大家好! 我负责DataLine网络安全中心。 客户来到我们这里的任务是在云中或物理基础架构上满足152-的要求。
在几乎每个项目中,都必须开展教育工作来揭穿围绕该法律的神话。 我已经整理了最常见的误解,这些误解可能会给个人数据运营商的预算和神经系统带来很大的损失。 我必须立即保留一个州办事机构(GIS)处理国家机密,KII等案件的权利,不在本文讨论范围之内。
神话1.我安装了防病毒软件,防火墙,围栏周围的栅栏。 我遵守法律吗?
152--与保护系统和服务器无关,而与保护实体的个人数据有关。 因此,遵守152-FZ并不是从防病毒开始的,而是从大量文件和组织问题开始的。
首席检查官Roskomnadzor不会关注技术保护手段的可用性和条件,而会关注处理个人数据(PD)的法律依据:
- 您出于什么目的收集个人数据;
- 您收集的款项是否超出您的目的所需?
- 多少存储个人数据;
- 是否有处理个人数据的政策;
- 您是否收集同意处理PD,进行跨境转移,第三方处理等?
这些问题的答案以及流程本身应记录在相关文档中。 以下是个人数据操作员需要准备的工作的完整清单:
- 处理个人数据的标准同意书(这些是我们现在在几乎任何留下姓名,护照数据的地方都签署的表格)。
- 有关个人数据处理的运营商政策( 有注册建议)。
- 命令任命负责组织PD处理的人员。
- 负责组织PD处理的人员的职位描述。
- 内部控制规则和(或)审核PD处理是否符合法律要求的规则。
- 个人数据信息系统(ISPDn)的列表。
- 向对象授予其PD访问权限的过程。
- 事件调查规则。
- 该命令对接纳工人进行个人数据的处理。
- 与监管机构互动的规则。
- ILV通知等
- PD处理订单表格。
- ISPD威胁模型
解决这些问题后,您可以继续选择特定的措施和技术手段。 您将需要哪些取决于系统,其工作条件和当前威胁。 但是稍后会更多。
现实:遵守法律是首先要建立和遵守某些程序,并且只有第二步-使用特殊的技术手段。
迷思2.我将个人数据存储在符合152-FZ要求的数据中心云中。 现在,他们负责执行法律。
当您将个人数据存储外包给云提供商或数据中心时,您将不再是个人数据运营商。
我们呼吁法律的定义:
处理个人数据-使用自动化工具执行或不使用此类工具处理个人数据的任何动作(操作)或一组动作(操作),包括收集,记录,系统化,累积,存储,澄清(更新,更改),检索,使用,转移(分发,提供,访问),去个性化,阻止,删除,破坏个人数据。
资料来源:第3条, 152-FZ在所有这些行为中,服务提供商负责存储和销毁个人数据(当客户终止与他的合同时)。 其他所有内容均由个人数据运营商提供。 这意味着运营商而不是服务提供商将决定处理个人数据的政策,获得其客户的签署同意以处理个人数据,防止和调查个人数据泄露给一方的情况,等等。
因此,个人数据运营商仍然必须收集上述文件,并采取组织和技术措施来保护其ISPDn。
通常,提供商在运营商的ISPD将位于的基础架构级别(设备机架或云)上确保遵守法律要求,从而为运营商提供帮助。 他还收集了一揽子文件,并根据152-FZ对其基础设施采取了组织和技术措施。
一些提供商可以帮助文书工作,并为ISPD本身(即基础架构之上的级别)提供技术保护手段。 操作员也可以将这些任务外包,但是法律规定的责任和义务不会消失。
现实:关于提供商或数据中心的服务,您不能将个人数据运营商的职责转移给他,也不能摆脱责任。 如果提供者向您承诺这一点,那么,温和地说,他是不诚实的。
误区3.我有必要的文件和措施。 我将个人数据存储在提供商处,这保证符合152-。 一切都是蕾丝的吗?
是的,如果您没有忘记签署订单。 根据法律,运营商可以将个人数据的处理委托给其他人,例如同一服务提供商。 订单是一种协议,其中列出了服务提供商可以使用运营商的个人数据进行的操作。
除非联邦法律另有规定,否则运营商有权在个人数据主体同意的情况下,委托他人处理个人数据,除非与该人缔结的协议(包括州或市政合同),或者由州或市政机构通过有关行为(以下简称为命令)运算符)。 代表操作员处理个人数据的人员必须遵守本联邦法律规定的处理个人数据的原则和规则。
资料来源: 152-FZ第6条第3款提供者有义务立即保护个人数据的机密性并确保其符合指定要求的安全:
运营商的指示必须确定将由处理个人数据的人员执行的针对个人数据的操作(操作)列表,以及处理的目的,该人员维护个人数据的机密性并确保其在处理过程中的安全性的义务,以及必须根据本联邦法律第19条规定保护已处理个人数据的要求。
资料来源: 152-FZ第6条第3款为此,提供商对运营商负责,而不对个人数据的主体负责:
如果运营商将个人数据的处理委托给其他人,则运营商应对个人数据主体负责指定人的行为。 代表操作员处理个人数据的人员应对操作员负责。
资料来源: 152-FZ 。同样重要的是指定义务以确保按顺序保护个人数据:
在信息系统中处理该个人数据的安全性由处理该个人数据的该系统的操作员(以下简称为操作员)或由与该人达成的协议的代表该操作员的个人(以下称为授权人)来确保。 运营商与授权人之间的合同必须规定授权人有义务确保在信息系统中处理个人数据时的安全性。
资料来源: 俄罗斯联邦政府法令,2012年11月1日第1119号现实:如果您将个人数据提供给提供商,则在订单上签名。 在订单中,指明确保对个人主题进行保护的要求。 否则,您将不遵守有关将个人数据处理工作转让给第三方的法律,并且提供商对于遵守152-FZ不会欠您任何东西。
误解4。Mossad监视我,或者我绝对有UZ-1
一些客户坚持要证明他们具有ISPD安全级别1或2。通常情况并非如此。 回忆一下材料,找出原因。
KM(或安全级别)决定了您将保护个人数据不受什么影响。
以下几点影响安全级别:
- 个人数据的类型(特殊,生物识别,公共和其他);
- 个人数据属于谁-个人数据运营商的雇员或非雇员;
- 个人数据主体的数量-大于或小于10万
- 实际威胁的类型。
关于威胁的类型,我们
根据2012年11月1日第1119号俄罗斯联邦政府的
法令告知。 这是我免费翻译成人类语言的说明。
如果与信息系统中使用的系统软件中存在未记录的(未声明的)功能相关的威胁也与该信息系统相关,则第一类型的威胁与该信息系统相关。如果您认为这种威胁是相关的,那么您将坚信CIA,MI-6或MOSSAD代理在操作系统中放置了书签,以从ISPD中窃取特定实体的个人数据。
如果与信息系统中使用的应用软件中存在未记录(未声明)功能相关的威胁也与信息系统相关,则第二类型的威胁与信息系统相关。如果您认为第二种威胁是您的情况,那么您正在睡觉,看看CIA,MI-6,MOSSAD,一个邪恶的孤独黑客或一群人的同一个特工如何在某些办公软件包中放置书签以进行专门的狩猎为您的个人数据。 是的,有一个可疑的应用程序软件,例如μTorrent,但是您可以列出允许安装的软件列表,并与用户签署协议,不授予用户本地管理员权限,等等。
如果与第三种类型有关的威胁与信息系统中使用的未证明(未声明)功能以及信息系统中使用的应用软件的存在无关,则第三种威胁与信息系统有关。类型1和2的威胁不适合您,这意味着您在这里。
我们对威胁的类型进行了分类,现在我们正在研究ISPD所具有的安全级别。
该表格基于俄罗斯联邦政府2012年11月1日第1119号法令中规定的对应关系。如果我们选择第三种紧急威胁,那么在大多数情况下,我们将拥有UZ-3。 当类型1和类型2的威胁无关紧要,但安全级别仍然很高(UZ-2)时,唯一的例外是处理非雇员特殊个人数据量超过100,000的公司,例如从事医疗诊断和渲染的公司医疗服务。
还有UZ-4,主要在业务与非雇员(即客户或承包商)的个人数据处理无关的公司中找到,或个人数据库很小。
为什么重要的是不要在安全级别上过度使用它? 一切都很简单:确保此安全级别的一套保护措施和手段将取决于此。 超声波越高,组织和技术上需要做的越多(阅读:您需要花费的金钱和神经越多)。
例如,此处是根据同一PP-1119如何更改安全措施集的方法。
现在,我们正在研究根据所选的安全级别,如何根据
俄罗斯FSTEC的
命令(2013年2月18日第21号 )更改必要措施的清单
。该文件的附录很长,其中确定了必要措施。 其中有109个,对于每个KM,标识出强制性措施并用“ +”号标记-它们在下表中精确计算。 如果只留下UZ-3所需的那些,则得到41。
现实:如果您不收集客户的分析或生物特征,就不
会对系统和应用程序软件中的书签抱有
偏执 ,那么您很可能拥有UZ-3。 对于他来说,有一份可以切实执行的理智的组织和技术措施清单。
迷思5。所有个人数据保护手段(SZI)必须由俄罗斯FSTEC认证
如果您想要或被要求进行认证,那么很可能您将不得不使用认证的防护设备。 认证将由俄罗斯FSTEC的被许可方进行,其中:
- 有兴趣出售更多认证的SZI;
- 如果出现问题,将担心监管机构吊销执照。
如果您不需要认证,并且准备好以其他方式确认您已满足要求,这在
俄罗斯FSTEC第21号令``评估措施有效性以确保作为个人数据保护系统的一部分实施的个人数据的安全性''中进行了要求,那么对于您来说不需要认证的SZI。 我将尝试简要说明理由。
第19152-FZ条第2款规定,有必要使用通过规定方式通过合格评定程序的防护设备
:
确保实现个人数据的安全性,尤其是:
[...]
3)通过使用程序来评估以规定方式通过的信息保护设施的符合性。PP-1119的第13段中还要求使用信息保护工具,该工具已通过评估符合法律要求的程序:
[...]
使用信息保护工具,该工具已通过评估信息安全领域对俄罗斯联邦法律要求的遵守程度的程序,如果需要使用这种手段来消除当前威胁的话。FSTEC第21号命令的第4段实际上重复了PP-1119段:
在需要使用此类工具来消除当前对个人数据安全性威胁的情况下,通过在信息系统中使用以规定方式通过合格评定程序的信息保护工具等措施,来确保个人数据安全性的措施得以实施。这些配方有什么共同点? 正确-他们不需要使用经过认证的防护设备。 事实是有多种形式的合格评定(自愿或强制性认证,合格声明)。 认证只是其中之一。 运营商可以使用未经认证的资金,但是在验证过程中有必要向监管机构证明他们已经以某种形式进行了合格评定程序。
如果操作员决定使用经认证的防护设备,则必须按照
FSTEC第21号订单中明确指示的超声波选择SZI:
通过使用信息保护工具来实施保护个人数据的技术措施,包括其中具有必要的安全功能的软件(软件和硬件)工具。
使用信息保护手段时,已按照信息系统中的信息安全要求进行认证:
俄罗斯FSTEC第21号命令的第12点 。现实:法律不要求使用经过认证的补救措施。
误区六:我需要加密保护。
这里有一些细微差别:
- 许多人认为,任何ISPDn都需要加密。 实际上,仅当操作员自己看不到使用加密技术以外的其他安全措施时,才需要使用它们。
- 如果根本没有加密,则需要使用由FSB认证的CPSI。
- 例如,您决定将ISPD托管在服务提供商的云中,但不信任它。 您在威胁和入侵者模型中描述您的担忧。 您拥有PDN,因此您决定加密是唯一的保护方式:您将加密虚拟机,通过加密保护建立安全通道。 在这种情况下,有必要应用俄罗斯FSB认证的密码信息保护证书。
- 根据FSB第378号命令的一定安全等级,选择经过认证的密码信息保护措施。
对于带有UZ-3的ISPDn,可以使用KS1,KS2,KS3。 KC1例如是用于通道保护的C-Terra虚拟网关4.2。
KC2,KC3仅由硬件和软件系统表示,例如:ViPNet协调器,Continental APK,S-Terra网关等。
如果您具有UZ-2或1,则将需要KV1、2和KA类密码保护装置。 这些是特定的硬件和软件系统,难以操作,性能特征适中。
现实:法律没有义务使用FSB认证的FSIS。