Crowdsourcing (anglicky crowdsourcing, crowd – „crowd“ a sourcing – „použitie zdrojov“) – zapojenie sa do riešenia určitých problémov inovatívnych výrobné činnostiširokému okruhu ľudí využiť svoje tvorivé schopnosti, vedomosti a skúsenosti formou subdodávateľskej práce na báze dobrovoľnosti s využitím infokomunikačných technológií.
Túto definíciu poskytuje Wikipedia.

Nedávno sme písali o takom koncepte ako . Dnes sa bližšie pozrieme na crowdsourcing, ktorý má určité podobnosti s crowdfundingom, no základný význam týchto pojmov je trochu odlišný.

Ak je crowdfunding združovaním finančného úsilia rôznych ľudí, potom crowdsourcing je združovaním akýchkoľvek iných zdrojov, ktoré sú potrebné na dosiahnutie cieľa.

Ako vznikol crowdsourcing?

Autorom pojmu „crowdsourcing“ je Jeff Howe, ktorý ho vymyslel v roku 2006. Potom spolu s vydavateľom Markom Robinsonom zverejnil článok, v ktorom opísal princíp crowdsourcingu a uviedol príklady. V tomto článku bol crowdsourcing vo väčšej miere prirovnaný k outsourcingu a dôraz bol kladený na ich odlišnosti: outsourcing je založený na plnení určitých úloh špecialistami za peňažnú odmenu a pri crowdsourcingu ide o výkon práce prevažne amatérskymi a bez akúkoľvek peňažnú platbu (alebo čisto symbolickú).

Crowdsourcing prvýkrát použila spoločnosť I Stock Photo, ktorá sa stala jednou z najúspešnejších fotobánk v histórii. Ak iné fotobanky poskytovali používateľom fotografie za 100 – 150 dolárov za stiahnutie, tak na I Stock Photo ste si mohli stiahnuť fotografiu len za 1 dolár a výber fotografií bol oveľa širší. Vynára sa otázka: Čo s tým má spoločné crowdsourcing? Faktom je, že všetky tieto fotografie boli nahrané na stránku bežných používateľov na čisto dobrovoľnom základe.

Nasledovalo mnoho ďalších článkov o crowdsourcingu, jedným z najznámejších bol článok v Sloan Management Review v roku 2011. Napísali ju dvaja profesori (vyučujúci v Japonsku a Nemecku), ktorí do hĺbky preskúmali, ako môže používanie crowdsourcingu pozitívne ovplyvniť veľké organizácie. Svoje zistenia prezentovali v podobe výstižného popisu činnosti dvoch spoločností, ktoré pomocou crowdsourcingu výrazne zvýšili svoju efektivitu.

Crowdsourcingový mechanizmus

Samotný princíp crowdsourcingu je veľmi jednoduchý: je daná skupina záujemcov konkrétnu úlohu(najčastejšie sa to robí cez internet), potom tí, ktorí túto úlohu splnili, ponúknu svoje možnosti jej realizácie zákazníkovi, ktorý ich následne zváži, vyberie tie najoptimálnejšie a následne ich implementuje do svojej činnosti.

Výhody Crowdsourcingu

Použitím crowdsourcingu si teda dávate príležitosť:

1) zapoj do svojho projektu veľa ľudí z celého sveta. Počet zamestnancov akejkoľvek spoločnosti je vždy obmedzený a pomocou crowdsourcingu môžete prilákať požadovanú úlohu veľké množstvo talentovaní ľudia na celom svete;

2) sledovať priebeh úlohy. Crowdsourcing vám umožňuje optimálne rozložiť zaťaženie a v prípade potreby sa uchýliť k použitiu pomocných zdrojov;

3) nájsť a získať vzácnych vynikajúcich špecialistov. Často sa stáva, že na crowdsourcingu sa podieľajú tí špecialisti, ktorí by za iných podmienok jednoducho nemali možnosť podieľať sa na realizácii. konkrétnu úlohu z rôznych dôvodov. Napríklad človek pracuje v ekonomickej sfére, ale v skutočnosti je jeho povolaním dizajn. Dokáže bravúrne plniť úlohy súvisiace s vývojom dizajnu, no z toho či onoho dôvodu si v tejto oblasti nenašiel trvalé zamestnanie. To je to, čo potrebuje spoločnosť, ktorá priťahuje talentovaných dizajnérov (aj keď nie celkom profesionálnych), aby splnili úlohu;

4) získajte veľa možností na splnenie jednej úlohy a vyberte si tú najlepšiu. Zatiaľ čo ak by túto prácu vykonával zamestnanec vašej spoločnosti na plný úväzok, mali by ste na to len jednu možnosť (prinajlepšom niekoľko, ale nie tisíce);

5) získať možnosti pre dokončenú úlohu v jasne definovanom časovom období. Najčastejšie pri crowdsourcingu ide o riešenie stanovených cieľov v určitom časovom rámci. Tým sa zabráni oneskoreniu úlohy na neurčito.

Typy crowdsourcingu

Crowdsourcing možno rozdeliť na oblasti, kde sa využíva, a na typy úloh, ktoré plní. Oblasti, v ktorých sa crowdsourcing využíva, sú biznis, politika, sociálna a verejná sféra.

1) Obchodný crowdsourcing. Toto je možno najbežnejší typ crowdsourcingu, pretože práve v oblasti podnikania najčastejšie vznikajú úlohy pri výbere riešení, pri ktorých je najlepšie nespoliehať sa na jednu možnosť, ale na mnohé z nich a vybrať si to najlepšie jeden. Príklady crowdsourcingu v podnikaní: vytvorenie sloganu pre reklamná kampaň, dizajn obalu hudobného albumu atď.

2) Sociálno-verejný crowdsourcing. Tento typ crowdsourcingu je založený na riešení akýchkoľvek problémov týkajúcich sa verejnosti významné problémy a sociálny život z ľudí. Projekty súvisiace s pátraním po nezvestných osobách, stavebníctvo MATERSKÁ ŠKOLA alebo iný objekt spoločným úsilím či rôznymi charitatívnymi projektmi – to všetko je sociálny crowdsourcing.

3) Politický crowdsourcing. Do tejto kategórie patria projekty súvisiace so zisťovaním názorov na určité kroky štátu. Tento typ crowdsourcingu sa zvyčajne vykonáva v režime hlasovania.

Úlohy, ktoré je možné splniť prostredníctvom crowdsourcingu:

1. Vytvorte obsah alebo produkt.
2. Hľadaj optimálne riešenie v akomkoľvek čísle.
3. Pátranie po nezvestných ľuďoch.
4. Zber a spracovanie informácií.
5. Pýtanie sa na názory.

nedôvera v crowdsourcing

Na používanie crowdsourcingu sú dosť skeptické názory. Dôvody tohto vzťahu sú nasledovné. Po prvé, odporcovia crowdsourcingu veria, že prostredníctvom davu nie je možné vytvoriť niečo skutočne vysokej kvality. Po druhé, skutoční profesionáli vo svojom odbore nikdy nebudú venovať pozornosť crowdsourcingovým projektom, keďže sú väčšinou neplatení, takpovediac „za nápad“. A pracovať „pre nápad“ je skôr údelom amatérov ako profesionálov. Po tretie, existuje vysoké riziko straty dôležitá informácia. Keď spoločnosť zadá určitý projekt crowdsourcingu, poskytne tým určité informácie, ktoré umelci potrebujú na vyriešenie problému. A konkurenti môžu tieto informácie ľahko vysledovať a použiť tieto znalosti na svoje vlastné účely.

Spochybňovať všetky tieto názory alebo s nimi súhlasiť je vecou každého. Medzitým má crowdsourcing skvelé príklady svojej aplikácie a úplne zlyhal.

21 Príkaz FSTEC: čo má robiť prevádzkovateľ osobných údajov?

Dňa 28. mája bol schválený už schválený Príkaz č.21 zo dňa 18.02.2013 „O schválení zloženia a obsahu organizačných a technických opatrení na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“ (ďalej len – Príkaz č. 21) bol zverejnený na webovej stránke FSTEC.

Tento dokument definuje skladbu a obsah organizačno-technických opatrení na ochranu osobných údajov, nahrádzajúcich starý dokument - Príkaz FSTEC č. 58 zo dňa 5.2.2010 „O schválení zloženia a obsahu organizačno-technických opatrení na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“ (ďalej - Objednávka č. 58). Bez preháňania môžeme povedať, že celá informačná bezpečnostná komunita so zatajeným dychom čakala na vydanie príkazu č.21, ktorý mal objasniť, čo regulátori od operátorov očakávajú? A teraz je dokument schválený a je povinný na vykonanie, poďme ho analyzovať.

Legislatíva v oblasti ochrany osobných údajov sa neustále mení, spočiatku skladbu organizačných a technických opatrení upravovali „štyri knihy“. Potom, v roku 2010, bol vydaný príkaz č. 58, ktorý bol v platnosti tento rok pred schválením príkazu č. 21, o ktorom si dnes povieme. Podklad pre zrušenie príkazu č. 58 bol vypracovaný nariadením vlády č. 1119 zo dňa 01.11.2012 „O schválení požiadaviek na ochranu osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“, ktorým sa zrušilo nariadenie vlády SR č. 781 "O schválení ustanovenia o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov" zo dňa 17.11.2007.

Zavedené vládne nariadenie č.1119 nový proces klasifikácie informačných systémov sa namiesto štyroch tried (1K, 2K, 3K, 4K) objavili 4 úrovne zabezpečenia úzko súvisiace s typmi skutočných hrozieb. Operátori museli preklasifikovať svoje systémy, no nebolo úplne jasné, ako ich ochrániť, pretože. Príkaz č. 58 sa týkal záruk z hľadiska tried, nie úrovní. Vzniknutý rozpor v právnej úprave bol napravený príkazom č.21.

Do rozsahu vyhlášky č. 21 nepatrí ochrana štátneho tajomstva a ochrana osobných údajov kryptografickými prostriedkami2. Rovnako ako v Pokyne č. 58 môže prevádzkovateľ na ochranu osobných údajov angažovať organizáciu s licenciou na ochranu osobných údajov. technická ochrana dôverné informácie alebo urobte prácu sami. Príkaz č. 21, podobne ako jeho predchodca, rieši problematiku používania certifikovaných nástrojov informačnej bezpečnosti.

Vykonávajú sa opatrenia na zaistenie bezpečnosti osobných údajov, a to aj prostredníctvom využívania nástrojov ochrany informácií v informačnom systéme, ktoré prešli v r. v pravý čas postup posudzovania zhody v prípadoch, keď je použitie takýchto nástrojov nevyhnutné na neutralizáciu skutočných hrozieb pre bezpečnosť osobných údajov.

Posúdenie relevantnosti hrozieb vykonáva prevádzkovateľ s prihliadnutím na posúdenie možné poškodenie subjektom osobných údajov. Hodnotenie účinnosti prijatých opatrení sa vykonáva najmenej raz za tri roky samostatne, prípadne za účasti organizácie, ktorá má licenciu na technickú ochranu dôverných informácií.

AT tento zoznam zahŕňa:

Prevádzkovateľ je požiadaný, aby definoval zoznam ochranných opatrení takto:

1. fáza Definujeme základná sada ochranné opatrenia. Príloha č. 21 je uvedená kontingenčnej tabuľky opatrenia na zaistenie bezpečnosti osobných údajov. Zvážte prácu s tabuľkou a použite nasledujúci riadok ako príklad:

IAP.2 znamená, že opatrenie patrí do triedy opatrení „Identifikácia a autentifikácia prístupových subjektov a objektov (IAF)“ a je druhým v zozname opatrení tejto triedy. Druhý stĺpec uvádza popis opatrenia – v našom prípade ide o identifikáciu a autentifikáciu zariadení. Tretí stĺpec je rozdelený na 4 časti, čo zodpovedá 4 úrovniam zabezpečenia. Znamienko „+“ znamená, že miera pre danej úrovni je základný. Miera IAF.2 je základná miera pre úrovne 1 a 2. Pre úrovne 3 a 4 je toto opatrenie voliteľné a možno ho použiť len na prispôsobenie základnej sady.

Takže operátor v prvej fáze musí vybrať všetky opatrenia, oproti ktorým je v stĺpci, ktorý potrebuje, znamienko „+“ s číslom úrovne zabezpečenia.

2. fáza Základný súbor opatrení prispôsobujeme nášmu systému s prihliadnutím na osobitosti jeho fungovania, vylučujeme tie opatrenia, ktoré súvisia s informačnými technológiami, ktoré sa v informačnom systéme nepoužívajú, alebo štrukturálne a funkčné charakteristiky, ktoré nie sú charakteristické pre informácie systém. Napríklad pri meraní IAF.2 je možné vylúčiť identifikáciu a autentifikáciu prenosné zariadenia, pretože v informačnom systéme sa nepoužívajú.

3. fáza Aktualizujeme zoznam opatrení s prihliadnutím na doteraz nevybrané opatrenia na neutralizáciu aktuálnych hrozieb. V tejto fáze môžeme do zoznamu opatrení pre 3. a 4. stupeň zabezpečenia zaradiť opatrenie IAF.2.

4. fáza Pridávame opatrenia na zabezpečenie súladu s požiadavkami na ochranu osobných údajov ustanovenými inými regulačnými právnymi aktmi v oblasti zaistenia bezpečnosti osobných údajov a ochrany informácií. Pridávame napríklad zoznam opatrení súvisiacich s ochranou kryptografickými prostriedkami.

Fáza 5 (voliteľné). Vyberáme kompenzačné opatrenia. Je veľmi dôležité, aby prevádzkovateľ, uvedený v dokumente, nahradil uvedený zoznam opatrení inými, ak navrhované opatrenia nie sú z technických dôvodov realizovateľné alebo nie sú ekonomicky realizovateľné. Takáto výmena by sa mala vykonať s povinným odôvodnením potreby uplatniť kompenzačné opatrenia. Pri využívaní nových technológií, ktoré sa vyznačujú hrozbami, ktoré nie sú zohľadnené podľa nariadenia č. 21, je použitie kompenzačných opatrení povinné.

Po rozbore príkazu č. 21 môžeme konštatovať, že dokument skutočne vnáša do nedoriešených otázok ochrany osobných údajov jasno, niektoré jeho ustanovenia, predovšetkým sebahodnotenie účinnosti a využívanie kompenzačných opatrení, prevádzkovateľom výrazne uľahčujú život.

Všetky opatrenia na boj proti počítačovej kriminalite možno podmienečne rozdeliť na technické, organizačné a právne.

Je možná aj iná klasifikácia, v ktorej sú všetky opatrenia rozdelené na právne, organizačné, technické a ekonomické 14 .

Smerom k ekonomickým opatreniam na ochranu počítačových informácií zahŕňa vypracovanie programov na zabezpečenie informačnej bezpečnosti v Rusku a určenie postupu ich financovania, ako aj zlepšenie systému financovania prác súvisiacich s realizáciou právnych a organizačných a technických opatrení na ochranu informácií, vytvorenie tzv. systém poistenia informačných rizík fyzických a právnických osôb.

11.3.1. Organizačné zabezpečenie

Organizačné opatrenia na ochranu informácií a informačných systémov zahŕňajú súbor organizačné opatrenia podniky na výber, preverovanie a inštruktáž personálu, vykonávanie režimu utajenia, zabezpečenie fyzickej ochrany objektov. Okrem vyššie uvedeného organizačné opatrenia zahŕňajú:

vylúčenie osobitných prípadov dôležité diela iba jedna osoba;

dostupnosť plánu na obnovenie výkonnosti centra po jeho zlyhaní;

organizácia údržby výpočtového strediska externou organizáciou alebo osobami, ktoré nemajú záujem zatajovať skutočnosti o rušení centra;

univerzálnosť prostriedkov ochrany pred všetkými používateľmi (vrátane vrcholového manažmentu);

uloženie zodpovednosti osobe, ktorá by mala zabezpečiť bezpečnosť centra;

výber polohy centra a pod.

Organizačné akcie považujú mnohí odborníci na bezpečnosť počítačové systémy, ako najdôležitejší a najúčinnejší zo všetkých prostriedkov. Je to spôsobené tým, že oni sú základom, na ktorom je postavený celý bezpečnostný systém 15 .

Opatrenia na ochranu informácií organizácie používané v jednotlivých podnikoch, organizáciách a inštitúciách, firmách, spoločnostiach zahŕňajú používanie hesiel a iných prostriedkov, ktoré vylučujú prístup k programovým a informačným súborom, ako aj iné opatrenia, ktoré nie sú implementované v masovom meradle. Aby sa zabránilo neoprávnenému prístupu k informácie o počítači podniky, organizácie a inštitúcie, firmy, spoločnosti musia pravidelne implementovať nasledujúce organizačné opatrenia:

zobraziť všetku dokumentáciu príslušnej inštitúcie, organizácie, firmy, spoločnosti;

stretnúť sa s popisy práce každý zamestnanec;

definovať možné kanályúniky informácií;

plánovať skutočné opatrenia na odstránenie slabé odkazy v ochrane informácií.

11.3.2. Technické ochranné opatrenia

Komu technické opatrenia zahŕňajú ochranu pred neoprávneným prístupom do počítačového systému, zálohovanie dôležitých počítačových systémov, prijímanie štrukturálnych opatrení na ochranu pred krádežou a sabotážou, poskytovanie záložného napájania, vývoj a implementáciu špeciálnych softvérových a hardvérových bezpečnostných systémov atď..

Všetky technické metódy rozdelené na hardvér, softvér a komplex. Hardvérové ​​metódy sú navrhnuté tak, aby chránili pred neoprávneným prístupom k hardvéru a komunikácii. Hardvér a metódy ochrany realizované pomocou rôznych technických zariadení na špeciálne účely. Tie obsahujú:

zdrojov neprerušiteľný zdroj napájania vybavenie, rovnako rôzne zariadenia stabilizácia, ochrana pred náhlymi prepätiami napätia a špičkovým zaťažením v napájacej sieti;

detekčné zariadenia pre zariadenia, káblové komunikačné linky a priestory, v ktorých sa nachádza počítačové vybavenie;

zariadenia na identifikáciu a určenie čísla volajúceho, fungujúce na princípe bežného telefónneho automatického identifikácie volajúceho (CALL);

zariadenia, ktoré poskytujú iba autorizované fyzický prístup užívateľa k chráneným objektom počítačového vybavenia (šifrové zámky, osobné identifikačné zariadenia a pod.);

Zariadenia na identifikáciu a opravu užívateľských terminálov v prípade pokusov o neoprávnený prístup k počítačovej sieti;

bezpečnostné a požiarne poplachové prostriedky;

bezpečnosť prístavu počítačová technológia.

Keď už hovoríme o opatreniach na ochranu osobných počítačov, je potrebné pomenovať zámkové kľúče používané na identifikáciu používateľov. Upozorňujeme, že účinnosť ochrany sa zvyšuje pri použití kombinácie technických metód na identifikáciu používateľov a prístupových hesiel. Druhom zámkového kľúča môže byť špeciálne externé zariadenie umiestnené priamo u používateľa, ktorého prijímacia časť je namontovaná priamo v osobnom počítači a vďaka zámku poskytuje prístup k zdrojom osobného počítača. Zariadenie na blokovanie kľúčov by malo byť prostriedkom na identifikáciu osoby podľa fyzických parametrov a zároveň prostriedkom na autentifikáciu.

Nelegálnemu kopírovaniu údajov zo strojových médií alebo priamo z pamäte s náhodným prístupom sa bráni špeciálnym kódovaním uložených a spracovávaných informácií. Kódovanie je možné vykonať pomocou vhodných podprogramov a dodatočného kódovacieho zariadenia. Kódovanie sa v tomto prípade používa ako opatrenie na ochranu a bezpečnosť údajov nielen pri ukladaní a spracovaní informácií v osobnom počítači, ale aj pri prenose údajov z jedného počítačového komplexu do druhého.

Praktické využitie technických opatrení na ochranu údajov ukázalo, že tretina softvéru pre osobné počítače ponúkané výrobcami nemá ochranu informácií. V iných prípadoch sa tieto opatrenia obmedzujú najmä na softvérovú kontrolu overovania používateľov.

Metódy ochrany softvéru určené na priamu ochranu informácie o stroji, softvér, počítačové vybavenie pred neoprávneným oboznámením sa s ním používateľmi, ktorí na to nemajú povolenie. okrem toho softvér ochrana by mala poskytovať kontrolu nad správnou implementáciou procesov vstupu, výstupu, spracovania, zaznamenávania, vymazávania, čítania a prenosu informácií cez komunikačné kanály. Všetky metódy ochrany softvéru sú rozdelené do nasledujúcich typov:

prístupové heslá;

ochrana informačných polí;

vírusová ochrana;

ochrana programu;

ochrana databáz;

kryptografické metódy ochrany.

Zabezpečenie ochrany počítačových informácií by malo byť súborom rôznych činností vykonávaných tak počas vývoja, ako aj vo všetkých fázach prevádzky systému automatizovaného spracovania údajov..

Na ochranu informácií pri ich prenose sa zvyčajne používajú rôzne spôsoby šifrovania údajov pred ich vložením do komunikačného kanála alebo na fyzické médium s následným dešifrovaním, vrátane kryptografických. Ako ukazuje prax, takéto metódy šifrovania umožňujú spoľahlivo skryť význam správy.

Na obmedzenie prístupu k informačným zdrojom sa používajú registračné a kontrolné nástroje. Nástroje na kontrolu prístupu sú určené priamo na ochranu a úlohou evidenčných nástrojov je odhaľovať a zaznamenávať už spáchané činy alebo pokusy o spáchanie trestného činu.

Identifikácia používateľa elektronickým podpisom je možná, čo upravuje federálny zákon 16 . Elektronický podpis umožňuje nielen zaručiť autenticitu dokumentu z hľadiska jeho autorstva, ale aj konštatovať celistvosť (celistvosť) informácií v ňom obsiahnutých, ako aj zaznamenávať pokusy o takéto skreslenie. Podpísaný dokument odovzdaný príjemcovi pozostáva z textu, elektronického podpisu a užívateľského certifikátu. Ten obsahuje zaručene autentické používateľské údaje vrátane ich rozlišovacieho mena a verejný kľúč dešifrovanie na overenie podpisu príjemcom alebo treťou stranou, ktorá certifikát zaregistrovala.

Komu softvérové ​​metódy ochrana zahŕňa ochranu databázy, ktorá zahŕňa ochranu pred akoukoľvek neoprávnenou alebo náhodnou úpravou alebo zničením. Ďalším cieľom je ochrana pred neoprávneným odstránením informácií v databáze.

Je potrebné poznamenať, že spoľahlivú ochranu počítačových informácií možno zabezpečiť len uplatňovaním komplexných ochranných opatrení. Zložitosť spočíva v použití hardvérových a softvérových ochranných opatrení. Len v tomto prípade je možné dosiahnuť požadovanú úroveň bezpečnosti ako pre samotné počítačové vybavenie, tak aj pre informácie v ňom obsiahnuté.

Vo všeobecnosti by organizačné a technické opatrenia na ochranu počítačových informácií mali tvoriť jeden komplex. V odbornej odbornej literatúre sa týmto otázkam venuje pomerne veľká pozornosť a veľké množstvo vedecko-výskumných a technických výskumov sa venuje našej krajine i vo svete.

Ministerstvo spravodlivosti dňa 15.5.2013 definitívne zaregistrovalo príkaz FSTEC č.21 zo dňa 18.02.2013 „O schválení Zloženia a obsahu organizačných a technických opatrení na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov .“

Prečo „dlho očakávaný“? Áno, pretože od vydania nariadenia vlády Ruskej federácie č. 1119 (1. novembra 2012) sú akékoľvek otázky týkajúce sa technickej ochrany osobných údajov v pozastavenom stave na dobu neurčitú. Dopadlo to takto: nové uznesenie zrušilo staré triedy informačných systémov osobných údajov (ISPD) a zaviedlo pojem „úrovne bezpečnosti ISPD“, ale ako a čím chrániť v jednotlivých konkrétny prípad mala nám to povedať až nová objednávka FSTEC, na ktorú sme čakali „nejakých“ šesť mesiacov.

Ihneď po zverejnení novej objednávky sa internetom prehnala vlna nadšených recenzií na nový dokument. Nech sa páči, ide o obrovský krok vpred v oblasti legislatívy o ochrane osobných údajov. Do istej miery je to pravda (vzhľadom na to, že predchádzajúce dokumenty okamžite vyšli zastarané a nezohľadnili mnohé nuansy fungovania moderných informačných systémov - mobilné platformy, virtualizácia atď.), no osobne mám k novému dokumentu veľa sťažností.

V tomto článku sa o to pokúsim jednoduchý jazyk analyzovať nové dokument FSTEC Rusko, zvážte jeho klady a zápory a tiež sa pokúste odpovedať na otázku „čo by teraz mali robiť prevádzkovatelia osobných údajov?“.

Čo je dokument ako celok

Vo všeobecnosti ide naozaj o krok vpred z hľadiska tvorby zákonov v oblasti ochrany osobných údajov. Nakoniec sme v zozname opatrení videli zmienku o mobilné zariadenia a virtualizačné nástroje, čomu sa zákonodarcovia v minulosti starostlivo snažili vyhnúť. Nakoniec nie je povinnosť, ako v predchádzajúcom poradí: „Ak máte ISPD 1. triedy, musíte minúť n peňazí na nástroje informačnej bezpečnosti, ak 2. triedy, tak n-m peňazí, a ak sú 3 triedy, tak n-m-k peňazí.».

Teraz je situácia nasledovná: máme 15 skupín rôznych technických a organizačných opatrení, v každej skupine od 2 do 20 rôznych opatrení, pri každom opatrení je uvedené, či je toto opatrenie základné (nižšie ich nazvem podmienečne povinné) pre určitú úroveň bezpečnosti (ak je plus, tak opatrenie je základné, ak nie, je kompenzačné). Tu je potrebné poznamenať, že zoznam obsahuje veľa opatrení, ktoré môžu byť len kompenzačné, to znamená, že nie sú označené plusom pre žiadnu zo štyroch úrovní zabezpečenia.

Prevádzkovateľ osobných údajov postupuje podľa nasledujúceho algoritmu:
- určuje úroveň bezpečnosti svojho ISPD v súlade s PP 1119;
- vyberie všetky opatrenia, ktoré sú označené plusom pre zvolený stupeň zabezpečenia (základné opatrenia);
- odstráni z prijatého zoznamu opatrenia, ktoré súvisia s technológiami, ktoré sa nepoužívajú v ISPD (napríklad odstránime opatrenia na ochranu virtuálna infraštruktúra ak sa nepoužívajú virtualizačné nástroje);
- pozrie sa na prijatý zoznam opatrení a porovná ich so skutočnými hrozbami v modeli hrozieb, ak nie sú všetky aktuálne hrozby neutralizované vybranými opatreniami, pridá do zoznamu kompenzačné opatrenia potrebné na neutralizáciu všetkých zostávajúcich hrozieb;
- doplní do prijatého zoznamu opatrenia definované v iných predpisoch (napr. v PP č. 1119 je malý počet opatrení a sú aj Všeobecné požiadavky vo FZ-152), po ktorom dostane konečný zoznam opatrení, ktoré sa majú prijať;
- vykonáva akcie z konečného zoznamu ...

Všetko sa zdá byť jednoduché: určíme úroveň bezpečnosti, nakreslíme model hrozby, vyberieme a spresníme opatrenia z nového poriadku FSTEC, vykonáme tieto opatrenia a komár nám nebude podkopávať nos. Ale…

Lyžica dechtu

Kritika nového dokumentu aj zvyšku legislatívy ako celku sa v skutočnosti začína tu.

Problémy s 21 príkazmi FSTEC sú vo všeobecnosti rovnaké ako pri mnohých iných legislatívnych dokumentoch – používanie vágnych formulácií, možnosť dvojakého výkladu textu, chýbajúce vysvetlenia tam, kde sú životne dôležité.

To, ako starostlivo bol dokument pripravovaný a koľkokrát bol za tých šesť mesiacov znovu čítaný a upravovaný, pochopíte už podľa toho, že po štvrtom odseku v poradí hneď nasleduje šiesty... No, to sú nit- vyberanie, ale čo je podstatou?

Nedorozumenia začínajú už pri klasike žánru, ktorý sa tiahne od nepamäti. V odseku 2 dokumentu sa uvádza, že vykonávať práce na ochrane osobných údajov smieť zapojené organizácie s licenciou na technickú ochranu dôverných informácií (TZKI).
Táto fráza putuje z dokumentu do dokumentu FSTEC už dlho, ale stále neexistuje jasná odpoveď na to, čo znamená „môže“. Prirodzene, prefíkaní integrátori to budú interpretovať ako „môžu prilákať organizácie tretích strán, ak oni sami nemajú licenciu na TZKI“. Formálne budú mať pravdu, pretože ak sa pohrabete v iných predpisoch, ukáže sa, že aj banálna inštalácia antivírusu spadá pod TZKI a v licenčnom predpise ohľadom TZKI nie je klauzula, že licencia nie je potrebná, ak práca sa vykonáva pre osobnú potrebu. Operátori však neradi vyhadzujú peniaze a, nanešťastie pre prefíkaných integrátorov, používajú zdravý rozum a interpretujú tento návrh ako „môžu zaujať, alebo to dokážu sami“. Toto je prvé miesto, kde by nezaškodilo bližšie popísať podmienky na prilákanie tretích strán.

Poďme ďalej. Odsek 3 nám hovorí, že opatrenia na zaistenie bezpečnosti PD by mali byť zamerané na neutralizáciu skutočných bezpečnostných hrozieb. Na druhej strane FZ-152 nám hovorí, že sa uplatňujú organizačné a technické opatrenia splnenie požiadaviek na ochranu osobných údajov. Takže máme predsa slobodu alebo inú povinnosť? Opäť je potrebné objasnenie.

Ďalej. V šiestom odseku sa uvádza, že raz za 3 roky musí prevádzkovateľ samostatne alebo za účasti organizácií tretích strán vyhodnotiť účinnosť realizovaných opatrení na ochranu PD. Dopadlo to ako s posudzovaním ujmy subjektu osobných údajov v 152-FZ. Ukazuje sa, že je potrebné vykonať hodnotenie, ale neexistuje žiadna metóda na vykonanie takéhoto hodnotenia. Alebo je možno hodnotenie výkonu náhradou za certifikáciu informačného systému? Prečo to potom môže prevádzkovateľ vykonávať sám, bez toho, aby mal licenciu na TZKI?

Desiaty odsek dokumentu je na prvý pohľad veľmi sľubný, hovorí sa v ňom „ Ak nie je možné technicky realizovať určité vybrané opatrenia na zaistenie bezpečnosti osobných údajov a tiež s prihliadnutím na ekonomickú realizovateľnosť vo fázach prispôsobovania základného súboru opatrení a (alebo) dolaďovania upraveného základného súboru opatrení, iné ( kompenzačné) opatrenia môžu byť vyvinuté zamerané na neutralizáciu skutočných hrozieb pre bezpečnosť osobných údajov".

Zdalo by sa, že je to ono – odkazujeme na ekonomickú neúčelnosť a nekupujeme žiadne certifikované ochranné prostriedky. No a zo stavu eufórie nás okamžite vytrhne nasledujúci odsek: „V tomto prípade by sa počas vývoja systému ochrany osobných údajov malo vykonať odôvodnenie použitia kompenzačných opatrení na zaistenie bezpečnosti osobných údajov“.

To znamená, ako na to, povedzte inšpektorovi: „Muži a ja sme na to prišli a rozhodli sme sa, že implementácia certifikovaných systémov informačnej bezpečnosti a zriadenie bezplatného čínsky antivírus" nebudem pracovať. Je potrebné ukázať nejaké papieriky odôvodňujúce použitie iných opatrení, a nie základných. Ako ospravedlniť? Zatiaľ jediné, čo mi napadá, je vykonanie postupu analýzy rizík podľa ISO 27001, ktorý, ak je na tento účel najatý organizácie tretej strany, samo o sebe môže stáť pekný cent. Okrem toho ešte nie je skutočnosťou, že analýza rizík ukáže, že zavedenie certifikovaných zariadení informačnej bezpečnosti nie je ekonomicky realizovateľné...

Vlastne tu sme sa dostali k hlavnej časti dokumentu – k prílohe so zoznamom opatrení. Ani tu nie je všetko také jednoduché, ako by sme chceli. Zdá sa, že opatrenia sú rozdelené do skupín a vhodne očíslované, zdá sa, že pohodlné stĺpce so znamienkami plus ukazujú, či je v našom prípade toto alebo toto opatrenie podmienečne povinné alebo nie. Ale po preštudovaní tabuľky s mierami je tu pocit neistoty. Zdá sa, že napríklad štvrtý odsek hlavného textu nariadenia už nezaväzuje používať iba certifikované zariadenia na bezpečnosť informácií. Toto je dobré. V tom istom paragrafe sa však v čistom texte nehovorí, že je možné použiť necertifikované zariadenia informačnej bezpečnosti alebo nepoužívať zariadenia informačnej bezpečnosti vôbec. Znie to takto:
Vykonávajú sa opatrenia na zaistenie bezpečnosti osobných údajov počítajúc do toho používaním nástrojov informačnej bezpečnosti v informačnom systéme, ktoré prešli predpísaným spôsobom postupom posudzovania zhody, v prípadoch, keď používanie takýchto nástrojov je nevyhnutné na neutralizáciu súčasných hrozieb pre bezpečnosť osobných údajov.

Hneď prvé opatrenie, podmienečne povinné pre všetky úrovne zabezpečenia, znie takto: "Identifikácia a autentifikácia užívateľov, ktorí sú zamestnancami prevádzkovateľa." Je zrejmé, že toto opatrenie je možné realizovať a pravidelné prostriedky akýkoľvek OS. A zdá sa, že štvrtý bod nezaväzuje používať rovnakú tajnú sieť alebo zámok Dallas, ale kde je záruka, že inšpektor nepríde a nepovie „Všetko ste zle pochopili, malo by existovať certifikované zariadenie na bezpečnosť informácií, tu je príkaz pre teba"? Kto a ako určuje – na neutralizáciu konkrétnej hrozby je potrebné certifikované zariadenie informačnej bezpečnosti alebo sa od neho možno vyhnúť? Prečo sa nedá napísať obyčajným textom, že používanie certifikovaných zariadení informačnej bezpečnosti nie je povinné, alebo v niektorých špecifických prípadoch povinné?

No už samotné znenie opatrení je niekedy veľmi zaujímavé. Tu je príklad podmienečne povinného opatrenia na ochranu virtualizačných prostredí pre úrovne zabezpečenia od tretej a vyššej:
"Rozdelenie virtuálnej infraštruktúry na segmenty na spracovanie osobných údajov jednotlivým používateľom a/alebo skupinou používateľov."

Na základe čoho segmentovať? A aká je táto potreba? Samozrejme, pri dolaďovaní alebo prispôsobovaní súboru opatrení môžeme toto opatrenie zo zoznamu vyhodiť, ale čo ak inšpektor povie „Všetci ste to nepochopili...“?

Veľmi dúfam, že jedného dňa zástupcovia FSTEC oficiálne objasnia kontroverzné otázky.

Namiesto životopisu

Vo všeobecnosti sa FSTEC pokúša dať b o väčšia sloboda konania operátorov pri výbere stratégie ochrany osobných údajov, no nejasnosť a neistota formulácií v kombinácii s nejasnosťou postoja samotného regulátora v kontroverzných otázkach nás nútia byť ostražití.

Čo by teraz mali operátori robiť?

Tí, ktorí už obhájili svoje ISPD podľa „starého štýlu“, by mali mierne upraviť svoju dokumentáciu a zosúladiť ju s platnou legislatívou. V každom prípade je s najväčšou pravdepodobnosťou váš ochranný systém zapnutý technické výrazy bude v súlade aj s novým dokumentom, keďže predtým boli požiadavky prísnejšie.

Zvyšok - klasifikovať ich ISPD, zostaviť model hrozby, zostaviť zoznam opatrení a v rámci možností ich implementovať. Sledujte všetky druhy správ týkajúcich sa objasnení regulátorov, kontrolných postupov, odborných stanovísk a všeobecný trend vývoj legislatívy v tejto oblasti.

III. Požiadavky na organizačné a technické opatrenia,

prijaté na zaistenie bezpečnosti významných objektov

15. Účelom zaistenia bezpečnosti významného objektu je zabezpečiť jeho stabilnú prevádzku v projektových režimoch prevádzky v podmienkach realizácie ohrozenia informačnej bezpečnosti vo vzťahu k významnému objektu.

16. Úlohy zaistenia bezpečnosti významného objektu sú:

A) zabránenie nezákonnému prístupu k informáciám spracúvaným významným predmetom, zničenie týchto informácií, ich úprava, blokovanie, kopírovanie, poskytovanie a šírenie, ako aj iné nesprávneho správania v súvislosti s týmito informáciami;

B) predchádzanie vplyvu informácií na softvér a firmvér, v dôsledku čoho môže dôjsť k narušeniu a (alebo) ukončeniu fungovania významného objektu;

C) zabezpečenie fungovania významného objektu v konštrukčných režimoch jeho prevádzky pod vplyvom hrozieb informačnej bezpečnosti;

D) zabezpečenie možnosti obnovenia fungovania významného objektu kritického bodu informačnej infraštruktúry.

17. V významné objekty objekty, ktoré sa majú chrániť pred hrozbami informačnej bezpečnosti (predmetmi ochrany), sú:

A) v informačných systémoch:

Informácie spracovávané v informačnom systéme;

Softvér a hardvér (vrátane počítačových médií, pracovných staníc, serverov, telekomunikačných zariadení, komunikačných liniek, prostriedkov na spracovanie alfanumerických, grafických, video a rečových informácií);

Prostriedky ochrany informácií;

Architektúra a konfigurácia informačného systému;

B) v informačných a telekomunikačných sieťach:

Informácie prenášané cez komunikačné linky;

Telekomunikačné zariadenia (vrátane softvér, riadiaci systém);

Prostriedky ochrany informácií;

Architektúra a konfigurácia informačnej a telekomunikačnej siete;

C) v automatizovaných riadiacich systémoch:

Informácie (údaje) o parametroch (stave) riadeného (riadeného) objektu alebo procesu (vrátane vstupných (výstupných) informácií, riadiacich (príkazových) informácií, riadiacich a meracích informácií, iných kritických (technologických) informácií);

Softvér a hardvér (vrátane pracovných staníc, priemyselných serverov, telekomunikačných zariadení, komunikačných liniek, programovateľných logické ovládače, výroba, technologické vybavenie(výkonné zariadenia);

Softvérové ​​nástroje (vrátane firmvéru, celosystémového aplikačného softvéru);

Prostriedky ochrany informácií;

Architektúra a konfigurácia automatizovaný systém zvládanie.

18. Zabezpečenie bezpečnosti významného objektu sa dosahuje prijatím v rámci bezpečnostného subsystému významného objektu súborom organizačných a technických opatrení zameraných na blokovanie (neutralizovanie) ohrozenia informačnej bezpečnosti, ktorých realizácia môže viesť k ukončeniu alebo narušeniu fungovania významného objektu a poskytovaniu (riadenému, kontrolovanému) jeho spracúvaniu, ako aj k porušeniu bezpečnosti spracúvaných informácií (narušenie dostupnosti, integrity, dôvernosti informácií).

Organizačné a technické opatrenia na zabezpečenie bezpečnosti významného objektu prijíma subjekt kritickej informačnej infraštruktúry spolu s osobou prevádzkujúcou významný objekt (ak existuje). Zároveň medzi subjektom kritickej informačnej infraštruktúry a osobou prevádzkujúcou významný objekt treba rozlišovať funkcie na zabezpečenie bezpečnosti významného objektu počas jeho prevádzky.

19. Vo významnom objekte sa vyberajú a realizujú bezpečnostné opatrenia s prihliadnutím na ohrozenia informačnej bezpečnosti vo vzťahu ku všetkým objektom a subjektom prístupu na hardvéri, systéme, aplikácii a sieťové vrstvy, a to aj vo virtualizačnom prostredí.

20. Opatrenia na zaistenie bezpečnosti významného objektu prijíma subjekt kritickej informačnej infraštruktúry samostatne alebo v prípade potreby so zapojením v súlade so zákonom. Ruská federácia organizácie, ktoré v závislosti od informácií spracúvaných významným objektom majú licenciu na činnosti technickej ochrany informácií tvoriacich štátne tajomstvo a (alebo) činnosti na technickú ochranu dôverných informácií

21. Organizačné a technické opatrenia prijaté na zaistenie bezpečnosti významného zariadenia musia byť v korelácii s opatreniami pre priemyselnú, funkčnú bezpečnosť, inými opatreniami na zaistenie bezpečnosti významného zariadenia a podporného (riadeného, ​​riadeného) zariadenia alebo procesu. Opatrenia na zaistenie bezpečnosti významného objektu by zároveň nemali mať negatívny vplyv na fungovanie významného objektu v návrhových režimoch jeho prevádzky.

22. Vo významných objektoch v závislosti od ich kategórie významnosti a ohrozenia informačnej bezpečnosti by sa mali realizovať tieto organizačné a technické opatrenia:

identifikácia a autentifikácia (IAF);

Kontrola prístupu (UPD);

Obmedzenie softvérové ​​prostredie(OPS);

Ochrana pamäťových médií strojov (ZNI);

bezpečnostný audit (SAU);

Antivírusová ochrana (AVZ);

Prevencia vniknutia ( počítačové útoky) (OWL);

Zabezpečenie integrity (OCL);

Zabezpečenie dostupnosti (CTA);

Ochrana technické prostriedky a systémy (ZTS);

Ochrana informačného (automatizovaného) systému a jeho komponentov (VIS);

Plánovanie opatrení na zaistenie bezpečnosti (PLN);

Správa konfigurácie (UCF);

Správa aktualizácií softvéru (SOP);

Reakcia na incident informačná bezpečnosť(INC);

Zabezpečenie akcií v núdzových situáciách (DNS);

Informovanie a školenie personálu (IPO).

Zoznam opatrení na zaistenie bezpečnosti významných objektov v závislosti od kategórie významnosti je uvedený v prílohe týchto požiadaviek.

Pri vykonávaní opatrení na zaistenie bezpečnosti významných objektov, metodických dokumentov, vyvinutý FSTEC Ruska v súlade s odsekom 4 odseku 8

23. Výber opatrení na zaistenie bezpečnosti významných objektov na ich realizáciu zahŕňa:

A) určenie základného súboru opatrení na zaistenie bezpečnosti významného objektu;

B) prispôsobenie základného súboru opatrení na zaistenie bezpečnosti významného objektu;

C) doplnenie upraveného súboru opatrení na zaistenie bezpečnosti významného objektu o opatrenia ustanovené inými regulačnými právnymi aktmi v oblasti zaistenia bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie a ochrany informácií.

Základný súbor opatrení na zaistenie bezpečnosti významného objektu sa určuje na základe ustanovenej kategórie významnosti významného objektu v súlade s prílohou týchto požiadaviek.

Základný súbor opatrení na zaistenie bezpečnosti významného objektu podlieha prispôsobeniu v súlade s ohrozeniami informačnej bezpečnosti, používanými informačnými technológiami a charakteristikami fungovania významného objektu. Zároveň možno zo základného súboru vylúčiť opatrenia, ktoré priamo súvisia s informačnými technológiami, ktoré nie sú použité vo významnom objekte, alebo charakteristiky, ktoré nie sú charakteristické pre významný objekt. Pri prispôsobovaní základného súboru opatrení na zaistenie bezpečnosti významného objektu sa pre každé ohrozenie bezpečnosti informácií zahrnutých v modeli ohrozenia porovnáva opatrenie alebo skupina opatrení, ktoré zabezpečujú blokovanie jednej alebo viacerých bezpečnostných hrozieb alebo znižujú možnosť jeho realizácie na základe prevádzkových podmienok významného objektu. Ak základný súbor opatrení neumožňuje blokovať (neutralizovať) všetky ohrozenia informačnej bezpečnosti, obsahuje dodatočne opatrenia uvedené v prílohe týchto Požiadaviek.

Upravený súbor opatrení na zaistenie bezpečnosti významného objektu je doplnený tak, aby boli splnené požiadavky ustanovené inými regulačnými právnymi aktmi v oblasti zaistenia bezpečnosti kritickej informačnej infraštruktúry a ochrany informácií. Upravený súbor opatrení sa dopĺňa, ak sú vo vzťahu k významnému objektu v súlade s právnymi predpismi Ruskej federácie stanovené aj požiadavky na ochranu informácií obsiahnutých v štátnych informačných systémoch, požiadavky na ochranu osobných údajov počas ich trvania. spracúvanie v informačných systémoch osobných údajov, požiadavky na kryptografická ochrana informácie alebo iné požiadavky v oblasti ochrany informácií a bezpečnosti kritickej informačnej infraštruktúry.

24. Ak je významným objektom štát informačný systém alebo informačného systému osobných údajov, opatrenia na zaistenie bezpečnosti významného objektu a opatrenia na ochranu informácií (na zabezpečenie osobných údajov) sa prijímajú v súlade s vyššou kategóriou významnosti, bezpečnostnou triedou alebo úrovňou zabezpečenia osobných údajov.

25. Ak opatrenia prijaté vo významnom zariadení na zabezpečenie priemyselnej, funkčnej bezpečnosti a (alebo) fyzická bezpečnosť postačujú na zablokovanie (neutralizáciu) jednotlivých hrozieb informačnej bezpečnosti, dodatočné opatrenia zvolené v súlade s odsekom 22 a týmito požiadavkami nemožno uplatniť. Zároveň pri vývoji organizačno-technických opatrení na zaistenie bezpečnosti významného objektu je zabezpečená dostatočnosť uplatňovania opatrení na zabezpečenie priemyselná bezpečnosť alebo fyzickej bezpečnosti na blokovanie (neutralizáciu) relevantných hrozieb informačnej bezpečnosti.

26. Pri absencii možnosti implementácie individuálnych bezpečnostných opatrení a (alebo) nemožnosti ich aplikácie na jednotlivé objekty a subjekty prístupu, a to aj z dôvodu ich negatívny vplyv o fungovaní významného objektu v projektových režimoch významného objektu musia byť vypracované a realizované kompenzačné opatrenia na zabezpečenie blokovania (neutralizácie) ohrozenia informačnej bezpečnosti s potrebnou úrovňou bezpečnosti významného objektu. Zároveň v priebehu vývoja organizačných a technických opatrení na zabezpečenie bezpečnosti významného objektu by malo byť opodstatnené použitie kompenzačných opatrení a pri akceptačných skúškach (certifikácii) dostatočnosť a primeranosť týchto kompenzačných opatrení blokovať (neutralizovať) hrozby pre informačnú bezpečnosť.

Ako kompenzačné opatrenia, opatrenia na zabezpečenie priemyselnej, funkčnej a (alebo) fyzickej bezpečnosti významného zariadenia, ktoré podporuje požadovaná úroveň jeho ochranu.

27. Technické opatrenia na zaistenie bezpečnosti vo významnom objekte sa realizujú pomocou softvéru a firmvéru používaného na zaistenie bezpečnosti významných objektov - nástrojov informačnej bezpečnosti (vrátane tých, ktoré sú zabudované do celosystémového aplikačného softvéru).

Zároveň sú prioritou nástroje informačnej bezpečnosti zabudované do softvéru a (alebo) firmvéru významných objektov (ak existujú).

28. Na zabezpečenie bezpečnosti významných objektov kritickej informačnej infraštruktúry by sa mali využívať nástroje informačnej bezpečnosti, ktoré boli posúdené z hľadiska súladu s bezpečnostnými požiadavkami vo forme povinnej certifikácie, testovania alebo akceptácie.

Nástroje informačnej bezpečnosti, ktoré prešli posúdením zhody vo forme povinnej certifikácie, sa používajú v prípadoch ustanovených legislatívou Ruskej federácie, ako aj v prípade, že o rozhodnutí rozhoduje subjekt kritickej informačnej infraštruktúry.

V ostatných prípadoch sa využívajú nástroje ochrany informácií, ktoré prešli hodnotením zhody vo forme testov alebo akceptácie, ktoré vykonávajú subjekty kritickej informačnej infraštruktúry samostatne alebo so zapojením organizácií, ktoré majú licencie na činnosť v oblasti informácií. ochranu v súlade s právnymi predpismi Ruskej federácie.

Testy (akceptácia) nástrojov informačnej bezpečnosti sa vykonávajú samostatne alebo ako súčasť významného objektu kritickej informačnej infraštruktúry v súlade s programom a testovacími metódami (akceptáciou) schválenými subjektom kritickej informačnej infraštruktúry.

29. V prípade použitia nástrojov informačnej bezpečnosti certifikovaných na zhodu s požiadavkami informačnej bezpečnosti vo významnom objekte:

A) vo významných objektoch I. kategórie sa používajú nástroje informačnej bezpečnosti minimálne 4. triedy ochrany, ako aj počítačová veda nie nižší ako stupeň 5;

B) vo významných objektoch 2. kategórie sa používajú nástroje informačnej bezpečnosti nie nižšej ako 5. triedy ochrany, ako aj počítačové vybavenie nie nižšej ako 5. triedy;

C) vo významných objektoch 3. kategórie sa používajú nástroje informačnej bezpečnosti 6. triedy ochrany, ako aj výpočtová technika najmenej 5. triedy.

Zároveň sa vo významných objektoch 1. a 2. kategórie významnosti používajú certifikované nástroje informačnej bezpečnosti, ktoré boli testované minimálne na úrovni 4 monitorovania absencie nedeklarovaných spôsobilostí. Subjekt kritickej informačnej infraštruktúry sa môže rozhodnúť zvýšiť úroveň kontroly nad absenciou nedeklarovaných schopností nástrojov ochrany informácií.

Triedy ochrany sa určujú v súlade s regulačnými právnymi aktmi FSTEC Ruska vydanými v súlade s odsekom 8 pododsekom 13.1 Predpisov o Federálnej službe pre technickú a exportnú kontrolu, schválených vyhláškou prezidenta Ruskej federácie z r. 16. augusta 2004 N 1085.

Pri používaní nástrojov informačnej bezpečnosti certifikovaných podľa požiadaviek informačnej bezpečnosti vo významnom objekte musia byť tieto nástroje certifikované na splnenie povinných požiadaviek informačnej bezpečnosti ustanovených regulačnými právnymi aktmi, prípadne požiadaviek uvedených v technické údaje(bezpečnostné úlohy).

Bezpečnostné prvky nástrojov informačnej bezpečnosti musia zabezpečiť splnenie týchto Požiadaviek.

30. Softvér a programové vybavenie a hardvér používaný vo významnom zariadení vrátane nástrojov informačnej bezpečnosti sa musí prevádzkovať v súlade s pokynmi (pravidlami) na prevádzku vypracovanými vývojármi (výrobcami) týchto nástrojov a inou prevádzkovou dokumentáciou.

31. Softvér a softvér a hardvér používaný vo významnom zariadení, vrátane nástrojov informačnej bezpečnosti, musí byť poskytnutý so zárukou a (alebo) technickou podporou.

Pri výbere softvéru a hardvéru a softvéru vrátane nástrojov informačnej bezpečnosti je potrebné vziať do úvahy prítomnosť obmedzení možnosti ich použitia subjektom kritickej informačnej infraštruktúry na ktoromkoľvek z významných objektov kritickej informačnej infraštruktúry, ktoré mu patria. na strane vývojárov (výrobcov) alebo iných osôb.

Vo významnom objekte nie sú povolené:

Dostupnosť vzdialený prístup priamo (priamo) na softvér a firmvér vrátane nástrojov informačnej bezpečnosti na aktualizáciu alebo správu osobami, ktoré nie sú zamestnancami subjektu kritickej informačnej infraštruktúry;

dostupnosť lokálneho nekontrolovaného prístupu k softvéru a firmvéru vrátane nástrojov informačnej bezpečnosti na aktualizáciu alebo správu osobami, ktoré nie sú zamestnancami subjektu kritickej informačnej infraštruktúry;

Prenos informácií vrátane technologických informácií vývojárovi (výrobcovi) softvéru a hardvéru a softvéru vrátane nástrojov informačnej bezpečnosti alebo iným osobám bez kontroly subjektu kritickej informačnej infraštruktúry.

32. Pri použití vo významných objektoch nových informačných technológií a identifikácii dodatočných hrozieb informačnej bezpečnosti, pre ktoré nie sú definované bezpečnostné opatrenia, by sa mali vypracovať kompenzačné opatrenia v súlade s odsekom 26 týchto požiadaviek.