පුද්ගලික දත්ත ක්‍රියාකරුට මිල අධික විය හැකි 152-FZ පිළිබඳ මිථ්‍යාවන්

ආයුබෝවන් සියල්ලටම! මම DataLine සයිබර් ආරක්ෂක මධ්‍යස්ථානය පවත්වාගෙන යනවා. වලාකුළෙහි හෝ භෞතික යටිතල පහසුකම්වල 152-FZ හි අවශ්‍යතා සපුරාලීමේ කාර්යය සමඟ ගනුදෙනුකරුවන් අප වෙත පැමිණේ.
සෑම ව්යාපෘතියකම පාහේ මෙම නීතිය වටා ඇති මිථ්යාවන් ඉවත් කිරීම සඳහා අධ්යාපනික කටයුතු සිදු කිරීම අවශ්ය වේ. පුද්ගලික දත්ත ක්රියාකරුගේ අයවැය සහ ස්නායු පද්ධතියට මිල අධික විය හැකි වඩාත් පොදු වැරදි වැටහීම් මම එකතු කර ඇත. රාජ්‍ය රහස්, KII යනාදිය සමඟ කටයුතු කරන රාජ්‍ය කාර්යාල (GIS) මෙම ලිපියේ විෂය පථයෙන් පිටත පවතිනු ඇති බවට මම වහාම වෙන්කරවා ගන්නෙමි.

මිථ්‍යාව 1. මම ප්‍රති-වයිරසයක්, ෆයර්වෝලයක් ස්ථාපනය කර, වැටකින් රාක්ක වට කළෙමි. මම නීතිය අනුගමනය කරනවාද?

152-FZ යනු පද්ධති සහ සේවාදායකයන්ගේ ආරක්ෂාව ගැන නොව, විෂයයන්ගේ පුද්ගලික දත්ත ආරක්ෂා කිරීම ගැන ය. එබැවින්, 152-FZ සමඟ අනුකූල වීම ආරම්භ වන්නේ ප්රති-වයිරසයකින් නොව, කඩදාසි කැබලි විශාල සංඛ්යාවක් සහ සංවිධානාත්මක ගැටළු සමඟිනි.
ප්‍රධාන පරීක්ෂක Roskomnadzor, තාක්ෂණික ආරක්ෂණ ක්‍රමවල පැවැත්ම සහ තත්ත්වය දෙස නොව පුද්ගලික දත්ත (PD) සැකසීම සඳහා නෛතික පදනම දෙස බලනු ඇත:

• ඔබ පුද්ගලික දත්ත රැස් කරන්නේ කුමන අරමුණක් සඳහාද;  
• ඔබ ඔබේ අරමුණු සඳහා අවශ්‍ය ප්‍රමාණයට වඩා ඒවා එකතු කරන්නේද;
• ඔබ කොපමණ කාලයක් පුද්ගලික දත්ත ගබඩා කරන්නේද;
• පුද්ගලික දත්ත සැකසීම සඳහා ප්‍රතිපත්තියක් තිබේද;
• ඔබ පුද්ගලික දත්ත සැකසීම, දේශසීමා මාරු කිරීම, තෙවන පාර්ශවයන් විසින් සැකසීම යනාදිය සඳහා කැමැත්ත රැස් කරන්නේද?

මෙම ප්‍රශ්නවලට පිළිතුරු මෙන්ම ක්‍රියාවලීන්ම සුදුසු ලේඛනවල සටහන් කළ යුතුය. පුද්ගලික දත්ත ක්‍රියාකරුවෙකු විසින් සකස් කළ යුතු දේ පිළිබඳ සම්පූර්ණ ලැයිස්තුවෙන් බොහෝ දුරස් පහත දැක්වේ:

• පුද්ගලික දත්ත සැකසීම සඳහා සම්මත අවසර පත්‍රයක් (මේවා අපි දැන් අපගේ සම්පූර්ණ නම් සහ විදේශ ගමන් බලපත්‍ර විස්තර තබන සෑම තැනකම පාහේ අත්සන් කරන පත්‍ර වේ).
• පුද්ගලික දත්ත සැකසීම සම්බන්ධයෙන් ක්‍රියාකරුගේ ප්‍රතිපත්තිය (මෙහි නිර්මාණය සඳහා නිර්දේශ ඇත).
• පුද්ගලික දත්ත සැකසීම සංවිධානය කිරීම සඳහා වගකිව යුතු පුද්ගලයෙකු පත් කිරීම පිළිබඳ නියෝගය.  
• පුද්ගලික දත්ත සැකසීම සංවිධානය කිරීම සඳහා වගකිව යුතු පුද්ගලයාගේ රැකියා විස්තරය.
• නීතිමය අවශ්‍යතා සමඟ PD සැකසීමේ අභ්‍යන්තර පාලනය සහ (හෝ) අනුකූලතා විගණනය සඳහා නීති.  
• පුද්ගලික දත්ත තොරතුරු පද්ධති ලැයිස්තුව (ISPD).
• විෂයයට ඔහුගේ පුද්ගලික දත්ත වෙත ප්‍රවේශය ලබා දීම සඳහා වන රෙගුලාසි.
• සිදුවීම් විමර්ශන රෙගුලාසි.
• පුද්ගලික දත්ත සැකසීමට සේවකයින් ඇතුළත් කිරීම පිළිබඳ නියෝගය.
• නියාමකයින් සමඟ අන්තර්ක්‍රියා සඳහා රෙගුලාසි.  
• RKN පිළිබඳ දැනුම්දීම, ආදිය.
• PD සැකසීම සඳහා උපදෙස් පෝරමය.
• ISPD තර්ජන ආකෘතිය.

මෙම ගැටළු විසඳීමෙන් පසු, ඔබට නිශ්චිත පියවරයන් සහ තාක්ෂණික ක්රම තෝරා ගැනීමට පටන් ගත හැකිය. ඔබට අවශ්‍ය ඒවා පද්ධති, ඒවායේ මෙහෙයුම් තත්ත්වයන් සහ වත්මන් තර්ජන මත රඳා පවතී. නමුත් පසුව ඒ ගැන වැඩි විස්තර.

යථාර්ථය: නීතියට අනුකූල වීම යනු යම් යම් ක්‍රියාවලීන් ස්ථාපිත කිරීම සහ අනුකූල වීමයි, පළමුව, සහ දෙවනුව - විශේෂ තාක්ෂණික ක්‍රම භාවිතා කිරීම.

මිථ්‍යාව 2. මම 152-FZ හි අවශ්‍යතා සපුරාලන දත්ත මධ්‍යස්ථානයක් වන වලාකුළු තුළ පුද්ගලික දත්ත ගබඩා කරමි. දැන් නීතිය ක්‍රියාත්මක කිරීමේ වගකීම ඔවුන් සතුයි

ඔබ පුද්ගලික දත්ත ගබඩා කිරීම ක්ලවුඩ් සපයන්නෙකුට හෝ දත්ත මධ්‍යස්ථානයකට ලබා දෙන විට, ඔබ පුද්ගලික දත්ත ක්‍රියාකරුවෙකු වීම නතර නොකරයි.
උදව් සඳහා අපි නීතියෙන් නිර්වචනය ඉල්ලා සිටිමු:

පුද්ගලික දත්ත සැකසීම - එකතු කිරීම, පටිගත කිරීම, ක්‍රමානුකූල කිරීම, සමුච්චය කිරීම, ගබඩා කිරීම, පැහැදිලි කිරීම (යාවත්කාලීන කිරීම, වෙනස් කිරීම) ඇතුළුව පුද්ගලික දත්ත සමඟ ස්වයංක්‍රීය මෙවලම් භාවිතයෙන් හෝ එවැනි ක්‍රම භාවිතයෙන් තොරව සිදු කරන ඕනෑම ක්‍රියාවක් (මෙහෙයුමක්) හෝ ක්‍රියා මාලාවක් (මෙහෙයුම්) නිස්සාරණය, භාවිතය, මාරු කිරීම (බෙදාහැරීම, ප්‍රතිපාදන, ප්‍රවේශය), පුද්ගලීකරණය, අවහිර කිරීම, මකා දැමීම, පුද්ගලික දත්ත විනාශ කිරීම.
මූලාශ්රය: ලිපිය 3, 152-FZ

මෙම සියලු ක්‍රියාවන්ගෙන්, පුද්ගලික දත්ත ගබඩා කිරීම සහ විනාශ කිරීම සඳහා සේවා සපයන්නා වගකිව යුතුය (සේවාදායකයා ඔහු සමඟ ගිවිසුම අවසන් කරන විට). අනෙක් සියල්ල පුද්ගලික දත්ත ක්‍රියාකරු විසින් සපයනු ලැබේ. මෙයින් අදහස් කරන්නේ පුද්ගලික දත්ත සැකසීමේ ප්‍රතිපත්තිය ක්‍රියාකරු මිස සේවා සපයන්නා නොවන බවයි, එහි සේවාදායකයින්ගෙන් පුද්ගලික දත්ත සැකසීම සඳහා අත්සන් කරන ලද කැමැත්ත ලබා ගැනීම, තෙවන පාර්ශවයන්ට පුද්ගලික දත්ත කාන්දු වීම වැළැක්වීම සහ විමර්ශනය කිරීම යනාදිය.

එහි ප්‍රතිඵලයක් වශයෙන්, පුද්ගලික දත්ත ක්‍රියාකරු තවමත් ඉහත ලැයිස්තුගත කර ඇති ලේඛන එකතු කර ඔවුන්ගේ PDIS ආරක්ෂා කිරීම සඳහා ආයතනික සහ තාක්ෂණික ක්‍රියාමාර්ග ක්‍රියාත්මක කළ යුතුය.

සාමාන්‍යයෙන්, ක්‍රියාකරුගේ ISPD පිහිටා ඇති යටිතල පහසුකම් මට්ටමින් නීතිමය අවශ්‍යතාවලට අනුකූල වීම සහතික කිරීමෙන් සැපයුම්කරු ක්‍රියාකරුට උදවු කරයි: උපකරණ සහිත රාක්ක හෝ වලාකුළු. ඔහු ලේඛන පැකේජයක් ද එකතු කරයි, 152-FZ අනුව ඔහුගේ යටිතල පහසුකම් සඳහා සංවිධානාත්මක හා තාක්ෂණික පියවර ගනී.

සමහර සපයන්නන් ISDNs සඳහාම ලේඛන කටයුතු සහ තාක්ෂණික ආරක්ෂණ පියවරයන් සැපයීමට උදවු කරයි, එනම් යටිතල පහසුකම්වලට වඩා ඉහළ මට්ටමක. ක්රියාකරුට මෙම කාර්යයන් බාහිරින් ලබා ගත හැකිය, නමුත් නීතිය යටතේ වගකීම් සහ වගකීම් අතුරුදහන් නොවේ.

යථාර්ථය: සැපයුම්කරුවෙකුගේ හෝ දත්ත මධ්‍යස්ථානයක සේවාවන් භාවිතා කිරීමෙන්, ඔබට පුද්ගලික දත්ත ක්‍රියාකරුවෙකුගේ වගකීම් ඔහුට පැවරීමට සහ වගකීමෙන් මිදීමට නොහැකිය. සැපයුම්කරු ඔබට මෙය පොරොන්දු වුවහොත්, එය මෘදු ලෙස පැවසුවහොත්, ඔහු බොරු කියයි.

මිථ්‍යාව 3. මා සතුව අවශ්‍ය ලියකියවිලි සහ පියවර පැකේජය තිබේ. මම 152-FZ සමඟ අනුකූල වීමට පොරොන්දු වන සැපයුම්කරුවෙකු සමඟ පුද්ගලික දත්ත ගබඩා කරමි. සෑම දෙයක්ම පිළිවෙලට තිබේද?

ඔව්, ඔබට ඇණවුම අත්සන් කිරීමට මතක නම්. නීතිය අනුව, ක්රියාකරුට පුද්ගලික දත්ත සැකසීම වෙනත් පුද්ගලයෙකුට භාර දිය හැකිය, උදාහරණයක් ලෙස, එකම සේවා සපයන්නා. ඇණවුමක් යනු සේවා සපයන්නාට ක්රියාකරුගේ පුද්ගලික දත්ත සමඟ කළ හැකි දේ ලැයිස්තුගත කරන ආකාරයේ ගිවිසුමකි.

ප්‍රාන්ත හෝ නාගරික කොන්ත්‍රාත්තුවක් ඇතුළුව මෙම පුද්ගලයා සමඟ අවසන් කරන ලද ගිවිසුමක පදනම මත ෆෙඩරල් නීතිය මගින් වෙනත් ආකාරයකින් සපයා නොමැති නම්, පුද්ගලික දත්ත විෂයයේ කැමැත්ත ඇතිව පුද්ගලික දත්ත සැකසීම වෙනත් පුද්ගලයෙකුට පැවරීමට ක්‍රියාකරුට අයිතියක් ඇත. හෝ රාජ්ය හෝ නාගරික ආයතනයක් විසින් අදාළ පනතක් සම්මත කිරීමෙන් (මෙතැන් සිට පැවරුම් ක්රියාකරු ලෙස හැඳින්වේ). ක්‍රියාකරු වෙනුවෙන් පුද්ගලික දත්ත සකසන පුද්ගලයා මෙම ෆෙඩරල් නීතිය මගින් සපයනු ලබන පුද්ගලික දත්ත සැකසීම සඳහා වන මූලධර්ම සහ රීතිවලට අනුකූල වීමට බැඳී සිටී.
මූලාශ්රය: වගන්තිය 3, වගන්තිය 6, 152-FZ

පුද්ගලික දත්තවල රහස්‍යභාවය පවත්වා ගැනීමට සහ නිශ්චිත අවශ්‍යතාවලට අනුකූලව එහි ආරක්ෂාව සහතික කිරීමට සැපයුම්කරුගේ වගකීම ද ස්ථාපිත කර ඇත:

ක්‍රියාකරුගේ උපදෙස් මඟින් පුද්ගලික දත්ත සකසන පුද්ගලයා සහ සැකසීමේ අරමුණු විසින් සිදු කරනු ලබන පුද්ගලික දත්ත සහිත ක්‍රියා (මෙහෙයුම්) ලැයිස්තුවක් නිර්වචනය කළ යුතුය, පුද්ගලික දත්තවල රහස්‍යභාවය පවත්වා ගැනීමට සහ සහතික කිරීමට එවැනි පුද්ගලයෙකුගේ බැඳීම ස්ථාපිත කළ යුතුය. සැකසීමේදී පුද්ගලික දත්තවල ආරක්ෂාව මෙන්ම සැකසූ පුද්ගලික දත්ත ආරක්ෂා කිරීම සඳහා වන අවශ්‍යතා අනුව නියම කළ යුතුය 19 වැනි වගන්තිය මෙම ෆෙඩරල් නීතියෙන්.
මූලාශ්රය: වගන්තිය 3, වගන්තිය 6, 152-FZ

මේ සඳහා, සැපයුම්කරු වගකිව යුත්තේ ක්‍රියාකරුට මිස පුද්ගලික දත්ත විෂයයට නොවේ:

ක්රියාකරු විසින් පුද්ගලික දත්ත සැකසීම වෙනත් පුද්ගලයෙකුට භාර දෙන්නේ නම්, නිශ්චිත පුද්ගලයාගේ ක්රියාවන් සඳහා පුද්ගලික දත්ත විෂයයට ක්රියාකරු වගකිව යුතුය. ක්රියාකරු වෙනුවෙන් පුද්ගලික දත්ත සකසන පුද්ගලයා ක්රියාකරුට වගකිව යුතුය.
මූලාශ්රය: 152-FZ.

පුද්ගලික දත්තවල ආරක්ෂාව සහතික කිරීමේ වගකීම අනුපිළිවෙලින් නියම කිරීම ද වැදගත් ය:

තොරතුරු පද්ධතියක සකසන විට පුද්ගලික දත්තවල ආරක්ෂාව සහතික කරනු ලබන්නේ මෙම පද්ධතියේ ක්‍රියාකරු විසින් පුද්ගලික දත්ත සකසන (මෙතැන් සිට ක්‍රියාකරු ලෙස හැඳින්වේ) හෝ ක්‍රියාකරු වෙනුවෙන් පුද්ගලික දත්ත සකසන පුද්ගලයා විසින් මෙම පුද්ගලයා සමඟ අවසන් කරන ලද ගිවිසුම (මෙතැන් සිට බලයලත් පුද්ගලයා ලෙස හැඳින්වේ). තොරතුරු පද්ධතිය තුළ සැකසීමේදී පුද්ගලික දත්තවල ආරක්ෂාව සහතික කිරීම සඳහා බලයලත් පුද්ගලයාගේ වගකීම සඳහා ක්රියාකරු සහ බලයලත් පුද්ගලයා අතර ගිවිසුම සැපයිය යුතුය.
මූලාශ්රය: 1 නොවැම්බර් 2012 දිනැති රුසියානු සමූහාණ්ඩුවේ රජයේ නියෝගය අංක 1119

යථාර්ථය: ඔබ සැපයුම්කරුට පුද්ගලික දත්ත ලබා දෙන්නේ නම්, පසුව ඇණවුම අත්සන් කරන්න. අනුපිළිවෙලෙහි, විෂයයන්ගේ පුද්ගලික දත්තවල ආරක්ෂාව සහතික කිරීම සඳහා අවශ්යතාවය දක්වන්න. එසේ නොමැතිනම්, ඔබ පුද්ගලික දත්ත සැකසීමේ කාර්යය තෙවන පාර්ශවයකට පැවරීම සම්බන්ධයෙන් නීතියට අනුකූල නොවන අතර, 152-FZ සමඟ අනුකූල වීම සම්බන්ධයෙන් සැපයුම්කරු ඔබට කිසිවක් ණය නැත.

මිථ්‍යාව 4. මොසාඩ් මා ගැන ඔත්තු බලනවා, නැත්නම් මට අනිවාර්යයෙන්ම UZ-1 එකක් තියෙනවා

සමහර ගනුදෙනුකරුවන් ඔවුන්ට ISPD මට්ටමේ 1 හෝ 2 මට්ටමේ ISPD ඇති බව නොකඩවා ඔප්පු කරති. බොහෝ විට මෙය එසේ නොවේ. මෙය සිදුවන්නේ මන්දැයි සොයා ගැනීමට දෘඩාංග මතක තබා ගනිමු.
LO, හෝ ආරක්ෂක මට්ටම, ඔබ ඔබේ පුද්ගලික දත්ත ආරක්ෂා කරන්නේ කුමක් ද යන්න තීරණය කරයි.
ආරක්ෂක මට්ටම පහත සඳහන් කරුණු මගින් බලපායි:

• පුද්ගලික දත්ත වර්ගය (විශේෂ, ජෛවමිතික, පොදු වශයෙන් ලබා ගත හැකි සහ වෙනත්);
• පුද්ගලික දත්ත අයිති - පුද්ගලික දත්ත ක්‍රියාකරුගේ සේවකයින් හෝ සේවකයින් නොවන අය;
• පුද්ගලික දත්ත විෂයයන් ගණන - 100 දහසක් වැඩි හෝ අඩු.
• වත්මන් තර්ජන වර්ග.

තර්ජන වර්ග ගැන අපට කියයි 1 නොවැම්බර් 2012 දිනැති රුසියානු සමූහාණ්ඩුවේ රජයේ නියෝගය අංක 1119. මිනිස් භාෂාවට මගේ නොමිලේ පරිවර්තනය සමඟ එක් එක් විස්තරයක් මෙන්න.

තොරතුරු පද්ධතියේ භාවිතා වන පද්ධති මෘදුකාංගයේ ලේඛනගත නොකළ (ප්‍රකාශ නොකළ) හැකියාවන් පැවතීම හා සම්බන්ධ තර්ජන එයට අදාළ වන්නේ නම්, 1 වර්ගයේ තර්ජන තොරතුරු පද්ධතියකට අදාළ වේ.

ඔබ මෙම ආකාරයේ තර්ජනයක් අදාළ යැයි හඳුනා ගන්නේ නම්, CIA, MI6 හෝ MOSSAD හි නියෝජිතයන් ඔබේ ISPD වෙතින් නිශ්චිත විෂයයන් පිළිබඳ පුද්ගලික දත්ත සොරකම් කිරීම සඳහා මෙහෙයුම් පද්ධතියේ පිටු සලකුණක් තබා ඇති බව ඔබ තරයේ විශ්වාස කරයි.

තොරතුරු පද්ධතියේ භාවිතා වන යෙදුම් මෘදුකාංගයේ ලේඛනගත නොකළ (ප්‍රකාශ නොකළ) හැකියාවන් පැවතීම හා සම්බන්ධ තර්ජන ද අදාළ වන්නේ නම්, 2 වන වර්ගයේ තර්ජන තොරතුරු පද්ධතියකට අදාළ වේ.

දෙවන වර්ගයේ තර්ජන ඔබේ නඩුව යැයි ඔබ සිතන්නේ නම්, ඔබ නිදාගෙන බලන්න, CIA, MI6, MOSSAD, දුෂ්ට හුදකලා හැකර්වරයෙකුගේ හෝ කණ්ඩායමක නියෝජිතයන් හරියටම දඩයම් කිරීම සඳහා සමහර කාර්යාල මෘදුකාංග පැකේජයක පිටු සලකුණු තබා ඇති ආකාරය. ඔබගේ පුද්ගලික දත්ත. ඔව්, μTorrent වැනි සැක සහිත යෙදුම් මෘදුකාංග ඇත, නමුත් ඔබට ස්ථාපනය සඳහා අවසර දී ඇති මෘදුකාංග ලැයිස්තුවක් සාදා පරිශීලකයින් සමඟ ගිවිසුමක් අත්සන් කළ හැකිය, පරිශීලකයින්ට ප්‍රාදේශීය පරිපාලක අයිතිවාසිකම් ලබා නොදීම යනාදිය.

පද්ධතියේ සහ තොරතුරු පද්ධතියේ භාවිතා වන යෙදුම් මෘදුකාංගවල ලේඛනගත නොකළ (ප්‍රකාශ නොකළ) හැකියාවන් තිබීම හා සම්බන්ධ නොවන තර්ජන එයට අදාළ වන්නේ නම්, 3 වර්ගයේ තර්ජන තොරතුරු පද්ධතියකට අදාළ වේ.

වර්ග 1 සහ 2 තර්ජන ඔබට සුදුසු නොවේ, එබැවින් මෙය ඔබට ස්ථානයයි.

අපි තර්ජන වර්ග නිරාකරණය කර ඇත, දැන් අපි බලමු අපගේ ISPD හි කුමන මට්ටමේ ආරක්ෂාවක් තිබේද යන්න.

නිශ්චිතව දක්වා ඇති ලිපි හුවමාරුව මත පදනම්ව වගුව 1 නොවැම්බර් 2012 දිනැති රුසියානු සමූහාණ්ඩුවේ රජයේ නියෝගය අංක 1119.

අපි තුන්වන ආකාරයේ සැබෑ තර්ජන තෝරා ගත්තේ නම්, බොහෝ අවස්ථාවලදී අපට UZ-3 ඇත. එකම ව්‍යතිරේකය, වර්ග 1 සහ 2 තර්ජන අදාළ නොවන නමුත්, ආරක්ෂක මට්ටම තවමත් ඉහළ මට්ටමක පවතිනු ඇත (UZ-2), 100 ට වඩා වැඩි ප්‍රමාණයකින් සේවකයින් නොවන අයගේ විශේෂ පුද්ගලික දත්ත සකසන සමාගම් වේ. උදාහරණයක් ලෙස, වෛද්‍ය රෝග විනිශ්චය සහ වෛද්‍ය සේවා සැපයීමේ යෙදී සිටින සමාගම්.

UZ-4 ද ඇත, එය ප්‍රධාන වශයෙන් දක්නට ලැබෙන්නේ සේවකයින් නොවන, එනම් සේවාදායකයින්ගේ හෝ කොන්ත්‍රාත්කරුවන්ගේ පුද්ගලික දත්ත සැකසීමට සම්බන්ධ නොවන ව්‍යාපාරයක් හෝ පුද්ගලික දත්ත පදනම් කුඩා වේ.

ආරක්ෂක මට්ටම සමඟ එය ඉක්මවා නොයෑම එතරම් වැදගත් වන්නේ ඇයි? එය සරලයි: මෙම මට්ටමේ ආරක්ෂාව සහතික කිරීම සඳහා පියවර සහ ආරක්ෂණ ක්රම මාලාව මේ මත රඳා පවතී. දැනුමේ ඉහළ මට්ටම, ආයතනික හා තාක්ෂණික වශයෙන් සිදු කිරීමට අවශ්ය වනු ඇත (කියවන්න: වැඩිපුර මුදල් හා ස්නායු වියදම් කිරීමට අවශ්ය වනු ඇත).

මෙන්න, උදාහරණයක් ලෙස, එකම PP-1119 අනුව ආරක්ෂක පියවර කට්ටලය වෙනස් වන ආකාරය.

තෝරාගත් ආරක්ෂක මට්ටම අනුව, අවශ්‍ය පියවර ලැයිස්තුවට අනුකූලව වෙනස් වන්නේ කෙසේදැයි දැන් අපි බලමු 21 පෙබරවාරි 18.02.2013 දිනැති අංක XNUMX දරන රුසියාවේ FSTEC හි නියෝගය අනුව.  මෙම ලේඛනයට දිගු උපග්රන්ථයක් ඇත, එය අවශ්ය පියවරයන් නිර්වචනය කරයි. සමස්තයක් වශයෙන් ඒවායින් 109 ක් ඇත, එක් එක් KM සඳහා අනිවාර්ය පියවර නිර්වචනය කර “+” ලකුණකින් සලකුණු කර ඇත - ඒවා හරියටම පහත වගුවේ ගණනය කෙරේ. ඔබ UZ-3 සඳහා අවශ්‍ය ඒවා පමණක් තැබුවහොත්, ඔබට 4 ලැබේ.

යථාර්ථය: ඔබ සේවාදායකයින්ගෙන් පරීක්ෂණ හෝ ජෛවමිතික එකතු නොකරන්නේ නම්, ඔබ පද්ධතියේ සහ යෙදුම් මෘදුකාංගවල පිටු සලකුණු ගැන ව්‍යාකූල නොවේ, එවිට බොහෝ විට ඔබට UZ-3 ඇත. එය ඇත්ත වශයෙන්ම ක්රියාත්මක කළ හැකි සංවිධානාත්මක හා තාක්ෂණික පියවරයන් සාධාරණ ලැයිස්තුවක් ඇත.

මිථ්යාව 5. පුද්ගලික දත්ත ආරක්ෂා කිරීමේ සියලු ක්රම රුසියාවේ FSTEC විසින් සහතික කළ යුතුය

ඔබට සහතික කිරීම සිදු කිරීමට අවශ්‍ය නම් හෝ අවශ්‍ය නම්, බොහෝ විට ඔබට සහතික කළ ආරක්ෂක උපකරණ භාවිතා කිරීමට සිදුවනු ඇත. රුසියාවේ FSTEC හි බලපත්‍රලාභියෙකු විසින් සහතික කිරීම සිදු කරනු ලැබේ:

• වඩාත් සහතික කළ තොරතුරු ආරක්ෂණ උපාංග විකිණීමට උනන්දු වීම;
• යමක් වැරදුනහොත් නියාමකයා විසින් බලපත්‍රය අවලංගු කරනු ඇතැයි බිය වනු ඇත.

ඔබට සහතිකයක් අවශ්‍ය නොවන්නේ නම් සහ නම් කර ඇති වෙනත් ආකාරයකින් අවශ්‍යතා සමඟ අනුකූල වීම තහවුරු කිරීමට ඔබ සූදානම් නම් රුසියාවේ FSTEC හි නියෝගය අංක 21  "පුද්ගලික දත්තවල ආරක්ෂාව සහතික කිරීම සඳහා පුද්ගලික දත්ත ආරක්ෂණ පද්ධතිය තුළ ක්රියාත්මක කර ඇති පියවරවල ඵලදායීතාවය තක්සේරු කිරීම", එවිට සහතික කළ තොරතුරු ආරක්ෂණ පද්ධති ඔබට අවශ්ය නොවේ. මම තාර්කිකත්වය කෙටියෙන් පැහැදිලි කිරීමට උත්සාහ කරමි.

В 2 19-FZ වගන්තියේ 152 ඡේදය ස්ථාපිත ක්‍රියා පටිපාටියට අනුකූලව අනුකූලතා තක්සේරු කිරීමේ ක්‍රියා පටිපාටියට භාජනය වූ ආරක්ෂක උපකරණ භාවිතා කිරීම අවශ්‍ය බව සඳහන් කරයි:

පුද්ගලික දත්තවල ආරක්ෂාව සහතික කිරීම, විශේෂයෙන්:
[…] 3) තොරතුරු ආරක්ෂණ භාවිතය යනු ස්ථාපිත ක්‍රියා පටිපාටියට අනුකූලව අනුකූලතා තක්සේරු කිරීමේ ක්‍රියා පටිපාටිය සමත් වී ඇති බවයි.

В 13 PP-1119 ඡේදය නීතිමය අවශ්‍යතා සමඟ අනුකූල වීම තක්සේරු කිරීමේ ක්‍රියා පටිපාටිය සම්මත කර ඇති තොරතුරු ආරක්ෂණ මෙවලම් භාවිතා කිරීමේ අවශ්‍යතාවයක් ද ඇත:

තොරතුරු ආරක්ෂණ ක්ෂේත්‍රයේ රුසියානු සමූහාණ්ඩුවේ නීති සම්පාදනයේ අවශ්‍යතාවයන්ට අනුකූල වීම තක්සේරු කිරීමේ ක්‍රියා පටිපාටිය සම්මත කර ඇති තොරතුරු ආරක්ෂණ මෙවලම් භාවිතය, වත්මන් තර්ජන උදාසීන කිරීම සඳහා එවැනි මාධ්‍යයන් භාවිතා කිරීම අවශ්‍ය වන අවස්ථාවන්හිදී.

FSTEC නියෝගය අංක 4 හි 21 වන වගන්තිය PP-1119 ඡේදය ප්‍රායෝගිකව අනුපිටපත් කරයි:

ස්ථාපිත ක්‍රියා පටිපාටියට අනුකූලව අනුකූලතා තක්සේරු කිරීමේ ක්‍රියා පටිපාටිය සම්මත කර ඇති තොරතුරු පද්ධතියේ තොරතුරු ආරක්ෂණ මෙවලම් භාවිතා කිරීම හරහා පුද්ගලික දත්තවල ආරක්ෂාව සහතික කිරීමේ ක්‍රියාමාර්ග ක්‍රියාත්මක කරනු ලැබේ, එවැනි මෙවලම් භාවිතා කිරීම අවශ්‍ය අවස්ථාවන්හිදී. පුද්ගලික දත්තවල ආරක්ෂාවට වත්මන් තර්ජන උදාසීන කරන්න.

මෙම සූත්‍රගත කිරීම් වලට පොදු වන්නේ කුමක්ද? ඒක හරි - ඔවුන් සහතික කළ ආරක්ෂක උපකරණ භාවිතා කිරීම අවශ්ය නොවේ. කාරණය වන්නේ අනුකූලතා තක්සේරු කිරීමේ ආකාර කිහිපයක් ඇත (ස්වේච්ඡා හෝ අනිවාර්ය සහතික කිරීම, අනුකූලතා ප්රකාශ කිරීම). සහතික කිරීම ඉන් එකක් පමණි. ක්‍රියාකරුට සහතික නොකළ නිෂ්පාදන භාවිතා කළ හැකි නමුත් ඒවා යම් ආකාරයක අනුකූලතා තක්සේරු කිරීමේ ක්‍රියා පටිපාටියකට භාජනය වී ඇති බව පරීක්ෂා කිරීමේදී නියාමකයාට පෙන්විය යුතුය.

ක්‍රියාකරු සහතික කළ ආරක්ෂක උපකරණ භාවිතා කිරීමට තීරණය කරන්නේ නම්, අල්ට්‍රා සවුන්ඩ් ආරක්ෂණයට අනුකූලව තොරතුරු ආරක්ෂණ පද්ධතිය තෝරා ගැනීම අවශ්‍ය වේ, එය පැහැදිලිව දක්වා ඇත. FSTEC නියෝගය අංක 21:

පුද්ගලික දත්ත ආරක්ෂා කිරීම සඳහා තාක්ෂණික ක්‍රියාමාර්ග ක්‍රියාත්මක කරනු ලබන්නේ අවශ්‍ය ආරක්ෂක කාර්යයන් ඇති ඒවා ක්‍රියාත්මක කරන මෘදුකාංග (දෘඪාංග) ඇතුළු තොරතුරු ආරක්ෂණ මෙවලම් භාවිතයෙන් ය.
තොරතුරු පද්ධතිවල තොරතුරු ආරක්ෂණ අවශ්‍යතා අනුව සහතික කරන ලද තොරතුරු ආරක්ෂණ මෙවලම් භාවිතා කරන විට:

රුසියාවේ FSTEC හි අංක 12 දරන නියෝගයේ 21 වන වගන්තිය.

යථාර්ථය: සහතික කළ ආරක්ෂක උපකරණ අනිවාර්යයෙන් භාවිතා කිරීම නීතියට අවශ්ය නොවේ.

මිථ්‍යාව 6. මට ක්‍රිප්ටෝ ආරක්ෂාව අවශ්‍යයි

මෙහි සූක්ෂ්මතා කිහිපයක් තිබේ:

1. බොහෝ අය විශ්වාස කරන්නේ ඕනෑම ISPD සඳහා ගුප්තකේතනය අනිවාර්ය බවයි. ඇත්ත වශයෙන්ම, ඒවා භාවිතා කළ යුත්තේ ක්‍රිප්ටෝග්‍රැෆි භාවිතය හැර ක්‍රියාකරු තමාට වෙනත් ආරක්ෂණ පියවරක් නොදක්වන්නේ නම් පමණි.
2. ඔබට ගුප්තකේතනය නොමැතිව කළ නොහැකි නම්, ඔබ FSB විසින් සහතික කරන ලද CIPF භාවිතා කළ යුතුය.
3. උදාහරණයක් ලෙස, ඔබ සේවා සපයන්නෙකුගේ වලාකුළෙහි ISPD සත්කාරකත්වය ලබා දීමට තීරණය කරයි, නමුත් ඔබ එය විශ්වාස නොකරයි. ඔබ තර්ජනය සහ ආක්‍රමණික ආකෘතියකින් ඔබේ උත්සුකයන් විස්තර කරයි. ඔබ සතුව පුද්ගලික දත්ත ඇත, එබැවින් ඔබව ආරක්ෂා කර ගැනීමට ඇති එකම ක්‍රමය ගුප්තකේතනය බව ඔබ තීරණය කළා: ඔබ අතථ්‍ය යන්ත්‍ර සංකේතනය කරයි, ගුප්තකේතන ආරක්ෂණය භාවිතයෙන් ආරක්ෂිත නාලිකා ගොඩනඟයි. මෙම අවස්ථාවේදී, ඔබට රුසියාවේ FSB විසින් සහතික කරන ලද CIPF භාවිතා කිරීමට සිදුවනු ඇත.
4. සහතික කළ CIPF තෝරා ගනු ලබන්නේ යම් මට්ටමක ආරක්ෂාවක් අනුව ය නියෝගය අංක 378 FSB.

UZ-3 සමඟ ISPDn සඳහා, ඔබට KS1, KS2, KS3 භාවිතා කළ හැක. KS1, උදාහරණයක් ලෙස, නාලිකා ආරක්ෂා කිරීම සඳහා C-Terra Virtual Gateway 4.2 වේ.

KC2, KS3 නියෝජනය කරනු ලබන්නේ මෘදුකාංග සහ දෘඪාංග පද්ධති මගින් පමණි, එනම්: ViPNet සම්බන්ධීකාරක, APKSH "මහාද්වීප", S-Terra Gateway, ආදිය.

ඔබට UZ-2 හෝ 1 තිබේ නම්, ඔබට KV1, 2 සහ KA පන්තියේ ගුප්ත ලේඛන ආරක්ෂණ ක්‍රම අවශ්‍ය වේ. මේවා විශේෂිත මෘදුකාංග සහ දෘඪාංග පද්ධති, ඒවා ක්රියාත්මක කිරීමට අපහසු වන අතර ඒවායේ කාර්ය සාධන ලක්ෂණ නිහතමානී වේ.

යථාර්ථය: FSB විසින් සහතික කරන ලද CIPF භාවිතය නීතියෙන් බැඳී නැත.

මූලාශ්රය: www.habr.com