Γεια σε όλους! Εκτελώ το DataLine Cyber Defense Center. Οι πελάτες έρχονται σε εμάς με το καθήκον να ικανοποιήσουν τις απαιτήσεις του 152-FZ στο cloud ή σε φυσική υποδομή.
Σχεδόν σε κάθε έργο είναι απαραίτητο να πραγματοποιηθεί εκπαιδευτικό έργο για την απομυθοποίηση των μύθων γύρω από αυτόν τον νόμο. Έχω συγκεντρώσει τις πιο κοινές παρανοήσεις που μπορεί να είναι δαπανηρές για τον προϋπολογισμό και το νευρικό σύστημα του χειριστή προσωπικών δεδομένων. Θα κάνω αμέσως επιφύλαξη ότι οι περιπτώσεις κρατικών υπηρεσιών (GIS) που ασχολούνται με κρατικά μυστικά, KII κ.λπ. θα παραμείνουν εκτός του πεδίου εφαρμογής αυτού του άρθρου.
Μύθος 1. Εγκατέστησα ένα antivirus, ένα τείχος προστασίας και περικύκλωσα τα ράφια με έναν φράχτη. Ακολουθώ το νόμο;
Το 152-FZ δεν αφορά την προστασία συστημάτων και διακομιστών, αλλά την προστασία των προσωπικών δεδομένων των υποκειμένων. Επομένως, η συμμόρφωση με το 152-FZ δεν ξεκινά με ένα πρόγραμμα προστασίας από ιούς, αλλά με μεγάλο αριθμό χαρτιών και οργανωτικά ζητήματα.
Ο κύριος επιθεωρητής, Roskomnadzor, δεν θα εξετάσει την παρουσία και την κατάσταση των τεχνικών μέσων προστασίας, αλλά τη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα (PD):
- για ποιο σκοπό συλλέγετε προσωπικά δεδομένα·
- εάν συλλέγετε περισσότερα από αυτά που χρειάζεστε για τους σκοπούς σας.
- πόσο καιρό αποθηκεύετε προσωπικά δεδομένα.
- υπάρχει πολιτική για την επεξεργασία προσωπικών δεδομένων;
- Συλλέγετε συγκατάθεση για επεξεργασία προσωπικών δεδομένων, διασυνοριακή μεταφορά, επεξεργασία από τρίτους κ.λπ.
Οι απαντήσεις σε αυτά τα ερωτήματα, καθώς και οι ίδιες οι διαδικασίες, θα πρέπει να καταγράφονται σε κατάλληλα έγγραφα. Ακολουθεί μια μακριά από την πλήρη λίστα με το τι πρέπει να προετοιμάσει ένας χειριστής προσωπικών δεδομένων:
- Ένα τυπικό έντυπο συγκατάθεσης για την επεξεργασία προσωπικών δεδομένων (αυτά είναι τα φύλλα που υπογράφουμε πλέον σχεδόν παντού όπου αφήνουμε τα πλήρη ονόματα και τα στοιχεία του διαβατηρίου μας).
- Πολιτική του χειριστή σχετικά με την επεξεργασία προσωπικών δεδομένων ( υπάρχουν συστάσεις για σχεδιασμό).
- Διάταγμα για τον ορισμό ατόμου υπεύθυνου για την οργάνωση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
- Περιγραφή εργασίας του ατόμου που είναι υπεύθυνο για την οργάνωση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
- Κανόνες εσωτερικού ελέγχου και (ή) ελέγχου της συμμόρφωσης της επεξεργασίας PD με τις νομικές απαιτήσεις.
- Κατάλογος συστημάτων πληροφοριών προσωπικών δεδομένων (ISPD).
- Κανονισμοί για την παροχή πρόσβασης στο υποκείμενο στα προσωπικά του δεδομένα.
- Κανονισμοί διερεύνησης περιστατικών.
- Εντολή για την εισαγωγή εργαζομένων στην επεξεργασία δεδομένων προσωπικού χαρακτήρα.
- Κανονισμοί για αλληλεπίδραση με ρυθμιστικές αρχές.
- Ειδοποίηση RKN κ.λπ.
- Έντυπο οδηγιών για την επεξεργασία PD.
- Μοντέλο απειλής ISPD.
Αφού επιλύσετε αυτά τα ζητήματα, μπορείτε να αρχίσετε να επιλέγετε συγκεκριμένα μέτρα και τεχνικά μέσα. Ποια από αυτά χρειάζεστε εξαρτάται από τα συστήματα, τις συνθήκες λειτουργίας τους και τις τρέχουσες απειλές. Αλλά περισσότερα για αυτό αργότερα.
Πραγματικότητα: η συμμόρφωση με το νόμο είναι η καθιέρωση και η συμμόρφωση με ορισμένες διαδικασίες, πρώτα απ 'όλα, και μόνο δεύτερο - η χρήση ειδικών τεχνικών μέσων.
Μύθος 2. Αποθηκεύω προσωπικά δεδομένα στο cloud, ένα κέντρο δεδομένων που πληροί τις απαιτήσεις του 152-FZ. Τώρα είναι υπεύθυνοι για την επιβολή του νόμου
Όταν αναθέτετε την αποθήκευση προσωπικών δεδομένων σε έναν πάροχο cloud ή κέντρο δεδομένων, δεν παύετε να είστε χειριστής προσωπικών δεδομένων.
Ας ζητήσουμε βοήθεια από τον ορισμό του νόμου:
Επεξεργασία προσωπικών δεδομένων – οποιαδήποτε ενέργεια (λειτουργία) ή σύνολο ενεργειών (λειτουργιών) που εκτελούνται με εργαλεία αυτοματισμού ή χωρίς τη χρήση τέτοιων μέσων με προσωπικά δεδομένα, συμπεριλαμβανομένης της συλλογής, καταγραφής, συστηματοποίησης, συσσώρευσης, αποθήκευσης, διευκρίνισης (ενημέρωση, αλλαγή), εξαγωγή, χρήση, μεταφορά (διανομή, παροχή, πρόσβαση), αποπροσωποποίηση, αποκλεισμός, διαγραφή, καταστροφή προσωπικών δεδομένων.
Πηγή: άρθρο 3,
Από όλες αυτές τις ενέργειες, ο πάροχος υπηρεσιών είναι υπεύθυνος για την αποθήκευση και την καταστροφή προσωπικών δεδομένων (όταν ο πελάτης τερματίζει τη σύμβαση μαζί του). Όλα τα άλλα παρέχονται από τον χειριστή προσωπικών δεδομένων. Αυτό σημαίνει ότι ο χειριστής και όχι ο πάροχος υπηρεσιών καθορίζει την πολιτική για την επεξεργασία προσωπικών δεδομένων, λαμβάνει ενυπόγραφες συναινέσεις για την επεξεργασία προσωπικών δεδομένων από τους πελάτες του, αποτρέπει και διερευνά περιπτώσεις διαρροής προσωπικών δεδομένων σε τρίτους κ.λπ.
Κατά συνέπεια, ο χειριστής προσωπικών δεδομένων πρέπει να συλλέγει τα έγγραφα που αναφέρονται παραπάνω και να εφαρμόζει οργανωτικά και τεχνικά μέτρα για την προστασία του PDIS του.
Συνήθως, ο πάροχος βοηθά τον χειριστή διασφαλίζοντας τη συμμόρφωση με τις νομικές απαιτήσεις σε επίπεδο υποδομής όπου θα βρίσκεται το ISPD του φορέα εκμετάλλευσης: ράφια με εξοπλισμό ή το cloud. Συλλέγει επίσης ένα πακέτο εγγράφων, λαμβάνει οργανωτικά και τεχνικά μέτρα για το κομμάτι της υποδομής του σύμφωνα με το 152-FZ.
Ορισμένοι πάροχοι βοηθούν με τη γραφειοκρατία και την παροχή τεχνικών μέτρων ασφαλείας για τα ίδια τα ISDN, δηλαδή σε επίπεδο πάνω από την υποδομή. Ο φορέας εκμετάλλευσης μπορεί επίσης να αναθέσει σε εξωτερικούς συνεργάτες αυτές τις εργασίες, αλλά η ευθύνη και οι υποχρεώσεις βάσει του νόμου δεν εξαφανίζονται.
Πραγματικότητα: Χρησιμοποιώντας τις υπηρεσίες ενός παρόχου ή ενός κέντρου δεδομένων, δεν μπορείτε να του μεταβιβάσετε τις ευθύνες ενός χειριστή προσωπικών δεδομένων και να απαλλαγείτε από την ευθύνη. Εάν ο πάροχος σας το υποσχεθεί αυτό, τότε, για να το θέσω ήπια, λέει ψέματα.
Μύθος 3. Έχω το απαραίτητο πακέτο εγγράφων και μέτρων. Αποθηκεύω προσωπικά δεδομένα σε έναν πάροχο που υπόσχεται συμμόρφωση με το 152-FZ. Είναι όλα εντάξει;
Ναι, αν θυμάστε να υπογράψετε την παραγγελία. Σύμφωνα με το νόμο, ο χειριστής μπορεί να αναθέσει την επεξεργασία προσωπικών δεδομένων σε άλλο πρόσωπο, για παράδειγμα, στον ίδιο πάροχο υπηρεσιών. Μια παραγγελία είναι ένα είδος συμφωνίας που παραθέτει τι μπορεί να κάνει ο πάροχος υπηρεσιών με τα προσωπικά δεδομένα του χειριστή.
Ο χειριστής έχει το δικαίωμα να αναθέτει την επεξεργασία προσωπικών δεδομένων σε άλλο πρόσωπο με τη συγκατάθεση του υποκειμένου των προσωπικών δεδομένων, εκτός εάν ορίζεται διαφορετικά από τον ομοσπονδιακό νόμο, βάσει συμφωνίας που έχει συναφθεί με αυτό το πρόσωπο, συμπεριλαμβανομένης μιας κρατικής ή δημοτικής σύμβασης, είτε με έκδοση σχετικής πράξης από κρατικό ή δημοτικό φορέα (εφεξής φορέας ανάθεσης). Το πρόσωπο που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του χειριστή υποχρεούται να συμμορφώνεται με τις αρχές και τους κανόνες για την επεξεργασία προσωπικών δεδομένων που προβλέπονται από τον παρόντα ομοσπονδιακό νόμο.
Πηγή:
Καθιερώνεται επίσης η υποχρέωση του παρόχου να διατηρεί το απόρρητο των προσωπικών δεδομένων και να διασφαλίζει την ασφάλειά τους σύμφωνα με τις καθορισμένες απαιτήσεις:
Η εντολή του χειριστή πρέπει να ορίζει έναν κατάλογο ενεργειών (πράξεων) με προσωπικά δεδομένα που θα εκτελεστούν από το άτομο που επεξεργάζεται προσωπικά δεδομένα και τους σκοπούς της επεξεργασίας, η υποχρέωση αυτού του ατόμου πρέπει να θεμελιωθεί να διατηρεί το απόρρητο των προσωπικών δεδομένων και να διασφαλίζει την η ασφάλεια των προσωπικών δεδομένων κατά την επεξεργασία τους, καθώς και οι απαιτήσεις για την προστασία των επεξεργασμένων προσωπικών δεδομένων πρέπει να καθορίζονται σύμφωνα με του παρόντος ομοσπονδιακού νόμου.
Πηγή:
Για αυτό, ο πάροχος είναι υπεύθυνος έναντι του χειριστή και όχι έναντι του υποκειμένου των προσωπικών δεδομένων:
Εάν ο χειριστής αναθέτει την επεξεργασία προσωπικών δεδομένων σε άλλο πρόσωπο, ο χειριστής είναι υπεύθυνος έναντι του υποκειμένου των προσωπικών δεδομένων για τις ενέργειες του συγκεκριμένου προσώπου. Το πρόσωπο που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του χειριστή είναι υπεύθυνο έναντι του χειριστή.
Πηγή: .
Είναι επίσης σημαντικό να ορίζεται στη διάταξη η υποχρέωση διασφάλισης της προστασίας των προσωπικών δεδομένων:
Η ασφάλεια των προσωπικών δεδομένων κατά την επεξεργασία σε ένα σύστημα πληροφοριών διασφαλίζεται από τον χειριστή αυτού του συστήματος, ο οποίος επεξεργάζεται προσωπικά δεδομένα (εφεξής καλούμενος χειριστής) ή από το πρόσωπο που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του χειριστή βάσει συμφωνία που έχει συναφθεί με αυτό το πρόσωπο (εφεξής το εξουσιοδοτημένο πρόσωπο). Η συμφωνία μεταξύ του χειριστή και του εξουσιοδοτημένου προσώπου πρέπει να προβλέπει την υποχρέωση του εξουσιοδοτημένου προσώπου να διασφαλίζει την ασφάλεια των προσωπικών δεδομένων όταν υποβάλλονται σε επεξεργασία στο σύστημα πληροφοριών.
Πηγή:
Πραγματικότητα: Εάν δώσετε προσωπικά δεδομένα στον πάροχο, τότε υπογράψτε την παραγγελία. Στη σειρά, αναφέρετε την απαίτηση διασφάλισης της προστασίας των προσωπικών δεδομένων των υποκειμένων. Διαφορετικά, δεν συμμορφώνεστε με τη νομοθεσία σχετικά με τη μεταφορά εργασιών επεξεργασίας προσωπικών δεδομένων σε τρίτους και ο πάροχος δεν σας οφείλει τίποτα σχετικά με τη συμμόρφωση με το 152-FZ.
Μύθος 4. Η Μοσάντ με κατασκοπεύει ή έχω σίγουρα ένα UZ-1
Ορισμένοι πελάτες αποδεικνύουν επίμονα ότι διαθέτουν ISPD επιπέδου ασφαλείας 1 ή 2. Τις περισσότερες φορές αυτό δεν συμβαίνει. Ας θυμηθούμε το υλικό για να καταλάβουμε γιατί συμβαίνει αυτό.
Το LO, ή το επίπεδο ασφάλειας, καθορίζει από τι θα προστατεύσετε τα προσωπικά σας δεδομένα.
Το επίπεδο ασφάλειας επηρεάζεται από τα ακόλουθα σημεία:
- είδος προσωπικών δεδομένων (ειδικά, βιομετρικά, διαθέσιμα στο κοινό και άλλα)·
- που κατέχει τα προσωπικά δεδομένα - εργαζόμενοι ή μη του χειριστή προσωπικών δεδομένων·
- αριθμός υποκειμένων προσωπικών δεδομένων – πάνω κάτω 100 χιλιάδες.
- είδη των τρεχουσών απειλών.
Μας λέει για τα είδη των απειλών . Εδώ είναι μια περιγραφή του καθενός με τη δωρεάν μετάφρασή μου στην ανθρώπινη γλώσσα.
Οι απειλές τύπου 1 σχετίζονται με ένα σύστημα πληροφοριών, εάν οι απειλές που σχετίζονται με την παρουσία μη τεκμηριωμένων (μη δηλωμένων) δυνατοτήτων στο λογισμικό συστήματος που χρησιμοποιείται στο σύστημα πληροφοριών σχετίζονται επίσης με αυτό.
Εάν αναγνωρίζετε αυτό το είδος απειλής ως σχετικό, τότε πιστεύετε ακράδαντα ότι πράκτορες της CIA, της MI6 ή της MOSSAD έχουν τοποθετήσει έναν σελιδοδείκτη στο λειτουργικό σύστημα για να κλέψουν προσωπικά δεδομένα συγκεκριμένων υποκειμένων από το ISPD σας.
Οι απειλές του 2ου τύπου είναι σχετικές για ένα πληροφοριακό σύστημα εάν οι απειλές που σχετίζονται με την παρουσία μη τεκμηριωμένων (μη δηλωμένων) δυνατοτήτων στο λογισμικό εφαρμογής που χρησιμοποιείται στο σύστημα πληροφοριών είναι επίσης σχετικές με αυτό.
Αν νομίζεις ότι οι απειλές του δεύτερου τύπου είναι η περίπτωσή σου, τότε κοιμάσαι και βλέπεις πώς οι ίδιοι πράκτορες της CIA, της MI6, της MOSSAD, ένας κακός μοναχικός χάκερ ή ομάδα έχουν τοποθετήσει σελιδοδείκτες σε κάποιο πακέτο λογισμικού γραφείου για να κυνηγήσουν ακριβώς τα προσωπικά σας δεδομένα. Ναι, υπάρχει αμφίβολο λογισμικό εφαρμογής όπως το μTorrent, αλλά μπορείτε να κάνετε μια λίστα με το επιτρεπόμενο λογισμικό για εγκατάσταση και να υπογράψετε μια συμφωνία με τους χρήστες, να μην δώσετε στους χρήστες δικαιώματα τοπικού διαχειριστή κ.λπ.
Οι απειλές τύπου 3 σχετίζονται με ένα πληροφοριακό σύστημα εάν οι απειλές που δεν σχετίζονται με την παρουσία μη τεκμηριωμένων (μη δηλωμένων) δυνατοτήτων στο σύστημα και το λογισμικό εφαρμογής που χρησιμοποιείται στο σύστημα πληροφοριών σχετίζονται με αυτό.
Οι απειλές των τύπων 1 και 2 δεν είναι κατάλληλες για εσάς, επομένως αυτό είναι το μέρος για εσάς.
Τακτοποιήσαμε τους τύπους απειλών, τώρα ας δούμε ποιο επίπεδο ασφάλειας θα έχει το ISPD μας.
Πίνακας με βάση τις αντιστοιχίες που καθορίζονται στο .
Εάν επιλέξαμε τον τρίτο τύπο πραγματικών απειλών, τότε στις περισσότερες περιπτώσεις θα έχουμε UZ-3. Η μόνη εξαίρεση, όταν οι απειλές των τύπων 1 και 2 δεν είναι σχετικές, αλλά το επίπεδο ασφάλειας θα εξακολουθεί να είναι υψηλό (UZ-2), είναι εταιρείες που επεξεργάζονται ειδικά προσωπικά δεδομένα μη εργαζομένων σε ποσό άνω των 100. για παράδειγμα, εταιρείες που ασχολούνται με την ιατρική διάγνωση και την παροχή ιατρικών υπηρεσιών.
Υπάρχει επίσης το UZ-4 και βρίσκεται κυρίως σε εταιρείες των οποίων η δραστηριότητα δεν σχετίζεται με την επεξεργασία προσωπικών δεδομένων μη εργαζομένων, δηλαδή πελατών ή εργολάβων, ή οι βάσεις προσωπικών δεδομένων είναι μικρές.
Γιατί είναι τόσο σημαντικό να μην το παρακάνετε με το επίπεδο ασφάλειας; Είναι απλό: το σύνολο των μέτρων και των μέσων προστασίας για τη διασφάλιση αυτού του επιπέδου ασφάλειας θα εξαρτηθεί από αυτό. Όσο υψηλότερο είναι το επίπεδο γνώσης, τόσο περισσότερα θα πρέπει να γίνουν από οργανωτική και τεχνική άποψη (διαβάστε: τόσο περισσότερα χρήματα και νεύρα θα χρειαστούν να δαπανηθούν).
Εδώ, για παράδειγμα, είναι πώς αλλάζει το σύνολο των μέτρων ασφαλείας σύμφωνα με το ίδιο PP-1119.
Ας δούμε τώρα πώς, ανάλογα με το επιλεγμένο επίπεδο ασφάλειας, η λίστα των απαραίτητων μέτρων αλλάζει σύμφωνα με Υπάρχει ένα μακρύ παράρτημα σε αυτό το έγγραφο, το οποίο ορίζει τα απαραίτητα μέτρα. Υπάρχουν 109 από αυτά συνολικά, για κάθε KM ορίζονται υποχρεωτικά μέτρα και σημειώνονται με το σύμβολο «+» - υπολογίζονται επακριβώς στον παρακάτω πίνακα. Εάν αφήσετε μόνο αυτά που χρειάζονται για το UZ-3, θα λάβετε 4.
Πραγματικότητα: Εάν δεν συλλέγετε δοκιμές ή βιομετρικά στοιχεία από πελάτες, δεν είστε παρανοϊκοί σχετικά με τους σελιδοδείκτες στο λογισμικό συστήματος και εφαρμογών, τότε πιθανότατα έχετε UZ-3. Παρέχεται με έναν εύλογο κατάλογο οργανωτικών και τεχνικών μέτρων που μπορούν πραγματικά να εφαρμοστούν.
Μύθος 5. Όλα τα μέσα προστασίας των προσωπικών δεδομένων πρέπει να είναι πιστοποιημένα από την FSTEC της Ρωσίας
Εάν θέλετε ή απαιτείται να πραγματοποιήσετε πιστοποίηση, τότε πιθανότατα θα πρέπει να χρησιμοποιήσετε πιστοποιημένο προστατευτικό εξοπλισμό. Η πιστοποίηση θα πραγματοποιηθεί από κάτοχο άδειας της FSTEC της Ρωσίας, ο οποίος:
- ενδιαφέρεται να πουλήσει περισσότερες πιστοποιημένες συσκευές προστασίας πληροφοριών·
- θα φοβάται την ανάκληση της άδειας από τη ρυθμιστική αρχή εάν κάτι πάει στραβά.
Εάν δεν χρειάζεστε πιστοποίηση και είστε έτοιμοι να επιβεβαιώσετε τη συμμόρφωση με τις απαιτήσεις με άλλο τρόπο, που ονομάζεται «Αξιολόγηση της αποτελεσματικότητας των μέτρων που εφαρμόζονται στο σύστημα προστασίας προσωπικών δεδομένων για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων», τότε δεν απαιτούνται για εσάς πιστοποιημένα συστήματα ασφάλειας πληροφοριών. Θα προσπαθήσω να εξηγήσω εν συντομία το σκεπτικό.
В δηλώνει ότι είναι απαραίτητο να χρησιμοποιείται προστατευτικός εξοπλισμός που έχει υποβληθεί στη διαδικασία αξιολόγησης της συμμόρφωσης σύμφωνα με την καθιερωμένη διαδικασία:
Η διασφάλιση της ασφάλειας των προσωπικών δεδομένων επιτυγχάνεται, ιδίως:
[…] 3) τη χρήση μέσων ασφάλειας πληροφοριών που έχουν περάσει τη διαδικασία αξιολόγησης συμμόρφωσης σύμφωνα με την καθιερωμένη διαδικασία.
В Υπάρχει επίσης η απαίτηση χρήσης εργαλείων ασφάλειας πληροφοριών που έχουν περάσει τη διαδικασία αξιολόγησης της συμμόρφωσης με τις νομικές απαιτήσεις:
[…] τη χρήση εργαλείων ασφάλειας πληροφοριών που έχουν περάσει τη διαδικασία αξιολόγησης της συμμόρφωσης με τις απαιτήσεις της νομοθεσίας της Ρωσικής Ομοσπονδίας στον τομέα της ασφάλειας πληροφοριών, σε περιπτώσεις όπου η χρήση τέτοιων μέσων είναι απαραίτητη για την εξουδετέρωση των τρεχουσών απειλών.
πρακτικά αντιγράφει την παράγραφο PP-1119:
Μέτρα για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων εφαρμόζονται, μεταξύ άλλων, με τη χρήση εργαλείων ασφάλειας πληροφοριών στο σύστημα πληροφοριών που έχουν περάσει τη διαδικασία αξιολόγησης της συμμόρφωσης σύμφωνα με την καθιερωμένη διαδικασία, σε περιπτώσεις που η χρήση τέτοιων εργαλείων είναι απαραίτητη για εξουδετερώνει τις τρέχουσες απειλές για την ασφάλεια των προσωπικών δεδομένων.
Τι κοινό έχουν αυτές οι συνθέσεις; Αυτό είναι σωστό - δεν απαιτούν τη χρήση πιστοποιημένου προστατευτικού εξοπλισμού. Γεγονός είναι ότι υπάρχουν διάφορες μορφές αξιολόγησης της συμμόρφωσης (προαιρετική ή υποχρεωτική πιστοποίηση, δήλωση συμμόρφωσης). Η πιστοποίηση είναι μόνο ένα από αυτά. Ο φορέας εκμετάλλευσης μπορεί να χρησιμοποιεί μη πιστοποιημένα προϊόντα, αλλά θα πρέπει να αποδείξει στη ρυθμιστική αρχή κατά την επιθεώρηση ότι έχουν υποβληθεί σε κάποια μορφή διαδικασίας αξιολόγησης της συμμόρφωσης.
Εάν ο χειριστής αποφασίσει να χρησιμοποιήσει πιστοποιημένο προστατευτικό εξοπλισμό, τότε είναι απαραίτητο να επιλέξει το σύστημα προστασίας πληροφοριών σύμφωνα με την προστασία υπερήχων, η οποία αναφέρεται σαφώς στο :
Τα τεχνικά μέτρα για την προστασία των προσωπικών δεδομένων υλοποιούνται με τη χρήση εργαλείων ασφάλειας πληροφοριών, συμπεριλαμβανομένων εργαλείων λογισμικού (υλισμικού) στα οποία εφαρμόζονται, τα οποία έχουν τις απαραίτητες λειτουργίες ασφαλείας.
Όταν χρησιμοποιείτε εργαλεία ασφάλειας πληροφοριών πιστοποιημένα σύμφωνα με τις απαιτήσεις ασφάλειας πληροφοριών σε συστήματα πληροφοριών:
Πραγματικότητα: Ο νόμος δεν απαιτεί την υποχρεωτική χρήση πιστοποιημένου προστατευτικού εξοπλισμού.
Μύθος 6. Χρειάζομαι προστασία κρυπτογράφησης
Υπάρχουν μερικές αποχρώσεις εδώ:
- Πολλοί άνθρωποι πιστεύουν ότι η κρυπτογράφηση είναι υποχρεωτική για κάθε ISPD. Στην πραγματικότητα, θα πρέπει να χρησιμοποιούνται μόνο εάν ο χειριστής δεν βλέπει άλλα μέτρα προστασίας για τον εαυτό του εκτός από τη χρήση κρυπτογραφίας.
- Εάν δεν μπορείτε να κάνετε χωρίς κρυπτογραφία, τότε πρέπει να χρησιμοποιήσετε CIPF πιστοποιημένο από την FSB.
- Για παράδειγμα, αποφασίζετε να φιλοξενήσετε ένα ISPD στο cloud ενός παρόχου υπηρεσιών, αλλά δεν το εμπιστεύεστε. Περιγράφετε τις ανησυχίες σας σε ένα μοντέλο απειλής και εισβολέα. Έχετε προσωπικά δεδομένα, επομένως αποφασίσατε ότι η κρυπτογράφηση είναι ο μόνος τρόπος για να προστατευτείτε: θα κρυπτογραφήσετε εικονικές μηχανές, θα δημιουργήσετε ασφαλή κανάλια χρησιμοποιώντας κρυπτογραφική προστασία. Σε αυτήν την περίπτωση, θα πρέπει να χρησιμοποιήσετε CIPF πιστοποιημένο από την FSB της Ρωσίας.
- Τα πιστοποιημένα CIPF επιλέγονται σύμφωνα με ένα ορισμένο επίπεδο ασφάλειας σύμφωνα με .
Για ISPDn με UZ-3, μπορείτε να χρησιμοποιήσετε τα KS1, KS2, KS3. Το KS1 είναι, για παράδειγμα, το C-Terra Virtual Gateway 4.2 για προστασία καναλιών.
Τα KC2, KS3 αντιπροσωπεύονται μόνο από συστήματα λογισμικού και υλικού, όπως: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway κ.λπ.
Εάν έχετε UZ-2 ή 1, τότε θα χρειαστείτε μέσα κρυπτογραφικής προστασίας κλάσεων KV1, 2 και KA. Πρόκειται για συγκεκριμένα συστήματα λογισμικού και υλικού, είναι δύσκολο να λειτουργήσουν και τα χαρακτηριστικά απόδοσής τους είναι μέτρια.
Πραγματικότητα: Ο νόμος δεν υποχρεώνει τη χρήση CIPF που είναι πιστοποιημένο από την FSB.
Πηγή: www.habr.com