అందరికి వందనాలు! నేను డేటాలైన్ సైబర్ డిఫెన్స్ సెంటర్ను నడుపుతున్నాను. క్లౌడ్లో లేదా ఫిజికల్ ఇన్ఫ్రాస్ట్రక్చర్లో 152-FZ అవసరాలను తీర్చే పనితో కస్టమర్లు మా వద్దకు వస్తారు.
దాదాపు ప్రతి ప్రాజెక్ట్లో ఈ చట్టం చుట్టూ ఉన్న అపోహలను తొలగించడానికి విద్యాపరమైన పనిని నిర్వహించడం అవసరం. నేను వ్యక్తిగత డేటా ఆపరేటర్ యొక్క బడ్జెట్ మరియు నాడీ వ్యవస్థకు ఖరీదైనదిగా ఉండే అత్యంత సాధారణ అపోహలను సేకరించాను. రాష్ట్ర రహస్యాలు, KII మొదలైన వాటితో వ్యవహరించే ప్రభుత్వ యాజమాన్యంలోని కంపెనీల (GIS) కేసులు ఈ ఆర్టికల్ పరిధికి వెలుపల ఉండేలా నేను వెంటనే రిజర్వేషన్ చేస్తాను.
అపోహ 1. నేను యాంటీవైరస్, ఫైర్వాల్ని ఇన్స్టాల్ చేసాను మరియు రాక్లను కంచెతో చుట్టుముట్టాను. నేను చట్టాన్ని అనుసరిస్తున్నానా?
152-FZ అనేది సిస్టమ్లు మరియు సర్వర్ల రక్షణ గురించి కాదు, సబ్జెక్ట్ల వ్యక్తిగత డేటా రక్షణ గురించి. అందువల్ల, 152-FZతో సమ్మతి యాంటీవైరస్తో కాదు, పెద్ద సంఖ్యలో కాగితం ముక్కలు మరియు సంస్థాగత సమస్యలతో ప్రారంభమవుతుంది.
ప్రధాన ఇన్స్పెక్టర్, రోస్కోమ్నాడ్జోర్, రక్షణ యొక్క సాంకేతిక మార్గాల ఉనికి మరియు స్థితిని కాకుండా వ్యక్తిగత డేటా (PD) ప్రాసెసింగ్ కోసం చట్టపరమైన ప్రాతిపదికన చూస్తారు:
- మీరు ఏ ప్రయోజనం కోసం వ్యక్తిగత డేటాను సేకరిస్తారు;
- మీరు మీ ప్రయోజనాల కోసం అవసరమైన దానికంటే ఎక్కువ వాటిని సేకరిస్తారా;
- మీరు వ్యక్తిగత డేటాను ఎంతకాలం నిల్వ చేస్తారు;
- వ్యక్తిగత డేటాను ప్రాసెస్ చేయడానికి ఒక విధానం ఉందా;
- మీరు వ్యక్తిగత డేటా ప్రాసెసింగ్, సరిహద్దు బదిలీ, మూడవ పక్షాల ద్వారా ప్రాసెసింగ్ మొదలైన వాటి కోసం సమ్మతిని సేకరిస్తున్నారా?
ఈ ప్రశ్నలకు సమాధానాలు, అలాగే ప్రక్రియలు తగిన పత్రాలలో నమోదు చేయబడాలి. వ్యక్తిగత డేటా ఆపరేటర్ సిద్ధం చేయవలసిన పూర్తి జాబితా నుండి ఇక్కడ చాలా దూరంగా ఉంది:
- వ్యక్తిగత డేటా ప్రాసెసింగ్ కోసం ప్రామాణిక సమ్మతి ఫారమ్ (ఇవి మనం ఇప్పుడు మా పూర్తి పేర్లు మరియు పాస్పోర్ట్ వివరాలను వదిలిపెట్టిన దాదాపు ప్రతిచోటా సంతకం చేసే షీట్లు).
- వ్యక్తిగత డేటా ప్రాసెసింగ్కు సంబంధించి ఆపరేటర్ విధానం ( డిజైన్ కోసం సిఫార్సులు ఉన్నాయి).
- వ్యక్తిగత డేటా ప్రాసెసింగ్ నిర్వహించడానికి బాధ్యత వహించే వ్యక్తి నియామకంపై ఆర్డర్.
- వ్యక్తిగత డేటా ప్రాసెసింగ్ను నిర్వహించడానికి బాధ్యత వహించే వ్యక్తి యొక్క ఉద్యోగ వివరణ.
- అంతర్గత నియంత్రణ మరియు (లేదా) చట్టపరమైన అవసరాలకు అనుగుణంగా PD ప్రాసెసింగ్ యొక్క ఆడిట్ కోసం నియమాలు.
- వ్యక్తిగత డేటా సమాచార వ్యవస్థల జాబితా (ISPD).
- అతని వ్యక్తిగత డేటాకు ప్రాప్యతతో విషయాన్ని అందించడానికి నిబంధనలు.
- సంఘటన విచారణ నిబంధనలు.
- వ్యక్తిగత డేటా ప్రాసెసింగ్కు ఉద్యోగుల ప్రవేశంపై ఆర్డర్.
- రెగ్యులేటర్లతో పరస్పర చర్య కోసం నిబంధనలు.
- RKN నోటిఫికేషన్, మొదలైనవి.
- PD ప్రాసెసింగ్ కోసం సూచన ఫారమ్.
- ISPD ముప్పు మోడల్.
ఈ సమస్యలను పరిష్కరించిన తర్వాత, మీరు నిర్దిష్ట చర్యలు మరియు సాంకేతిక మార్గాలను ఎంచుకోవడం ప్రారంభించవచ్చు. మీకు కావాల్సినవి సిస్టమ్లు, వాటి ఆపరేటింగ్ పరిస్థితులు మరియు ప్రస్తుత బెదిరింపులపై ఆధారపడి ఉంటాయి. కానీ తరువాత దాని గురించి మరింత.
వాస్తవికత: చట్టంతో సమ్మతి అనేది కొన్ని ప్రక్రియలతో స్థాపన మరియు సమ్మతి, మొదట, మరియు రెండవది - ప్రత్యేక సాంకేతిక మార్గాల ఉపయోగం.
అపోహ 2. నేను క్లౌడ్లో వ్యక్తిగత డేటాను నిల్వ చేస్తాను, ఇది 152-FZ అవసరాలకు అనుగుణంగా ఉండే డేటా సెంటర్. ఇప్పుడు చట్టాన్ని అమలు చేయాల్సిన బాధ్యత వారిదే
మీరు క్లౌడ్ ప్రొవైడర్ లేదా డేటా సెంటర్కు వ్యక్తిగత డేటా నిల్వను అవుట్సోర్స్ చేసినప్పుడు, మీరు వ్యక్తిగత డేటా ఆపరేటర్గా ఉండరు.
సహాయం కోసం చట్టం నుండి నిర్వచనాన్ని పిలుద్దాం:
వ్యక్తిగత డేటా ప్రాసెసింగ్ - సేకరణ, రికార్డింగ్, క్రమబద్ధీకరణ, సంచితం, నిల్వ, స్పష్టీకరణ (నవీకరణ, మార్చడం) సహా వ్యక్తిగత డేటాతో ఆటోమేషన్ సాధనాలను ఉపయోగించి లేదా అటువంటి మార్గాలను ఉపయోగించకుండా నిర్వహించే ఏదైనా చర్య (ఆపరేషన్) లేదా చర్యల (ఆపరేషన్లు) వెలికితీత, ఉపయోగం, బదిలీ (పంపిణీ, కేటాయింపు, యాక్సెస్), వ్యక్తిగతీకరణ, నిరోధించడం, తొలగింపు, వ్యక్తిగత డేటా నాశనం.
మూలం: ఆర్టికల్ 3,
ఈ అన్ని చర్యలలో, వ్యక్తిగత డేటాను నిల్వ చేయడానికి మరియు నాశనం చేయడానికి సేవా ప్రదాత బాధ్యత వహిస్తాడు (క్లయింట్ అతనితో ఒప్పందాన్ని ముగించినప్పుడు). మిగతావన్నీ వ్యక్తిగత డేటా ఆపరేటర్ ద్వారా అందించబడతాయి. వ్యక్తిగత డేటాను ప్రాసెస్ చేయడానికి ఆపరేటర్ కాకుండా సర్వీస్ ప్రొవైడర్ విధానాన్ని నిర్ణయిస్తారని దీని అర్థం, దాని క్లయింట్ల నుండి వ్యక్తిగత డేటాను ప్రాసెస్ చేయడానికి సంతకం చేసిన సమ్మతిని పొందడం, మూడవ పక్షాలకు వ్యక్తిగత డేటా లీకేజీని నిరోధించడం మరియు దర్యాప్తు చేయడం మొదలైనవి.
పర్యవసానంగా, వ్యక్తిగత డేటా ఆపరేటర్ ఇప్పటికీ పైన జాబితా చేయబడిన పత్రాలను సేకరించి, వారి PDISని రక్షించడానికి సంస్థాగత మరియు సాంకేతిక చర్యలను అమలు చేయాలి.
సాధారణంగా, ప్రొవైడర్ ఆపరేటర్ యొక్క ISPD ఉన్న ఇన్ఫ్రాస్ట్రక్చర్ స్థాయిలో చట్టపరమైన అవసరాలకు అనుగుణంగా ఉండేలా చూసుకోవడం ద్వారా ఆపరేటర్కు సహాయపడుతుంది: పరికరాలు లేదా క్లౌడ్తో కూడిన రాక్లు. అతను పత్రాల ప్యాకేజీని కూడా సేకరిస్తాడు, 152-FZకి అనుగుణంగా తన మౌలిక సదుపాయాల కోసం సంస్థాగత మరియు సాంకేతిక చర్యలను తీసుకుంటాడు.
కొంతమంది ప్రొవైడర్లు ISDNల కోసం వ్రాతపని మరియు సాంకేతిక భద్రతా చర్యలను అందించడంలో సహాయం చేస్తారు, అనగా, మౌలిక సదుపాయాల కంటే ఎక్కువ స్థాయిలో. ఆపరేటర్ ఈ పనులను కూడా అవుట్సోర్స్ చేయవచ్చు, కానీ చట్టం ప్రకారం బాధ్యత మరియు బాధ్యతలు అదృశ్యం కావు.
వాస్తవికత: ప్రొవైడర్ లేదా డేటా సెంటర్ సేవలను ఉపయోగించడం ద్వారా, మీరు వ్యక్తిగత డేటా ఆపరేటర్ యొక్క బాధ్యతలను అతనికి బదిలీ చేయలేరు మరియు బాధ్యత నుండి బయటపడలేరు. ప్రొవైడర్ మీకు దీన్ని వాగ్దానం చేస్తే, తేలికగా చెప్పాలంటే, అతను అబద్ధం చెబుతున్నాడు.
అపోహ 3. నా దగ్గర అవసరమైన పత్రాలు మరియు చర్యల ప్యాకేజీ ఉంది. నేను 152-FZకి అనుగుణంగా వాగ్దానం చేసే ప్రొవైడర్తో వ్యక్తిగత డేటాను నిల్వ చేస్తాను. అంతా సక్రమంగా ఉందా?
అవును, మీరు ఆర్డర్పై సంతకం చేయాలని గుర్తుంచుకోండి. చట్టం ప్రకారం, ఆపరేటర్ వ్యక్తిగత డేటా ప్రాసెసింగ్ను మరొక వ్యక్తికి అప్పగించవచ్చు, ఉదాహరణకు, అదే సర్వీస్ ప్రొవైడర్. ఆర్డర్ అనేది ఆపరేటర్ యొక్క వ్యక్తిగత డేటాతో సర్వీస్ ప్రొవైడర్ ఏమి చేయగలదో జాబితా చేసే ఒక రకమైన ఒప్పందం.
రాష్ట్ర లేదా మునిసిపల్ ఒప్పందంతో సహా ఈ వ్యక్తితో కుదుర్చుకున్న ఒప్పందం ఆధారంగా, ఫెడరల్ చట్టం ద్వారా అందించబడకపోతే, వ్యక్తిగత డేటా యొక్క అంగీకారంతో మరొక వ్యక్తికి వ్యక్తిగత డేటా ప్రాసెసింగ్ను అప్పగించే హక్కు ఆపరేటర్కు ఉంది. లేదా ఒక రాష్ట్రం లేదా మునిసిపల్ బాడీ ద్వారా సంబంధిత చట్టాన్ని స్వీకరించడం ద్వారా (ఇకపై అసైన్మెంట్ ఆపరేటర్గా సూచిస్తారు). ఆపరేటర్ తరపున వ్యక్తిగత డేటాను ప్రాసెస్ చేసే వ్యక్తి ఈ ఫెడరల్ చట్టం ద్వారా అందించబడిన వ్యక్తిగత డేటాను ప్రాసెస్ చేయడానికి సూత్రాలు మరియు నియమాలకు కట్టుబడి ఉండాలి.
మూలం:
వ్యక్తిగత డేటా యొక్క గోప్యతను నిర్వహించడానికి మరియు పేర్కొన్న అవసరాలకు అనుగుణంగా దాని భద్రతను నిర్ధారించడానికి ప్రొవైడర్ యొక్క బాధ్యత కూడా స్థాపించబడింది:
వ్యక్తిగత డేటాను ప్రాసెస్ చేసే వ్యక్తి మరియు ప్రాసెసింగ్ ప్రయోజనాల కోసం నిర్వహించే వ్యక్తిగత డేటాతో కూడిన చర్యల (ఆపరేషన్స్) జాబితాను ఆపరేటర్ సూచనలు తప్పనిసరిగా నిర్వచించాలి, వ్యక్తిగత డేటా యొక్క గోప్యతను నిర్వహించడానికి మరియు నిర్ధారించడానికి అటువంటి వ్యక్తి యొక్క బాధ్యత తప్పనిసరిగా ఏర్పాటు చేయబడాలి. వారి ప్రాసెసింగ్ సమయంలో వ్యక్తిగత డేటా యొక్క భద్రత, అలాగే ప్రాసెస్ చేయబడిన వ్యక్తిగత డేటా యొక్క రక్షణ అవసరాలు తప్పనిసరిగా తప్పనిసరిగా పేర్కొనబడాలి ఈ ఫెడరల్ చట్టం.
మూలం:
దీని కోసం, ప్రొవైడర్ ఆపరేటర్కు బాధ్యత వహిస్తాడు మరియు వ్యక్తిగత డేటాకు సంబంధించిన విషయానికి కాదు:
ఆపరేటర్ వ్యక్తిగత డేటా యొక్క ప్రాసెసింగ్ను మరొక వ్యక్తికి అప్పగిస్తే, పేర్కొన్న వ్యక్తి యొక్క చర్యల కోసం వ్యక్తిగత డేటా యొక్క విషయానికి ఆపరేటర్ బాధ్యత వహిస్తాడు. ఆపరేటర్ తరపున వ్యక్తిగత డేటాను ప్రాసెస్ చేసే వ్యక్తి ఆపరేటర్కు బాధ్యత వహిస్తాడు.
మూలం: .
వ్యక్తిగత డేటా యొక్క రక్షణను నిర్ధారించే బాధ్యతను క్రమంలో నిర్దేశించడం కూడా ముఖ్యం:
సమాచార వ్యవస్థలో ప్రాసెస్ చేయబడినప్పుడు వ్యక్తిగత డేటా యొక్క భద్రత ఈ సిస్టమ్ యొక్క ఆపరేటర్ ద్వారా నిర్ధారిస్తుంది, అతను వ్యక్తిగత డేటాను (ఇకపై ఆపరేటర్గా సూచిస్తారు) లేదా ఆపరేటర్ తరపున వ్యక్తిగత డేటాను ప్రాసెస్ చేసే వ్యక్తి ద్వారా నిర్ధారిస్తారు. ఈ వ్యక్తితో ముగిసిన ఒప్పందం (ఇకపై అధీకృత వ్యక్తిగా సూచించబడుతుంది). సమాచార వ్యవస్థలో ప్రాసెస్ చేయబడినప్పుడు వ్యక్తిగత డేటా యొక్క భద్రతను నిర్ధారించడానికి అధీకృత వ్యక్తి యొక్క బాధ్యత కోసం ఆపరేటర్ మరియు అధీకృత వ్యక్తి మధ్య ఒప్పందం తప్పనిసరిగా అందించాలి.
మూలం:
వాస్తవికత: మీరు ప్రొవైడర్కు వ్యక్తిగత డేటాను ఇస్తే, ఆర్డర్పై సంతకం చేయండి. క్రమంలో, సబ్జెక్టుల వ్యక్తిగత డేటా యొక్క రక్షణను నిర్ధారించాల్సిన అవసరాన్ని సూచించండి. లేకపోతే, మీరు వ్యక్తిగత డేటా ప్రాసెసింగ్ పనిని మూడవ పక్షానికి బదిలీ చేయడానికి సంబంధించిన చట్టానికి లోబడి ఉండరు మరియు 152-FZకి అనుగుణంగా ప్రొవైడర్ మీకు ఏమీ రుణపడి ఉండరు.
అపోహ 4. మొసాద్ నాపై గూఢచర్యం చేస్తోంది, లేదా నా దగ్గర ఖచ్చితంగా UZ-1 ఉంది
కొంతమంది కస్టమర్లు తమకు భద్రతా స్థాయి 1 లేదా 2 ISPD ఉందని నిరూపిస్తున్నారు. చాలా తరచుగా ఇది అలా ఉండదు. ఇది ఎందుకు జరుగుతుందో తెలుసుకోవడానికి హార్డ్వేర్ను గుర్తుంచుకోండి.
LO, లేదా భద్రతా స్థాయి, మీరు మీ వ్యక్తిగత డేటాను దేని నుండి రక్షిస్తారో నిర్ణయిస్తుంది.
భద్రతా స్థాయి క్రింది పాయింట్ల ద్వారా ప్రభావితమవుతుంది:
- వ్యక్తిగత డేటా రకం (ప్రత్యేక, బయోమెట్రిక్, పబ్లిక్గా అందుబాటులో మరియు ఇతరులు);
- వ్యక్తిగత డేటాను కలిగి ఉన్నవారు - వ్యక్తిగత డేటా ఆపరేటర్ యొక్క ఉద్యోగులు లేదా ఉద్యోగులు కానివారు;
- వ్యక్తిగత డేటా విషయాల సంఖ్య - ఎక్కువ లేదా తక్కువ 100 వేలు.
- ప్రస్తుత బెదిరింపుల రకాలు.
బెదిరింపుల రకాల గురించి మాకు చెబుతుంది . మానవ భాషలోకి నా ఉచిత అనువాదంతో ప్రతి దాని వివరణ ఇక్కడ ఉంది.
టైప్ 1 బెదిరింపులు సమాచార వ్యవస్థలో ఉపయోగించే సిస్టమ్ సాఫ్ట్వేర్లో నమోదు చేయని (ప్రకటించబడని) సామర్థ్యాల ఉనికికి సంబంధించిన బెదిరింపులు కూడా దానికి సంబంధించినవి అయితే సమాచార వ్యవస్థకు సంబంధించినవి.
మీరు ఈ రకమైన ముప్పును సంబంధితంగా గుర్తిస్తే, CIA, MI6 లేదా MOSSAD యొక్క ఏజెంట్లు మీ ISPD నుండి నిర్దిష్ట విషయాల యొక్క వ్యక్తిగత డేటాను దొంగిలించడానికి ఆపరేటింగ్ సిస్టమ్లో బుక్మార్క్ను ఉంచారని మీరు దృఢంగా విశ్వసిస్తారు.
సమాచార వ్యవస్థలో ఉపయోగించే అప్లికేషన్ సాఫ్ట్వేర్లో నమోదుకాని (ప్రకటించబడని) సామర్థ్యాల ఉనికికి సంబంధించిన బెదిరింపులు కూడా సంబంధితంగా ఉంటే, 2వ రకం బెదిరింపులు సమాచార వ్యవస్థకు సంబంధించినవి.
రెండవ రకం బెదిరింపులు మీ కేసు అని మీరు అనుకుంటే, మీరు నిద్రపోయి, CIA, MI6, MOSSAD, ఒక దుష్ట ఒంటరి హ్యాకర్ లేదా సమూహం యొక్క అదే ఏజెంట్లు వేటాడేందుకు కొన్ని కార్యాలయ సాఫ్ట్వేర్ ప్యాకేజీలో బుక్మార్క్లను ఎలా ఉంచారో చూడండి. మీ వ్యక్తిగత డేటా. అవును, μTorrent వంటి సందేహాస్పద అప్లికేషన్ సాఫ్ట్వేర్ ఉంది, కానీ మీరు ఇన్స్టాలేషన్ కోసం అనుమతించబడిన సాఫ్ట్వేర్ల జాబితాను తయారు చేయవచ్చు మరియు వినియోగదారులతో ఒప్పందంపై సంతకం చేయవచ్చు, వినియోగదారులకు స్థానిక నిర్వాహక హక్కులు ఇవ్వకూడదు, మొదలైనవి.
టైప్ 3 బెదిరింపులు సమాచార వ్యవస్థలో ఉపయోగించే సిస్టమ్ మరియు అప్లికేషన్ సాఫ్ట్వేర్లో నమోదుకాని (ప్రకటించబడని) సామర్థ్యాల ఉనికికి సంబంధం లేని బెదిరింపులు దానికి సంబంధించినవి అయితే దానికి సంబంధించినవి.
1 మరియు 2 రకాల బెదిరింపులు మీకు తగినవి కావు, కాబట్టి ఇది మీ కోసం స్థలం.
మేము బెదిరింపుల రకాలను క్రమబద్ధీకరించాము, ఇప్పుడు మన ISPDకి ఏ స్థాయిలో భద్రత ఉంటుందో చూద్దాం.
లో పేర్కొన్న కరస్పాండెన్స్ల ఆధారంగా పట్టిక .
మేము మూడవ రకమైన వాస్తవ బెదిరింపులను ఎంచుకుంటే, చాలా సందర్భాలలో మనకు UZ-3 ఉంటుంది. 1 మరియు 2 రకాల బెదిరింపులు సంబంధితంగా లేనప్పుడు మాత్రమే మినహాయింపు, కానీ భద్రత స్థాయి ఇప్పటికీ ఎక్కువగా ఉంటుంది (UZ-2), 100 కంటే ఎక్కువ మొత్తంలో ఉద్యోగులు కాని వారి ప్రత్యేక వ్యక్తిగత డేటాను ప్రాసెస్ చేసే కంపెనీలు. ఉదాహరణకు, మెడికల్ డయాగ్నస్టిక్స్ మరియు వైద్య సేవలను అందించడంలో నిమగ్నమైన కంపెనీలు.
UZ-4 కూడా ఉంది మరియు ఇది ప్రధానంగా ఉద్యోగులు కాని వారి వ్యక్తిగత డేటా ప్రాసెసింగ్తో సంబంధం లేని కంపెనీలలో కనుగొనబడింది, అనగా క్లయింట్లు లేదా కాంట్రాక్టర్లు లేదా వ్యక్తిగత డేటా బేస్లు తక్కువగా ఉంటాయి.
భద్రతా స్థాయితో దీన్ని అతిగా చేయకపోవడం ఎందుకు చాలా ముఖ్యం? ఇది చాలా సులభం: ఈ స్థాయి భద్రతను నిర్ధారించడానికి చర్యలు మరియు రక్షణ సాధనాల సమితి దీనిపై ఆధారపడి ఉంటుంది. జ్ఞానం యొక్క ఉన్నత స్థాయి, సంస్థాగత మరియు సాంకేతిక పరంగా మరింత చేయవలసి ఉంటుంది (చదవండి: ఎక్కువ డబ్బు మరియు నరాలు ఖర్చు చేయవలసి ఉంటుంది).
ఇక్కడ, ఉదాహరణకు, అదే PP-1119కి అనుగుణంగా భద్రతా చర్యల సెట్ ఎలా మారుతుంది.
ఇప్పుడు ఎంచుకున్న భద్రతా స్థాయిని బట్టి, అవసరమైన చర్యల జాబితా ఎలా మారుతుందో చూద్దాం ఈ పత్రానికి సుదీర్ఘ అనుబంధం ఉంది, ఇది అవసరమైన చర్యలను నిర్వచిస్తుంది. వాటిలో మొత్తం 109 ఉన్నాయి, ప్రతి KM కోసం తప్పనిసరి చర్యలు నిర్వచించబడ్డాయి మరియు “+” గుర్తుతో గుర్తించబడతాయి - అవి దిగువ పట్టికలో ఖచ్చితంగా లెక్కించబడతాయి. మీరు UZ-3 కోసం అవసరమైన వాటిని మాత్రమే వదిలివేస్తే, మీకు 4 వస్తుంది.
వాస్తవికత: మీరు క్లయింట్ల నుండి పరీక్షలు లేదా బయోమెట్రిక్లను సేకరించకుంటే, మీరు సిస్టమ్ మరియు అప్లికేషన్ సాఫ్ట్వేర్లోని బుక్మార్క్ల గురించి మతిస్థిమితం లేనివారు కాదు, అప్పుడు మీరు UZ-3ని కలిగి ఉంటారు. ఇది వాస్తవానికి అమలు చేయగల సంస్థాగత మరియు సాంకేతిక చర్యల యొక్క సహేతుకమైన జాబితాను కలిగి ఉంది.
అపోహ 5. వ్యక్తిగత డేటాను రక్షించే అన్ని మార్గాలు తప్పనిసరిగా రష్యా యొక్క FSTEC ద్వారా ధృవీకరించబడాలి
మీకు కావాలంటే లేదా ధృవీకరణ నిర్వహించాల్సిన అవసరం ఉంటే, చాలా మటుకు మీరు ధృవీకరించబడిన రక్షణ పరికరాలను ఉపయోగించాల్సి ఉంటుంది. రష్యా యొక్క FSTEC యొక్క లైసెన్సీ ద్వారా ధృవీకరణ జరుగుతుంది, వీరు:
- మరింత ధృవీకరించబడిన సమాచార రక్షణ పరికరాలను విక్రయించడానికి ఆసక్తి;
- ఏదైనా తప్పు జరిగితే రెగ్యులేటర్ ద్వారా లైసెన్స్ రద్దు చేయబడుతుందని భయపడతారు.
మీకు సర్టిఫికేషన్ అవసరం లేకపోతే మరియు మీరు పేరు పెట్టబడిన మరొక విధంగా అవసరాలకు అనుగుణంగా ఉన్నట్లు నిర్ధారించడానికి సిద్ధంగా ఉన్నారు "వ్యక్తిగత డేటా భద్రతను నిర్ధారించడానికి వ్యక్తిగత డేటా రక్షణ వ్యవస్థలో అమలు చేయబడిన చర్యల ప్రభావాన్ని అంచనా వేయడం," అప్పుడు మీకు ధృవీకరించబడిన సమాచార భద్రతా వ్యవస్థలు అవసరం లేదు. నేను హేతుబద్ధతను క్లుప్తంగా వివరించడానికి ప్రయత్నిస్తాను.
В ఏర్పాటు చేసిన విధానానికి అనుగుణంగా అనుగుణ్యత అంచనా ప్రక్రియకు గురైన రక్షణ పరికరాలను ఉపయోగించడం అవసరం అని పేర్కొంది:
వ్యక్తిగత డేటా యొక్క భద్రతను నిర్ధారించడం సాధించబడుతుంది, ముఖ్యంగా:
[…] 3) సమాచార భద్రతను ఉపయోగించడం అంటే ఏర్పాటు చేసిన విధానానికి అనుగుణంగా సమ్మతి అంచనా విధానాన్ని ఆమోదించడం.
В చట్టపరమైన అవసరాలకు అనుగుణంగా అంచనా వేయడానికి ప్రక్రియను ఆమోదించిన సమాచార భద్రతా సాధనాలను ఉపయోగించాల్సిన అవసరం కూడా ఉంది:
[…] సమాచార భద్రత రంగంలో రష్యన్ ఫెడరేషన్ యొక్క చట్టం యొక్క అవసరాలకు అనుగుణంగా అంచనా వేసే విధానాన్ని ఆమోదించిన సమాచార భద్రతా సాధనాల ఉపయోగం, ప్రస్తుత బెదిరింపులను తటస్తం చేయడానికి అటువంటి మార్గాల ఉపయోగం అవసరమైన సందర్భాలలో.
PP-1119 పేరాను ఆచరణాత్మకంగా నకిలీ చేస్తుంది:
వ్యక్తిగత డేటా యొక్క భద్రతను నిర్ధారించే చర్యలు, అటువంటి సాధనాల ఉపయోగం అవసరమైన సందర్భాల్లో, ఏర్పాటు చేసిన విధానానికి అనుగుణంగా అనుగుణ్యత అంచనా విధానాన్ని ఆమోదించిన సమాచార వ్యవస్థలో సమాచార భద్రతా సాధనాలను ఉపయోగించడం ద్వారా ఇతర అంశాలలో అమలు చేయబడుతుంది. వ్యక్తిగత డేటా భద్రతకు ప్రస్తుత బెదిరింపులను తటస్తం చేయండి.
ఈ సూత్రీకరణలకు ఉమ్మడిగా ఏమి ఉంది? అది నిజం - వారికి ధృవీకరించబడిన రక్షణ పరికరాల ఉపయోగం అవసరం లేదు. వాస్తవం ఏమిటంటే, అనుగుణ్యత అంచనా యొక్క అనేక రూపాలు ఉన్నాయి (స్వచ్ఛంద లేదా తప్పనిసరి ధృవీకరణ, అనుగుణ్యత యొక్క ప్రకటన). సర్టిఫికేషన్ వాటిలో ఒకటి మాత్రమే. ఆపరేటర్ నాన్-సర్టిఫైడ్ ప్రొడక్ట్లను ఉపయోగించవచ్చు, కానీ అవి ఏదో ఒక విధమైన కన్ఫర్మిటీ అసెస్మెంట్ ప్రొసీజర్కు గురయ్యాయని తనిఖీ చేసిన తర్వాత రెగ్యులేటర్కు ప్రదర్శించాల్సి ఉంటుంది.
ఆపరేటర్ ధృవీకరించబడిన రక్షణ పరికరాలను ఉపయోగించాలని నిర్ణయించుకుంటే, అల్ట్రాసౌండ్ రక్షణకు అనుగుణంగా సమాచార రక్షణ వ్యవస్థను ఎంచుకోవడం అవసరం, ఇది స్పష్టంగా సూచించబడుతుంది. :
వ్యక్తిగత డేటాను రక్షించడానికి సాంకేతిక చర్యలు అవసరమైన భద్రతా విధులను కలిగి ఉన్న సాఫ్ట్వేర్ (హార్డ్వేర్) సాధనాలతో సహా సమాచార భద్రతా సాధనాలను ఉపయోగించడం ద్వారా అమలు చేయబడతాయి.
సమాచార వ్యవస్థలలో సమాచార భద్రతా అవసరాలకు అనుగుణంగా ధృవీకరించబడిన సమాచార భద్రతా సాధనాలను ఉపయోగిస్తున్నప్పుడు:
వాస్తవికత: ధృవీకరించబడిన రక్షణ పరికరాలను తప్పనిసరిగా ఉపయోగించడం చట్టం అవసరం లేదు.
అపోహ 6. నాకు క్రిప్టో రక్షణ అవసరం
ఇక్కడ కొన్ని సూక్ష్మ నైపుణ్యాలు ఉన్నాయి:
- ఏదైనా ISPDకి క్రిప్టోగ్రఫీ తప్పనిసరి అని చాలా మంది నమ్ముతారు. వాస్తవానికి, క్రిప్టోగ్రఫీని ఉపయోగించకుండా ఆపరేటర్ తనకు ఏ ఇతర రక్షణ చర్యలను చూడనట్లయితే మాత్రమే వాటిని ఉపయోగించాలి.
- మీరు క్రిప్టోగ్రఫీ లేకుండా చేయలేకపోతే, మీరు FSBచే ధృవీకరించబడిన CIPFని ఉపయోగించాలి.
- ఉదాహరణకు, మీరు సర్వీస్ ప్రొవైడర్ యొక్క క్లౌడ్లో ISPDని హోస్ట్ చేయాలని నిర్ణయించుకున్నారు, కానీ మీరు దానిని విశ్వసించరు. మీరు మీ ఆందోళనలను ముప్పు మరియు చొరబాటు నమూనాలో వివరిస్తారు. మీకు వ్యక్తిగత డేటా ఉంది, కాబట్టి మిమ్మల్ని మీరు రక్షించుకోవడానికి క్రిప్టోగ్రఫీ మాత్రమే మార్గమని మీరు నిర్ణయించుకున్నారు: మీరు వర్చువల్ మిషన్లను గుప్తీకరిస్తారు, క్రిప్టోగ్రాఫిక్ రక్షణను ఉపయోగించి సురక్షిత ఛానెల్లను నిర్మిస్తారు. ఈ సందర్భంలో, మీరు రష్యా యొక్క FSB ద్వారా ధృవీకరించబడిన CIPFని ఉపయోగించాలి.
- సర్టిఫైడ్ CIPF ప్రకారం నిర్దిష్ట స్థాయి భద్రతకు అనుగుణంగా ఎంపిక చేస్తారు .
UZ-3తో ISPDn కోసం, మీరు KS1, KS2, KS3ని ఉపయోగించవచ్చు. KS1, ఉదాహరణకు, ఛానెల్లను రక్షించడానికి C-Terra వర్చువల్ గేట్వే 4.2.
KC2, KS3 సాఫ్ట్వేర్ మరియు హార్డ్వేర్ సిస్టమ్ల ద్వారా మాత్రమే సూచించబడతాయి, అవి: ViPNet కోఆర్డినేటర్, APKSH "కాంటినెంట్", S-టెర్రా గేట్వే మొదలైనవి.
మీకు UZ-2 లేదా 1 ఉంటే, మీకు KV1, 2 మరియు KA క్లాస్ల క్రిప్టోగ్రాఫిక్ రక్షణ సాధనాలు అవసరం. ఇవి నిర్దిష్ట సాఫ్ట్వేర్ మరియు హార్డ్వేర్ సిస్టమ్లు, అవి ఆపరేట్ చేయడం కష్టం మరియు వాటి పనితీరు లక్షణాలు నిరాడంబరంగా ఉంటాయి.
వాస్తవికత: FSBచే ధృవీకరించబడిన CIPF వినియోగాన్ని చట్టం నిర్బంధించదు.
మూలం: www.habr.com