Առասպելներ 152-FZ-ի մասին, որը կարող է թանկ արժենալ անձնական տվյալների օպերատորի համար

Բարեւ բոլորին! Ես վարում եմ DataLine կիբեր պաշտպանության կենտրոնը: Հաճախորդները գալիս են մեզ՝ ամպի կամ ֆիզիկական ենթակառուցվածքի վրա 152-FZ պահանջները բավարարելու առաջադրանքով:
Գրեթե յուրաքանչյուր նախագծում անհրաժեշտ է կրթական աշխատանք տանել այս օրենքի շուրջ առասպելները քանդելու համար։ Ես հավաքել եմ ամենատարածված սխալ պատկերացումները, որոնք կարող են թանկ լինել անձնական տվյալների օպերատորի բյուջեի և նյարդային համակարգի համար: Անմիջապես վերապահում կանեմ, որ պետական ​​գերատեսչությունների (GIS) դեպքերը, որոնք առնչվում են պետական ​​գաղտնիքներին, KII և այլն, կմնան այս հոդվածի շրջանակից դուրս:

Առասպել 1. Ես տեղադրեցի հակավիրուս, firewall և պարիսպով շրջապատեցի դարակաշարերը: Ես հետևո՞ւմ եմ օրենքին:

152-FZ-ը վերաբերում է ոչ թե համակարգերի և սերվերների պաշտպանությանը, այլ սուբյեկտների անձնական տվյալների պաշտպանությանը: Հետևաբար, 152-FZ-ի հետ համապատասխանությունը սկսվում է ոչ թե հակավիրուսից, այլ մեծ թվով թղթի կտորներից և կազմակերպչական խնդիրներից:
Գլխավոր տեսուչը՝ Ռոսկոմնադզորը, կանդրադառնա ոչ թե պաշտպանության տեխնիկական միջոցների առկայությանը և վիճակին, այլ անձնական տվյալների մշակման իրավական հիմքին (PD).

• ինչ նպատակով եք հավաքում անձնական տվյալներ.  
• արդյոք դուք հավաքում եք դրանցից ավելին, քան ձեզ անհրաժեշտ է ձեր նպատակների համար.
• որքան ժամանակ եք պահում անձնական տվյալները;
• կա՞ անձնական տվյալների մշակման քաղաքականություն.
• Դուք համաձայնություն եք հավաքում անձնական տվյալների մշակման, միջսահմանային փոխանցման, երրորդ անձանց կողմից մշակման և այլնի համար:

Այս հարցերի պատասխանները, ինչպես նաև բուն գործընթացները պետք է գրանցվեն համապատասխան փաստաթղթերում։ Ահա այն ամբողջական ցանկից հեռու, թե ինչ պետք է պատրաստի անձնական տվյալների օպերատորը.

• Անձնական տվյալների մշակման համար ստանդարտ համաձայնության ձև (սրանք այն թերթերն են, որոնք մենք այժմ ստորագրում ենք գրեթե ամենուր, որտեղ թողնում ենք մեր լրիվ անուններն ու անձնագրի տվյալները):
• Օպերատորի քաղաքականությունը անձնական տվյալների մշակման վերաբերյալ (այստեղ կան դիզայնի առաջարկություններ):
• Անձնական տվյալների մշակման կազմակերպման համար պատասխանատու անձի նշանակման մասին հրաման.  
• Անձնական տվյալների մշակման կազմակերպման համար պատասխանատու անձի աշխատանքի նկարագրությունը.
• Ներքին հսկողության և (կամ) աուդիտի կանոններ՝ PD-ի մշակման իրավական պահանջներին համապատասխանության վերաբերյալ:  
• Անձնական տվյալների տեղեկատվական համակարգերի ցանկ (ISPD):
• Սուբյեկտին իր անձնական տվյալներին հասանելիություն ապահովելու կանոնակարգերը:
• Միջադեպերի հետաքննության կանոնակարգ.
• Աշխատակիցներին անձնական տվյալների մշակմանն ընդունելու կարգադրություն.
• Կարգավորողների հետ փոխգործակցության կանոններ.  
• RKN-ի ծանուցում և այլն:
• PD մշակման հրահանգի ձև:
• ISPD սպառնալիքի մոդել.

Այս խնդիրները լուծելուց հետո կարող եք սկսել ընտրել կոնկրետ միջոցներ և տեխնիկական միջոցներ: Որոնք են ձեզ անհրաժեշտ, կախված է համակարգերից, դրանց աշխատանքային պայմաններից և ընթացիկ սպառնալիքներից: Բայց դրա մասին ավելի ուշ:

Իրականություն Օրենքին համապատասխանելը որոշակի գործընթացների հաստատումն ու համապատասխանությունն է, առաջին հերթին, և միայն երկրորդը` հատուկ տեխնիկական միջոցների օգտագործումը:

Առասպել 2. Ես անձնական տվյալները պահում եմ ամպում, տվյալների կենտրոն, որը համապատասխանում է 152-FZ-ի պահանջներին: Հիմա նրանք պատասխանատվություն են կրում օրենքի կիրառման համար

Երբ դուք անձնական տվյալների պահպանումն արտասահմանում եք ամպային մատակարարին կամ տվյալների կենտրոնին, դուք չեք դադարում լինել անձնական տվյալների օպերատոր:
Օգնության կանչենք օրենքի սահմանումը.

Անձնական տվյալների մշակում՝ ցանկացած գործողություն (գործողություն) կամ գործողությունների (գործողությունների) մի շարք, որոնք կատարվում են ավտոմատացման գործիքների միջոցով կամ առանց այդ միջոցների անձնական տվյալների օգտագործման, ներառյալ հավաքագրումը, գրանցումը, համակարգումը, կուտակումը, պահպանումը, պարզաբանումը (թարմացում, փոփոխություն), անձնական տվյալների արդյունահանում, օգտագործում, փոխանցում (տարածում, տրամադրում, մուտք), ապաանձնավորում, արգելափակում, ջնջում, ոչնչացում:
Աղբյուր՝ հոդված 3, 152-ՖZ

Այս բոլոր գործողություններից ծառայություն մատուցողը պատասխանատու է անձնական տվյալների պահպանման և ոչնչացման համար (երբ հաճախորդը խզում է իր հետ պայմանագիրը): Մնացած ամեն ինչ տրամադրվում է անձնական տվյալների օպերատորի կողմից: Սա նշանակում է, որ օպերատորը, և ոչ թե ծառայություններ մատուցողը, որոշում է անձնական տվյալների մշակման քաղաքականությունը, իր հաճախորդներից ստորագրված համաձայնություններ է ստանում անձնական տվյալների մշակման համար, կանխում և հետաքննում է անձնական տվյալների արտահոսքի դեպքերը երրորդ անձանց և այլն:

Հետևաբար, անձնական տվյալների օպերատորը դեռ պետք է հավաքի վերը թվարկված փաստաթղթերը և իրականացնի կազմակերպչական և տեխնիկական միջոցներ՝ պաշտպանելու իրենց PDIS-ը:

Սովորաբար, մատակարարն օգնում է օպերատորին` ապահովելով իրավական պահանջների համապատասխանությունը ենթակառուցվածքի մակարդակում, որտեղ կտեղակայվի օպերատորի ISPD-ը. դարակաշարեր սարքավորումներով կամ ամպ: Նա նաև հավաքում է փաստաթղթերի փաթեթ, ձեռնարկում է կազմակերպչական և տեխնիկական միջոցներ իր ենթակառուցվածքի համար՝ համաձայն 152-FZ:

Որոշ պրովայդերներ օգնում են թղթաբանության և տեխնիկական անվտանգության միջոցների տրամադրմանը հենց իրենք՝ ISDN-ների համար, այսինքն՝ ենթակառուցվածքից բարձր մակարդակի վրա: Օպերատորը կարող է նաև աութսորսինգ անել այդ խնդիրները, սակայն օրենքով նախատեսված պատասխանատվությունն ու պարտավորությունները չեն վերանում:

Իրականություն Օգտվելով մատակարարի կամ տվյալների կենտրոնի ծառայություններից՝ դուք չեք կարող նրան փոխանցել անձնական տվյալների օպերատորի պարտականությունները և ազատվել պատասխանատվությունից։ Եթե ​​պրովայդերը ձեզ դա խոստանում է, ապա նա, մեղմ ասած, ստում է։

Առասպել 3. Ես ունեմ փաստաթղթերի և միջոցառումների անհրաժեշտ փաթեթ: Ես պահում եմ անձնական տվյալները մի մատակարարի հետ, որը խոստանում է համապատասխանություն 152-FZ: Ամեն ինչ կարգի՞ն է։

Այո, եթե հիշում եք ստորագրել հրամանը: Օրենքով օպերատորը կարող է անձնական տվյալների մշակումը վստահել մեկ այլ անձի, օրինակ՝ նույն ծառայություն մատուցողին: Պատվերը մի տեսակ համաձայնագիր է, որը թվարկում է, թե ինչ կարող է անել ծառայություն մատուցողը օպերատորի անձնական տվյալների հետ:

Օպերատորն իրավունք ունի անձնական տվյալների մշակումը վստահել մեկ այլ անձի՝ անձնական տվյալների առարկայի համաձայնությամբ, եթե այլ բան նախատեսված չէ Դաշնային օրենքով՝ այս անձի հետ կնքված պայմանագրի հիման վրա, ներառյալ պետական ​​կամ քաղաքային պայմանագիրը, կամ պետական ​​կամ քաղաքային մարմնի (այսուհետ՝ հանձնարարականի օպերատոր) կողմից համապատասխան ակտի ընդունմամբ։ Օպերատորի անունից անձնական տվյալներ մշակող անձը պարտավոր է հետևել սույն դաշնային օրենքով նախատեսված անձնական տվյալների մշակման սկզբունքներին և կանոններին:
Source: 3-րդ կետ, հոդված 6, 152-FZ

Սահմանվում է նաև տրամադրողի պարտավորությունը՝ պահպանել անձնական տվյալների գաղտնիությունը և ապահովել դրանց անվտանգությունը՝ սահմանված պահանջներին համապատասխան.

Օպերատորի հրահանգները պետք է սահմանեն անձնական տվյալների հետ կապված գործողությունների (գործառնությունների) ցանկը, որոնք կիրականացնի անձնական տվյալները մշակող անձի կողմից և մշակման նպատակները, պետք է սահմանվի այդպիսի անձի պարտավորությունը՝ պահպանելու անձնական տվյալների գաղտնիությունը և ապահովելու. անձնական տվյալների անվտանգությունը դրանց մշակման ընթացքում, ինչպես նաև մշակված անձնական տվյալների պաշտպանության պահանջները պետք է սահմանվեն՝ համաձայն. Հոդված 19 սույն դաշնային օրենքի:
Source: 3-րդ կետ, հոդված 6, 152-FZ

Դրա համար մատակարարը պատասխանատու է օպերատորի, և ոչ թե անձնական տվյալների առարկայի.

Եթե ​​օպերատորն անձնական տվյալների մշակումը վստահում է այլ անձի, ապա օպերատորը պատասխանատվություն է կրում անձնական տվյալների սուբյեկտի առջև նշված անձի գործողությունների համար: Օպերատորի անունից անձնական տվյալներ մշակող անձը պատասխանատու է օպերատորի առաջ:
Source: 152-ՖZ.

Կարևոր է նաև կարգում ամրագրել անձնական տվյալների պաշտպանությունն ապահովելու պարտավորությունը.

Անձնական տվյալների անվտանգությունը տեղեկատվական համակարգում մշակելիս ապահովում է այս համակարգի օպերատորը, ով մշակում է անձնական տվյալները (այսուհետ՝ օպերատոր), կամ օպերատորի անունից անձնական տվյալներ մշակող անձը՝ այս անձի (այսուհետ՝ լիազորված) հետ կնքված պայմանագիր։ Օպերատորի և լիազորված անձի միջև կնքված համաձայնագիրը պետք է նախատեսի լիազորված անձի պարտավորությունն ապահովելու անձնական տվյալների անվտանգությունը տեղեկատվական համակարգում մշակվելիս:
Source: Ռուսաստանի Դաշնության Կառավարության 1 թվականի նոյեմբերի 2012-ի թիվ 1119 որոշումը.

Իրականություն Եթե ​​դուք անձնական տվյալներ եք տալիս մատակարարին, ապա ստորագրեք պատվերը: Հրամանում նշեք սուբյեկտների անձնական տվյալների պաշտպանությունն ապահովելու պահանջը: Հակառակ դեպքում, դուք չեք հետևում անձնական տվյալների մշակման աշխատանքները երրորդ կողմին փոխանցելու մասին օրենքին, և մատակարարը ձեզ ոչինչ պարտք չէ 152-FZ-ի պահանջներին համապատասխանելու հարցում:

Առասպել 4. Մոսադը լրտեսում է ինձ, կամ ես հաստատ UZ-1 ունեմ

Որոշ հաճախորդներ համառորեն ապացուցում են, որ ունեն անվտանգության 1 կամ 2 մակարդակի ISPD: Շատ հաճախ դա այդպես չէ: Եկեք հիշենք սարքաշարը՝ պարզելու, թե ինչու է դա տեղի ունենում:
LO-ն կամ անվտանգության մակարդակը որոշում է, թե ինչից կպաշտպանեք ձեր անձնական տվյալները:
Անվտանգության մակարդակի վրա ազդում են հետևյալ կետերը.

• անձնական տվյալների տեսակը (հատուկ, կենսաչափական, հանրությանը հասանելի և այլն);
• ում են պատկանում անձնական տվյալները՝ անձնական տվյալների օպերատորի աշխատողներ կամ ոչ աշխատողներ.
• անձնական տվյալների սուբյեկտների թիվը՝ քիչ թե շատ 100 հազ.
• ընթացիկ սպառնալիքների տեսակները.

Պատմում է սպառնալիքների տեսակների մասին Ռուսաստանի Դաշնության Կառավարության 1 թվականի նոյեմբերի 2012-ի թիվ 1119 որոշումը.. Ահա յուրաքանչյուրի նկարագրությունը մարդկային լեզվով իմ ազատ թարգմանությամբ:

1-ին տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, եթե տեղեկատվական համակարգում օգտագործվող համակարգի ծրագրային ապահովման մեջ չփաստաթղթավորված (չհայտարարված) հնարավորությունների առկայության հետ կապված սպառնալիքները նույնպես տեղին են դրա համար:

Եթե ​​դուք ընդունում եք այս տեսակի սպառնալիքը որպես տեղին, ապա համոզված եք, որ ԿՀՎ-ի, MI6-ի կամ MOSSAD-ի գործակալները էջանիշ են տեղադրել օպերացիոն համակարգում՝ ձեր ISPD-ից որոշակի առարկաների անձնական տվյալները գողանալու համար:

2-րդ տիպի սպառնալիքները տեղին են տեղեկատվական համակարգի համար, եթե դրա համար տեղին են նաև սպառնալիքները, որոնք կապված են տեղեկատվական համակարգում օգտագործվող կիրառական ծրագրերում չփաստաթղթավորված (չհայտարարված) հնարավորությունների առկայության հետ:

Եթե ​​կարծում եք, որ երկրորդ տիպի սպառնալիքները ձեր գործն են, ապա դուք քնում եք և տեսնում եք, թե ինչպես են ԿՀՎ-ի, MI6-ի, MOSSAD-ի նույն գործակալները, չար միայնակ հաքերները կամ խումբը էջանիշեր են տեղադրել գրասենյակային ծրագրային ապահովման ինչ-որ փաթեթում՝ հենց որսալու համար: ձեր անձնական տվյալները. Այո, կա μTorrent-ի նման կասկածելի կիրառական ծրագրակազմ, բայց դուք կարող եք կազմել տեղադրման համար թույլատրված ծրագրերի ցանկ և պայմանագիր կնքել օգտատերերի հետ, չտալ օգտատերերին տեղական ադմինիստրատորի իրավունքներ և այլն։

3-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, եթե սպառնալիքները, որոնք կապված չեն համակարգում չփաստաթղթավորված (չհայտարարված) հնարավորությունների առկայության և տեղեկատվական համակարգում օգտագործվող ծրագրային ապահովման հետ, առնչվում են նրան:

1-ին և 2-րդ տեսակների սպառնալիքները ձեզ համար հարմար չեն, ուստի սա ձեզ համար է:

Մենք տարբերակել ենք սպառնալիքների տեսակները, հիմա եկեք տեսնենք, թե անվտանգության ինչ մակարդակ կունենա մեր ISPD-ն:

Աղյուսակում նշված համապատասխանությունների հիման վրա Ռուսաստանի Դաշնության Կառավարության 1 թվականի նոյեմբերի 2012-ի թիվ 1119 որոշումը..

Եթե ​​մենք ընտրենք փաստացի սպառնալիքների երրորդ տեսակը, ապա շատ դեպքերում կունենանք UZ-3։ Միակ բացառությունը, երբ 1-ին և 2-րդ տիպերի սպառնալիքները տեղին չեն, բայց անվտանգության մակարդակը դեռ բարձր կլինի (UZ-2), այն ընկերություններն են, որոնք մշակում են ոչ աշխատողների հատուկ անձնական տվյալներ՝ ավելի քան 100-ի չափով: օրինակ՝ բժշկական ախտորոշմամբ և բժշկական ծառայությունների մատուցմամբ զբաղվող ընկերությունները։

Կա նաև UZ-4, և այն հիմնականում հանդիպում է այն ընկերություններում, որոնց բիզնեսը կապված չէ ոչ աշխատողների, այսինքն՝ հաճախորդների կամ կապալառուների անձնական տվյալների մշակման հետ, կամ անձնական տվյալների բազաները փոքր են:

Ինչու՞ է այդքան կարևոր չչափազանցվել անվտանգության մակարդակով: Դա պարզ է. դրանից կախված կլինի անվտանգության այս մակարդակն ապահովելու միջոցառումների և պաշտպանության միջոցների համալիրը: Որքան բարձր լինի գիտելիքների մակարդակը, այնքան շատ բան պետք է արվի կազմակերպչական և տեխնիկական առումով (կարդացեք՝ այնքան շատ գումար և նյարդեր պետք է ծախսվեն):

Ահա, օրինակ, թե ինչպես է փոխվում անվտանգության միջոցառումների հավաքածուն՝ համաձայն նույն PP-1119-ի։

Այժմ տեսնենք, թե ինչպես է, կախված անվտանգության ընտրված մակարդակից, անհրաժեշտ միջոցառումների ցանկը փոխվում համապատասխան Ռուսաստանի FSTEC-ի 21 թվականի փետրվարի 18.02.2013-ի թիվ XNUMX հրամանով:  Այս փաստաթղթին կա երկար հավելված, որը սահմանում է անհրաժեշտ միջոցները։ Ընդհանուր առմամբ դրանք 109-ն են, յուրաքանչյուր ԿՄ-ի համար սահմանվում և նշվում են «+» նշանով պարտադիր միջոցառումներ, որոնք ճշգրիտ հաշվարկված են ստորև բերված աղյուսակում: Եթե ​​թողնեք միայն UZ-3-ի համար անհրաժեշտները, կստանաք 4:

Իրականություն եթե դուք հաճախորդներից չեք հավաքում թեստեր կամ կենսաչափական տվյալներ, դուք պարանոյիկ չեք համակարգային և կիրառական ծրագրերում էջանիշների մասին, ապա, ամենայն հավանականությամբ, ունեք UZ-3: Այն ունի կազմակերպչական և տեխնիկական միջոցառումների ողջամիտ ցանկ, որոնք կարող են իրականում իրականացվել:

Առասպել 5. Անձնական տվյալների պաշտպանության բոլոր միջոցները պետք է վավերացված լինեն Ռուսաստանի FSTEC-ի կողմից

Եթե ​​ցանկանում եք կամ ձեզանից պահանջվում է սերտիֆիկացում անցկացնել, ապա, ամենայն հավանականությամբ, ստիպված կլինեք օգտագործել հավաստագրված պաշտպանիչ սարքավորումներ: Հավաստագրումը կիրականացվի Ռուսաստանի FSTEC-ի լիցենզավորված անձի կողմից, որը.

• շահագրգռված է ավելի շատ հավաստագրված տեղեկատվության պաշտպանության սարքերի վաճառքով.
• կվախենա, որ լիցենզիան չեղյալ կհամարվի կարգավորողի կողմից, եթե ինչ-որ բան սխալ լինի:

Եթե ​​դուք սերտիֆիկատի կարիք չունեք և պատրաստ եք հաստատել պահանջների համապատասխանությունը մեկ այլ ձևով, որը նշված է. Ռուսաստանի FSTEC թիվ 21 հրամանը  «Գնահատելով անձնական տվյալների պաշտպանության համակարգում իրականացվող միջոցառումների արդյունավետությունը՝ անձնական տվյալների անվտանգությունն ապահովելու համար», ապա ձեզ համար չեն պահանջվում հավաստագրված տեղեկատվական անվտանգության համակարգեր: Կփորձեմ հակիրճ բացատրել հիմնավորումը։

В 2 19-FZ հոդվածի 152-րդ կետ նշում է, որ անհրաժեշտ է օգտագործել սահմանված կարգով համապատասխանության գնահատման ընթացակարգ անցած պաշտպանիչ սարքավորումներ.:

Անձնական տվյալների անվտանգության ապահովումը, մասնավորապես.
[…] 3) տեղեկատվական անվտանգության միջոցների օգտագործումը, որոնք սահմանված կարգով անցել են համապատասխանության գնահատման ընթացակարգը.

В կետ 13 PP-1119 Պահանջվում է նաև օգտագործել տեղեկատվական անվտանգության գործիքներ, որոնք անցել են իրավական պահանջներին համապատասխանությունը գնահատելու ընթացակարգը.

տեղեկատվական անվտանգության գործիքների օգտագործումը, որոնք անցել են տեղեկատվական անվտանգության ոլորտում Ռուսաստանի Դաշնության օրենսդրության պահանջներին համապատասխանությունը գնահատելու կարգը, այն դեպքերում, երբ նման միջոցների օգտագործումը անհրաժեշտ է ընթացիկ սպառնալիքները չեզոքացնելու համար:

FSTEC N 4 հրամանի 21-րդ կետը գործնականում կրկնօրինակում է PP-1119 պարբերությունը.

Անձնական տվյալների անվտանգության ապահովմանն ուղղված միջոցառումներն իրականացվում են, ի թիվս այլոց, տեղեկատվական համակարգում տեղեկատվական անվտանգության գործիքների կիրառմամբ, որոնք սահմանված կարգով անցել են համապատասխանության գնահատման ընթացակարգը, այն դեպքերում, երբ նման գործիքների օգտագործումն անհրաժեշտ է. չեզոքացնել անձնական տվյալների անվտանգությանը սպառնացող ընթացիկ սպառնալիքները.

Ի՞նչ ընդհանուր բան ունեն այս ձևակերպումները: Ճիշտ է, նրանք չեն պահանջում վավերացված պաշտպանիչ սարքավորումների օգտագործումը: Փաստն այն է, որ կան համապատասխանության գնահատման մի քանի ձևեր (կամավոր կամ պարտադիր հավաստագրում, համապատասխանության հռչակագիր): Հավաստագրումը դրանցից միայն մեկն է: Օպերատորը կարող է օգտագործել չհավաստագրված արտադրանք, սակայն ստուգումից հետո պետք է կարգավորողին ցույց տա, որ դրանք ենթարկվել են համապատասխանության գնահատման որոշակի ընթացակարգի:

Եթե ​​օպերատորը որոշում է օգտագործել հավաստագրված պաշտպանիչ սարքավորումներ, ապա անհրաժեշտ է ընտրել տեղեկատվության պաշտպանության համակարգը՝ ուլտրաձայնային պաշտպանությանը համապատասխան, որը հստակ նշված է. FSTEC թիվ 21 հրամանը:

Անձնական տվյալների պաշտպանության տեխնիկական միջոցներն իրականացվում են տեղեկատվական անվտանգության գործիքների, ներառյալ ծրագրային (ապարատային) գործիքների, որոնցում դրանք ներդրված են, որոնք ունեն անվտանգության անհրաժեշտ գործառույթներ:
Տեղեկատվական համակարգերում տեղեկատվական անվտանգության պահանջներին համապատասխան հավաստագրված տեղեկատվական անվտանգության գործիքներ օգտագործելիս.

Ռուսաստանի FSTEC-ի թիվ 12 հրամանի 21-րդ կետը.

Իրականություն Օրենքը չի պահանջում վավերացված պաշտպանիչ սարքավորումների պարտադիր օգտագործում:

Առասպել 6. Ինձ կրիպտո պաշտպանության կարիք ունի

Այստեղ կան մի քանի նրբերանգներ.

1. Շատերը կարծում են, որ ծածկագրումը պարտադիր է ցանկացած ISPD-ի համար: Փաստորեն, դրանք պետք է օգտագործվեն միայն այն դեպքում, եթե օպերատորն իր համար այլ պաշտպանական միջոցներ չի տեսնում, բացի գաղտնագրության օգտագործումից:
2. Եթե ​​դուք չեք կարող անել առանց ծածկագրության, ապա դուք պետք է օգտագործեք FSB-ի կողմից վավերացված CIPF:
3. Օրինակ, դուք որոշում եք ISPD-ն հյուրընկալել ծառայություններ մատուցողի ամպի մեջ, բայց չեք վստահում դրան: Դուք նկարագրում եք ձեր մտահոգությունները սպառնալիքի և ներխուժողի մոդելով: Դուք ունեք անձնական տվյալներ, ուստի որոշեցիք, որ ծածկագրությունը պաշտպանվելու միակ միջոցն է. դուք կգաղտնագրեք վիրտուալ մեքենաները, կստեղծեք անվտանգ ալիքներ՝ օգտագործելով կրիպտոգրաֆիկ պաշտպանությունը: Այս դեպքում դուք ստիպված կլինեք օգտագործել CIPF-ը, որը վավերացված է Ռուսաստանի FSB-ի կողմից:
4. Հավաստագրված CIPF-ն ընտրվում է անվտանգության որոշակի մակարդակի համապատասխան՝ ըստ Պատվեր No 378 FSB.

UZ-3-ով ISPDn-ի համար կարող եք օգտագործել KS1, KS2, KS3: KS1-ը, օրինակ, C-Terra Virtual Gateway 4.2-ն է՝ ալիքների պաշտպանության համար:

KC2, KS3 ներկայացված են միայն ծրագրային և ապարատային համակարգերով, ինչպիսիք են՝ ViPNet Coordinator, APKSH «Continent», S-Terra Gateway և այլն։

Եթե ​​ունեք UZ-2 կամ 1, ապա ձեզ հարկավոր են KV1, 2 և KA դասի գաղտնագրային պաշտպանության միջոցներ: Սրանք հատուկ ծրագրային և ապարատային համակարգեր են, դրանք դժվար է գործել, և դրանց կատարողական բնութագրերը համեստ են:

Իրականություն Օրենքը չի պարտադրում FSB-ի կողմից վավերացված CIPF-ի օգտագործումը:

Source: www.habr.com