152-ФЗについての神話

みなさんこんにちは！ DataLine Cyber​​security Centerを率いています。 顧客は、クラウドまたは物理インフラストラクチャで152-の要件を満たすタスクを担当します。

ほとんどすべてのプロジェクトで、この法律を取り巻く神話を覆すために教育的な仕事を行う必要があります。 私は、個人データオペレーターの予算と神経系に多大なコストがかかる最も一般的な誤解をまとめました。 州の秘密やKIIなどを扱う州事務所（GIS）のケースは、この記事の範囲外にとどまるよう、すぐに予約します。

神話1.ウイルス対策、ファイアウォール、フェンス付きラックを設置しました。 私は法律に従っていますか？

152--システムとサーバーの保護ではなく、エンティティの個人データの保護について。 したがって、152-FZへの準拠は、ウイルス対策ではなく、多数の紙片や組織の問題から始まります。

チーフインスペクターのRoskomnadzorは、技術的な保護手段の利用可能性と状態ではなく、個人データ（PD）の処理の法的根拠に注目します。

• どのような目的で個人データを収集しますか？
• あなたの目的に必要以上のものを集めていますか？
• 個人データの保存量。
• 個人データを処理するためのポリシーはありますか？
• PDの処理、国境を越えた転送、第三者による処理などについて同意を収集しますか。

これらの質問への回答とプロセス自体は、関連文書に記録する必要があります。 個人データオペレーターが準備する必要があるものの完全なリストからはほど遠いです。

• 個人データの処理に対する標準的な同意書（これらは、名前、パスポートデータを残すほとんどすべての場所で現在署名しているシートです）。
• 個人データの処理に関するオペレーターポリシー（登録に関する推奨事項があります）。
• PD処理の組織化の責任者の任命に関する命令。
• PD処理を編成する責任者の職務記述書。
• 内部統制の規則および（または）PD処理の法律の要件への準拠の監査。
• 個人データ情報システム（ISPDn）のリスト。
• 彼のPDへの対象へのアクセスを提供するための手順。
• インシデント調査ルール。
• 個人データの処理への労働者の入場に関する命令。
• 規制当局との相互作用の規則。
• ILV通知など
• PD処理注文フォーム。
• ISPD脅威モデル

これらの問題に対処した後、特定の手段と技術的手段の選択に進むことができます。 どのシステムが必要かは、システム、その稼働状況、現在の脅威によって異なります。 しかし、それについては後で。



現実：法律の順守は、特定のプロセスの確立と順守であり、第一に、第二にのみ-特別な技術的手段の使用です。

神話2.私は、152-FZの要件を満たすデータセンターであるクラウドに個人データを保存します。 今、彼らは法律を施行する責任があります。

個人データのストレージをクラウドプロバイダーまたはデータセンターに外部委託する場合、個人データオペレーターになることはありません。

私たちは法律の定義に助けを求めます：



個人データ処理-自動化ツールを使用して、または収集、記録、体系化、蓄積、保存、明確化（更新、変更）、検索などの個人データを含むツールを使用せずに実行されるアクション（操作）またはアクションのセット（操作）個人データの使用、転送（配布、提供、アクセス）、非個人化、ブロック、削除、破壊。

出典：第3条、 152-FZ



これらすべてのアクションの中で、サービスプロバイダーは個人データの保存と破棄の責任を負います（クライアントが彼との契約を終了するとき）。 その他はすべて、個人データの運営者によって提供されます。 これは、サービスプロバイダーではなくオペレーターが個人データを処理するためのポリシーを決定し、個人データを処理するために顧客から署名付き同意を受け取り、個人データが側に漏れるケースを防止および調査することを意味します。



したがって、個人データの運用者は上記のドキュメントを収集し、ISPDnを保護するために組織的および技術的な手段を講じる必要があります。



通常、プロバイダーは、オペレーターのISPDが配置されるインフラストラクチャレベル（機器ラックまたはクラウド）で法律の要件を遵守することにより、オペレーターを支援します。 また、ドキュメントのパッケージを収集し、152-FZに従ってインフラストラクチャの組織的および技術的な手段を講じています。



一部のプロバイダーは、事務処理を支援し、ISPD自体、つまりインフラストラクチャの上位レベルの保護のための技術的手段を提供しています。 オペレーターはこれらのタスクを外部委託することもできますが、法律に基づく責任と義務はなくなりません。



現実：プロバイダーまたはデータセンターのサービスを参照する場合、個人データオペレーターの義務を彼に譲渡して責任を取り除くことはできません。 プロバイダーがこれをあなたに約束するなら、それを穏やかに言えば、それは不誠実です。

神話3.必要な文書と対策のパッケージがあります。 私は152-へのコンプライアンスを約束するプロバイダーに個人データを保存します。 すべてが透かし彫りになっていますか？

はい、注文への署名を忘れなかった場合。 法律により、オペレーターは個人データの処理を別の人、たとえば同じサービスプロバイダーに委託することができます。 注文は一種の契約であり、サービスプロバイダーがオペレーターの個人データでできることをリストしています。



オペレーターは、連邦法で別途定められている場合を除き、州または地方自治体の契約を含むその人物と締結された契約に基づいて、または関連する行為の州または地方自治体による採択によって、個人データの処理を他人に委託する権利を有します（以下-命令演算子）。 オペレーターに代わって個人データを処理する人は、この連邦法で規定されている個人データの処理に関する原則と規則に従う必要があります。

出典： 条項3、条項6、152-FZ



指定された要件に従って個人データの機密性を保護し、その安全性を確保するプロバイダーの義務は、すぐに修正されます。



オペレーターの指示は、個人データを処理する人によって実行される個人データを含むアクション（操作）のリスト、および処理の目的、個人データの機密性を維持し、処理中の個人データの安全性を確保するそのような人の義務を決定する必要があります。この連邦法の第19条に従って、処理された個人データの保護に関する要件を指定する必要があります。

出典： 条項3、条項6、152-FZ



このため、プロバイダーはオペレーターに責任があり、個人データの対象には責任がありません。



オペレーターが個人データの処理を他の人に委託する場合、オペレーターは指定された人の行動について個人データ主体に責任を負います。 オペレーターに代わって個人データを処理する人は、オペレーターに責任があります。

出典： 152-FZ



また、次の順序で個人データの保護を保証する義務を指定することも重要です。



情報システムでの処理中の個人データのセキュリティは、個人データを処理するこのシステムのオペレーター（以下、オペレーターと呼びます）、またはこのユーザーと締結した契約に基づいてオペレーターに代わって個人データを処理する人（以下、権限のある人と呼びます）によって保証されます。 オペレーターと権限のある人との間の契約は、権限のある人が情報システムで処理されるときに個人データのセキュリティを確保する義務を提供する必要があります。

出典： 2012年11月1日のロシア連邦政府令1119号



現実：プロバイダーに個人データを提供する場合、注文に署名します。 注文では、個人の被験者の保護を確保するための要件を示します。 そうでない場合、個人データ処理作業の第三者への転送に関する法律を順守せず、152-FZの順守に関するプロバイダーはあなたに何も負いません。

神話4.モサドは私をスパイする、または私は間違いなくUZ-1を持っている

一部のお客様は、ISPDセキュリティレベル1または2を持っていることをしつこく証明しています。ほとんどの場合、そうではありません。 材料を思い出して、これが起こる理由を理解してください。

KM、またはセキュリティのレベルは、個人データを保護する対象を決定します。

次の点がセキュリティのレベルに影響します。

• 個人データの種類（特別、生体認証、公開、その他）;
• 個人データの所有者-個人データオペレーターの従業員または非従業員。
• 個人データの件数-10万件以上
• 実際の脅威の種類。

脅威の種類については、2012年11月1日のロシア連邦政府令第1119号で告げられています。 ここに、私が人間の言語に無料で翻訳した場合のそれぞれの説明があります。



第1のタイプの脅威は、情報システムで使用されるシステムソフトウェアの文書化されていない（宣言されていない）機能の存在に関連する脅威も関連する場合、情報システムに関連します。



この種の脅威が関連すると認識した場合、CIA、MI-6、またはMOSSADエージェントがオペレーティングシステムにブックマークを配置し、ISPDの特定の対象から個人データを盗むと確信しています。



第2のタイプの脅威は、情報システムで使用されているアプリケーションソフトウェアの文書化されていない（宣言されていない）機能の存在に関連する脅威も関連している場合、情報システムに関連します。



2番目のタイプの脅威があなたの場合だと思うなら、あなたは眠っていて、CIA、MI-6、MOSSAD、邪悪な孤独なハッカー、またはグループの同じエージェントが特定の狩りのためにいくつかのオフィスソフトウェアパッケージにブックマークを置いている様子を見るあなたの個人データのため。 はい、μTorrentのような疑わしいアプリケーションソフトウェアがありますが、インストールに許可されたソフトウェアのリストを作成し、ユーザーにローカル管理者権限を付与するのではなく、ユーザーと契約書に署名することができます。



第3のタイプの脅威は、情報システムで使用されるシステムおよびアプリケーションソフトウェアの文書化されていない（宣言されていない）機能の存在に関連する脅威が関連していない場合、情報システムに関連します。



タイプ1とタイプ2の脅威はあなたにふさわしくありません。つまり、あなたはここにいます。



脅威の種類を整理し、ISPDがどのレベルのセキュリティを備えているかを検討しています。





この表は、2012年11月1日のロシア連邦政府令第1119号で規定された通信に基づいています。



3番目のタイプの緊急の脅威を選択した場合、ほとんどの場合、UZ-3になります。 タイプ1およびタイプ2の脅威が関連していないが、保護レベルが高い（UZ-2）場合の唯一の例外は、非従業員の特別な個人データを100,000を超える量で処理する企業です。医療サービス。



UZ-4もあり、主に、非従業員の個人データの処理に関係のない企業、つまり顧客や請負業者、または個人データベースが小さい企業に見られます。



セキュリティレベルで無理をしないことが重要なのはなぜですか？ すべてが簡単です。このレベルのセキュリティを確保するための一連の対策と保護手段はこれに依存します。 超音波が高ければ高いほど、組織的および技術的に多くのことを行う必要があります（読む：より多くのお金と神経を使う必要があります）。



ここでは、たとえば、同じPP-1119に従ってセキュリティ対策のセットがどのように変化しているかを示します。







現在、選択したセキュリティレベルに応じて、2013年2月18日付けのロシアFSTEC命令第21号に従って必要な対策のリストがどのように変化するかを検討しています。必要な対策が決定されるこのドキュメントには長い付録があります。 それらは109個あり、KMごとに必須の測定値が識別され、「+」記号が付いています。これらは以下の表で正確に計算されています。 UZ-3に必要なものだけを残すと、41が得られます。







現実：クライアントの分析または生体認証を収集しない場合、システムおよびアプリケーションソフトウェアのブックマークについて偏執的ではないので、おそらくUZ-3があります。 彼にとって、実際に実行できる組織的および技術的対策の健全なリストがあります。

神話5.個人データのすべてのセキュリティ対策（SZI）は、ロシアのFSTECによって認証されなければならない

認定を希望する場合、または認定を実施する必要がある場合は、認定保護装置を使用する必要があります。 認証は、ロシアのFSTECのライセンシーによって実施されます。

• より多くの認定SZIの販売に興味がある;
• 何かがうまくいかない場合、規制当局によるライセンスの取り消しを恐れます。

認定が不要であり、ロシア連邦FSTEC命令第21号 「個人データ保護システムの一部として実装された個人データのセキュリティを確保するための対策の有効性の評価」で求められている別の方法で要件が満たされていることを確認する準備ができている場合、認定SZIは必須ではありません。 簡単に正当化を試みます。



第19条152-FZの第2項では、規定の方法で適合性評価手順に合格した保護具を使用する必要があると述べています。



特に、個人データのセキュリティを確保します。

[...]

3）確立された方法で合格した情報保護施設の適合性を評価する手順を使用する



PP-1119の段落13には 、法的要件への準拠を評価する手順に合格した情報保護ツールを使用する要件もあります。



[...]

現在の脅威を中和するためにそのような手段の使用が必要な場合に、情報セキュリティの分野でロシア連邦の法律の要件の順守を評価する手順に合格した情報保護ツールの使用。



FSTEC No. 21命令の条項4は、実質的に条項PP-1119と重複しています。



個人データのセキュリティを確保するための対策は、特に、個人データのセキュリティに対する現在の脅威を中和するためにそのようなツールの使用が必要な場合に、所定の方法で適合性評価手順に合格した情報システムの情報保護ツールの使用を通じて実装されます。



これらの処方には共通点がありますか？ そうです-彼らは認定保護具の使用を必要としません。 実際には、いくつかの形式の適合性評価（自発的または強制的な認証、適合宣言）があります。 認定はその1つにすぎません。 事業者は認証されていない資金を使用する場合がありますが、検証中に何らかの形で適合性評価手順を受けたことを規制当局に証明する必要があります。



オペレーターが認定保護具の使用を決定した場合、 FSTEC注文番号21に明示的に示されているように、超音波に応じてSZIを選択する必要があります。



個人データを保護するための技術的手段は、必要なセキュリティ機能を備えたソフトウェア（ソフトウェアおよびハードウェア）ツールを含む情報セキュリティツールを使用して実装されます。

情報システムの情報セキュリティ要件に従って認定された情報セキュリティツールを使用する場合：





ロシアのFSTECの注文番号21の条項12 。



現実：法律は、認定された救済策の使用を要求していません。

神話6.暗号化保護が必要です。

ニュアンスは次のとおりです。

1. ISPDnには暗号化が必要であると多くの人が信じています。 実際、暗号化の使用を除いて、オペレータが他のセキュリティ対策を自分で見ない場合にのみ、それらを使用する必要があります。
2. 暗号化がまったくない場合は、FSBによって認定されたCPSIを使用する必要があります。
3. たとえば、ISPDをサービスプロバイダーのクラウドでホストすることにしましたが、それを信頼しません。 脅威と侵入者モデルで懸念を説明します。 PDNがあるため、暗号化が唯一の保護方法であると判断しました。仮想マシンを暗号化し、暗号化保護により安全なチャネルを構築します。 この場合、ロシアのFSBによって認証された暗号情報保護証明書を適用する必要があります。
4. 認証された暗号情報保護対策は、FSBの注文番号378に従って、特定のレベルのセキュリティに従って選択されます。

UZ-3のISPDnの場合、KS1、KS2、KS3を使用できます。 KC1は、たとえば、チャネル保護用のC-Terra Virtual Gateway 4.2です。



KC2、KC3は、ViPNet Coordinator、Continental APK、S-Terra Gatewayなどのソフトウェアおよびハードウェアシステムによってのみ表されます。



UZ-2または1をお持ちの場合は、KV1、2、およびKAクラスの暗号保護手段が必要です。 これらは特定のハードウェアおよびソフトウェアシステムであり、操作が難しく、パフォーマンス特性は控えめです。







現実：法律は、FSBによって認定されたFSISを使用する義務を負いません。