สวัสดีทุกคน! ฉันบริหาร DataLine Cyber Defense Center ลูกค้ามาหาเราโดยมีหน้าที่ปฏิบัติตามข้อกำหนดของ 152-FZ ในระบบคลาวด์หรือบนโครงสร้างพื้นฐานทางกายภาพ
ในเกือบทุกโครงการ มีความจำเป็นต้องดำเนินงานด้านการศึกษาเพื่อหักล้างความเชื่อผิด ๆ เกี่ยวกับกฎหมายนี้ ฉันได้รวบรวมความเข้าใจผิดที่พบบ่อยที่สุดซึ่งอาจส่งผลเสียต่องบประมาณและระบบประสาทของผู้ดำเนินการข้อมูลส่วนบุคคล ฉันจะจองทันทีว่ากรณีของสำนักงานของรัฐ (GIS) ที่เกี่ยวข้องกับความลับของรัฐ KII ฯลฯ จะยังคงอยู่นอกขอบเขตของบทความนี้
เรื่องที่ 1 ฉันติดตั้งโปรแกรมป้องกันไวรัส ไฟร์วอลล์ และล้อมชั้นวางด้วยรั้ว ฉันปฏิบัติตามกฎหมายหรือไม่?
152-FZ ไม่ได้เกี่ยวกับการปกป้องระบบและเซิร์ฟเวอร์ แต่เกี่ยวกับการปกป้องข้อมูลส่วนบุคคลของอาสาสมัคร ดังนั้นการปฏิบัติตาม 152-FZ ไม่ได้เริ่มต้นด้วยโปรแกรมป้องกันไวรัส แต่ด้วยกระดาษจำนวนมากและปัญหาขององค์กร
ผู้ตรวจสอบหลัก Roskomnadzor จะไม่พิจารณาถึงการมีอยู่และเงื่อนไขของวิธีการป้องกันทางเทคนิค แต่พิจารณาพื้นฐานทางกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคล (PD):
- คุณเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ใด
- ไม่ว่าคุณจะรวบรวมสิ่งเหล่านี้มากกว่าที่คุณต้องการเพื่อวัตถุประสงค์ของคุณหรือไม่
- คุณเก็บข้อมูลส่วนตัวไว้นานแค่ไหน
- มีนโยบายในการประมวลผลข้อมูลส่วนบุคคลหรือไม่
- คุณกำลังรวบรวมความยินยอมในการประมวลผลข้อมูลส่วนบุคคล การถ่ายโอนข้ามพรมแดน การประมวลผลโดยบุคคลที่สาม ฯลฯ
คำตอบสำหรับคำถามเหล่านี้ตลอดจนกระบวนการต่างๆ ควรบันทึกไว้ในเอกสารที่เหมาะสม ต่อไปนี้ยังห่างไกลจากรายการสิ่งที่ผู้ดำเนินการข้อมูลส่วนบุคคลต้องเตรียม:
- แบบฟอร์มยินยอมมาตรฐานสำหรับการประมวลผลข้อมูลส่วนบุคคล (นี่คือเอกสารที่เราเซ็นชื่อเกือบทุกที่ที่เราทิ้งชื่อนามสกุลและรายละเอียดหนังสือเดินทางไว้)
- นโยบายของผู้ประกอบการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล ( มีคำแนะนำในการออกแบบ)
- คำสั่งแต่งตั้งผู้รับผิดชอบในการจัดการประมวลผลข้อมูลส่วนบุคคล
- รายละเอียดงานของผู้รับผิดชอบในการจัดการประมวลผลข้อมูลส่วนบุคคล
- กฎเกณฑ์สำหรับการควบคุมภายในและ (หรือ) การตรวจสอบการปฏิบัติตามการประมวลผล PD ตามข้อกำหนดทางกฎหมาย
- รายชื่อระบบข้อมูลข้อมูลส่วนบุคคล (ISPD)
- กฎข้อบังคับในการให้บุคคลเข้าถึงข้อมูลส่วนบุคคลของเขาได้
- ระเบียบการสอบสวนเหตุการณ์
- คำสั่งการรับพนักงานเข้าสู่การประมวลผลข้อมูลส่วนบุคคล
- กฎระเบียบสำหรับการโต้ตอบกับหน่วยงานกำกับดูแล
- แจ้ง RKN เป็นต้น
- แบบฟอร์มคำสั่งสำหรับการประมวลผล PD
- รูปแบบภัยคุกคาม ISPD
หลังจากแก้ไขปัญหาเหล่านี้แล้ว คุณสามารถเริ่มเลือกมาตรการและวิธีการทางเทคนิคที่เฉพาะเจาะจงได้ สิ่งที่คุณต้องการขึ้นอยู่กับระบบ สภาพการทำงาน และภัยคุกคามในปัจจุบัน แต่จะเพิ่มเติมในภายหลัง
ความเป็นจริง: การปฏิบัติตามกฎหมายคือการจัดตั้งและการปฏิบัติตามกระบวนการบางอย่างประการแรกและประการที่สองเท่านั้น - การใช้วิธีการทางเทคนิคพิเศษ
เรื่องที่ 2 ฉันจัดเก็บข้อมูลส่วนบุคคลไว้ในระบบคลาวด์ ซึ่งเป็นศูนย์ข้อมูลที่ตรงตามข้อกำหนดของ 152-FZ ตอนนี้พวกเขามีหน้าที่รับผิดชอบในการบังคับใช้กฎหมาย
เมื่อคุณว่าจ้างบุคคลภายนอกในการจัดเก็บข้อมูลส่วนบุคคลให้กับผู้ให้บริการระบบคลาวด์หรือศูนย์ข้อมูล คุณจะไม่หยุดเป็นผู้ดำเนินการข้อมูลส่วนบุคคล
ให้เราเรียกคำจำกัดความจากกฎหมายเพื่อขอความช่วยเหลือ:
การประมวลผลข้อมูลส่วนบุคคล – การกระทำ (การดำเนินการ) หรือชุดการดำเนินการ (การดำเนินการ) ใด ๆ ที่ดำเนินการโดยใช้เครื่องมืออัตโนมัติหรือไม่ใช้เครื่องมือดังกล่าวกับข้อมูลส่วนบุคคล รวมถึงการรวบรวม การบันทึก การจัดระบบ การสะสม การจัดเก็บ การชี้แจง (การอัปเดต การเปลี่ยนแปลง) การสกัด การใช้ การถ่ายโอน (การกระจาย การจัดเตรียม การเข้าถึง) การลดความเป็นส่วนบุคคล การบล็อก การลบ การทำลายข้อมูลส่วนบุคคล
ที่มา: บทความ 3,
จากการกระทำทั้งหมดนี้ ผู้ให้บริการมีหน้าที่รับผิดชอบในการจัดเก็บและทำลายข้อมูลส่วนบุคคล (เมื่อลูกค้ายกเลิกสัญญากับเขา) ทุกสิ่งทุกอย่างได้รับการจัดเตรียมโดยผู้ดำเนินการข้อมูลส่วนบุคคล ซึ่งหมายความว่าผู้ดำเนินการ ไม่ใช่ผู้ให้บริการ จะกำหนดนโยบายในการประมวลผลข้อมูลส่วนบุคคล ได้รับความยินยอมที่ลงนามแล้วสำหรับการประมวลผลข้อมูลส่วนบุคคลจากลูกค้า ป้องกันและตรวจสอบกรณีการรั่วไหลของข้อมูลส่วนบุคคลไปยังบุคคลที่สาม และอื่นๆ
ดังนั้น ผู้ดำเนินการข้อมูลส่วนบุคคลยังคงต้องรวบรวมเอกสารที่ระบุไว้ข้างต้น และใช้มาตรการขององค์กรและทางเทคนิคเพื่อปกป้อง PDIS ของตน
โดยทั่วไป ผู้ให้บริการช่วยเหลือผู้ปฏิบัติงานโดยรับรองการปฏิบัติตามข้อกำหนดทางกฎหมายในระดับโครงสร้างพื้นฐานที่ ISPD ของผู้ปฏิบัติงานจะตั้งอยู่: ชั้นวางพร้อมอุปกรณ์หรือระบบคลาวด์ นอกจากนี้เขายังรวบรวมชุดเอกสาร ใช้มาตรการเชิงองค์กรและทางเทคนิคสำหรับโครงสร้างพื้นฐานของเขาตาม 152-FZ
ผู้ให้บริการบางรายให้ความช่วยเหลือด้านเอกสารและจัดเตรียมมาตรการรักษาความปลอดภัยทางเทคนิคสำหรับ ISDN ด้วยตนเอง กล่าวคือ ในระดับที่สูงกว่าโครงสร้างพื้นฐาน ผู้ปฏิบัติงานสามารถจ้างบุคคลภายนอกเพื่อทำงานเหล่านี้ได้ แต่ความรับผิดชอบและภาระผูกพันตามกฎหมายจะไม่หายไป
ความเป็นจริง: ด้วยการใช้บริการของผู้ให้บริการหรือศูนย์ข้อมูล คุณจะไม่สามารถถ่ายโอนความรับผิดชอบของผู้ดำเนินการข้อมูลส่วนบุคคลไปให้เขาและกำจัดความรับผิดชอบได้ หากผู้ให้บริการสัญญากับคุณเช่นนี้ พูดง่ายๆ ก็คือเขากำลังโกหก
เรื่องที่ 3 ฉันมีชุดเอกสารและมาตรการที่จำเป็น ฉันจัดเก็บข้อมูลส่วนบุคคลไว้กับผู้ให้บริการที่สัญญาว่าจะปฏิบัติตาม 152-FZ ทุกอย่างเป็นระเบียบใช่ไหม?
ใช่ ถ้าคุณลืมที่จะลงนามในคำสั่ง ตามกฎหมายแล้ว ผู้ดำเนินการสามารถมอบความไว้วางใจในการประมวลผลข้อมูลส่วนบุคคลให้กับบุคคลอื่น เช่น ผู้ให้บริการรายเดียวกัน คำสั่งซื้อเป็นข้อตกลงประเภทหนึ่งที่แสดงรายการสิ่งที่ผู้ให้บริการสามารถทำได้กับข้อมูลส่วนบุคคลของผู้ให้บริการ
ผู้ดำเนินการมีสิทธิ์ที่จะมอบความไว้วางใจในการประมวลผลข้อมูลส่วนบุคคลให้กับบุคคลอื่นโดยได้รับความยินยอมจากเรื่องของข้อมูลส่วนบุคคลเว้นแต่จะกำหนดไว้เป็นอย่างอื่นโดยกฎหมายของรัฐบาลกลางบนพื้นฐานของข้อตกลงที่สรุปกับบุคคลนี้รวมถึงสัญญาของรัฐหรือเทศบาล หรือโดยการยอมรับการกระทำที่เกี่ยวข้องโดยหน่วยงานของรัฐหรือเทศบาล (ต่อไปนี้จะเรียกว่าผู้ดำเนินการที่ได้รับมอบหมาย) บุคคลที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ดำเนินการมีหน้าที่ต้องปฏิบัติตามหลักการและกฎเกณฑ์ในการประมวลผลข้อมูลส่วนบุคคลที่กำหนดโดยกฎหมายของรัฐบาลกลางนี้
ที่มา:
ภาระผูกพันของผู้ให้บริการในการรักษาความลับของข้อมูลส่วนบุคคลและรับรองความปลอดภัยตามข้อกำหนดที่ระบุด้วย:
คำสั่งของผู้ดำเนินการจะต้องกำหนดรายการการดำเนินการ (การดำเนินการ) พร้อมข้อมูลส่วนบุคคลที่บุคคลที่ประมวลผลข้อมูลส่วนบุคคลและวัตถุประสงค์ในการประมวลผลจะดำเนินการโดยจะต้องกำหนดภาระผูกพันของบุคคลดังกล่าวเพื่อรักษาความลับของข้อมูลส่วนบุคคลและรับรองว่า ต้องระบุความปลอดภัยของข้อมูลส่วนบุคคลในระหว่างการประมวลผลตลอดจนข้อกำหนดสำหรับการปกป้องข้อมูลส่วนบุคคลที่ถูกประมวลผลตามนั้น ของกฎหมายของรัฐบาลกลางนี้
ที่มา:
ด้วยเหตุนี้ ผู้ให้บริการจะต้องรับผิดชอบต่อผู้ปฏิบัติงาน ไม่ใช่เรื่องของข้อมูลส่วนบุคคล:
หากผู้ดำเนินการมอบหมายให้บุคคลอื่นประมวลผลข้อมูลส่วนบุคคล ผู้ดำเนินการจะต้องรับผิดชอบต่อข้อมูลส่วนบุคคลสำหรับการกระทำของบุคคลที่ระบุ บุคคลที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ดำเนินการจะต้องรับผิดชอบต่อผู้ดำเนินการ
ที่มา: .
สิ่งสำคัญคือต้องกำหนดลำดับข้อผูกพันเพื่อให้แน่ใจว่ามีการคุ้มครองข้อมูลส่วนบุคคล:
ความปลอดภัยของข้อมูลส่วนบุคคลเมื่อประมวลผลในระบบข้อมูลนั้นรับประกันโดยผู้ดำเนินการของระบบนี้ ซึ่งประมวลผลข้อมูลส่วนบุคคล (ต่อไปนี้จะเรียกว่าผู้ดำเนินการ) หรือโดยบุคคลที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ดำเนินการบนพื้นฐานของ ข้อตกลงที่ทำกับบุคคลนี้ (ต่อไปนี้จะเรียกว่าผู้มีอำนาจ) ข้อตกลงระหว่างผู้ดำเนินการกับผู้มีอำนาจจะต้องจัดให้มีภาระหน้าที่ของผู้มีอำนาจในการรับรองความปลอดภัยของข้อมูลส่วนบุคคลเมื่อประมวลผลในระบบข้อมูล
ที่มา:
ความเป็นจริง: หากคุณให้ข้อมูลส่วนบุคคลแก่ผู้ให้บริการ ให้ลงนามในคำสั่ง ตามลำดับ ให้ระบุข้อกำหนดเพื่อให้แน่ใจว่ามีการคุ้มครองข้อมูลส่วนบุคคลของอาสาสมัคร มิฉะนั้น คุณจะไม่ปฏิบัติตามกฎหมายเกี่ยวกับการถ่ายโอนงานประมวลผลข้อมูลส่วนบุคคลไปยังบุคคลที่สาม และผู้ให้บริการไม่ได้เป็นหนี้คุณใด ๆ เกี่ยวกับการปฏิบัติตาม 152-FZ
ตำนานที่ 4 มอสสาดกำลังสอดแนมฉัน หรือฉันมี UZ-1 อย่างแน่นอน
ลูกค้าบางรายพิสูจน์อย่างต่อเนื่องว่าตนมี ISPD ระดับความปลอดภัย 1 หรือ 2 โดยส่วนใหญ่มักไม่เป็นเช่นนั้น จำฮาร์ดแวร์ไว้เพื่อดูว่าเหตุใดจึงเกิดเหตุการณ์เช่นนี้
LO หรือระดับความปลอดภัยจะกำหนดว่าคุณจะปกป้องข้อมูลส่วนบุคคลของคุณจากอะไร
ระดับความปลอดภัยได้รับผลกระทบจากประเด็นต่อไปนี้:
- ประเภทของข้อมูลส่วนบุคคล (พิเศษ ไบโอเมตริกซ์ ที่เปิดเผยต่อสาธารณะ และอื่นๆ)
- ใครเป็นเจ้าของข้อมูลส่วนบุคคล - พนักงานหรือไม่ใช่พนักงานของผู้ดำเนินการข้อมูลส่วนบุคคล
- จำนวนเจ้าของข้อมูลส่วนบุคคล - มากกว่าหรือน้อยกว่า 100
- ประเภทของภัยคุกคามในปัจจุบัน
บอกเราเกี่ยวกับประเภทของภัยคุกคาม . นี่คือคำอธิบายของแต่ละรายการพร้อมการแปลเป็นภาษามนุษย์ฟรีของฉัน
ภัยคุกคามประเภท 1 มีความเกี่ยวข้องกับระบบข้อมูล หากภัยคุกคามที่เกี่ยวข้องกับความสามารถที่ไม่มีเอกสาร (ไม่ได้ประกาศ) ในซอฟต์แวร์ระบบที่ใช้ในระบบสารสนเทศก็มีความเกี่ยวข้องเช่นกัน
หากคุณรับรู้ว่าภัยคุกคามประเภทนี้มีความเกี่ยวข้อง แสดงว่าคุณเชื่อมั่นว่าเจ้าหน้าที่ของ CIA, MI6 หรือ MOSSAD ได้วางบุ๊กมาร์กไว้ในระบบปฏิบัติการเพื่อขโมยข้อมูลส่วนบุคคลของหัวข้อเฉพาะจาก ISPD ของคุณ
ภัยคุกคามประเภทที่ 2 มีความเกี่ยวข้องกับระบบสารสนเทศ หากภัยคุกคามที่เกี่ยวข้องกับการมีความสามารถที่ไม่มีเอกสาร (ไม่ได้ประกาศ) ในแอพพลิเคชั่นซอฟต์แวร์ที่ใช้ในระบบสารสนเทศก็มีความเกี่ยวข้องเช่นกัน
หากคุณคิดว่าภัยคุกคามประเภทที่สองเป็นกรณีของคุณ คุณก็หลับไปและดูว่าเจ้าหน้าที่คนเดียวกันของ CIA, MI6, MOSSAD, แฮ็กเกอร์หรือกลุ่มผู้ชั่วร้ายเพียงผู้เดียวได้วางบุ๊กมาร์กไว้ในแพ็คเกจซอฟต์แวร์สำนักงานบางตัวเพื่อตามล่าหาอย่างแน่นอน ข้อมูลส่วนบุคคลของคุณ ใช่ มีซอฟต์แวร์แอปพลิเคชันที่น่าสงสัยเช่น μTorrent แต่คุณสามารถสร้างรายการซอฟต์แวร์ที่ได้รับอนุญาตสำหรับการติดตั้งและลงนามข้อตกลงกับผู้ใช้ ไม่ให้สิทธิ์ผู้ดูแลระบบท้องถิ่นแก่ผู้ใช้ เป็นต้น
ภัยคุกคามประเภท 3 มีความเกี่ยวข้องกับระบบข้อมูล หากภัยคุกคามที่ไม่เกี่ยวข้องกับการมีความสามารถที่ไม่มีเอกสาร (ไม่ได้ประกาศ) ในระบบและซอฟต์แวร์แอพพลิเคชั่นที่ใช้ในระบบสารสนเทศมีความเกี่ยวข้อง
ภัยคุกคามประเภท 1 และ 2 ไม่เหมาะกับคุณ ดังนั้น ที่นี่คือที่สำหรับคุณ
เราได้แยกแยะประเภทของภัยคุกคามแล้ว มาดูกันว่า ISPD ของเราจะมีระดับความปลอดภัยระดับใด
ตารางตามจดหมายที่ระบุใน .
หากเราเลือกภัยคุกคามจริงประเภทที่สาม ในกรณีส่วนใหญ่เราจะมี UZ-3 ข้อยกเว้นประการเดียวเมื่อภัยคุกคามประเภท 1 และ 2 ไม่เกี่ยวข้องแต่ระดับความปลอดภัยจะยังคงสูง (UZ-2) คือบริษัทที่ประมวลผลข้อมูลส่วนบุคคลพิเศษของผู้ที่ไม่ใช่พนักงานในจำนวนมากกว่า 100 สำหรับ ตัวอย่างเช่น บริษัทที่เกี่ยวข้องกับการวินิจฉัยทางการแพทย์และการให้บริการทางการแพทย์
นอกจากนี้ยังมี UZ-4 และส่วนใหญ่พบในบริษัทที่ธุรกิจไม่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของผู้ที่ไม่ใช่พนักงาน เช่น ลูกค้าหรือผู้รับเหมา หรือฐานข้อมูลส่วนบุคคลมีขนาดเล็ก
เหตุใดจึงสำคัญที่จะไม่หักโหมกับระดับความปลอดภัย? ง่ายมาก: ชุดมาตรการและวิธีการป้องกันเพื่อให้แน่ใจว่าการรักษาความปลอดภัยระดับนี้จะขึ้นอยู่กับสิ่งนี้ ยิ่งระดับความรู้สูงขึ้นเท่าใด จะต้องดำเนินการมากขึ้นทั้งในแง่องค์กรและทางเทคนิค (อ่าน: ยิ่งต้องใช้เงินและความเครียดมากขึ้น)
ตัวอย่างเช่น ชุดมาตรการรักษาความปลอดภัยมีการเปลี่ยนแปลงอย่างไรตาม PP-1119 เดียวกัน
ตอนนี้เรามาดูกันว่ารายการมาตรการที่จำเป็นจะเปลี่ยนแปลงไปตามระดับความปลอดภัยที่เลือกอย่างไร มีภาคผนวกยาวๆ ในเอกสารนี้ ซึ่งกำหนดมาตรการที่จำเป็น มีทั้งหมด 109 รายการ โดยสำหรับมาตรการบังคับ KM แต่ละอันจะมีการกำหนดและทำเครื่องหมายด้วยเครื่องหมาย "+" - จะถูกคำนวณอย่างแม่นยำในตารางด้านล่าง หากคุณทิ้งเฉพาะสิ่งที่จำเป็นสำหรับ UZ-3 คุณจะได้รับ 4
ความเป็นจริง: หากคุณไม่รวบรวมการทดสอบหรือไบโอเมตริกซ์จากลูกค้า คุณจะไม่หวาดระแวงเกี่ยวกับบุ๊กมาร์กในระบบและซอฟต์แวร์แอปพลิเคชัน เป็นไปได้ว่าคุณมี UZ-3 มีรายการมาตรการเชิงองค์กรและทางเทคนิคที่สมเหตุสมผลซึ่งสามารถนำไปปฏิบัติได้จริง
เรื่องที่ 5 วิธีการปกป้องข้อมูลส่วนบุคคลทั้งหมดต้องได้รับการรับรองโดย FSTEC ของรัสเซีย
หากคุณต้องการหรือจำเป็นต้องดำเนินการรับรอง คุณจะต้องใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง การรับรองจะดำเนินการโดยผู้รับอนุญาตของ FSTEC แห่งรัสเซีย ซึ่ง:
- สนใจจำหน่ายอุปกรณ์ป้องกันข้อมูลที่ได้รับการรับรองเพิ่มเติม
- จะกลัวใบอนุญาตจะถูกเพิกถอนโดยหน่วยงานกำกับดูแลหากมีสิ่งผิดปกติเกิดขึ้น
หากคุณไม่ต้องการการรับรองและพร้อมที่จะยืนยันการปฏิบัติตามข้อกำหนดในอีกทางหนึ่งโดยระบุชื่อไว้ “การประเมินประสิทธิผลของมาตรการที่ใช้ภายในระบบป้องกันข้อมูลส่วนบุคคลเพื่อให้มั่นใจในความปลอดภัยของข้อมูลส่วนบุคคล” ดังนั้นระบบรักษาความปลอดภัยข้อมูลที่ได้รับการรับรองจึงไม่จำเป็นสำหรับคุณ ฉันจะพยายามอธิบายเหตุผลโดยย่อ
В ระบุว่าจำเป็นต้องใช้อุปกรณ์ป้องกันที่ผ่านขั้นตอนการประเมินความสอดคล้องตามขั้นตอนที่กำหนด:
รับประกันความปลอดภัยของข้อมูลส่วนบุคคล โดยเฉพาะ:
[... ]
3)применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
В นอกจากนี้ยังมีข้อกำหนดให้ใช้เครื่องมือรักษาความปลอดภัยข้อมูลที่ผ่านขั้นตอนการประเมินการปฏิบัติตามข้อกำหนดทางกฎหมาย:
[... ]
использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
ทำซ้ำย่อหน้า PP-1119 จริง:
มาตรการรับรองการรักษาความปลอดภัยของข้อมูลส่วนบุคคล ผ่านการใช้เครื่องมือรักษาความปลอดภัยข้อมูลในระบบสารสนเทศที่ผ่านขั้นตอนการประเมินความสอดคล้องตามขั้นตอนที่กำหนด ในกรณีที่จำเป็นต้องใช้เครื่องมือดังกล่าวเพื่อ ต่อต้านภัยคุกคามในปัจจุบันต่อความปลอดภัยของข้อมูลส่วนบุคคล
สูตรเหล่านี้มีอะไรเหมือนกัน? ถูกต้อง - พวกเขาไม่จำเป็นต้องใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง ความจริงก็คือการประเมินความสอดคล้องมีหลายรูปแบบ (การรับรองโดยสมัครใจหรือบังคับการประกาศความสอดคล้อง) การรับรองเป็นเพียงหนึ่งในนั้น ผู้ปฏิบัติงานอาจใช้ผลิตภัณฑ์ที่ไม่ได้รับการรับรอง แต่จะต้องแสดงต่อหน่วยงานกำกับดูแลเมื่อมีการตรวจสอบว่าได้ผ่านขั้นตอนการประเมินความสอดคล้องบางรูปแบบแล้ว
หากผู้ปฏิบัติงานตัดสินใจใช้อุปกรณ์ป้องกันที่ได้รับการรับรองก็จำเป็นต้องเลือกระบบป้องกันข้อมูลให้สอดคล้องกับการป้องกันอัลตราซาวนด์ที่ระบุไว้อย่างชัดเจนใน :
มาตรการทางเทคนิคเพื่อปกป้องข้อมูลส่วนบุคคลจะดำเนินการผ่านการใช้เครื่องมือรักษาความปลอดภัยข้อมูล รวมถึงเครื่องมือซอฟต์แวร์ (ฮาร์ดแวร์) ที่ใช้งาน ซึ่งมีฟังก์ชันความปลอดภัยที่จำเป็น
เมื่อใช้เครื่องมือรักษาความปลอดภัยข้อมูลที่ได้รับการรับรองตามข้อกำหนดด้านความปลอดภัยข้อมูลในระบบสารสนเทศ:
ความเป็นจริง: กฎหมายไม่จำเป็นต้องใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง
เรื่องที่ 6 ฉันต้องการการป้องกันการเข้ารหัสลับ
มีความแตกต่างเล็กน้อยที่นี่:
- หลายๆ คนเชื่อว่าการเข้ารหัสเป็นสิ่งจำเป็นสำหรับ ISPD ในความเป็นจริง ควรใช้เฉพาะในกรณีที่ผู้ปฏิบัติงานไม่เห็นมาตรการป้องกันอื่นใดสำหรับตนเอง นอกเหนือจากการใช้การเข้ารหัส
- หากคุณไม่สามารถทำได้หากไม่มีการเข้ารหัส คุณต้องใช้ CIPF ที่ได้รับการรับรองโดย FSB
- ตัวอย่างเช่น คุณตัดสินใจที่จะโฮสต์ ISPD ในระบบคลาวด์ของผู้ให้บริการ แต่คุณไม่เชื่อถือ คุณอธิบายข้อกังวลของคุณในรูปแบบภัยคุกคามและผู้บุกรุก คุณมีข้อมูลส่วนบุคคล ดังนั้นคุณจึงตัดสินใจว่าการเข้ารหัสเป็นวิธีเดียวที่จะป้องกันตัวคุณเอง: คุณจะเข้ารหัสเครื่องเสมือน สร้างช่องทางที่ปลอดภัยโดยใช้การป้องกันการเข้ารหัส ในกรณีนี้ คุณจะต้องใช้ CIPF ที่ได้รับการรับรองโดย FSB ของรัสเซีย
- CIPF ที่ผ่านการรับรองจะถูกเลือกตามระดับความปลอดภัยที่กำหนดตาม .
สำหรับ ISPDn ที่มี UZ-3 คุณสามารถใช้ KS1, KS2, KS3 ได้ ตัวอย่างเช่น KS1 คือ C-Terra Virtual Gateway 4.2 สำหรับการปกป้องช่องสัญญาณ
KC2, KS3 นำเสนอโดยระบบซอฟต์แวร์และฮาร์ดแวร์เท่านั้น เช่น: ViPNet Coordinator, APKSH "Continent", S-Terra Gateway เป็นต้น
หากคุณมี UZ-2 หรือ 1 คุณจะต้องมีเครื่องมือป้องกันการเข้ารหัสของคลาส KV1, 2 และ KA เหล่านี้เป็นระบบซอฟต์แวร์และฮาร์ดแวร์เฉพาะ ใช้งานยาก และคุณลักษณะด้านประสิทธิภาพยังพอประมาณ
ความเป็นจริง: กฎหมายไม่ได้บังคับให้ใช้ CIPF ที่ได้รับการรับรองโดย FSB
ที่มา: will.com