在上
一期出版物中,我们研究了信息安全的基本概念和范式,现在,我们将继续分析有关数据保护各个方面的俄罗斯和国际法规,因为在不了解有关公司活动相关领域的法规的情况下,建立风险和面向业务的管理系统是正确的信息安全是不可能的。 因不遵守法律标准而受到的罚款和声誉损失可以对组织的职能和发展计划做出重大纠正:例如,我们知道,不遵守国家支付系统中的信息保护标准可能会导致金融组织吊销许可,以及不遵守当地要求个人数据的主要收集和处理可能会导致阻止访问公司网站。 一般而言,不遵守关键信息基础设施的安全标准可能会导致最长10年的监禁。 当然,有大量适用的法律和法规,因此在本篇以及接下来的两篇文章中,我们将重点关注个人数据的保护,关键信息基础结构对象的保护以及金融组织的信息安全。
因此,在今天的系列文章中-个人数据,走吧!
首先,有必要讨论有关俄罗斯联邦处理各种信息的程序的基本文件,包括 以及有关个人数据的问题-我们谈论的是2006年7月27日
第149号联邦法 “关于信息,信息技术和信息保护”。 本文档包含在与信息保护有关的所有规范性法律行为中使用的基本概念和定义,除其他外,还介绍了信息类别(公共信息和有限分发的信息)的概念和信息的类型(自由分发,基于以下内容提供):协议,但必须依法分发,访问/分发受限且禁止分发的信息)。 特别是,个人数据被归类为受限信息,并且根据本法第9条第2款,此类信息的机密性是强制性的,因此,国家建立了强制性的规范和处理规则。 不幸的是,并不是所有类型的信息都具有有限的分布性,例如,迄今为止,还没有立法对机密类型进行分类,因此只能区分其中的几种:国家,商业,税收,银行,审计,医疗,公证,律师的机密,秘密通讯,调查,法律程序,内幕信息等 除了数量有限的信息外,在149-(第8条第4款)中,还对信息类型进行了分类,相反,信息的访问类型不受限制-例如监管法律行为,有关国家机构活动的信息,环境状况等。 .d。
俄罗斯个人资料保护标准
关于个人数据保护问题,应该指出的是,在过去的几年中,它们始终保持着尖锐的地位,并且在俄罗斯和国外的最高职位上都不断增加,因为它们与我们每个人都息息相关,无论其国籍或职位如何。
在国外对隐私的解释中,个人数据的安全性植根于确保发达国家公民的不可剥夺的权利和自由-例如,在某些欧洲国家,表明住在信箱和门铃附近的人的名字和姓氏的问题引起了很大争议。 随着信息技术的出现,对个人数据的保护变得越来越重要。 这就是1981年签署并由俄罗斯联邦于2001年批准的“欧洲理事会第108号公约,该公约通过自动处理个人数据保护个人”。 当时,它已经为合法处理个人数据奠定了国际基础,该基础今天仍然适用:仅出于某些目的和在一定时期内使用个人数据,已处理的个人数据的冗余性和相关性以及其跨境传输的特殊性,保证了数据保护公民的权利-个人数据的所有者。 在同一文档中,给出了个人数据的确切定义,然后将其“迁移”到2006年7月27日
第152号联邦法律 “关于个人数据”的第一版:“个人数据”是指有关特定或可识别自然人的任何信息。 批准该公约的目的是为了遵守俄罗斯于2012年加入WTO(世界贸易组织)以来的国际法规要求。
公约缔约国的联合工作一直持续到今天。 因此,在2018年底,俄罗斯联邦与其他参与国签署了《关于对欧洲委员会保护个人数据公约进行修正的
第223号议定书 》,该公约在应对当前挑战方面进行了更新:保护生物特征和遗传数据,新权利个人在通过人工智能进行算法决策的过程中,在信息系统设计阶段就已经有数据保护要求,有义务将有关 甘有关数据泄漏。 公民现在有机会从主管那里获得有关其个人数据的合格保护,并且被迫遵守欧洲GDPR(通用数据保护条例,我们将在后面讨论)的俄罗斯公司将不会被迫采取其他保护措施,因为遵守《公约》的规定意味着该缔约国为处理个人数据提供了适当的法律制度。
因此,在2006年,采用了152-“关于个人数据”,它不仅在很大程度上重复了《公约》的要求,而且还引入了有关处理个人数据的其他定义和要求(以下简称PD)。 随着时间的流逝,对《联邦法》进行了修订,其中主要内容是2011年7月25日发布的261-和2014年7月21日发布的242-。 第一项法律对PD保护的基本规定进行了重大修改,第二部法律禁止在俄罗斯联邦领土之外对PD进行初级处理。 请注意,用于保护PD主体权利的授权国家机构是联邦通信,信息技术和大众通信监管局(Roskomnadzor),该机构向俄罗斯联邦数字发展,电信和大众传播部报告。
在第152-FZ条中,第19条涉及确保个人数据安全的措施,该条还规定,运营商应确保根据2012年11月1日第1119号政府决定建立的安全级别,这被理解为消除某些安全威胁的一系列要求。 为了模拟这些威胁,即 建立威胁模型(以下简称MU)和违规者模型,应依靠以下监管法律行为:
此外,俄罗斯FSTEC在2015年开发了“识别信息系统中信息安全威胁的方法”项目,该项目获得批准后将能够为国家信息系统运营商和私营公司提供指导。 应当注意,州信息系统(以下称为GOSIS)在149-FZ(第13条,第1款)中定义为联邦信息系统和基于联邦法律,俄罗斯联邦组成实体的法律和法律法规创建的区域信息系统。州机构,以便行使州机构的权力并确保这些机构之间的信息交换以及联邦法律规定的其他目的。
152-FZ中的第5条谈到了国家机构在其职责范围内发展特定行业MU的义务。 例如,在俄罗斯联邦中央银行(首先以RS BR IBBS-2.4的形式,然后以
俄罗斯银行条例第389-U号的形式),俄罗斯联邦
电信和大众通信部(“
以标准方式处理的个人数据的威胁和安全侵害模型”)开发了这种MU
该行业的ISPD ”和“
由特殊联邦
ISPD处理的 “
威胁和安全违反者的模型 ”
在该行业的特殊ISPD中进行了处理 ”)(“
典型医疗机构的典型医疗IP的威胁模型 ”)。
在152-中,将确保个人数据安全的义务分配给个人信息系统的操作员(以下简称ISPD)或代表操作员处理个人数据的人(所谓的“处理器”)。 PP-1119提供了运营商(或处理者)应采取的特定组织和技术保护措施,以确保PD的适当安全级别,而级别的选择取决于所处理的PD的类别(即ISPD类型),PD主题的类别和数量和实际威胁的类型。
PD类别可以是特殊的(处理有关PD主体生命的关键方面的信息,例如健康状况,民族/种族,政治和宗教信仰),生物识别(处理PD,表征生理和生物学特征),公共(PD可以从公共渠道获得) ),其他。
实际威胁可以是第一类(与在ISPD中使用系统软件中未声明功能的威胁有关),第二类(与在应用软件中使用未声明功能的威胁有关),第三类(上述威胁无关)。
个人数据安全级别(以下称为KM)的选择取决于ISPDn的上述特征(处理的PD的类别和与ISPD相关的威胁的类型),以及实体的类别(运营商的雇员或其他人员)以及要处理PDN的实体的数量(更多或更多)。少于100,000个条目)。 超声波最大为第1次,最小为第4次。
PP-1119提供了相当简明的PD保护措施清单,因为详细的安全措施是由俄罗斯FSTEC确定的:2013年
2月18日第21号命令批准了确保PD安全的组织和技术措施的组成和内容,而2013年
2月 11
日的
第17号命令规定了PD的保护措施国家信息研究所的信息保护,包括其中的PD保护。 此外,俄罗斯联邦联邦安全局还于2014年7月10日发布了
第378号命令 ,其中包含使用密码信息保护工具(以下简称CIP)时PD安全措施的说明。
考虑第21号命令 。 本文档专门针对非国家IP的PD保护措施,并包含确保一个或另一个KP PD的特定措施的列表。 在第4条中,对非国家IP运营商的豁免是在其没有关闭的实际威胁的情况下不使用经认证的SIS,并且该文件的第6条规定了三年间隔,以评估所实施措施的有效性。 第21号命令和第17号命令提供了选择和应用安全措施的相同算法:首先,根据相关命令的规定选择基本措施,然后对选定的基本措施进行调整,不包括无关的“基本”措施,具体取决于从信息系统和使用的技术的特点出发。 然后,指定经过调整的基本措施集以用先前未选择的措施来消除当前威胁,最后,通过其他适用的监管法律文件建立的措施来补充更新后的经过调整的基本措施集。
第10条中的第21号命令对操作员在无法实施技术措施时或在经济上不可行的基础措施中采取补偿措施的能力进行了重要说明,这在选择新措施并证明使用已经实施的保护性设备以确保个人数据安全性方面具有一定的灵活性。 如果运营商使用经认证的SZI,则订单第12条中的监管者对二手SZI类别和计算机设备(以下简称CBT)提出要求。
根据最近推出的(2011-2016)俄罗斯FSTEC分类器的认证防火墙,入侵检测系统,信息防病毒保护工具,受信任的引导工具,可移动机器媒体控制工具,操作系统,其类别可以为1(最大支持级别)保护)到6(最低级别)。 根据FSTEC俄罗斯
指南文件, CBT可以分为七个级别。 还提出了控制SZI软件中未声明功能的要求-有四个控制级别。 当前已认证SIS的列表包含在
已认证信息安全工具的状态
寄存器中 。
在第21号命令中,指明了以下几组确保PD安全的措施,应根据所需的PD保护等级来采用这些措施:
•识别和认证访问主题和访问对象
•访问主体对访问对象的访问控制
•限制软件环境
•保护机器托架PD
•安全事件记录
•防病毒保护
•入侵检测
•监控(分析)安全PD
•确保IP和PD的完整性
•确保PD的可用性
•保护虚拟化环境
•保护技术手段
•保护知识产权及其手段,通信系统和数据传输
•事件检测和响应
•管理IS和PD保护系统的配置。
第17号命令规定了确保有限访问GISIS信息的安全性的要求,而第5段强调在GOSIS中处理PD时,应遵循PP-1119。 该命令使GOSIS操作员只能使用经过认证的SZI,并获得为期五年的信息保护要求合格证书。 本文档假定运营商采取以下措施来确保信息的保护(以下简称ZI):形成ZI的要求; IP IP系统的开发,实施和认证; 在运行期间和退役期间提供ZI。 该命令的第14.3条谈到了创建威胁模型的必要性,并建议使用我们在
先前出版物中谈到的FSTEC俄罗斯数据安全威胁数据库(
BDU )。 对于GOSIS,将建立安全级别(从最大1到最小3),这取决于处理的信息的重要性级别和系统的规模,其中重要性级别取决于对GISIS中处理的信息的安全属性(机密性,完整性,可用性)可能造成破坏的程度。 ,并且系统的规模可以是联邦,区域或对象。
在第一类保护的GISIS中,应提供保护,使其免受高潜力的违规者的行为的侵害;在第二类GISIS中,应提供潜力不低于强化基础的违法者的保护(在NOS中,其潜力
被称为 “平均”,在确定安全威胁的方法草案中)信息来自IS信息-“基本增加”),在GISIS 3级中-来自具有不低于基本电势的入侵者(在NLD中,此电势
称为 “低”)。 由于要确保GosIS中的IS,仅允许使用经过认证的SIS,因此在17号令第26段中,根据GISIS的级别,描述了可接受的SIS,CBT等级和不存在NDV的控制级别。 在第27条中,在GISIS安全级别和其中处理的PD的安全级别之间建立了联系:对于第2类-2、3,PD的1、2、3和4安全级别提供了对第一类GISIS的ZI措施的要求。和4台超声仪,用于3级-3和4台超声仪。
除了没有指示事件检测和配置管理的指示外,国家信息系统的信息安全措施几乎与上述第21号命令中的措施完全一致。 , , .
№17 «
», .
№378 : 1 (), 2, 3, 1, 2, 1 (). . , , ( 6, 1 6, ), , . , , ( — , ), , , .
152- , 3 GDPR (
General Data Protection Regulation , ). , 2016 25 2018 , , , .
GDPR 95/46/ 24 1995 « ». GDPR , .
GDPR , 152-: GDPR , ( ). , , , , , , , - , , , , , , . , , IP-, cookie-, .
GDPR «» (. profiling), , , , , , , , .
152-, GDPR , « », «», «» (. controller), « », «» () .
GDPR , , . , . , - :
- GDPR - ;
- - , / , cookie- / , GDPR;
- , .
GDPR :
- , — , (.. privacy policy);
- — , , ;
- — , ;
- — , ;
- — ;
- — , , , , , .
, . , , , , , . , GDPR . , , — , , .
, GDPR :
- , , , .. , , , ( );
- (.. Data Protection Impact Assessment);
- - , , , ;
- (privacy by design, .. ) (privacy by default, .. );
- — , ;
- (Data Privacy Officer) , :
- 72- (supervisory authority, Data Protection Authority — ) GDPR- , .. , , , .
2016
EU-US Privacy Shield . , . — GDPR .
Safe Harbor Privacy Principles (« »), 2000 2015 , 95/46/ « ». - , , . , 2015
. , , , EU-US Privacy Shield. . -
, :
- , Privacy Shield (Privacy Policy), ;
- , 45 , , , Data Protection Authorities ( );
- , Privacy Shield;
- , ;
- , :
- , , — (.. Notice and Choice Principles), ( , , );
- , , .. , — , , , — ;
- Privacy Shield;
- , Privacy Shield.
- , , Privacy Shield, , , 152-.
1. , , . 13.11 , , 2017 . , 1 . 13.11 , , , , 50 . 2 . 13.11 , 75 . , .1 242- .15.5 149-, - - .
, . ,
, — 242-, .. , .
2. , GDPR 10 2% , — 20 4% . GDPR : 200000 , 56 , 50 , - Google .
3. , , Privacy Shield, 40 40 .
, , . (
), (,
10 ).
№146 13.02.2019 « ». ( , , , , ), : , , , . , , . , , . , , (, ), , .