152-FZ کے بارے میں خرافات، جو ذاتی ڈیٹا آپریٹر کے لیے مہنگی ہو سکتی ہیں۔

سب کو سلام! میں ڈیٹا لائن سائبر ڈیفنس سینٹر چلاتا ہوں۔ گاہک ہمارے پاس کلاؤڈ میں یا فزیکل انفراسٹرکچر پر 152-FZ کی ضروریات کو پورا کرنے کا کام لے کر آتے ہیں۔
تقریباً ہر پروجیکٹ میں اس قانون کے گرد موجود خرافات کو ختم کرنے کے لیے تعلیمی کام کرنا ضروری ہے۔ میں نے سب سے عام غلط فہمیاں جمع کی ہیں جو ذاتی ڈیٹا آپریٹر کے بجٹ اور اعصابی نظام کے لیے مہنگی ہو سکتی ہیں۔ میں فوری طور پر ایک ریزرویشن کروں گا کہ ریاستی رازوں، KII وغیرہ سے نمٹنے والے ریاستی دفاتر (GIS) کے معاملات اس مضمون کے دائرہ کار سے باہر رہیں گے۔

افسانہ 1۔ میں نے ایک اینٹی وائرس، ایک فائر وال نصب کیا، اور ریکوں کو باڑ سے گھیر لیا۔ کیا میں قانون کی پیروی کر رہا ہوں؟

152-FZ سسٹمز اور سرورز کے تحفظ کے بارے میں نہیں ہے بلکہ مضامین کے ذاتی ڈیٹا کے تحفظ کے بارے میں ہے۔ لہذا، 152-FZ کی تعمیل اینٹی وائرس سے نہیں بلکہ کاغذ کے ٹکڑوں کی ایک بڑی تعداد اور تنظیمی مسائل سے شروع ہوتی ہے۔
مرکزی انسپکٹر، Roskomnadzor، تحفظ کے تکنیکی ذرائع کی موجودگی اور حالت کو نہیں دیکھے گا، بلکہ ذاتی ڈیٹا (PD) کی پروسیسنگ کی قانونی بنیاد پر:

• آپ کس مقصد کے لیے ذاتی ڈیٹا اکٹھا کرتے ہیں؛  
• چاہے آپ ان میں سے اپنے مقاصد کے لیے ضرورت سے زیادہ جمع کرتے ہیں۔
• آپ کتنی دیر تک ذاتی ڈیٹا ذخیرہ کرتے ہیں؛
• کیا ذاتی ڈیٹا پر کارروائی کے لیے کوئی پالیسی ہے؟
• کیا آپ ذاتی ڈیٹا پروسیسنگ، سرحد پار منتقلی، فریق ثالث کے ذریعے پروسیسنگ وغیرہ کے لیے رضامندی جمع کر رہے ہیں؟

ان سوالات کے جوابات کے ساتھ ساتھ خود عمل کو بھی مناسب دستاویزات میں ریکارڈ کیا جانا چاہیے۔ ذاتی ڈیٹا آپریٹر کو کیا تیار کرنے کی ضرورت ہے اس کی مکمل فہرست یہاں ہے:

• ذاتی ڈیٹا کی پروسیسنگ کے لیے ایک معیاری رضامندی کا فارم (یہ وہ شیٹس ہیں جن پر اب ہم تقریباً ہر جگہ دستخط کرتے ہیں جہاں ہم اپنے مکمل نام اور پاسپورٹ کی تفصیلات چھوڑتے ہیں)۔
• ذاتی ڈیٹا کی پروسیسنگ سے متعلق آپریٹر کی پالیسی (یہاں ڈیزائن کے لئے سفارشات ہیں)۔
• ذاتی ڈیٹا کی پروسیسنگ کو منظم کرنے کے لیے ذمہ دار شخص کی تقرری کا حکم۔  
• ذاتی ڈیٹا کی پروسیسنگ کو منظم کرنے کے ذمہ دار شخص کی ملازمت کی تفصیل۔
• اندرونی کنٹرول اور (یا) قانونی تقاضوں کے ساتھ PD پروسیسنگ کی تعمیل کے آڈٹ کے قواعد۔  
• ذاتی ڈیٹا انفارمیشن سسٹم (ISPD) کی فہرست۔
• موضوع کو اس کے ذاتی ڈیٹا تک رسائی فراہم کرنے کے ضوابط۔
• واقعہ کی تفتیش کے ضابطے۔
• ذاتی ڈیٹا کی پروسیسنگ میں ملازمین کے داخلے کا حکم۔
• ریگولیٹرز کے ساتھ تعامل کے ضوابط۔  
• RKN وغیرہ کی اطلاع
• PD پروسیسنگ کے لیے ہدایات کا فارم۔
• آئی ایس پی ڈی خطرہ ماڈل۔

ان مسائل کو حل کرنے کے بعد، آپ مخصوص اقدامات اور تکنیکی ذرائع کو منتخب کرنا شروع کر سکتے ہیں۔ آپ کو جن کی ضرورت ہے اس کا انحصار سسٹمز، ان کے آپریٹنگ حالات اور موجودہ خطرات پر ہے۔ لیکن بعد میں اس پر مزید۔

حقیقت: قانون کی تعمیل بعض عملوں کا قیام اور تعمیل ہے، سب سے پہلے، اور صرف دوم - خصوصی تکنیکی ذرائع کا استعمال۔

افسانہ 2۔ میں کلاؤڈ میں ذاتی ڈیٹا اسٹور کرتا ہوں، ایک ڈیٹا سینٹر جو 152-FZ کی ضروریات کو پورا کرتا ہے۔ اب قانون نافذ کرنے کی ذمہ داری ان پر عائد ہوتی ہے۔

جب آپ ذاتی ڈیٹا کے ذخیرہ کو کلاؤڈ فراہم کنندہ یا ڈیٹا سینٹر کو آؤٹ سورس کرتے ہیں، تو آپ ذاتی ڈیٹا آپریٹر بننے سے باز نہیں آتے۔
آئیے مدد کے لیے قانون سے تعریف پر کال کریں:

ذاتی ڈیٹا کی پروسیسنگ - آٹومیشن ٹولز کا استعمال کرتے ہوئے یا ذاتی ڈیٹا کے ساتھ اس طرح کے ذرائع کے استعمال کے بغیر انجام دی جانے والی کوئی بھی کارروائی (آپریشن) یا کارروائیوں کا مجموعہ، بشمول جمع، ریکارڈنگ، نظام سازی، جمع، ذخیرہ، وضاحت (اپ ڈیٹ کرنا، تبدیل کرنا)، نکالنا، استعمال کرنا، منتقل کرنا (تقسیم، فراہمی، رسائی)، ذاتی نوعیت کا بنانا، مسدود کرنا، حذف کرنا، ذاتی ڈیٹا کو تباہ کرنا۔
ماخذ: آرٹیکل 3، 152-ایف زیڈ

ان تمام کارروائیوں میں سے، سروس فراہم کنندہ ذاتی ڈیٹا کو ذخیرہ کرنے اور تباہ کرنے کا ذمہ دار ہے (جب کلائنٹ اس کے ساتھ معاہدہ ختم کرتا ہے)۔ باقی سب کچھ ذاتی ڈیٹا آپریٹر فراہم کرتا ہے۔ اس کا مطلب یہ ہے کہ آپریٹر، نہ کہ سروس فراہم کرنے والا، ذاتی ڈیٹا پر کارروائی کے لیے پالیسی کا تعین کرتا ہے، اپنے کلائنٹس سے ذاتی ڈیٹا کی پروسیسنگ کے لیے دستخط شدہ رضامندی حاصل کرتا ہے، تیسرے فریق کو ذاتی ڈیٹا کے لیک ہونے کے معاملات کو روکتا ہے اور اس کی تحقیقات کرتا ہے، وغیرہ۔

نتیجتاً، پرسنل ڈیٹا آپریٹر کو اب بھی وہ دستاویزات جمع کرنا ہوں گی جو اوپر درج ہیں اور اپنے PDIS کی حفاظت کے لیے تنظیمی اور تکنیکی اقدامات کو نافذ کریں۔

عام طور پر، فراہم کنندہ بنیادی ڈھانچے کی سطح پر قانونی تقاضوں کی تعمیل کو یقینی بنا کر آپریٹر کی مدد کرتا ہے جہاں آپریٹر کا ISPD واقع ہوگا: آلات یا کلاؤڈ کے ساتھ ریک۔ وہ دستاویزات کا ایک پیکج بھی جمع کرتا ہے، 152-FZ کے مطابق اپنے بنیادی ڈھانچے کے لیے تنظیمی اور تکنیکی اقدامات کرتا ہے۔

کچھ فراہم کنندگان خود ISDNs کے لیے کاغذی کارروائی اور تکنیکی حفاظتی اقدامات کی فراہمی میں مدد کرتے ہیں، یعنی بنیادی ڈھانچے سے اوپر کی سطح پر۔ آپریٹر ان کاموں کو آؤٹ سورس بھی کر سکتا ہے، لیکن قانون کے تحت ذمہ داریاں اور ذمہ داریاں ختم نہیں ہوتیں۔

حقیقت: فراہم کنندہ یا ڈیٹا سینٹر کی خدمات استعمال کرنے سے، آپ اسے ذاتی ڈیٹا آپریٹر کی ذمہ داریاں منتقل نہیں کر سکتے اور ذمہ داری سے چھٹکارا حاصل نہیں کر سکتے۔ اگر فراہم کنندہ آپ سے یہ وعدہ کرتا ہے، تو اسے نرمی سے کہوں، وہ جھوٹ بول رہا ہے۔

افسانہ 3. میرے پاس دستاویزات اور اقدامات کا ضروری پیکج ہے۔ میں ایک ایسے فراہم کنندہ کے ساتھ ذاتی ڈیٹا اسٹور کرتا ہوں جو 152-FZ کی تعمیل کا وعدہ کرتا ہے۔ کیا سب کچھ ترتیب میں ہے؟

ہاں، اگر آپ کو آرڈر پر دستخط کرنا یاد ہے۔ قانون کے مطابق، آپریٹر ذاتی ڈیٹا کی پروسیسنگ کسی دوسرے شخص کو سونپ سکتا ہے، مثال کے طور پر، وہی سروس فراہم کنندہ۔ آرڈر ایک قسم کا معاہدہ ہے جو درج کرتا ہے کہ سروس فراہم کنندہ آپریٹر کے ذاتی ڈیٹا کے ساتھ کیا کرسکتا ہے۔

آپریٹر کو ذاتی ڈیٹا کی پروسیسنگ کسی دوسرے شخص کو ذاتی ڈیٹا کے موضوع کی رضامندی سے سونپنے کا حق حاصل ہے، جب تک کہ وفاقی قانون کے ذریعے دوسری صورت میں فراہم نہ کیا گیا ہو، اس شخص کے ساتھ طے شدہ معاہدے کی بنیاد پر، بشمول ریاست یا میونسپل معاہدہ، یا کسی ریاست یا میونسپل باڈی کے ذریعہ متعلقہ ایکٹ کو اپنانے سے (اس کے بعد اسائنمنٹ آپریٹر کہا جاتا ہے)۔ آپریٹر کی جانب سے ذاتی ڈیٹا پر کارروائی کرنے والا شخص اس وفاقی قانون کے ذریعے فراہم کردہ ذاتی ڈیٹا پر کارروائی کرنے کے اصولوں اور قواعد کی تعمیل کرنے کا پابند ہے۔
ماخذ: شق 3، آرٹیکل 6، 152-FZ

ذاتی ڈیٹا کی رازداری کو برقرار رکھنے اور مخصوص ضروریات کے مطابق اس کی حفاظت کو یقینی بنانے کے لیے فراہم کنندہ کی ذمہ داری بھی قائم کی گئی ہے:

آپریٹر کی ہدایات میں ذاتی ڈیٹا کے ساتھ کارروائیوں (آپریشنز) کی ایک فہرست کی وضاحت ہونی چاہیے جو ذاتی ڈیٹا پر کارروائی کرنے والے شخص کے ذریعے انجام دیے جائیں گے اور پروسیسنگ کے مقاصد، ایسے شخص کی ذمہ داری ذاتی ڈیٹا کی رازداری کو برقرار رکھنے اور اس بات کو یقینی بنانے کے لیے قائم کی جانی چاہیے۔ ان کی پروسیسنگ کے دوران ذاتی ڈیٹا کی حفاظت کے ساتھ ساتھ پراسیس شدہ ذاتی ڈیٹا کے تحفظ کے لیے تقاضوں کی بھی وضاحت کی جانی چاہیے آرٹیکل 19 اس وفاقی قانون کے.
ماخذ: شق 3، آرٹیکل 6، 152-FZ

اس کے لیے، فراہم کنندہ آپریٹر کے لیے ذمہ دار ہے، نہ کہ ذاتی ڈیٹا کے موضوع کے لیے:

اگر آپریٹر ذاتی ڈیٹا کی پروسیسنگ کسی دوسرے شخص کو سونپتا ہے، تو آپریٹر مخصوص شخص کے اعمال کے لیے ذاتی ڈیٹا کے موضوع کا ذمہ دار ہے۔ آپریٹر کی جانب سے ذاتی ڈیٹا پر کارروائی کرنے والا شخص آپریٹر کے لیے ذمہ دار ہے۔
ماخذ: 152-ایف زیڈ.

ذاتی ڈیٹا کے تحفظ کو یقینی بنانے کی ذمہ داری کو ترتیب دینا بھی ضروری ہے:

انفارمیشن سسٹم میں پروسیس ہونے پر ذاتی ڈیٹا کی حفاظت کو اس سسٹم کے آپریٹر کے ذریعے یقینی بنایا جاتا ہے، جو ذاتی ڈیٹا پر کارروائی کرتا ہے (اس کے بعد اسے آپریٹر کہا جاتا ہے) یا آپریٹر کی جانب سے ذاتی ڈیٹا پر کارروائی کرنے والے شخص کے ذریعے اس شخص کے ساتھ معاہدہ ہوا (اس کے بعد اسے مجاز شخص کہا جائے گا)۔ آپریٹر اور مجاز شخص کے درمیان معاہدہ لازمی طور پر مجاز شخص کی ذمہ داری کو فراہم کرتا ہے تاکہ معلومات کے نظام میں کارروائی کے دوران ذاتی ڈیٹا کی حفاظت کو یقینی بنایا جا سکے۔
ماخذ: روسی فیڈریشن کی حکومت کا 1 نومبر 2012 کا فرمان نمبر 1119

حقیقت: اگر آپ فراہم کنندہ کو ذاتی ڈیٹا دیتے ہیں، تو آرڈر پر دستخط کریں۔ ترتیب میں، مضامین کے ذاتی ڈیٹا کے تحفظ کو یقینی بنانے کی ضرورت کی نشاندہی کریں۔ بصورت دیگر، آپ کسی تیسرے فریق کو ذاتی ڈیٹا پروسیسنگ کے کام کی منتقلی کے حوالے سے قانون کی تعمیل نہیں کرتے ہیں، اور فراہم کنندہ آپ پر 152-FZ کی تعمیل کے حوالے سے کچھ واجب الادا نہیں ہے۔

افسانہ 4. موساد میری جاسوسی کر رہا ہے، یا میرے پاس یقینی طور پر UZ-1 ہے

کچھ صارفین مسلسل ثابت کرتے ہیں کہ ان کے پاس سیکیورٹی لیول 1 یا 2 کا ISPD ہے۔ اکثر ایسا نہیں ہوتا ہے۔ آئیے یہ معلوم کرنے کے لیے ہارڈ ویئر کو یاد رکھیں کہ ایسا کیوں ہوتا ہے۔
LO، یا سیکیورٹی کی سطح، اس بات کا تعین کرتی ہے کہ آپ اپنے ذاتی ڈیٹا کو کس چیز سے محفوظ رکھیں گے۔
سیکورٹی کی سطح درج ذیل نکات سے متاثر ہوتی ہے۔

• ذاتی ڈیٹا کی قسم (خصوصی، بائیو میٹرک، عوامی طور پر دستیاب اور دیگر)؛
• ذاتی ڈیٹا کا مالک کون ہے – ذاتی ڈیٹا آپریٹر کے ملازمین یا غیر ملازمین؛
• ذاتی ڈیٹا کے مضامین کی تعداد - کم و بیش 100 ہزار۔
• موجودہ خطرات کی اقسام

ہمیں دھمکیوں کی اقسام کے بارے میں بتاتا ہے۔ روسی فیڈریشن کی حکومت کا 1 نومبر 2012 کا فرمان نمبر 1119. یہاں انسانی زبان میں میرے مفت ترجمہ کے ساتھ ہر ایک کی تفصیل ہے۔

پہلی قسم کی دھمکیاں انفارمیشن سسٹم کے لیے متعلقہ ہیں اگر انفارمیشن سسٹم میں استعمال کیے جانے والے سسٹم سافٹ ویئر میں غیر دستاویزی (غیر اعلانیہ) صلاحیتوں کی موجودگی سے وابستہ خطرات بھی اس کے لیے متعلقہ ہوں۔

اگر آپ اس قسم کے خطرے کو متعلقہ سمجھتے ہیں، تو آپ کو پختہ یقین ہے کہ CIA، MI6 یا MOSSAD کے ایجنٹوں نے آپ کے ISPD سے مخصوص مضامین کا ذاتی ڈیٹا چرانے کے لیے آپریٹنگ سسٹم میں ایک بک مارک رکھا ہے۔

دوسری قسم کی دھمکیاں انفارمیشن سسٹم کے لیے متعلقہ ہیں اگر انفارمیشن سسٹم میں استعمال ہونے والے ایپلیکیشن سافٹ ویئر میں غیر دستاویزی (غیر اعلانیہ) صلاحیتوں کی موجودگی سے وابستہ خطرات بھی اس کے لیے متعلقہ ہوں۔

اگر آپ کو لگتا ہے کہ دوسری قسم کی دھمکیاں آپ کا معاملہ ہیں، تو آپ سو کر دیکھیں کہ کس طرح سی آئی اے، ایم آئی 6، موساد، ایک شیطانی تنہا ہیکر یا گروپ کے وہی ایجنٹوں نے کسی دفتر کے سافٹ ویئر پیکج میں بُک مارکس رکھ دیے ہیں تاکہ بالکل درست تلاش کریں۔ آپ کا ذاتی ڈیٹا۔ ہاں، μTorrent جیسا مشکوک ایپلیکیشن سافٹ ویئر موجود ہے، لیکن آپ انسٹالیشن کے لیے اجازت یافتہ سافٹ ویئر کی فہرست بنا سکتے ہیں اور صارفین کے ساتھ ایک معاہدے پر دستخط کر سکتے ہیں، صارفین کو مقامی منتظم کے حقوق نہیں دے سکتے، وغیرہ۔

قسم 3 کے خطرات ایک انفارمیشن سسٹم سے متعلقہ ہیں اگر وہ خطرات جو انفارمیشن سسٹم میں استعمال ہونے والے سسٹم اور ایپلیکیشن سافٹ ویئر میں غیر دستاویزی (غیر اعلان شدہ) صلاحیتوں کی موجودگی سے متعلق نہیں ہیں۔

قسم 1 اور 2 کی دھمکیاں آپ کے لیے موزوں نہیں ہیں، اس لیے یہ آپ کے لیے جگہ ہے۔

ہم نے خطرات کی اقسام کو ترتیب دیا ہے، اب آئیے دیکھتے ہیں کہ ہمارے ISPD کو کس سطح کی سیکیورٹی ہوگی۔

میں بیان کردہ خط و کتابت پر مبنی جدول روسی فیڈریشن کی حکومت کا 1 نومبر 2012 کا فرمان نمبر 1119.

اگر ہم تیسری قسم کے حقیقی خطرات کا انتخاب کرتے ہیں، تو زیادہ تر معاملات میں ہمارے پاس UZ-3 ہوگا۔ واحد استثناء، جب قسم 1 اور 2 کے خطرات متعلقہ نہ ہوں، لیکن سیکیورٹی کی سطح پھر بھی زیادہ ہو گی (UZ-2)، وہ کمپنیاں ہیں جو 100 سے زیادہ کی رقم میں غیر ملازمین کے خصوصی ذاتی ڈیٹا پر کارروائی کرتی ہیں۔ مثال کے طور پر، طبی تشخیص اور طبی خدمات کی فراہمی میں مصروف کمپنیاں۔

UZ-4 بھی ہے، اور یہ بنیادی طور پر ان کمپنیوں میں پایا جاتا ہے جن کا کاروبار غیر ملازمین، یعنی کلائنٹس یا ٹھیکیداروں کے ذاتی ڈیٹا کی پروسیسنگ سے متعلق نہیں ہے، یا ذاتی ڈیٹا بیس چھوٹے ہیں۔

سیکیورٹی کی سطح کے ساتھ اسے زیادہ نہ کرنا اتنا اہم کیوں ہے؟ یہ آسان ہے: حفاظت کی اس سطح کو یقینی بنانے کے لیے اقدامات اور تحفظ کے ذرائع کا انحصار اسی پر ہوگا۔ علم کی سطح جتنی زیادہ ہوگی، تنظیمی اور تکنیکی لحاظ سے اتنا ہی زیادہ کام کرنے کی ضرورت ہوگی (پڑھیں: جتنا زیادہ پیسہ اور اعصاب خرچ کرنے کی ضرورت ہوگی)۔

یہاں، مثال کے طور پر، یہ ہے کہ حفاظتی اقدامات کا سیٹ اسی PP-1119 کے مطابق کس طرح تبدیل ہوتا ہے۔

اب دیکھتے ہیں کہ سیکیورٹی کی منتخب سطح کے مطابق، ضروری اقدامات کی فہرست کس طرح تبدیل ہوتی ہے۔ روس نمبر 21 کے FSTEC کے حکم سے مورخہ 18.02.2013 فروری XNUMX۔  اس دستاویز میں ایک طویل ضمیمہ ہے، جو ضروری اقدامات کی وضاحت کرتا ہے۔ ان میں سے مجموعی طور پر 109 ہیں، ہر KM کے لیے لازمی اقدامات کی وضاحت اور نشان "+" کے نشان سے کیا گیا ہے - ان کا صحیح حساب ذیل کے جدول میں کیا گیا ہے۔ اگر آپ صرف UZ-3 کے لیے ضروری چیزیں چھوڑ دیتے ہیں، تو آپ کو 4 ملیں گے۔

حقیقت: اگر آپ کلائنٹس سے ٹیسٹ یا بائیو میٹرکس جمع نہیں کرتے ہیں، تو آپ سسٹم اور ایپلیکیشن سوفٹ ویئر میں بک مارکس کے بارے میں بے وقوف نہیں ہیں، پھر غالباً آپ کے پاس UZ-3 ہے۔ اس کے پاس تنظیمی اور تکنیکی اقدامات کی ایک معقول فہرست ہے جن پر عمل درآمد کیا جا سکتا ہے۔

متک 5۔ ذاتی ڈیٹا کی حفاظت کے تمام ذرائع روس کے FSTEC سے تصدیق شدہ ہونے چاہئیں

اگر آپ چاہتے ہیں یا آپ کو سرٹیفیکیشن کروانے کی ضرورت ہے، تو زیادہ تر امکان ہے کہ آپ کو مصدقہ حفاظتی سامان استعمال کرنا پڑے گا۔ سرٹیفیکیشن روس کے FSTEC کے لائسنس یافتہ کے ذریعہ کیا جائے گا، جو:

• مزید تصدیق شدہ معلومات کے تحفظ کے آلات فروخت کرنے میں دلچسپی رکھتے ہیں؛
• اگر کچھ غلط ہو جاتا ہے تو ریگولیٹر کی طرف سے لائسنس منسوخ ہونے سے ڈر جائے گا۔

اگر آپ کو سرٹیفیکیشن کی ضرورت نہیں ہے اور آپ کسی اور طریقے سے تقاضوں کی تعمیل کی تصدیق کرنے کے لیے تیار ہیں، جس کا نام روس نمبر 21 کے FSTEC کا آرڈر  "ذاتی ڈیٹا کی حفاظت کو یقینی بنانے کے لیے ذاتی ڈیٹا کے تحفظ کے نظام کے اندر لاگو کیے گئے اقدامات کی تاثیر کا اندازہ لگانا،" پھر آپ کے لیے تصدیق شدہ معلوماتی حفاظتی نظام کی ضرورت نہیں ہے۔ میں دلیل کو مختصراً بیان کرنے کی کوشش کروں گا۔

В آرٹیکل 2 19-FZ کا پیراگراف 152 یہ بتاتا ہے کہ حفاظتی سامان کا استعمال کرنا ضروری ہے جو قائم شدہ طریقہ کار کے مطابق مطابقت کی تشخیص کے طریقہ کار سے گزر چکے ہیں:

ذاتی ڈیٹا کی حفاظت کو یقینی بنانا، خاص طور پر:
[...]
3)применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

В پیراگراف 13 PP-1119 انفارمیشن سیکیورٹی ٹولز استعمال کرنے کی بھی ضرورت ہے جو قانونی تقاضوں کی تعمیل کا اندازہ لگانے کے طریقہ کار کو پاس کر چکے ہیں:

[...]
использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

FSTEC آرڈر نمبر 4 کی شق 21 عملی طور پر پیراگراف PP-1119 کو نقل کرتا ہے:

ذاتی ڈیٹا کی حفاظت کو یقینی بنانے کے اقدامات انفارمیشن سسٹم میں انفارمیشن سیکیورٹی ٹولز کے استعمال کے ذریعے لاگو ہوتے ہیں جنہوں نے قائم شدہ طریقہ کار کے مطابق مطابقت کی تشخیص کے طریقہ کار کو پاس کیا ہے، ان صورتوں میں جہاں ایسے ٹولز کا استعمال ضروری ہے۔ ذاتی ڈیٹا کی حفاظت کے لیے موجودہ خطرات کو بے اثر کرنا۔

ان فارمولیشنز میں کیا مشترک ہے؟ یہ ٹھیک ہے - انہیں مصدقہ حفاظتی سامان کے استعمال کی ضرورت نہیں ہے۔ حقیقت یہ ہے کہ مطابقت کی تشخیص کی کئی شکلیں ہیں (رضاکارانہ یا لازمی سرٹیفیکیشن، موافقت کا اعلان)۔ سرٹیفیکیشن ان میں سے صرف ایک ہے۔ آپریٹر غیر مصدقہ مصنوعات استعمال کر سکتا ہے، لیکن اسے معائنہ کے دوران ریگولیٹر کے سامنے یہ ظاہر کرنے کی ضرورت ہوگی کہ انہوں نے مطابقت کی تشخیص کے طریقہ کار کی کسی شکل سے گزرا ہے۔

اگر آپریٹر مصدقہ حفاظتی سامان استعمال کرنے کا فیصلہ کرتا ہے، تو الٹراساؤنڈ تحفظ کے مطابق معلومات کے تحفظ کے نظام کو منتخب کرنا ضروری ہے، جس میں واضح طور پر کہا گیا ہے۔ FSTEC آرڈر نمبر 21:

ذاتی ڈیٹا کی حفاظت کے لیے تکنیکی اقدامات انفارمیشن سیکیورٹی ٹولز کے استعمال کے ذریعے لاگو کیے جاتے ہیں، بشمول سافٹ ویئر (ہارڈ ویئر) ٹولز جن میں وہ لاگو کیے جاتے ہیں، جن میں ضروری حفاظتی افعال ہوتے ہیں۔
انفارمیشن سسٹم میں انفارمیشن سیکیورٹی کی ضروریات کے مطابق تصدیق شدہ انفارمیشن سیکیورٹی ٹولز کا استعمال کرتے وقت:

روس کے FSTEC کے آرڈر نمبر 12 کی شق 21.

حقیقت: قانون میں مصدقہ حفاظتی آلات کے لازمی استعمال کی ضرورت نہیں ہے۔

افسانہ 6. مجھے کرپٹو تحفظ کی ضرورت ہے۔

یہاں چند باریکیاں ہیں:

1. بہت سے لوگوں کا خیال ہے کہ خفیہ نگاری کسی بھی ISPD کے لیے لازمی ہے۔ درحقیقت، انہیں صرف اسی صورت میں استعمال کیا جانا چاہیے جب آپریٹر کو خفیہ نگاری کے استعمال کے علاوہ اپنے لیے کوئی اور حفاظتی اقدام نظر نہ آئے۔
2. اگر آپ خفیہ نگاری کے بغیر نہیں کر سکتے، تو آپ کو FSB سے تصدیق شدہ CIPF استعمال کرنے کی ضرورت ہے۔
3. مثال کے طور پر، آپ سروس فراہم کرنے والے کے کلاؤڈ میں ISPD کی میزبانی کرنے کا فیصلہ کرتے ہیں، لیکن آپ کو اس پر بھروسہ نہیں ہے۔ آپ اپنے خدشات کو دھمکی اور گھسنے والے ماڈل میں بیان کرتے ہیں۔ آپ کے پاس ذاتی ڈیٹا ہے، لہذا آپ نے فیصلہ کیا کہ خفیہ نگاری ہی اپنے آپ کو بچانے کا واحد طریقہ ہے: آپ ورچوئل مشینوں کو خفیہ کریں گے، کرپٹوگرافک تحفظ کا استعمال کرتے ہوئے محفوظ چینلز بنائیں گے۔ اس صورت میں، آپ کو روس کے FSB سے تصدیق شدہ CIPF استعمال کرنا ہوگا۔
4. مصدقہ سی آئی پی ایف کا انتخاب ایک خاص سطح کی سیکیورٹی کے مطابق کیا جاتا ہے۔ آرڈر نمبر 378 FSB.

UZ-3 کے ساتھ ISPDn کے لیے، آپ KS1, KS2, KS3 استعمال کر سکتے ہیں۔ KS1، مثال کے طور پر، چینلز کی حفاظت کے لیے C-Terra ورچوئل گیٹ وے 4.2 ہے۔

KC2، KS3 کی نمائندگی صرف سافٹ ویئر اور ہارڈویئر سسٹمز کے ذریعے کی جاتی ہے، جیسے: ViPNet Coordinator، APKSH "Continent"، S-Terra Gateway، وغیرہ۔

اگر آپ کے پاس UZ-2 یا 1 ہے، تو آپ کو KV1، 2 اور KA کلاس کے کرپٹوگرافک تحفظ کے ذرائع کی ضرورت ہوگی۔ یہ مخصوص سافٹ ویئر اور ہارڈویئر سسٹم ہیں، ان کا کام کرنا مشکل ہے، اور ان کی کارکردگی کی خصوصیات معمولی ہیں۔

حقیقت: قانون FSB کے ذریعے تصدیق شدہ CIPF کے استعمال کا پابند نہیں ہے۔

ماخذ: www.habr.com