大家好! 我負責管理 DataLine 網路防禦中心。 客戶來找我們的任務是滿足雲端或實體基礎設施上的 152-FZ 的要求。
幾乎在每個項目中,都有必要開展教育工作,以揭穿圍繞該法律的神話。 我收集了最常見的誤解,這些誤解可能會對個人資料業者的預算和神經系統帶來高昂的代價。 我會立即做出保留,國家機關(GIS)處理國家機密、KII 等的案件將不在本文的討論範圍之內。
迷思一:我安裝了防毒軟體、防火牆,並用柵欄圍住了機架。 我遵守法律嗎?
152-FZ不是關於系統和伺服器的保護,而是關於主體個人資料的保護。 因此,遵守 152-FZ 並不是從防毒軟體開始,而是從大量的文件和組織問題開始。
主要檢查員 Roskomnadzor 不會關注技術保護手段的存在和狀況,而是關注個人資料 (PD) 處理的法律依據:
- 您收集個人資料的目的是什麼;
- 您收集的資訊是否多於您的目的所需;
- 您儲存個人資料多久;
- 是否有處理個人資料的政策;
- 您是否正在收集個人資料處理、跨境傳輸、第三方處理等方面的同意?
這些問題的答案以及流程本身應記錄在適當的文件中。 以下是個人資料運營商需要準備的遠非完整的清單:
- 用於處理個人資料的標準同意書(我們現在幾乎在所有留下全名和護照詳細資料的地方都簽署了這些表格)。
- 運營商關於個人資料處理的政策( 有設計建議)。
- 關於任命負責組織個人資料處理的人員的命令。
- 負責組織個人資料處理的人員的職位說明。
- 內部控制規則和(或)對 PD 處理是否符合法律要求的審核規則。
- 個人資料資訊系統 (ISPD) 清單。
- 向主體提供其個人資料存取權限的規定。
- 事故調查規定。
- 關於允許員工處理個人資料的命令。
- 與監管機構互動的規定。
- RKN等的通知
- PD 處理指令表。
- ISPD 威脅模型。
解決了這些問題之後,就可以開始選擇具體的措施和技術手段。 您需要哪些取決於系統、其運作條件以及當前的威脅。 但稍後會詳細介紹。
現實: 遵守法律首先是建立並遵守某些程序,其次是使用特殊的技術手段。
迷思2.我將個人資料儲存在雲端,這是一個符合152-FZ要求的資料中心。 現在他們負責執法
當您將個人資料的儲存外包給雲端供應商或資料中心時,您並沒有不再是個人資料營運商。
讓我們求助於法律的定義:
個人資料的處理-使用自動化工具或不使用此類手段對個人資料執行的任何行動(操作)或一組行動(操作),包括收集、記錄、系統化、累積、儲存、澄清(更新、更改)、個人資料的提取、使用、轉移(分發、提供、存取)、去個人化、阻止、刪除、銷毀。
資料來源:第 3 條,
在所有這些行為中,服務提供者負責儲存和銷毀個人資料(當客戶終止與他的合約時)。 其他一切均由個人資料業者提供。 這意味著由運營商而非服務提供者決定個人資料處理政策、獲得客戶簽署的個人資料處理同意書、防止和調查向第三方洩露個人資料的情況等。
因此,個人資料運營商仍必須收集上面列出的文件並實施組織和技術措施來保護其 PDIS。
通常,提供者透過確保營運商 ISPD 所在的基礎設施等級(具有設備的機架或雲端)符合法律要求來幫助營運商。 他還收集了一系列文件,根據 152-FZ 對其基礎設施採取組織和技術措施。
一些提供者幫助 ISDN 本身(即基礎設施之上的層級)完成文書工作並提供技術安全措施。 運營商也可以將這些任務外包,但法律規定的責任和義務不會消失。
現實: 透過使用提供者或資料中心的服務,您不能將個人資料運營商的責任轉移給他並擺脫責任。 如果提供者向您承諾這一點,那麼,溫和地說,他在撒謊。
迷思 3. 我有必要的一攬子文件和措施。 我將個人資料儲存在承諾遵守 152-FZ 的提供者。 一切都井然有序嗎?
是的,如果您記得簽署訂單。 根據法律規定,業者可以委託他人(例如同一服務提供者)處理個人資料。 訂單是一種協議,列出了服務提供者可以對營運商的個人資料執行哪些操作。
除非聯邦法律另有規定,運營商有權在個人資料主體同意的情況下,根據與該人簽訂的協議(包括州或市合約)委託他人處理個人數據,或透過國家或市政機構(以下簡稱轉讓運營商)採取相關法案。 代表運營商處理個人資料的人有義務遵守本聯邦法律規定的處理個人資料的原則和規則。
來源:
還規定了提供者有義務按照規定的要求維護個人資料的機密性並確保其安全:
運營商的命令必須定義處理個人資料的人員將執行的個人資料操作(操作)清單以及處理的目的,必須規定此類人員有義務維護個人資料的機密性並確保必須按照以下規定規定個人資料在處理過程中的安全性以及保護已處理的個人資料的要求: 本聯邦法。
來源:
為此,提供者對運營商負責,而不是對個人資料主體負責:
如果業者將個人資料處理委託給他人,則業者就該特定人的行為對個人資料主體負責。 代表運營商處理個人資料的人員應對運營商負責。
來源: .
在命令中規定確保個人資料保護的義務也很重要:
個人資料在資訊系統中處理時的安全由處理個人資料的該系統的運營商(以下簡稱運營商)或代表該運營商處理個人資料的人根據與該人(以下簡稱被授權人)簽訂的協議。 運營者與被授權人之間的協議必須規定被授權人有義務確保個人資料在資訊系統中處理時的安全。
來源:
現實: 如果您向提供者提供個人數據,請簽署訂單。 在命令中註明確保主體個人資料保護的要求。 否則,您不遵守有關將個人資料處理工作轉移給第三方的法律,且提供者不欠您任何有關遵守 152-FZ 的義務。
迷思四:摩薩德在監視我,或者我肯定有一架 UZ-4
一些客戶堅持證明他們擁有安全等級 1 或 2 的 ISPD。但大多數情況並非如此。 讓我們記住硬體來找出為什麼會發生這種情況。
LO(安全等級)決定了您將保護您的個人資料免受哪些侵害。
安全等級受以下幾點影響:
- 個人資料類型(特殊資料、生物辨識資料、公開資料等);
- 誰擁有個人資料 - 個人資料運營商的員工或非員工;
- 個人資料主體數量—約 100 萬。
- 當前威脅的類型。
告訴我們威脅的類型 。 以下是我對每個內容的描述以及我的免費翻譯成人類語言的描述。
如果與資訊系統中使用的系統軟體中未記錄(未聲明)功能的存在相關的威脅也與資訊系統相關,則第一類型的威脅與資訊系統相關。
如果您認為此類威脅是相關的,那麼您堅信 CIA、軍情六處或 MOSSAD 的特工已在作業系統中放置了書籤,以從您的 ISPD 竊取特定物件的個人資料。
如果與資訊系統中使用的應用軟體中未記錄(未聲明)功能的存在相關的威脅也與資訊系統相關,則第二類型的威脅與資訊系統相關。
如果您認為第二種類型的威脅就是您的情況,那麼您睡覺時就會看到中央情報局、軍情六處、摩薩德、邪惡的孤獨黑客或組織的同一批特工如何在某些辦公室軟體包中放置書籤,以便準確地尋找您的個人資料。 是的,有像μTorrent這樣的可疑應用軟體,但你可以列出允許安裝的軟體清單並與用戶簽署協議,不授予用戶本地管理員權限等。
如果與系統中未記錄(未聲明)的功能以及資訊系統中使用的應用軟體的存在無關的威脅與資訊系統相關,則類型 3 威脅與資訊系統相關。
第 1 類和第 2 類威脅不適合您,所以這裡適合您。
我們已經整理了威脅的類型,現在讓我們看看我們的 ISPD 將具有什麼等級的安全性。
基於中指定的對應關係的表 .
如果我們選擇第三種實際威脅,那麼大多數情況下我們將擁有UZ-3。 唯一的例外是,當類型 1 和類型 2 的威脅不相關但安全等級仍然很高 (UZ-2) 時,處理非員工特殊個人資料數量超過 100 的公司。例如,從事醫療診斷和提供醫療服務的公司。
還有UZ-4,主要出現在業務與非員工(即客戶或承包商)個人資料處理無關或個人資料庫較小的公司。
為什麼不要過度提高安全等級如此重要? 很簡單:確保這種安全等級的一系列措施和保護手段將取決於此。 知識程度越高,在組織和技術方面需要做的工作就越多(即:需要花費的金錢和精力就越多)。
例如,這裡是如何根據相同的 PP-1119 更改安全措施集的。
現在讓我們看看,根據所選的安全級別,必要的措施清單如何根據 該文件有一個很長的附錄,其中定義了必要的措施。 總共有 109 條,每條 KM 強制措施都被定義並用「+」號標記——它們是在下表中精確計算的。 如果你只留下 UZ-3 所需的那些,你會得到 4 個。
現實: 如果您不收集客戶的測試或生物識別信息,您對系統和應用軟體中的書籤並不偏執,那麼您很可能擁有UZ-3。 它有一個合理的清單,可以實際執行的組織和技術措施。
迷思五:所有保護個人資料的手段都必須經過俄羅斯 FSTEC 認證
如果您想要或被要求進行認證,那麼您很可能必須使用經過認證的防護設備。 認證將由俄羅斯 FSTEC 的被許可人進行,該被許可人:
- 有興趣銷售更多經過認證的資訊保護設備;
- 會擔心如果出現問題,監管機構會吊銷許可證。
如果您不需要認證並且您準備好以另一種方式確認符合要求,命名為 “評估個人資料保護系統內實施的措施的有效性,以確保個人資料的安全”,那麼您不需要經過認證的資訊安全系統。 我將嘗試簡要解釋其基本原理。
В 規定必須使用依規定程序經過合格評定程序的防護用品:
確保個人資料的安全,特別是:
[……]3)資訊安全的使用是指依照既定程序通過了合規評估程序。
В 也要求使用已通過法律要求合規性評估程序的資訊安全工具:
[...]在需要使用此類手段來消除當前威脅的情況下,使用已通過俄羅斯聯邦資訊安全領域立法要求合規性評估程序的資訊安全工具。
幾乎重複了 PP-1119 段:
採取確保個人資料安全的措施,除其他外,在需要使用資訊系統中已按照既定程序通過合格評定程序的資訊安全工具的情況下,應使用此類工具消除當前對個人資料安全的威脅。
這些配方有什麼共同點? 沒錯 - 他們不需要使用經過認證的防護設備。 事實上,合格評定有多種形式(自願或強制性認證、合格聲明)。 認證只是其中之一。 業者可以使用未經認證的產品,但需要在檢查後向監管機構證明它們已經接受了某種形式的合格評定程序。
如果操作者決定使用經過認證的防護設備,則需要根據超音波防護來選擇資訊防護系統,這在 :
保護個人資料的技術措施是透過使用資訊安全工具來實施的,包括實施這些技術措施的軟體(硬體)工具,這些工具具有必要的安全功能。
在資訊系統中使用經資訊安全要求認證的資訊安全工具時:
現實: 法律沒有要求強制使用經過認證的防護裝備。
迷思 6. 我需要加密保護
這裡有一些細微差別:
- 許多人認為密碼學對於任何 ISPD 都是強制性的。 事實上,只有當操作員除了使用密碼學之外沒有看到任何其他保護措施時才應該使用它們。
- 如果你離不開加密技術,那麼你需要使用 FSB 認證的 CIPF。
- 例如,您決定在服務提供者的雲端中託管 ISPD,但您不信任它。 您在威脅和入侵者模型中描述您的擔憂。 您擁有個人數據,因此您決定加密是保護自己的唯一方法:您將加密虛擬機,並使用加密保護來建立安全通道。 在這種情況下,您必須使用經俄羅斯 FSB 認證的 CIPF。
- 經過認證的CIPF是依照一定的安全等級根據 .
對於有 UZ-3 的 ISPDn,您可以使用 KS1、KS2、KS3。 KS1例如是用於保護通道的C-Terra Virtual Gateway 4.2。
KC2、KS3僅以軟體和硬體系統來表示,例如:ViPNet Coordinator、APKSH「大陸」、S-Terra Gateway等。
如果您有 UZ-2 或 1,那麼您將需要 KV1、2 和 KA 類別的加密保護手段。 這些都是特定的軟體和硬體系統,操作起來很困難,而且效能特徵也很有限。
現實: 法律沒有強制要求使用經 FSB 認證的 CIPF。
來源: www.habr.com