پرو هوسٽر > بلاگ > انتظاميه > 152-FZ بابت افسانا، جيڪي ذاتي ڊيٽا آپريٽر لاءِ قيمتي ٿي سگهن ٿا

152-FZ بابت افسانا، جيڪي ذاتي ڊيٽا آپريٽر لاءِ قيمتي ٿي سگهن ٿا

هيلو سڀ! مان هلان ٿو DataLine سائبر ڊفينس سينٽر. گراهڪ اسان وٽ ايندا آهن 152-FZ جون گهرجون پوريون ڪرڻ جي ڪم سان ڪلائوڊ ۾ يا فزيڪل انفراسٽرڪچر تي.
لڳ ڀڳ هر منصوبي ۾ هن قانون جي چوڌاري خرافات کي ختم ڪرڻ لاء تعليمي ڪم ڪرڻ ضروري آهي. مون سڀ کان وڌيڪ عام غلط فهميون گڏ ڪيون آهن جيڪي ذاتي ڊيٽا آپريٽر جي بجيٽ ۽ اعصاب سسٽم کي قيمتي ٿي سگهن ٿيون. مان فوري طور تي هڪ رزرويشن ڪندس ته رياستي آفيسن (GIS) جا ڪيس جيڪي رياستي رازن سان واسطو رکن ٿا، KII وغيره. هن مضمون جي دائري کان ٻاهر رهندا.

152-FZ بابت افسانا، جيڪي ذاتي ڊيٽا آپريٽر لاءِ قيمتي ٿي سگهن ٿا

افسانو 1. مون هڪ اينٽي وائرس نصب ڪيو، هڪ فائر وال، ۽ ريڪ جي چوڌاري باهه سان. ڇا مان قانون جي پيروي ڪري رهيو آهيان؟

152-FZ سسٽم ۽ سرور جي حفاظت بابت ناهي، پر مضمونن جي ذاتي ڊيٽا جي تحفظ بابت. تنهن ڪري، 152-FZ جي تعميل هڪ اينٽي وائرس سان نه ٿيندي آهي، پر ڪاغذن جي وڏي تعداد ۽ تنظيمي مسئلن سان.
مکيه انسپيڪٽر، Roskomnadzor، تحفظ جي ٽيڪنيڪل ذريعن جي موجودگي ۽ حالت تي نظر نه ڪندو، پر ذاتي ڊيٽا (PD) جي پروسيسنگ لاء قانوني بنياد تي:

  • توهان ڪهڙي مقصد لاءِ ذاتي ڊيٽا گڏ ڪندا آهيو؛  
  • ڇا توھان انھن مان وڌيڪ گڏ ڪريو ٿا توھان جي ضرورت کان وڌيڪ توھان جي مقصدن لاءِ؛
  • توهان ڪيتري وقت تائين ذاتي ڊيٽا محفوظ ڪندا آهيو؛
  • ڇا ذاتي ڊيٽا جي پروسيسنگ لاءِ ڪا پاليسي آهي؛
  • ڇا توهان ذاتي ڊيٽا پروسيسنگ، سرحد پار منتقلي، ٽئين پارٽين طرفان پروسيسنگ وغيره لاءِ رضامندي گڏ ڪري رهيا آهيو.

انهن سوالن جا جواب، گڏوگڏ عمل پاڻ کي، مناسب دستاويزن ۾ رڪارڊ ڪيو وڃي. هتي مڪمل فهرست کان پري آهي جيڪو ذاتي ڊيٽا آپريٽر کي تيار ڪرڻ جي ضرورت آهي:

  • ذاتي ڊيٽا جي پروسيسنگ لاءِ هڪ معياري رضامندي فارم (اهي اهي شيٽ آهن جن تي اسان هاڻي تقريباً هر هنڌ سائن ڪندا آهيون جتي اسان پنهنجا پورا نالا ۽ پاسپورٽ جا تفصيل ڇڏي ڏيون ٿا).
  • ذاتي ڊيٽا جي پروسيسنگ بابت آپريٽر جي پاليسي (هتي ڊزائن لاء سفارشون آهن).
  • ذاتي ڊيٽا جي پروسيسنگ کي منظم ڪرڻ لاء ذميوار شخص جي مقرري تي حڪم.  
  • ذاتي ڊيٽا جي پروسيسنگ کي منظم ڪرڻ لاء ذميوار شخص جي ملازمت جي وضاحت.
  • اندروني ڪنٽرول لاء ضابطا ۽ (يا) قانوني گهرجن سان PD پروسيسنگ جي تعميل جي آڊٽ.  
  • ذاتي ڊيٽا انفارميشن سسٽم جي فهرست (ISPD).
  • هن جي ذاتي ڊيٽا تائين رسائي سان موضوع مهيا ڪرڻ لاء ضابطا.
  • حادثن جي تحقيقات جا ضابطا.
  • ذاتي ڊيٽا جي پروسيسنگ لاء ملازمن جي داخلا تي حڪم.
  • ريگيوليٽر سان رابطي لاء ضابطا.  
  • نوٽيفڪيشن آف آر ڪي اين وغيره.
  • PD پروسيسنگ لاء هدايتون فارم.
  • ISPD خطري ماڊل.

انهن مسئلن کي حل ڪرڻ کان پوء، توهان شروع ڪري سگهو ٿا مخصوص قدمن ۽ ٽيڪنيڪل طريقن کي چونڊڻ لاء. توهان کي ڪهڙي ضرورت آهي سسٽم تي منحصر آهي، انهن جي آپريٽنگ حالتن، ۽ موجوده خطرن. پر انهي تي وڌيڪ بعد ۾.

حقيقت: قانون جي تعميل آهي قيام ۽ ڪجهه عملن جي تعميل، سڀ کان پهرين، ۽ صرف ٻيو - خاص ٽيڪنيڪل ذريعن جو استعمال.

Myth 2. مان ڪلائوڊ ۾ ذاتي ڊيٽا ذخيرو ڪريان ٿو، هڪ ڊيٽا سينٽر جيڪو 152-FZ جي ضرورتن کي پورو ڪري ٿو. هاڻي انهن تي قانون لاڳو ڪرڻ جي ذميواري آهي

جڏهن توهان ڪلائوڊ فراهم ڪندڙ يا ڊيٽا سينٽر ڏانهن ذاتي ڊيٽا جي اسٽوريج کي آئوٽ سورس ڪريو ٿا، توهان کي ذاتي ڊيٽا آپريٽر ٿيڻ کان روڪي نه ٿو.
اچو ته مدد لاءِ قانون جي تعريف کي سڏين:

ذاتي ڊيٽا جي پروسيسنگ - ڪنهن به عمل (آپريشن) يا عملن جو سيٽ (آپريشن) آٽوميشن اوزار استعمال ڪندي يا اهڙي ذريعن جي استعمال کان سواءِ ذاتي ڊيٽا، بشمول گڏ ڪرڻ، رڪارڊنگ، سسٽمائيزيشن، جمع، اسٽوريج، وضاحت (تازه ڪاري، تبديل ڪرڻ)، اخراج، استعمال، منتقلي (تقسيم، روزي، پهچ)، ذاتي ڊيٽا کي ختم ڪرڻ، بلاڪ ڪرڻ، حذف ڪرڻ، تباهي.
ذريعو: آرٽيڪل 3، 152-ايف زيڊ

انهن سڀني عملن مان، خدمت فراهم ڪندڙ ذاتي ڊيٽا کي محفوظ ڪرڻ ۽ تباهه ڪرڻ جو ذميوار آهي (جڏهن ڪلائنٽ هن سان معاهدو ختم ڪري ٿو). ٻيو سڀ ڪجهه ذاتي ڊيٽا آپريٽر طرفان مهيا ڪيل آهي. هن جو مطلب اهو آهي ته آپريٽر، ۽ نه سروس فراهم ڪندڙ، ذاتي ڊيٽا جي پروسيسنگ لاءِ پاليسي جو تعين ڪري ٿو، پنهنجي گراهڪن کان ذاتي ڊيٽا جي پروسيسنگ لاءِ دستخط ٿيل رضامندي حاصل ڪري ٿو، ٽئين پارٽين کي ذاتي ڊيٽا جي ليڪ ٿيڻ جي ڪيسن کي روڪي ٿو ۽ تحقيق ڪري ٿو، وغيره.

نتيجي طور، ذاتي ڊيٽا آپريٽر کي اڃا تائين اهي دستاويز گڏ ڪرڻ گهرجن جيڪي مٿي درج ڪيا ويا آهن ۽ انهن جي PDIS جي حفاظت لاءِ تنظيمي ۽ ٽيڪنيڪل قدمن تي عمل درآمد ڪن.

عام طور تي، فراهم ڪندڙ آپريٽر جي مدد ڪري ٿو قانوني ضرورتن جي تعميل کي يقيني بڻائڻ جي ذريعي بنيادي ڍانچي جي سطح تي جتي آپريٽر جو ISPD واقع هوندو: سامان سان گڏ ريڪ يا ڪلائوڊ. هو دستاويزن جو هڪ پيڪيج پڻ گڏ ڪري ٿو، 152-FZ جي مطابق هن جي بنيادي ڍانچي لاء تنظيمي ۽ ٽيڪنيڪل اپاء وٺي ٿو.

ڪجهه مهيا ڪندڙ ڪاغذن سان مدد ڪن ٿا ۽ خود ISDNs لاءِ ٽيڪنيڪل حفاظتي قدمن جي فراهمي، يعني بنيادي ڍانچي کان مٿي جي سطح تي. آپريٽر به انهن ڪمن کي آئوٽ سورس ڪري سگهي ٿو، پر قانون تحت ذميواريون ۽ ذميداريون ختم نه ٿيون ٿين.

حقيقت: مهيا ڪندڙ يا ڊيٽا سينٽر جي خدمتن کي استعمال ڪندي، توهان هن کي ذاتي ڊيٽا آپريٽر جي ذميواريون منتقل نه ڪري سگهو ٿا ۽ ذميواري کان نجات حاصل ڪري سگهو ٿا. جيڪڏهن مهيا ڪندڙ توهان کي اهو واعدو ڪري ٿو، پوء، ان کي نرمي سان رکڻ لاء، هو ڪوڙ ڳالهائي رهيو آهي.

Myth 3. مون وٽ دستاويزن ۽ قدمن جو ضروري پيڪيج آهي. مان ذاتي ڊيٽا هڪ مهيا ڪندڙ سان گڏ ڪري ٿو جيڪو 152-FZ جي تعميل جو واعدو ڪري ٿو. ڇا سڀ ڪجهه ترتيب ۾ آهي؟

ها، جيڪڏهن توهان کي آرڊر تي دستخط ڪرڻ ياد آهي. قانون طرفان، آپريٽر کي ذاتي ڊيٽا جي پروسيسنگ کي ٻئي شخص ڏانهن منتقل ڪري سگهي ٿو، مثال طور، ساڳئي خدمت فراهم ڪندڙ. آرڊر هڪ قسم جو معاهدو آهي جيڪو فهرست ڏئي ٿو ته خدمت فراهم ڪندڙ آپريٽر جي ذاتي ڊيٽا سان ڇا ڪري سگهي ٿو.

آپريٽر کي حق حاصل آهي ته ذاتي ڊيٽا جي پروسيسنگ کي ڪنهن ٻئي شخص کي ذاتي ڊيٽا جي موضوع جي رضامندي سان، جيستائين ٻي صورت ۾ وفاقي قانون طرفان مهيا ڪيل نه هجي، هن شخص سان ڪيل معاهدي جي بنياد تي، رياست يا ميونسپل معاهدي سميت، يا رياست يا ميونسپل باڊي طرفان لاڳاپيل ايڪٽ کي اپنائڻ سان (هتان بعد ۾ تفويض آپريٽر طور حوالو ڏنو ويو آهي). آپريٽر جي طرفان ذاتي ڊيٽا پروسيسنگ ڪندڙ شخص هن وفاقي قانون پاران مهيا ڪيل ذاتي ڊيٽا جي پروسيسنگ لاءِ اصولن ۽ ضابطن تي عمل ڪرڻ جو پابند آهي.
جو ذريعو: شق 3، آرٽيڪل 6، 152-FZ

مهيا ڪندڙ جي ذميواري ذاتي ڊيٽا جي رازداري کي برقرار رکڻ ۽ ان جي حفاظت کي يقيني بڻائڻ جي مخصوص ضرورتن جي مطابق پڻ قائم ڪئي وئي آهي:

آپريٽر جي هدايتن کي لازمي طور تي ذاتي ڊيٽا سان گڏ ڪارناما (آپريشن) جي هڪ فهرست بيان ڪرڻ گهرجي جيڪا ذاتي ڊيٽا پروسيسنگ ڪندڙ شخص طرفان ڪئي ويندي ۽ پروسيسنگ جا مقصد، اهڙي شخص جي ذميواري قائم ڪئي وڃي ته ذاتي ڊيٽا جي رازداري کي برقرار رکڻ ۽ يقيني بڻائڻ لاءِ. انهن جي پروسيسنگ دوران ذاتي ڊيٽا جي حفاظت، انهي سان گڏ پروسيس ٿيل ذاتي ڊيٽا جي تحفظ جي ضرورتن جي مطابق بيان ڪيو وڃي. آرٽيڪل 19 هن وفاقي قانون جي.
جو ذريعو: شق 3، آرٽيڪل 6، 152-FZ

انهي لاء، فراهم ڪندڙ آپريٽر کي ذميوار آهي، ۽ نه ذاتي ڊيٽا جي موضوع ڏانهن:

جيڪڏهن آپريٽر ڪنهن ٻئي شخص کي ذاتي ڊيٽا جي پروسيسنگ جي حوالي ڪري ٿو، آپريٽر مخصوص شخص جي عملن لاء ذاتي ڊيٽا جي موضوع تي ذميوار آهي. آپريٽر جي طرفان ذاتي ڊيٽا کي پروسيس ڪرڻ وارو شخص آپريٽر ڏانهن ذميوار آهي.
جو ذريعو: 152-ايف زيڊ.

اهو پڻ ضروري آهي ته ذاتي ڊيٽا جي حفاظت کي يقيني بڻائڻ جي ذميواري کي ترتيب ڏيڻ ۾:

ذاتي ڊيٽا جي حفاظت کي يقيني بڻايو ويندو آهي جڏهن هڪ معلوماتي سسٽم ۾ پروسيس ڪيو ويندو آهي هن سسٽم جي آپريٽر طرفان، جيڪو ذاتي ڊيٽا کي پروسيس ڪري ٿو (هتي ان کي آپريٽر جو حوالو ڏنو ويو آهي)، يا شخص طرفان ذاتي ڊيٽا پروسيسنگ ڪندڙ طرفان آپريٽر جي طرفان هن شخص سان ٺهڪندڙ معاهدو (هتي بااختيار شخص طور حوالو ڏنو ويو آهي). آپريٽر ۽ بااختيار شخص جي وچ ۾ معاهدو لازمي طور تي بااختيار شخص جي ذميواري لاء مهيا ڪرڻ گهرجي جڏهن معلومات سسٽم ۾ پروسيس ٿيل ذاتي ڊيٽا جي حفاظت کي يقيني بڻائي.
جو ذريعو: روسي فيڊريشن جي حڪومت جو فرمان نومبر 1، 2012 نمبر 1119

حقيقت: جيڪڏهن توهان مهيا ڪندڙ کي ذاتي ڊيٽا ڏيو، پوء آرڊر تي دستخط ڪريو. آرڊر ۾، مضمونن جي ذاتي ڊيٽا جي حفاظت کي يقيني بڻائڻ جي ضرورت کي ظاهر ڪريو. ٻي صورت ۾، توهان ڪنهن ٽين ڌر ڏانهن ذاتي ڊيٽا پروسيسنگ ڪم جي منتقلي جي حوالي سان قانون جي تعميل نٿا ڪريو، ۽ فراهم ڪندڙ توهان کي 152-FZ جي تعميل جي حوالي سان ڪجهه به واجب نه آهي.

افسانو 4. موساد منهنجي جاسوسي ڪري رهيو آهي، يا مون وٽ ضرور UZ-1 آهي

ڪجهه گراهڪ لڳاتار ثابت ڪن ٿا ته انهن وٽ سيڪيورٽي ليول 1 يا 2 جو ISPD آهي. گهڻو ڪري اهو معاملو ناهي. اچو ته هارڊويئر کي ياد رکون ته اهو معلوم ڪرڻ لاءِ ته ائين ڇو ٿئي ٿو.
LO، يا سيڪيورٽي سطح، اهو طئي ڪري ٿو ته توهان پنهنجي ذاتي ڊيٽا جي حفاظت ڪندا ڇا کان.
سيڪيورٽي جي سطح هيٺ ڏنل نقطي کان متاثر ٿئي ٿي:

  • ذاتي ڊيٽا جو قسم (خاص، بايوميٽرڪ، عوامي طور تي دستياب ۽ ٻيا)؛
  • جيڪو ذاتي ڊيٽا جو مالڪ آهي - ذاتي ڊيٽا آپريٽر جا ملازم يا غير ملازم؛
  • ذاتي ڊيٽا جي مضمونن جو تعداد - وڌيڪ يا گهٽ 100 هزار.
  • موجوده خطرن جا قسم.

اسان کي خطرن جي قسمن بابت ٻڌايو روسي فيڊريشن جي حڪومت جو فرمان نومبر 1، 2012 نمبر 1119. هتي هر هڪ جو تفصيل آهي منهنجي انساني ٻولي ۾ مفت ترجمي سان.

پهرين قسم جا ڌمڪيون معلوماتي سسٽم لاءِ لاڳاپيل آهن جيڪڏهن انفارميشن سسٽم ۾ استعمال ٿيندڙ سسٽم سافٽ ويئر ۾ غير دستاويزي (غير اعلانيل) صلاحيتن جي موجودگي سان لاڳاپيل خطرا پڻ ان لاءِ لاڳاپيل آهن.

جيڪڏهن توهان هن قسم جي خطري کي لاڳاپيل طور سڃاڻو ٿا، ته پوءِ توهان يقين رکو ٿا ته CIA، MI6 يا MOSSAD جي ايجنٽن توهان جي ISPD مان مخصوص مضمونن جي ذاتي ڊيٽا چوري ڪرڻ لاءِ آپريٽنگ سسٽم ۾ هڪ بُڪ مارڪ رکيو آهي.

ٻئي قسم جا خطرا انفارميشن سسٽم لاءِ لاڳاپيل آهن جيڪڏهن انفارميشن سسٽم ۾ استعمال ٿيل ايپليڪيشن سافٽ ويئر ۾ غير دستاويزي (غير اعلانيل) صلاحيتن جي موجودگي سان لاڳاپيل خطرا پڻ ان لاءِ لاڳاپيل آهن.

جيڪڏهن توهان سوچيو ٿا ته ٻئي قسم جا خطرا توهان جو ڪيس آهن، ته پوءِ توهان سمهو ۽ ڏسو ته ڪيئن سي آءِ اي، ايم آءِ 6، موساد، هڪ برائي لون هيڪر يا گروهه جا ساڳيا ايجنٽ ڪنهن آفيس جي سافٽ ويئر پيڪيج ۾ بک مارڪ رکيا آهن ته جيئن انهن جو شڪار ٿي سگهي. توهان جي ذاتي ڊيٽا. ها، اتي مشڪوڪ ايپليڪيشن سافٽ ويئر آهي جهڙوڪ μTorrent، پر توهان انسٽاليشن لاءِ اجازت ڏنل سافٽ ويئر جي لسٽ ٺاهي سگهو ٿا ۽ صارفين سان هڪ معاهدو سائن ڪري سگهو ٿا، نه ته صارفين کي مقامي منتظم جا حق ڏيو، وغيره.

ٽائپ 3 خطرا انفارميشن سسٽم سان لاڳاپيل آهن جيڪڏهن خطرا جيڪي غير دستاويزي (غير اعلانيل) صلاحيتن جي موجودگي سان لاڳاپيل نه آهن ۽ معلومات سسٽم ۾ استعمال ٿيل ايپليڪيشن سافٽ ويئر ان سان لاڳاپيل آهن.

قسم 1 ۽ 2 جا خطرا توهان لاءِ موزون نه آهن، تنهنڪري هي جڳهه توهان لاءِ آهي.

اسان خطرن جي قسمن کي ترتيب ڏئي ڇڏيو آهي، هاڻي اچو ته ڏسون ته اسان جي ISPD جي حفاظت جي ڪهڙي سطح هوندي.

152-FZ بابت افسانا، جيڪي ذاتي ڊيٽا آپريٽر لاءِ قيمتي ٿي سگهن ٿا
جدول ۾ بيان ڪيل خطن جي بنياد تي روسي فيڊريشن جي حڪومت جو فرمان نومبر 1، 2012 نمبر 1119.

جيڪڏهن اسان ٽئين قسم جي حقيقي خطرن کي چونڊيو، پوء اڪثر ڪيسن ۾ اسان وٽ UZ-3 هوندو. صرف استثنا، جڏهن قسم 1 ۽ 2 جا خطرا لاڳاپيل نه هوندا آهن، پر سيڪيورٽي جي سطح اڃا به اعلي هوندي (UZ-2)، اهي ڪمپنيون آهن جيڪي 100 کان وڌيڪ رقم ۾ غير ملازمن جي خاص ذاتي ڊيٽا کي پروسيس ڪرڻ لاء. مثال طور، ڪمپنيون طبي تشخيص ۽ طبي خدمتن جي فراهمي ۾ مصروف آهن.

هتي پڻ آهي UZ-4، ۽ اهو گهڻو ڪري انهن ڪمپنين ۾ ملي ٿو جن جو ڪاروبار غير ملازمن جي ذاتي ڊيٽا جي پروسيسنگ سان لاڳاپيل ناهي، يعني ڪلائنٽ يا ٺيڪيدار، يا ذاتي ڊيٽا بيس ننڍا آهن.

اهو ڇو ضروري آهي ته ان کي سيڪيورٽي جي سطح سان وڌيڪ نه ڪيو وڃي؟ اهو سادو آهي: حفاظت جي هن سطح کي يقيني بڻائڻ لاءِ قدمن ۽ تحفظ جا وسيلا ان تي منحصر هوندا. علم جي سطح جيتري وڌيڪ هوندي، تنظيمي ۽ فني اصطلاحن ۾ وڌيڪ ڪم ڪرڻ جي ضرورت پوندي (پڙهو: وڌيڪ پئسا ۽ اعصاب خرچ ڪرڻ جي ضرورت پوندي).

هتي، مثال طور، اهو آهي ته ڪيئن حفاظتي قدمن جو سيٽ ساڳيو PP-1119 جي مطابق تبديل ٿئي ٿو.

152-FZ بابت افسانا، جيڪي ذاتي ڊيٽا آپريٽر لاءِ قيمتي ٿي سگهن ٿا

هاڻي اچو ته ڏسون ته ڪيئن، سيڪيورٽي جي چونڊيل سطح تي منحصر ڪري، ضروري قدمن جي فهرست مطابق تبديل ٿي وڃي ٿي. روس نمبر 21 جي FSTEC جي حڪم سان، فيبروري 18.02.2013، XNUMX.  هن دستاويز ۾ هڪ ڊگهو ضميمو آهي، جيڪو ضروري قدمن جي وضاحت ڪري ٿو. مجموعي طور تي انهن مان 109 آهن، هر KM لاءِ لازمي قدمن جي وضاحت ڪئي وئي آهي ۽ "+" نشاني سان نشان لڳل آهن - اهي هيٺ ڏنل جدول ۾ صحيح طور تي ڳڻيا ويا آهن. جيڪڏهن توهان صرف انهن کي ڇڏي ڏيو جيڪي UZ-3 لاءِ گهربل آهن، توهان کي 4 ملندا.

152-FZ بابت افسانا، جيڪي ذاتي ڊيٽا آپريٽر لاءِ قيمتي ٿي سگهن ٿا

حقيقت: جيڪڏهن توهان ڪلائنٽ کان ٽيسٽ يا بائيو ميٽرڪ گڏ نٿا ڪريو، توهان سسٽم ۽ ايپليڪيشن سافٽ ويئر ۾ بک مارڪ جي باري ۾ پريشان نه آهيو، ته پوء گهڻو ڪري توهان وٽ UZ-3 آهي. ان ۾ تنظيمي ۽ ٽيڪنيڪل قدمن جي هڪ مناسب فهرست آهي جيڪا اصل ۾ لاڳو ٿي سگهي ٿي.

Myth 5. ذاتي ڊيٽا جي حفاظت جا سڀ وسيلا روس جي FSTEC پاران تصديق ٿيل هجڻ گهرجن

جيڪڏھن توھان چاھيو ٿا يا سرٽيفڪيشن جي ضرورت آھي، پوءِ گھڻو ڪري توھان کي استعمال ڪرڻو پوندو تصديق ٿيل حفاظتي سامان. سرٽيفڪيشن روس جي FSTEC جي لائسنس يافته طرفان ڪيو ويندو، جيڪو:

  • وڌيڪ تصديق ٿيل معلومات تحفظ ڊوائيسز وڪڻڻ ۾ دلچسپي؛
  • جيڪڏهن ڪجهه غلط ٿي وڃي ته ريگيوليٽر طرفان لائسنس رد ٿيڻ کان ڊپ ٿيندو.

جيڪڏهن توهان کي سرٽيفڪيشن جي ضرورت نه آهي ۽ توهان ڪنهن ٻئي طريقي سان ضرورتن جي تعميل جي تصديق ڪرڻ لاءِ تيار آهيو، نالي ۾ روس جي FSTEC جو حڪم نمبر 21  "ذاتي ڊيٽا جي حفاظت کي يقيني بڻائڻ لاءِ ذاتي ڊيٽا جي حفاظت واري نظام ۾ لاڳو ڪيل قدمن جي اثرائتي جو اندازو لڳائڻ،" پوءِ تصديق ٿيل معلوماتي سيڪيورٽي سسٽم توهان لاءِ گهربل نه آهن. مان مختصر طور تي دليل بيان ڪرڻ جي ڪوشش ڪندس.

В آرٽيڪل 2 19-FZ جو پيراگراف 152 بيان ڪري ٿو ته اهو ضروري آهي ته حفاظتي سامان استعمال ڪيو وڃي جيڪو قائم ڪيل طريقيڪار جي مطابق مطابق تشخيص جي طريقيڪار کان گذري چڪو آهي:

ذاتي ڊيٽا جي حفاظت کي يقيني بڻائي، خاص طور تي:
[...] 3) انفارميشن سيڪيورٽي جي استعمال جو مطلب آهي ته قائم ڪيل طريقيڪار جي مطابق تعميل جي تشخيص جي طريقيڪار کي منظور ڪيو وڃي.

В پيراگراف 13 PP-1119 معلومات جي حفاظتي اوزارن کي استعمال ڪرڻ جي ضرورت پڻ آھي جيڪي قانوني گهرجن جي تعميل جي جائزي جي طريقيڪار کي منظور ڪري چڪا آھن:

[...] معلومات سيڪيورٽي اوزار جو استعمال جيڪو روسي فيڊريشن جي قانون سازي جي ضرورتن جي تعميل جي تعميل جي طريقيڪار کي منظور ڪري چڪو آهي انفارميشن سيڪيورٽي جي شعبي ۾، انهن حالتن ۾ جتي موجوده خطرن کي غير جانبدار ڪرڻ لاء اهڙن وسيلن جو استعمال ضروري آهي.

شق 4 جو FSTEC آرڊر نمبر 21 عملي طور تي نقل ڪري ٿو پيراگراف PP-1119:

ذاتي ڊيٽا جي حفاظت کي يقيني بڻائڻ لاءِ قدمن تي عمل ڪيو ويو آهي، انفارميشن سسٽم ۾ انفارميشن سيڪيورٽي ٽولز جي استعمال ذريعي، جيڪي قائم ڪيل طريقيڪار جي مطابق مطابقت جي تشخيص جي طريقيڪار کي منظور ڪري چڪا آهن، انهن صورتن ۾ جتي اهڙي اوزار جو استعمال ضروري آهي. ذاتي ڊيٽا جي حفاظت لاء موجوده خطرن کي غير جانبدار ڪرڻ.

انهن فارموليشن ۾ ڇا عام آهي؟ اهو صحيح آهي - انهن کي تصديق ٿيل حفاظتي سامان جي استعمال جي ضرورت ناهي. حقيقت اها آهي ته مطابقت جي تشخيص جا ڪيترائي روپ آهن (رضاڪارانه يا لازمي سرٽيفڪيشن، مطابقت جو اعلان). سرٽيفڪيشن صرف انهن مان هڪ آهي. آپريٽر غير تصديق ٿيل پروڊڪٽس استعمال ڪري سگھي ٿو، پر ان کي معائني تي ريگيوليٽر کي ڏيکارڻ جي ضرورت پوندي ته ھنن ڪنھن قسم جي مطابقت جي تشخيصي طريقي سان گذريو آھي.

جيڪڏهن آپريٽر تصديق ٿيل حفاظتي سامان استعمال ڪرڻ جو فيصلو ڪري ٿو، ته پوء ان کي الٽراسائونڊ تحفظ جي مطابق معلومات جي حفاظت واري نظام کي چونڊڻ ضروري آهي، جيڪو واضح طور تي بيان ڪيو ويو آهي. FSTEC آرڊر نمبر 21:

ذاتي ڊيٽا جي حفاظت لاءِ ٽيڪنيڪل اپاءَ انفارميشن سيڪيورٽي ٽولز جي استعمال ذريعي لاڳو ڪيا ويا آهن، بشمول سافٽ ويئر (هارڊويئر) اوزار جنهن ۾ اهي لاڳو ڪيا ويا آهن، جن ۾ ضروري حفاظتي ڪم آهن.
جڏهن معلوماتي سيڪيورٽي اوزار استعمال ڪندي معلوماتي سسٽم ۾ معلوماتي سيڪيورٽي گهرجن مطابق تصديق ٿيل:

152-FZ بابت افسانا، جيڪي ذاتي ڊيٽا آپريٽر لاءِ قيمتي ٿي سگهن ٿا
روس جي FSTEC جي آرڊر نمبر 12 جو شق 21.

حقيقت: قانون کي تصديق ٿيل حفاظتي سامان جي لازمي استعمال جي ضرورت ناهي.

افسانو 6. مون کي crypto تحفظ جي ضرورت آهي

هتي ڪجھ nuances آهن:

  1. ڪيترن ئي ماڻهن کي يقين آهي ته cryptography ڪنهن به ISPD لاء لازمي آهي. درحقيقت، انهن کي صرف استعمال ڪيو وڃي ته آپريٽر پنهنجي لاءِ ٻيو ڪو به حفاظتي اپاءُ نه ڏسي، سواءِ ڪرپٽ گرافي جي استعمال کان.
  2. جيڪڏهن توهان بغير بغير نٿا ڪري سگهو cryptography، پوء توهان کي استعمال ڪرڻ جي ضرورت آهي CIPF پاران تصديق ٿيل FSB.
  3. مثال طور، توهان هڪ خدمت فراهم ڪندڙ جي بادل ۾ هڪ ISPD ميزباني ڪرڻ جو فيصلو ڪيو، پر توهان ان تي ڀروسو نٿا ڪريو. توهان هڪ خطري ۽ intruder ماڊل ۾ توهان جي خدشات بيان. توهان وٽ ذاتي ڊيٽا آهي، تنهن ڪري توهان فيصلو ڪيو ته ڪرپٽوگرافي پنهنجو پاڻ کي بچائڻ جو واحد طريقو آهي: توهان ورچوئل مشينن کي انڪرپٽ ڪندا، ڪرپٽوگرافڪ تحفظ استعمال ڪندي محفوظ چينل ٺاهيندا. انهي حالت ۾، توهان کي استعمال ڪرڻو پوندو CIPF تصديق ٿيل روس جي FSB طرفان.
  4. تصديق ٿيل CIPF چونڊيل آهن سيڪيورٽي جي هڪ خاص سطح جي مطابق مطابق آرڊر نمبر 378 FSB.

ISPDn لاءِ UZ-3 سان، توھان استعمال ڪري سگھو ٿا KS1, KS2, KS3. KS1 آهي، مثال طور، C-Terra Virtual Gateway 4.2 چينلن جي حفاظت لاءِ.

KC2، KS3 صرف سافٽ ويئر ۽ هارڊويئر سسٽم جي نمائندگي ڪن ٿا، جهڙوڪ: ViPNet Coordinator، APKSH "Content"، S-Terra Gateway، وغيره.

جيڪڏهن توهان وٽ UZ-2 يا 1 آهي، ته پوءِ توهان کي ڪلاس KV1، 2 ۽ KA جا cryptographic تحفظ جي ضرورت پوندي. اهي مخصوص سافٽ ويئر ۽ هارڊويئر سسٽم آهن، انهن کي هلائڻ ڏکيو آهي، ۽ انهن جي ڪارڪردگي خاصيتون معمولي آهن.

152-FZ بابت افسانا، جيڪي ذاتي ڊيٽا آپريٽر لاءِ قيمتي ٿي سگهن ٿا

حقيقت: قانون FSB پاران تصديق ٿيل CIPF جي استعمال کي پابند نٿو ڪري.

جو ذريعو: www.habr.com

تبصرو شامل ڪريو