அனைவருக்கும் வணக்கம்! நான் டேட்டாலைன் சைபர் டிஃபென்ஸ் சென்டரை நடத்தி வருகிறேன். வாடிக்கையாளர்கள் 152-FZ இன் தேவைகளை கிளவுட் அல்லது இயற்பியல் உள்கட்டமைப்பில் பூர்த்தி செய்யும் பணியுடன் எங்களிடம் வருகிறார்கள்.
ஏறக்குறைய ஒவ்வொரு திட்டத்திலும் இந்தச் சட்டத்தைச் சுற்றியுள்ள கட்டுக்கதைகளைத் துடைக்க கல்விப் பணிகளை மேற்கொள்வது அவசியம். தனிப்பட்ட தரவு ஆபரேட்டரின் வரவு செலவுத் திட்டம் மற்றும் நரம்பு மண்டலத்திற்கு அதிக விலை கொடுக்கக்கூடிய பொதுவான தவறான கருத்துக்களை நான் சேகரித்துள்ளேன். மாநில ரகசியங்கள், KII போன்றவற்றைக் கையாளும் மாநில அலுவலகங்களின் (ஜிஐஎஸ்) வழக்குகள் இந்தக் கட்டுரையின் எல்லைக்கு வெளியே இருக்கும் என்று நான் உடனடியாக முன்பதிவு செய்கிறேன்.
கட்டுக்கதை 1. நான் ஒரு வைரஸ் தடுப்பு, ஒரு ஃபயர்வால் ஆகியவற்றை நிறுவி, ரேக்குகளை வேலியால் சூழ்ந்தேன். நான் சட்டத்தை பின்பற்றுகிறேனா?
152-FZ என்பது அமைப்புகள் மற்றும் சேவையகங்களின் பாதுகாப்பைப் பற்றியது அல்ல, ஆனால் பாடங்களின் தனிப்பட்ட தரவைப் பாதுகாப்பது பற்றியது. எனவே, 152-FZ உடன் இணங்குவது வைரஸ் தடுப்புடன் அல்ல, ஆனால் அதிக எண்ணிக்கையிலான காகிதத் துண்டுகள் மற்றும் நிறுவன சிக்கல்களுடன் தொடங்குகிறது.
முக்கிய இன்ஸ்பெக்டர், ரோஸ்கோம்நாட்ஸர், பாதுகாப்புக்கான தொழில்நுட்ப வழிமுறைகளின் இருப்பு மற்றும் நிலையைப் பார்க்கவில்லை, ஆனால் தனிப்பட்ட தரவை (PD) செயலாக்குவதற்கான சட்ட அடிப்படையில்:
- எந்த நோக்கத்திற்காக தனிப்பட்ட தரவைச் சேகரிக்கிறீர்கள்;
- உங்கள் நோக்கங்களுக்குத் தேவையானதை விட அதிகமாக அவற்றைச் சேகரிக்கிறீர்களா;
- தனிப்பட்ட தரவை எவ்வளவு நேரம் சேமிப்பீர்கள்;
- தனிப்பட்ட தரவை செயலாக்குவதற்கான கொள்கை உள்ளதா;
- தனிப்பட்ட தரவு செயலாக்கம், எல்லை தாண்டிய பரிமாற்றம், மூன்றாம் தரப்பினரின் செயலாக்கம் போன்றவற்றிற்கான ஒப்புதலை சேகரிக்கிறீர்களா?
இந்த கேள்விகளுக்கான பதில்களும், செயல்முறைகளும் பொருத்தமான ஆவணங்களில் பதிவு செய்யப்பட வேண்டும். தனிப்பட்ட தரவு ஆபரேட்டர் என்ன தயாரிக்க வேண்டும் என்பதற்கான முழுமையான பட்டியலிலிருந்து வெகு தொலைவில் உள்ளது:
- தனிப்பட்ட தரவைச் செயலாக்குவதற்கான ஒரு நிலையான ஒப்புதல் படிவம் (எங்கள் முழுப் பெயர்களையும் பாஸ்போர்ட் விவரங்களையும் விட்டுச் செல்லும் எல்லா இடங்களிலும் இப்போது கையொப்பமிடும் தாள்கள் இவை).
- தனிப்பட்ட தரவை செயலாக்குவது தொடர்பான ஆபரேட்டரின் கொள்கை ( வடிவமைப்பிற்கான பரிந்துரைகள் உள்ளன).
- தனிப்பட்ட தரவின் செயலாக்கத்தை ஒழுங்கமைக்க பொறுப்பான ஒரு நபரின் நியமனம் குறித்த உத்தரவு.
- தனிப்பட்ட தரவை செயலாக்குவதற்கு பொறுப்பான நபரின் வேலை விளக்கம்.
- சட்டத் தேவைகளுடன் PD செயலாக்கத்தின் உள் கட்டுப்பாடு மற்றும் (அல்லது) தணிக்கைக்கான விதிகள்.
- தனிப்பட்ட தரவு தகவல் அமைப்புகளின் பட்டியல் (ISPD).
- அவரது தனிப்பட்ட தரவை அணுகுவதற்கான விஷயத்தை வழங்குவதற்கான விதிமுறைகள்.
- சம்பவ விசாரணை விதிமுறைகள்.
- தனிப்பட்ட தரவை செயலாக்க ஊழியர்களை அனுமதிப்பதற்கான உத்தரவு.
- கட்டுப்பாட்டாளர்களுடனான தொடர்புக்கான விதிமுறைகள்.
- RKN இன் அறிவிப்பு, முதலியன
- PD செயலாக்கத்திற்கான வழிமுறை படிவம்.
- ISPD அச்சுறுத்தல் மாதிரி.
இந்த சிக்கல்களைத் தீர்த்த பிறகு, நீங்கள் குறிப்பிட்ட நடவடிக்கைகள் மற்றும் தொழில்நுட்ப வழிமுறைகளைத் தேர்ந்தெடுக்கத் தொடங்கலாம். உங்களுக்குத் தேவையானவை அமைப்புகள், அவற்றின் இயக்க நிலைமைகள் மற்றும் தற்போதைய அச்சுறுத்தல்களைப் பொறுத்தது. ஆனால் அதைப் பற்றி பின்னர்.
உண்மை: சட்டத்திற்கு இணங்குதல் என்பது சில செயல்முறைகளை நிறுவுதல் மற்றும் இணங்குதல், முதலில், இரண்டாவதாக - சிறப்பு தொழில்நுட்ப வழிமுறைகளின் பயன்பாடு.
கட்டுக்கதை 2. 152-FZ இன் தேவைகளைப் பூர்த்தி செய்யும் தரவு மையமான மேகக்கணியில் தனிப்பட்ட தரவைச் சேமிக்கிறேன். இப்போது சட்டத்தை அமுல்படுத்தும் பொறுப்பு அவர்களுக்கு இருக்கிறது
தனிப்பட்ட தரவின் சேமிப்பகத்தை கிளவுட் வழங்குநர் அல்லது தரவு மையத்திற்கு அவுட்சோர்ஸ் செய்யும் போது, நீங்கள் தனிப்பட்ட தரவு ஆபரேட்டராக இருப்பதை நிறுத்த மாட்டீர்கள்.
உதவிக்கு சட்டத்தின் வரையறையை அழைப்போம்:
தனிப்பட்ட தரவை செயலாக்குதல் - சேகரிப்பு, பதிவு செய்தல், முறைப்படுத்துதல், குவித்தல், சேமிப்பு, தெளிவுபடுத்துதல் (புதுப்பித்தல், மாற்றுதல்) உள்ளிட்ட தனிப்பட்ட தரவுகளுடன் தன்னியக்க கருவிகளைப் பயன்படுத்தி அல்லது அத்தகைய வழிமுறைகளைப் பயன்படுத்தாமல் செய்யப்படும் எந்தவொரு செயலும் (செயல்பாடு) அல்லது செயல்களின் தொகுப்பு (செயல்பாடுகள்) பிரித்தெடுத்தல், பயன்படுத்துதல், பரிமாற்றம் (விநியோகம், வழங்கல், அணுகல்), ஆள்மாறுதல், தடுப்பது, நீக்குதல், தனிப்பட்ட தரவை அழித்தல்.
ஆதாரம்: கட்டுரை 3,
இந்த எல்லா செயல்களிலும், தனிப்பட்ட தரவைச் சேமித்து அழிப்பதற்கு சேவை வழங்குநர் பொறுப்பு (வாடிக்கையாளர் அவருடனான ஒப்பந்தத்தை நிறுத்தும்போது). மற்ற அனைத்தும் தனிப்பட்ட தரவு ஆபரேட்டரால் வழங்கப்படுகின்றன. இதன் பொருள், ஆபரேட்டர், சேவை வழங்குநர் அல்ல, தனிப்பட்ட தரவை செயலாக்குவதற்கான கொள்கையை நிர்ணயம் செய்கிறார், அதன் வாடிக்கையாளர்களிடமிருந்து தனிப்பட்ட தரவை செயலாக்குவதற்கான கையொப்பமிடப்பட்ட ஒப்புதலைப் பெறுகிறார், மூன்றாம் தரப்பினருக்கு தனிப்பட்ட தரவு கசிவு வழக்குகளைத் தடுக்கிறது மற்றும் விசாரணை செய்கிறது.
இதன் விளைவாக, தனிப்பட்ட தரவு ஆபரேட்டர் இன்னும் மேலே பட்டியலிடப்பட்ட ஆவணங்களைச் சேகரித்து, அவர்களின் PDIS ஐப் பாதுகாக்க நிறுவன மற்றும் தொழில்நுட்ப நடவடிக்கைகளை செயல்படுத்த வேண்டும்.
பொதுவாக, வழங்குநர் ஆபரேட்டரின் ISPD அமைந்துள்ள உள்கட்டமைப்பு மட்டத்தில் சட்டத் தேவைகளுக்கு இணங்குவதை உறுதி செய்வதன் மூலம் ஆபரேட்டருக்கு உதவுகிறார்: உபகரணங்கள் அல்லது கிளவுட் கொண்ட ரேக்குகள். அவர் ஆவணங்களின் தொகுப்பையும் சேகரிக்கிறார், 152-FZ இன் படி தனது உள்கட்டமைப்புக்கான நிறுவன மற்றும் தொழில்நுட்ப நடவடிக்கைகளை எடுக்கிறார்.
சில வழங்குநர்கள் ஐ.எஸ்.டி.என்.களுக்கான ஆவணங்கள் மற்றும் தொழில்நுட்ப பாதுகாப்பு நடவடிக்கைகளை வழங்குவதற்கு உதவுகிறார்கள், அதாவது, உள்கட்டமைப்பிற்கு மேலே ஒரு மட்டத்தில். ஆபரேட்டர் இந்த பணிகளை அவுட்சோர்ஸ் செய்யலாம், ஆனால் சட்டத்தின் கீழ் பொறுப்பு மற்றும் கடமைகள் மறைந்துவிடாது.
உண்மை: வழங்குநர் அல்லது தரவு மையத்தின் சேவைகளைப் பயன்படுத்துவதன் மூலம், தனிப்பட்ட தரவு ஆபரேட்டரின் பொறுப்புகளை அவருக்கு மாற்றவும் மற்றும் பொறுப்பிலிருந்து விடுபடவும் முடியாது. வழங்குநர் இதை உங்களுக்கு உறுதியளித்தால், அதை லேசாகச் சொல்வதானால், அவர் பொய் சொல்கிறார்.
கட்டுக்கதை 3. தேவையான ஆவணங்கள் மற்றும் நடவடிக்கைகளின் தொகுப்பு என்னிடம் உள்ளது. 152-FZ உடன் இணங்குவதாக உறுதியளிக்கும் வழங்குநரிடம் தனிப்பட்ட தரவைச் சேமிக்கிறேன். எல்லாம் ஒழுங்காக இருக்கிறதா?
ஆம், நீங்கள் ஆர்டரில் கையெழுத்திட நினைவில் இருந்தால். சட்டப்படி, ஆபரேட்டர் தனிப்பட்ட தரவின் செயலாக்கத்தை மற்றொரு நபரிடம் ஒப்படைக்க முடியும், எடுத்துக்காட்டாக, அதே சேவை வழங்குநர். ஆர்டர் என்பது ஒரு வகையான ஒப்பந்தமாகும், இது ஆபரேட்டரின் தனிப்பட்ட தரவுடன் சேவை வழங்குநர் என்ன செய்ய முடியும் என்பதைப் பட்டியலிடுகிறது.
ஒரு மாநில அல்லது நகராட்சி ஒப்பந்தம் உட்பட, இந்த நபருடன் முடிக்கப்பட்ட ஒப்பந்தத்தின் அடிப்படையில், கூட்டாட்சி சட்டத்தால் வழங்கப்படாவிட்டால், தனிப்பட்ட தரவின் பொருளின் ஒப்புதலுடன் தனிப்பட்ட தரவை செயலாக்க மற்றொரு நபரிடம் ஒப்படைக்க ஆபரேட்டருக்கு உரிமை உண்டு. அல்லது மாநில அல்லது முனிசிபல் அமைப்பால் தொடர்புடைய செயலை ஏற்றுக்கொள்வதன் மூலம் (இனிமேல் பணி ஆபரேட்டர் என குறிப்பிடப்படுகிறது). ஆபரேட்டரின் சார்பாக தனிப்பட்ட தரவை செயலாக்கும் நபர், இந்த கூட்டாட்சி சட்டத்தால் வழங்கப்பட்ட தனிப்பட்ட தரவை செயலாக்குவதற்கான கொள்கைகள் மற்றும் விதிகளுக்கு இணங்க கடமைப்பட்டிருக்கிறார்.
ஆதாரம்:
தனிப்பட்ட தரவின் ரகசியத்தன்மையை பராமரிப்பதற்கும், குறிப்பிட்ட தேவைகளுக்கு ஏற்ப அதன் பாதுகாப்பை உறுதி செய்வதற்கும் வழங்குநரின் கடமையும் நிறுவப்பட்டுள்ளது:
ஆபரேட்டரின் அறிவுறுத்தல்கள் தனிப்பட்ட தரவு மற்றும் செயலாக்கத்தின் நோக்கங்களைச் செயலாக்கும் நபரால் செய்யப்படும் தனிப்பட்ட தரவுகளுடன் செயல்களின் (செயல்பாடுகள்) பட்டியலை வரையறுக்க வேண்டும், அத்தகைய நபரின் பொறுப்பு தனிப்பட்ட தரவின் ரகசியத்தன்மையை பராமரிக்க மற்றும் உறுதிப்படுத்த வேண்டும். அவற்றின் செயலாக்கத்தின் போது தனிப்பட்ட தரவின் பாதுகாப்பு, அத்துடன் செயலாக்கப்பட்ட தனிப்பட்ட தரவைப் பாதுகாப்பதற்கான தேவைகள் ஆகியவற்றிற்கு ஏற்ப குறிப்பிடப்பட வேண்டும். இந்த கூட்டாட்சி சட்டத்தின்.
ஆதாரம்:
இதற்காக, வழங்குநர் ஆபரேட்டருக்குப் பொறுப்பேற்கிறார், தனிப்பட்ட தரவு விஷயத்திற்கு அல்ல:
ஆபரேட்டர் தனிப்பட்ட தரவின் செயலாக்கத்தை வேறொரு நபரிடம் ஒப்படைத்தால், குறிப்பிட்ட நபரின் செயல்களுக்கான தனிப்பட்ட தரவின் விஷயத்திற்கு ஆபரேட்டர் பொறுப்பு. ஆபரேட்டரின் சார்பாக தனிப்பட்ட தரவைச் செயலாக்கும் நபர் ஆபரேட்டருக்குப் பொறுப்பாவார்.
ஆதாரம்: .
தனிப்பட்ட தரவின் பாதுகாப்பை உறுதி செய்வதற்கான கடமையை வரிசையில் குறிப்பிடுவதும் முக்கியம்:
ஒரு தகவல் அமைப்பில் செயலாக்கப்படும் போது தனிப்பட்ட தரவின் பாதுகாப்பு இந்த அமைப்பின் ஆபரேட்டரால் உறுதி செய்யப்படுகிறது, அவர் தனிப்பட்ட தரவை செயலாக்குகிறார் (இனி ஆபரேட்டர் என குறிப்பிடப்படுகிறது), அல்லது ஆபரேட்டரின் சார்பாக தனிப்பட்ட தரவை செயலாக்குபவர் இந்த நபருடன் முடிக்கப்பட்ட ஒப்பந்தம் (இனி அங்கீகரிக்கப்பட்ட நபர் என்று குறிப்பிடப்படுகிறது). ஆபரேட்டருக்கும் அங்கீகரிக்கப்பட்ட நபருக்கும் இடையிலான ஒப்பந்தம், தகவல் அமைப்பில் செயலாக்கப்படும்போது தனிப்பட்ட தரவின் பாதுகாப்பை உறுதிப்படுத்த அங்கீகரிக்கப்பட்ட நபரின் கடமையை வழங்க வேண்டும்.
ஆதாரம்:
உண்மை: வழங்குநருக்கு தனிப்பட்ட தரவை வழங்கினால், ஆர்டரில் கையொப்பமிடுங்கள். வரிசையில், பாடங்களின் தனிப்பட்ட தரவின் பாதுகாப்பை உறுதி செய்வதற்கான தேவையைக் குறிப்பிடவும். இல்லையெனில், தனிப்பட்ட தரவு செயலாக்க பணியை மூன்றாம் தரப்பினருக்கு மாற்றுவது தொடர்பான சட்டத்திற்கு நீங்கள் இணங்கவில்லை, மேலும் 152-FZ உடன் இணங்குவது தொடர்பாக வழங்குநர் உங்களுக்கு எதுவும் கடன்பட்டிருக்க மாட்டார்.
கட்டுக்கதை 4. மொசாட் என்னை உளவு பார்க்கிறது அல்லது என்னிடம் நிச்சயமாக UZ-1 உள்ளது
சில வாடிக்கையாளர்கள் தங்களிடம் பாதுகாப்பு நிலை 1 அல்லது 2 ISPD இருப்பதாக தொடர்ந்து நிரூபிக்கிறார்கள். பெரும்பாலும் இது அப்படி இருக்காது. இது ஏன் நடக்கிறது என்பதைக் கண்டுபிடிக்க வன்பொருளை நினைவில் கொள்வோம்.
LO, அல்லது பாதுகாப்பு நிலை, உங்கள் தனிப்பட்ட தரவை எதிலிருந்து பாதுகாக்க வேண்டும் என்பதைத் தீர்மானிக்கிறது.
பாதுகாப்பு நிலை பின்வரும் புள்ளிகளால் பாதிக்கப்படுகிறது:
- தனிப்பட்ட தரவு வகை (சிறப்பு, பயோமெட்ரிக், பொதுவில் கிடைக்கும் மற்றும் பிற);
- தனிப்பட்ட தரவுகளை வைத்திருப்பவர்கள் - தனிப்பட்ட தரவு ஆபரேட்டரின் பணியாளர்கள் அல்லது பணியாளர்கள் அல்லாதவர்கள்;
- தனிப்பட்ட தரவு பாடங்களின் எண்ணிக்கை - அதிகமாகவோ அல்லது குறைவாகவோ 100 ஆயிரம்.
- தற்போதைய அச்சுறுத்தல்களின் வகைகள்.
அச்சுறுத்தல்களின் வகைகளைப் பற்றி எங்களிடம் கூறுகிறது . மனித மொழியில் எனது இலவச மொழிபெயர்ப்புடன் ஒவ்வொன்றின் விளக்கமும் இங்கே உள்ளது.
தகவல் அமைப்பில் பயன்படுத்தப்படும் கணினி மென்பொருளில் ஆவணப்படுத்தப்படாத (அறிவிக்கப்படாத) திறன்களின் இருப்புடன் தொடர்புடைய அச்சுறுத்தல்கள் தொடர்புடையதாக இருந்தால், 1 வது வகையின் அச்சுறுத்தல்கள் தகவல் அமைப்பிற்கு பொருத்தமானவை.
இந்த வகையான அச்சுறுத்தல் பொருத்தமானது என நீங்கள் உணர்ந்தால், CIA, MI6 அல்லது MOSSAD இன் முகவர்கள் உங்கள் ISPD யிலிருந்து குறிப்பிட்ட பாடங்களின் தனிப்பட்ட தரவைத் திருடுவதற்கு இயக்க முறைமையில் புக்மார்க்கை வைத்துள்ளனர் என்று நீங்கள் உறுதியாக நம்புகிறீர்கள்.
தகவல் அமைப்பில் பயன்படுத்தப்படும் பயன்பாட்டு மென்பொருளில் ஆவணமற்ற (அறிவிக்கப்படாத) திறன்கள் இருப்பதுடன் தொடர்புடைய அச்சுறுத்தல்கள் அதற்கும் பொருத்தமானதாக இருந்தால், 2வது வகை அச்சுறுத்தல்கள் தகவல் அமைப்பிற்கு பொருத்தமானவை.
இரண்டாவது வகை அச்சுறுத்தல்கள் உங்கள் வழக்கு என்று நீங்கள் நினைத்தால், நீங்கள் தூங்கிவிட்டு, CIA, MI6, MOSSAD, ஒரு தீய லோன் ஹேக்கர் அல்லது குழுவின் அதே ஏஜெண்டுகள் சில அலுவலக மென்பொருள் தொகுப்பில் புக்மார்க்குகளை சரியாக வேட்டையாடுவதற்காக எப்படி வைத்திருக்கிறார்கள் என்பதைப் பாருங்கள். உங்கள் தனிப்பட்ட தரவு. ஆம், μTorrent போன்ற சந்தேகத்திற்குரிய பயன்பாட்டு மென்பொருள் உள்ளது, ஆனால் நீங்கள் நிறுவலுக்கான அனுமதிக்கப்பட்ட மென்பொருளின் பட்டியலை உருவாக்கலாம் மற்றும் பயனர்களுடன் ஒப்பந்தத்தில் கையெழுத்திடலாம், பயனர்களுக்கு உள்ளூர் நிர்வாகி உரிமைகளை வழங்கக்கூடாது.
தகவல் அமைப்பில் பயன்படுத்தப்படும் கணினி மற்றும் பயன்பாட்டு மென்பொருளில் உள்ள ஆவணமற்ற (அறிவிக்கப்படாத) திறன்களுடன் தொடர்பில்லாத அச்சுறுத்தல்கள் தொடர்புடையதாக இருந்தால், வகை 3 அச்சுறுத்தல்கள் தகவல் அமைப்பிற்கு பொருத்தமானவை.
1 மற்றும் 2 வகைகளின் அச்சுறுத்தல்கள் உங்களுக்குப் பொருந்தாது, எனவே இது உங்களுக்கான இடம்.
அச்சுறுத்தல்களின் வகைகளை நாங்கள் வரிசைப்படுத்தியுள்ளோம், இப்போது எங்கள் ISPD எந்த அளவிலான பாதுகாப்பைக் கொண்டுள்ளது என்பதைப் பார்ப்போம்.
குறிப்பிடப்பட்ட கடிதங்களின் அடிப்படையில் அட்டவணை .
மூன்றாவது வகை உண்மையான அச்சுறுத்தல்களைத் தேர்ந்தெடுத்தால், பெரும்பாலான சந்தர்ப்பங்களில் UZ-3 இருக்கும். ஒரே விதிவிலக்கு, 1 மற்றும் 2 வகைகளின் அச்சுறுத்தல்கள் பொருந்தாதவை, ஆனால் பாதுகாப்பு நிலை இன்னும் அதிகமாக இருக்கும் (UZ-2), 100 க்கும் அதிகமான தொகையில் பணியாளர்கள் அல்லாதவர்களின் சிறப்பு தனிப்பட்ட தரவை செயலாக்கும் நிறுவனங்கள். உதாரணமாக, மருத்துவ நோயறிதல் மற்றும் மருத்துவ சேவைகளை வழங்குவதில் ஈடுபட்டுள்ள நிறுவனங்கள்.
UZ-4 உள்ளது, மேலும் இது முக்கியமாக பணியாளர்கள் அல்லாதவர்கள், அதாவது வாடிக்கையாளர்கள் அல்லது ஒப்பந்ததாரர்களின் தனிப்பட்ட தரவு செயலாக்கத்துடன் தொடர்புடைய வணிகம் அல்லது தனிப்பட்ட தரவு தளங்கள் சிறியதாக இருக்கும் நிறுவனங்களில் காணப்படுகிறது.
பாதுகாப்பு மட்டத்தில் அதை மிகைப்படுத்தாமல் இருப்பது ஏன் மிகவும் முக்கியமானது? இது எளிதானது: இந்த அளவிலான பாதுகாப்பை உறுதி செய்வதற்கான நடவடிக்கைகள் மற்றும் பாதுகாப்பு வழிமுறைகளின் தொகுப்பு இதைப் பொறுத்தது. அறிவின் உயர் நிலை, நிறுவன மற்றும் தொழில்நுட்ப சொற்களில் அதிகம் செய்யப்பட வேண்டும் (படிக்க: அதிக பணம் மற்றும் நரம்புகள் செலவிடப்பட வேண்டும்).
இங்கே, எடுத்துக்காட்டாக, அதே PP-1119 க்கு ஏற்ப பாதுகாப்பு நடவடிக்கைகளின் தொகுப்பு எவ்வாறு மாறுகிறது.
தேர்ந்தெடுக்கப்பட்ட பாதுகாப்பின் அளவைப் பொறுத்து, தேவையான நடவடிக்கைகளின் பட்டியல் எவ்வாறு மாறுகிறது என்பதை இப்போது பார்ப்போம் இந்த ஆவணத்திற்கு ஒரு நீண்ட பின்னிணைப்பு உள்ளது, இது தேவையான நடவடிக்கைகளை வரையறுக்கிறது. அவற்றில் மொத்தம் 109 உள்ளன, ஒவ்வொரு KM க்கும் கட்டாய நடவடிக்கைகள் வரையறுக்கப்பட்டு “+” அடையாளத்துடன் குறிக்கப்பட்டுள்ளன - அவை கீழே உள்ள அட்டவணையில் துல்லியமாக கணக்கிடப்படுகின்றன. UZ-3க்கு தேவையானவற்றை மட்டும் விட்டுவிட்டால், 4 கிடைக்கும்.
உண்மை: வாடிக்கையாளர்களிடமிருந்து சோதனைகள் அல்லது பயோமெட்ரிக்ஸை நீங்கள் சேகரிக்கவில்லை என்றால், கணினி மற்றும் பயன்பாட்டு மென்பொருளில் உள்ள புக்மார்க்குகளைப் பற்றி நீங்கள் சித்தப்பிரமை இல்லை, பின்னர் பெரும்பாலும் உங்களிடம் UZ-3 இருக்கும். உண்மையில் செயல்படுத்தக்கூடிய நிறுவன மற்றும் தொழில்நுட்ப நடவடிக்கைகளின் நியாயமான பட்டியல் உள்ளது.
கட்டுக்கதை 5. தனிப்பட்ட தரவைப் பாதுகாப்பதற்கான அனைத்து வழிமுறைகளும் ரஷ்யாவின் FSTEC ஆல் சான்றளிக்கப்பட வேண்டும்
நீங்கள் விரும்பினால் அல்லது சான்றிதழை நடத்த வேண்டும் என்றால், பெரும்பாலும் நீங்கள் சான்றளிக்கப்பட்ட பாதுகாப்பு உபகரணங்களைப் பயன்படுத்த வேண்டும். ரஷ்யாவின் FSTEC இன் உரிமதாரரால் சான்றிதழை மேற்கொள்ளப்படும், அவர்:
- மேலும் சான்றளிக்கப்பட்ட தகவல் பாதுகாப்பு சாதனங்களை விற்பனை செய்வதில் ஆர்வம்;
- ஏதாவது தவறு நடந்தால், ஒழுங்குமுறை ஆணையத்தால் உரிமம் ரத்து செய்யப்படும் என்று பயப்படுவார்கள்.
உங்களுக்கு சான்றிதழ் தேவையில்லை என்றால், வேறு வழியில் தேவைகளுக்கு இணங்குவதை உறுதிப்படுத்த நீங்கள் தயாராக உள்ளீர்கள் "தனிப்பட்ட தரவுகளின் பாதுகாப்பை உறுதி செய்வதற்காக தனிப்பட்ட தரவு பாதுகாப்பு அமைப்பிற்குள் செயல்படுத்தப்படும் நடவடிக்கைகளின் செயல்திறனை மதிப்பீடு செய்தல்," பின்னர் சான்றளிக்கப்பட்ட தகவல் பாதுகாப்பு அமைப்புகள் உங்களுக்கு தேவையில்லை. நான் சுருக்கமாக நியாயத்தை விளக்க முயற்சிப்பேன்.
В நிறுவப்பட்ட நடைமுறைக்கு ஏற்ப இணக்க மதிப்பீட்டு நடைமுறைக்கு உட்பட்ட பாதுகாப்பு உபகரணங்களைப் பயன்படுத்துவது அவசியம் என்று கூறுகிறது.:
தனிப்பட்ட தரவுகளின் பாதுகாப்பை உறுதி செய்தல், குறிப்பாக:
[…] 3) தகவல் பாதுகாப்பின் பயன்பாடு என்பது நிறுவப்பட்ட நடைமுறைக்கு இணங்க இணக்க மதிப்பீட்டு நடைமுறையை நிறைவேற்றியதாகும்.
В சட்டத் தேவைகளுக்கு இணங்குவதை மதிப்பிடுவதற்கான நடைமுறையை நிறைவேற்றிய தகவல் பாதுகாப்பு கருவிகளைப் பயன்படுத்த வேண்டிய தேவையும் உள்ளது:
தகவல் பாதுகாப்புத் துறையில் ரஷ்ய கூட்டமைப்பின் சட்டத்தின் தேவைகளுக்கு இணங்குவதற்கான மதிப்பீட்டிற்கு உட்பட்ட தகவல் பாதுகாப்பு கருவிகளின் பயன்பாடு, தற்போதைய அச்சுறுத்தல்களை நடுநிலையாக்குவதற்கு இதுபோன்ற வழிமுறைகளைப் பயன்படுத்துவது அவசியமான சந்தர்ப்பங்களில்.
நடைமுறையில் PP-1119 பத்தியை நகலெடுக்கிறது:
தனிப்பட்ட தரவுகளின் பாதுகாப்பை உறுதி செய்வதற்கான நடவடிக்கைகள், நிறுவப்பட்ட நடைமுறைக்கு ஏற்ப இணக்க மதிப்பீட்டு நடைமுறையை நிறைவேற்றிய தகவல் அமைப்பில் தகவல் பாதுகாப்பு கருவிகளைப் பயன்படுத்துவதன் மூலம், அத்தகைய கருவிகளைப் பயன்படுத்துவது அவசியமான சந்தர்ப்பங்களில் செயல்படுத்தப்படுகிறது. தனிப்பட்ட தரவுகளின் பாதுகாப்பிற்கான தற்போதைய அச்சுறுத்தல்களை நடுநிலையாக்கு.
இந்த சூத்திரங்களுக்கு பொதுவானது என்ன? அது சரி - அவர்களுக்கு சான்றளிக்கப்பட்ட பாதுகாப்பு உபகரணங்களின் பயன்பாடு தேவையில்லை. உண்மை என்னவென்றால், இணக்க மதிப்பீட்டின் பல வடிவங்கள் உள்ளன (தன்னார்வ அல்லது கட்டாய சான்றிதழ், இணக்க அறிவிப்பு). சான்றிதழ் அவற்றில் ஒன்று. ஆபரேட்டர் சான்றளிக்கப்படாத தயாரிப்புகளைப் பயன்படுத்தலாம், ஆனால் அவை சில வகையான இணக்க மதிப்பீட்டு நடைமுறைக்கு உட்பட்டுள்ளன என்பதை ஆய்வின் போது கட்டுப்பாட்டாளரிடம் நிரூபிக்க வேண்டும்.
ஆபரேட்டர் சான்றளிக்கப்பட்ட பாதுகாப்பு உபகரணங்களைப் பயன்படுத்த முடிவு செய்தால், அல்ட்ராசவுண்ட் பாதுகாப்பிற்கு ஏற்ப தகவல் பாதுகாப்பு அமைப்பைத் தேர்ந்தெடுப்பது அவசியம், இது தெளிவாகக் குறிப்பிடப்பட்டுள்ளது. :
தனிப்பட்ட தரவைப் பாதுகாப்பதற்கான தொழில்நுட்ப நடவடிக்கைகள், தேவையான பாதுகாப்பு செயல்பாடுகளைக் கொண்ட மென்பொருள் (வன்பொருள்) கருவிகள் உட்பட, தகவல் பாதுகாப்புக் கருவிகளைப் பயன்படுத்துவதன் மூலம் செயல்படுத்தப்படுகின்றன.
தகவல் அமைப்புகளில் தகவல் பாதுகாப்பு தேவைகளுக்கு ஏற்ப சான்றளிக்கப்பட்ட தகவல் பாதுகாப்பு கருவிகளைப் பயன்படுத்தும் போது:
உண்மை: சான்றளிக்கப்பட்ட பாதுகாப்பு உபகரணங்களை கட்டாயமாகப் பயன்படுத்துவதற்கு சட்டம் தேவையில்லை.
கட்டுக்கதை 6. எனக்கு கிரிப்டோ பாதுகாப்பு தேவை
இங்கே சில நுணுக்கங்கள் உள்ளன:
- எந்தவொரு ISPD க்கும் கிரிப்டோகிராஃபி கட்டாயம் என்று பலர் நம்புகிறார்கள். உண்மையில், கிரிப்டோகிராஃபியைப் பயன்படுத்துவதைத் தவிர வேறு எந்த பாதுகாப்பு நடவடிக்கைகளையும் ஆபரேட்டர் பார்க்கவில்லை என்றால் மட்டுமே அவை பயன்படுத்தப்பட வேண்டும்.
- கிரிப்டோகிராஃபி இல்லாமல் நீங்கள் செய்ய முடியாவிட்டால், நீங்கள் FSB ஆல் சான்றளிக்கப்பட்ட CIPF ஐப் பயன்படுத்த வேண்டும்.
- எடுத்துக்காட்டாக, சேவை வழங்குநரின் கிளவுட்டில் ISPD ஐ ஹோஸ்ட் செய்ய நீங்கள் முடிவு செய்தீர்கள், ஆனால் நீங்கள் அதை நம்பவில்லை. உங்கள் கவலைகளை அச்சுறுத்தல் மற்றும் ஊடுருவும் மாதிரியில் விவரிக்கிறீர்கள். உங்களிடம் தனிப்பட்ட தரவு உள்ளது, எனவே உங்களைப் பாதுகாத்துக் கொள்வதற்கான ஒரே வழி கிரிப்டோகிராஃபி என்று நீங்கள் முடிவு செய்தீர்கள்: நீங்கள் மெய்நிகர் இயந்திரங்களை குறியாக்கம் செய்வீர்கள், கிரிப்டோகிராஃபிக் பாதுகாப்பைப் பயன்படுத்தி பாதுகாப்பான சேனல்களை உருவாக்குவீர்கள். இந்த வழக்கில், நீங்கள் ரஷ்யாவின் FSB ஆல் சான்றளிக்கப்பட்ட CIPF ஐப் பயன்படுத்த வேண்டும்.
- சான்றளிக்கப்பட்ட சிஐபிஎஃப் ஒரு குறிப்பிட்ட அளவிலான பாதுகாப்பிற்கு ஏற்ப தேர்ந்தெடுக்கப்படுகிறது .
UZ-3 உடன் ISPDn க்கு, நீங்கள் KS1, KS2, KS3 ஆகியவற்றைப் பயன்படுத்தலாம். KS1, எடுத்துக்காட்டாக, சேனல்களைப் பாதுகாப்பதற்கான C-Terra விர்ச்சுவல் கேட்வே 4.2 ஆகும்.
KC2, KS3 ஆகியவை மென்பொருள் மற்றும் வன்பொருள் அமைப்புகளால் மட்டுமே குறிப்பிடப்படுகின்றன, அவை: ViPNet ஒருங்கிணைப்பாளர், APKSH "கண்டம்", S-டெர்ரா கேட்வே போன்றவை.
உங்களிடம் UZ-2 அல்லது 1 இருந்தால், உங்களுக்கு KV1, 2 மற்றும் KA ஆகிய கிரிப்டோகிராஃபிக் பாதுகாப்பு வழிமுறைகள் தேவைப்படும். இவை குறிப்பிட்ட மென்பொருள் மற்றும் வன்பொருள் அமைப்புகள், அவை செயல்பட கடினமாக உள்ளன, அவற்றின் செயல்திறன் பண்புகள் மிதமானவை.
உண்மை: FSB ஆல் சான்றளிக்கப்பட்ட CIPF ஐப் பயன்படுத்த சட்டம் கட்டாயப்படுத்தவில்லை.
ஆதாரம்: www.habr.com