见的误解,这些误解可能会给个人数据运营商的预算和神经系统带来高昂的代价。 我会立即做出保留,国家机关(GIS)处理国家机密、KII 等的案件将不在本文的讨论范围之内。
误区一:我安装了防病毒软件、防火墙,并用栅栏围住了机架。 我遵守法律吗?
152-FZ不是关于系统和服务器的保护,而是关于主体个人数据的保护。 因此,遵守 152-FZ 并不是从防病毒软件开始,而是从大量的文件和组织问题开始。
主要检查员 Roskomnadzor 不会关注技术保护手段的存在和状况,而是关注个人数据 (PD) 处理的法律依据:
- 您收集个人数据的目的是什么;
- 您收集的信息是否多于您的目的所需;
- 您存储个人数据多久;
- 是否有处理个人数据的政策;
- 您是否正在收集个人数据处理、跨境传输、第三方处理等方面的同意?
这些问题的答案以及流程本身应记录在适当的文件中。 以下是个人数据运营商需要准备的远非完整的列表:
- 用于处理个人数据的标准同意书(我们现在几乎在所有留下全名和护照详细信息的地方都签署了这些表格)。
- 运营商关于个人数据处理的政策( 有设计建议)。
- 关于任命负责组织个人数据处理的人员的命令。
- 负责组织个人数据处理的人员的职位描述。
- 内部控制规则和(或)对 PD 处理是否符合法律要求的审核规则。
- 个人数据信息系统 (ISPD) 列表。
- 向主体提供其个人数据访问权限的规定。
- 事故调查规定。
- 关于允许员工处理个人数据的命令。
- 与监管机构互动的规定。
- RKN等的通知
- PD 处理指令表。
- ISPD 威胁模型。
解决了这些问题之后,就可以开始选择具体的措施和技术手段。 您需要哪些取决于系统、其运行条件以及当前的威胁。 但稍后会详细介绍。
现实: 遵守法律首先是建立并遵守某些程序,其次是使用特殊的技术手段。
误区2.我将个人数据存储在云端,这是一个符合152-FZ要求的数据中心。 现在他们负责执法
当您将个人数据的存储外包给云提供商或数据中心时,您并不会不再是个人数据运营商。
让我们求助于法律的定义:
个人数据的处理——使用自动化工具或不使用此类手段对个人数据执行的任何行动(操作)或一组行动(操作),包括收集、记录、系统化、积累、存储、澄清(更新、更改)、个人数据的提取、使用、转移(分发、提供、访问)、去个性化、阻止、删除、销毁。
资料来源:第 3 条,
在所有这些行为中,服务提供商负责存储和销毁个人数据(当客户终止与他的合同时)。 其他一切均由个人数据运营商提供。 这意味着由运营商而非服务提供商决定个人数据处理政策、获得客户签署的个人数据处理同意书、防止和调查向第三方泄露个人数据的情况等。
因此,个人数据运营商仍必须收集上面列出的文件并实施组织和技术措施来保护其 PDIS。
通常,提供商通过确保运营商 ISPD 所在的基础设施级别(带有设备的机架或云)符合法律要求来帮助运营商。 他还收集了一系列文件,根据 152-FZ 对其基础设施采取组织和技术措施。
一些提供商帮助 ISDN 本身(即基础设施之上的级别)完成文书工作并提供技术安全措施。 运营商也可以将这些任务外包,但法律规定的责任和义务不会消失。
现实: 通过使用提供商或数据中心的服务,您不能将个人数据运营商的责任转移给他并摆脱责任。 如果提供商向您承诺这一点,那么,温和地说,他在撒谎。
误区 3. 我有必要的一揽子文件和措施。 我将个人数据存储在承诺遵守 152-FZ 的提供商处。 一切都井然有序吗?
是的,如果您记得签署订单。 根据法律规定,运营商可以委托他人(例如同一服务提供商)处理个人数据。 订单是一种协议,列出了服务提供商可以对运营商的个人数据执行哪些操作。
除非联邦法律另有规定,运营商有权在个人数据主体同意的情况下,根据与该人签订的协议(包括州或市合同)委托他人处理个人数据,或通过国家或市政机构(以下简称转让运营商)采取相关法案。 代表运营商处理个人数据的人有义务遵守本联邦法律规定的处理个人数据的原则和规则。
来源:
还规定了提供商有义务按照规定的要求维护个人数据的机密性并确保其安全:
运营商的指令必须定义处理个人数据的人员将执行的个人数据操作(操作)列表以及处理的目的,必须规定此类人员有义务维护个人数据的机密性并确保必须按照以下规定规定个人数据在处理过程中的安全性以及保护已处理的个人数据的要求: 本联邦法。
来源:
为此,提供商对运营商负责,而不是对个人数据主体负责:
如果运营者将个人数据处理委托给他人,则运营者就该特定人的行为对个人数据主体负责。 代表运营商处理个人数据的人员应对运营商负责。
来源: .
在命令中规定确保个人数据保护的义务也很重要:
个人数据在信息系统中处理时的安全由处理个人数据的该系统的运营者(以下简称运营者)或代表该运营者处理个人数据的人根据与该人(以下简称被授权人)签订的协议。 运营者与被授权人之间的协议必须规定被授权人有义务确保个人数据在信息系统中处理时的安全。
来源:
现实: 如果您向提供商提供个人数据,请签署订单。 在命令中注明确保主体个人数据保护的要求。 否则,您不遵守有关将个人数据处理工作转移给第三方的法律,并且提供商不欠您任何有关遵守 152-FZ 的义务。
误区四:摩萨德在监视我,或者我肯定有一架 UZ-4
一些客户坚持证明他们拥有安全级别 1 或 2 的 ISPD。但大多数情况并非如此。 让我们记住硬件来找出为什么会发生这种情况。
LO(安全级别)决定了您将保护您的个人数据免受哪些侵害。
安全级别受以下几点影响:
- 个人数据类型(特殊数据、生物识别数据、公开数据等);
- 谁拥有个人数据 - 个人数据运营商的员工或非员工;
- 个人数据主体数量——大约 100 万。
- 当前威胁的类型。
告诉我们威胁的类型 。 以下是我对每个内容的描述以及我的免费翻译成人类语言的描述。
如果与信息系统中使用的系统软件中存在未记录(未声明)功能相关的威胁也与信息系统相关,则类型 1 威胁与信息系统相关。
如果您认为此类威胁是相关的,那么您坚信 CIA、军情六处或 MOSSAD 的特工已在操作系统中放置了书签,以从您的 ISPD 窃取特定对象的个人数据。
如果与信息系统中使用的应用软件中未记录(未声明)功能的存在相关的威胁也与信息系统相关,则第二类型的威胁与信息系统相关。
如果您认为第二种类型的威胁就是您的情况,那么您睡觉时就会看到中央情报局、军情六处、摩萨德、邪恶的孤独黑客或组织的同一批特工如何在某些办公软件包中放置书签,以便准确地寻找您的个人数据。 是的,有像μTorrent这样的可疑应用软件,但你可以列出允许安装的软件列表并与用户签署协议,不授予用户本地管理员权限等。
如果与系统中未记录(未声明)的功能以及信息系统中使用的应用软件的存在无关的威胁与信息系统相关,则类型 3 威胁与信息系统相关。
第 1 类和第 2 类威胁不适合您,所以这里适合您。
我们已经整理了威胁的类型,现在让我们看看我们的 ISPD 将具有什么级别的安全性。
基于中指定的对应关系的表 .
如果我们选择第三种实际威胁,那么大多数情况下我们将拥有UZ-3。 唯一的例外是,当类型 1 和类型 2 的威胁不相关但安全级别仍然很高 (UZ-2) 时,处理非员工特殊个人数据数量超过 100 的公司。例如,从事医疗诊断和提供医疗服务的公司。
还有UZ-4,主要出现在业务与非雇员(即客户或承包商)个人数据处理无关或个人数据库较小的公司中。
为什么不要过度提高安全级别如此重要? 很简单:确保这种安全级别的一系列措施和保护手段将取决于此。 知识水平越高,在组织和技术方面需要做的工作就越多(即:需要花费的金钱和精力就越多)。
例如,这里是如何根据相同的 PP-1119 更改安全措施集的。
现在让我们看看,根据所选的安全级别,必要的措施列表如何根据 该文件有一个很长的附录,其中定义了必要的措施。 总共有 109 条,每条 KM 强制措施都被定义并用“+”号标记——它们是在下表中精确计算的。 如果只留下 UZ-3 所需的那些,您将得到 4 个。
现实: 如果您不收集客户的测试或生物识别信息,您对系统和应用软件中的书签并不偏执,那么您很可能拥有UZ-3。 它有一个合理的清单,可以实际执行的组织和技术措施。
误区五:所有保护个人数据的手段都必须经过俄罗斯 FSTEC 认证
如果您想要或被要求进行认证,那么您很可能必须使用经过认证的防护设备。 认证将由俄罗斯 FSTEC 的被许可人进行,该被许可人:
- 有兴趣销售更多经过认证的信息保护设备;
- 会担心如果出现问题,监管机构会吊销许可证。
如果您不需要认证并且您准备好以另一种方式确认符合要求,命名为 “评估个人数据保护系统内实施的措施的有效性,以确保个人数据的安全”,那么您不需要经过认证的信息安全系统。 我将尝试简要解释其基本原理。
В 规定必须使用按照规定程序经过合格评定程序的防护用品:
确保个人数据的安全,特别是:
[……]3)信息安全的使用是指按照既定程序通过了合规评估程序。
В 还要求使用已通过法律要求合规性评估程序的信息安全工具:
[...]在需要使用此类手段来消除当前威胁的情况下,使用已通过俄罗斯联邦信息安全领域立法要求合规性评估程序的信息安全工具。
实际上重复了 PP-1119 段:
采取确保个人数据安全的措施,除其他外,在需要使用信息系统中已按照既定程序通过合格评定程序的信息安全工具的情况下,应使用此类工具消除当前对个人数据安全的威胁。
这些配方有什么共同点? 没错 - 他们不需要使用经过认证的防护设备。 事实上,合格评定有多种形式(自愿或强制性认证、合格声明)。 认证只是其中之一。 运营商可以使用未经认证的产品,但需要在检查后向监管机构证明它们已经接受了某种形式的合格评定程序。
如果操作者决定使用经过认证的防护设备,则需要根据超声波防护来选择信息防护系统,这在 :
保护个人数据的技术措施是通过使用信息安全工具来实施的,包括实施这些技术措施的软件(硬件)工具,这些工具具有必要的安全功能。
在信息系统中使用经信息安全要求认证的信息安全工具时:
现实: 法律没有要求强制使用经过认证的防护装备。
误区 6. 我需要加密保护
这里有一些细微差别:
- 许多人认为密码学对于任何 ISPD 都是强制性的。 事实上,只有当操作员除了使用密码学之外没有看到任何其他保护措施时才应该使用它们。
- 如果你离不开加密技术,那么你需要使用经过 FSB 认证的 CIPF。
- 例如,您决定在服务提供商的云中托管 ISPD,但您不信任它。 您在威胁和入侵者模型中描述您的担忧。 您拥有个人数据,因此您决定加密是保护自己的唯一方法:您将加密虚拟机,使用加密保护构建安全通道。 在这种情况下,您必须使用经俄罗斯 FSB 认证的 CIPF。
- 经过认证的CIPF是按照一定的安全级别根据 .
对于带有 UZ-3 的 ISPDn,您可以使用 KS1、KS2、KS3。 KS1例如是用于保护通道的C-Terra Virtual Gateway 4.2。
KC2、KS3仅以软件和硬件系统来表示,例如:ViPNet Coordinator、APKSH“大陆”、S-Terra Gateway等。
如果您有 UZ-2 或 1,那么您将需要 KV1、2 和 KA 类的加密保护手段。 这些都是特定的软件和硬件系统,操作起来很困难,而且性能特征也很有限。
现实: 法律没有强制要求使用经 FSB 认证的 CIPF。
来源: habr.com