Kişisel verilere olası yetkisiz erişime aktif olarak karşı koymak için gerçekleştirilen, yönetim önlemlerinden, etkin bir şekilde çalışan donanım koruma araçlarından oluşan bir dizi farklı önlem, etkin bir şekilde çalışan Kişisel Verileri Koruma Sisteminin (PDS) temelini oluşturur.

Güvenilir bir şekilde çalışan bir dizi önlem getirmenin amacı şudur:

Düzenleyicinin "Kişisel Verilerin Korunması Hakkında" Federal Yasası hükümlerine tam uyum, kullanılan kişisel veriler için uygun güvenlik düzeyini sağlayan onaylanmış yönetmelik hükümlerine tam uyum;

Kullanılmış PD'yi dönüştürürken belirli kuralların uygulanmasını öngören ve korunmalarını sağlayan talimatların geliştirilmesi.

• Çözülecek görevler
• Kullanılan ekipman
• Başvurular

Kişisel veri koruma sisteminin (PDS) geliştirilmesi ve uygulanması, 27.07 tarihli Federal Yasa tarafından tanınan kapsamlı bilgilerin korunmasını sağlamayı amaçlayan bir dizi teknik ve yönetimsel önlemdir. 2006 N 152-FZ kişisel verileri.

PD ile çalışmak için eylemler gerçekleştiren devlet kurumları ve ticari kuruluşlar olan operatör, güvenli işlemleriyle ilgilenir ve böylece bir güvenlik sistemi uygulama ihtiyacının farkındadır.

Bir PDS'nin oluşturulması için projelerin uygulanmasında biriken deneyim dikkate alındığında, sistemin uygulanmasından bir dizi önemli avantaj belirlemek mümkün görünmektedir:

Birincisi, kişisel verilerin güvenliği ile ilgili mevcut mevzuata uyulmamasından kaynaklanan hem yasal hem de itibar risklerinde çarpıcı bir azalma.

İkinci önemli nokta ise, bir güvenlik sisteminin bilimsel olarak temellendirilmiş yapısının, çalışanların ve müşterilerin kişisel verilerini güvenliklerinden korkmadan işlemenize olanak sağlamasıdır. Bu, bireylerin gizli bilgileri ve yalnızca resmi (dahili) kullanıma yönelik bilgilerle uğraşırken güçlü bir rekabet avantajı haline gelebilir. İyi yapılandırılmış bir SZPDn, en yaygın tehditlerle kolayca başa çıkabilir - kötü amaçlı yazılımların etkisini engeller, müşteri veritabanlarının çalınmasını önler ve bu genellikle işten çıkarılmış çalışanlar tarafından uygulanır.

Etkili bir kişisel veri koruma sisteminin uygulanmasını motive eden üçüncü faktör, kişisel verilerin gizliliğini sağlamak için güvenilebilecek güvenilir bir ortak olarak şirketin imajının oluşturulmasıdır.

Analistlerin belirttiği gibi, gizli bilgilerin sızmasıyla ilgili sık yaşanan skandallar, insanları karşı taraf bir ortak seçerken güvenlik sistemine dikkat etmeye zorluyor. Ortaklık anlaşmaları veya ihale koşulları, PDPD'nin mevcut düzenleyici kanunlara belgelenmiş uyumunu sağlamanın gerekli olduğu halihazırda sıradan hale gelmektedir.

Unutulmamalıdır ki, etkin bir PDS, şirketin kendi içindeki tüm iş süreçlerinin devamlılığını sağlar, müşteri şikayeti olasılığını ortadan kaldırır, çalışanlardan gelen haklı şikayetler ve düzenleyici otoritelerden gelen zorlu talimatlar.

152-FZ'ye uygun hale getirilecek iş aşamaları

1. Envanter, PD işlemede yer alan bilgi yapılarının durumunun tam analizi.

Böyle bir proje öncesi denetim, şirkette kişisel verilerin işlenmesine dahil olan süreçler ve bunları korumaya yönelik önlemler hakkında objektif bilgi sağlar. Açık Görüş uzmanları, işte kullanılan kısıtlı verilerin güvenliğine ilişkin yasal çerçevenin gereklerini yerine getirmek için geliştirilen tüm hizmet belgelerini, alınan önlemlerin düzenliliğini zorunlu olarak kontrol eder.

2. Kişisel verilerin güvenliği için kullanılan bir güvenlik sistemi konseptinin oluşturulması, müşteriye kişisel verilerin işlenmesini optimize etme konusunda bilgilendirilmiş öneriler sunarak, gizli bilgilerin güvenliğini sağlama.

Çalışmanın bu aşamasında, kalifiye uzmanlar projenin uygulanması için olası seçenekleri değerlendirir, uygulanması için başlangıç \u200b\u200bnoktalarını belirler, uygulamaya konulan projenin ölçeğinde belirli kısıtlamalar belirler. Temel sorunlar belirlenir, önerilen çözümlerin mantığı oluşturulur. Müşteriler, geliştirilmekte olan bilgi güvenliği kompleksinin yazılım ve donanım öğelerinin bir listesini, her bir öğenin maliyetinin zorunlu bir göstergesiyle birlikte alır.

3. Gerçek PD güvenliği seviyesinin netleştirilmesi

Çalışma sırasında, korunan kişisel verilere yönelik olası tehdit türleri belirlenir, belirli bir bilgi sistemine atıfta bulunarak, kişisel verilerin beklenen bileşimi, olası konu sayısı belirlenir. Alınan tüm bilgi hacmi dikkate alınarak kişisel veri güvenlik sisteminin gerçek durumu belirlenir.

4. PD güvenlik sistemine yönelik olası tehditler modelinin geliştirilmesi, bir saldırgan modelinin oluşturulması

Müşteriye sağlanan belge, kişisel veri bilgi sistemlerinde (ISPDN) çalışırken kişisel verilerin güvenliğine yönelik olası tehditlerin sistematik bir listesidir. Kişisel verilerin güvenliğine yönelik tehditler (UBPDn), bireylerin kötü niyetli veya tesadüfi eylemleri, yabancı özel hizmetlerin veya casusluk konusunda uzmanlaşmış kuruluşların faaliyetleri, kişisel veri güvenliğini hackleyen uzman suç gruplarının hem toplumun hem de devletin veya vatandaşların hak ve özgürlüklerini etkileyecek şekilde ortaya çıkabilir. ...

5. SZPDn'nin inşası için İş Tanımlarının Geliştirilmesi

Belirli bir bilgi yapısı için bir PDPD bilgi yapısının inşası için özel görev tanımı, amacını, izlenen hedefleri, teknik ve organizasyonel destek gereksinimlerini, PDPD'nin geliştirilmesi ve doğrudan oluşturulması için bir planı belirler.

6. SZPD projesinin oluşturulması

SPSD'nin uygulanmasının bu aşamasında oluşturulan proje dokümantasyonu, yasal düzenlemeler tarafından öngörülen sınırlı erişime sahip veri güvenliği standartlarını dikkate alan çalışma sağlar.

7. Organizasyonel ve idari belgelerin geliştirilmesi

Kişisel verilerin işlenmesine, korunmasına ilişkin kuralları belirleyen bir dizi belge, kişisel verilerin iş ve güvenliğine yönelik tüm süreçleri mevcut mevzuatın standartlarına uygun hale getirmek için gerekli olan düzinelerce organizasyonel ve idari talimattan oluşmaktadır.

8. Yazılım ve donanım bilgilerinin korunmasının sağlanması

Müşteriye, test edilmiş ve bilgi güvenliği önlemleriyle ilgili Rusya Federasyonu yasalarının gereksinimlerini karşılayan PDS'nin uygulanması için donanım ve yazılım öğeleri sağlanır.

9. Bilgi güvenliği sisteminin kurulumu, konfigürasyonu

SZPD'nin bu uygulama aşamasında, ekipman kuruluyor, uygun ayarlarla yazılım kuruluyor. Yapılan çalışmanın bir sonucu olarak, müşteri PD ile çalışmak için kullanılan bilgi yapısıyla uyumlu bir dizi bilgi güvenliği aracı alır.

10. Kişisel verilerin etkili bir şekilde korunmasını sağlamak için alınan önlemlerin etkinliğinin değerlendirilmesi

Kısıtlı veriler için geliştirilen güvenlik önlemlerinin etkinliğinin tespiti, PDPD'nin faaliyete geçmesinden önce gerçekleştirilir. Ticari bir sistemin kanıt testi 3 yılda bir gereklidir.

11. Modern bilgi güvenliği gereksinimlerine uygunluk için kullanılan ISPD'nin sertifikasyonu

ISPDn sertifikasyonu, bilgi güvenliği gerekliliklerine uygunluğu onaylamayı amaçlayan bir dizi organizasyonel ve teknik kontrolü (sertifika testleri) içerir. Devlet kurumları için sağlanmıştır.

Yurtiçi BT pazarının hızla gelişen segmentlerinden biri, bu projenin uygulanmasının teknik basitliği, iş süreçlerinin şeffaflığından kaynaklanan İnternet ticaretidir. Elektronik ticaret, etkili ve gelecek vaat eden bir işletme türü olarak kabul edilmektedir.

İnternette iş dünyasının bilgi güvenliği konuları geçerliliğini yitirmez, aksine, güvenlik sistemlerine büyük miktarda para yatıran en büyük finansal kuruluşlara yönelik hacker saldırılarının sayısındaki artış, zamanında önlem alınmasını gerektirir. İşte bunu nasıl başaracağınız ve hatta kabul edilebilir bir maliyetle.

Birçoğu, özellikle ilk aşamada, bilgi güvenliği sistemlerine yatırım yaparak dolaşımdan önemli meblağlar elde etme yeteneğine sahip değildir. İş yenidir, olası "tuzaklar" bilinmemektedir ve İnternet'teki işin özellikleri sürekli değişiklikleri öngörmektedir.

Sonuç olarak, bir güvenlik sistemi oluşturuluyor, ancak "tanıdık" geliştiriliyor veya en iyi ihtimalle resmi olarak kayıtlı bir web stüdyosu olan bir serbest meslek sahibine sipariş veriliyor. Hazır bir çözümün satın alınması, mevcut BT altyapısına entegre etme sorunları olduğu için ciddi bir güvenlik düzeyi sağlama olarak da değerlendirilemez.

Ya da belki bu tür sistemlerin gerçekten uygun güvenlik seviyesini sağlayıp sağlamadığını düşünmelisiniz? Girişimcinin kendisi "İnternet şabaşniklerinin" eğitim düzeyini belirlemek için gerekli niteliklere sahip mi? Böyle bir çalışma olası riskleri en aza indirebilir mi? Ne yazık ki çoğu durumda cevap hayırdır.

Tüketicinin bir satın alma işlemi sırasında çevrimiçi mağazaya aktardığı kişisel verilerin güvenliği ile ilgili olarak özellikle katı gereklilikler olmamasına rağmen, bu, bu tür gizli bilgilerin işlenmesini ve depolanmasını organize etme yöntemlerini seçmek için ana gösterge olarak hizmet edemez. Alıcının, kişisel verilerinin korunmasının ne kadar etkin çalıştığını değerlendirme fırsatı yoktur. Evet, bu şimdilik özellikle rahatsız etmiyor, çünkü cazip fiyatlar, malların güzelce yapılmış bir açıklaması, tercihli teslimat hedefe ulaşıyor.

Satın alan kitlenin çoğu, kişisel verilerini nereye gönderdiklerini bile merak etmiyor. Ya bireysel bir girişimci ya da kendi İnternet işini geliştiren özel bir girişimci. Veya büyük bir tüketici elektroniği perakendecisinin web bölümüdür. Doğal olarak, büyük bir ticaret ağında bilgi güvenliğine yönelik tutum, bazen müşterilere bağımsız olarak mal teslim etmek zorunda kalan bir girişimcininkinden daha katıdır.

Giderek artan gizli bilgi hırsızlığı tehdidine rağmen, İnternet ticaretine olan güvenin sürekli artması dikkat çekicidir. Alıcı, bazen mağaza çalışanlarının bunu nasıl ele alacağı konusunda endişelenmeden sipariş formunu doldurarak kendisiyle ilgili bilgileri girer. Ya da belki mevcut iş süreçleri için çok fazla talep görmüyor mu?

Çevrimiçi mağazada sağlanan iş süreçleri için bu verilerin işlenmesiyle ilgili mevcut görevlerle alınan bilginin niteliği ve hacmi arasında bir tutarsızlık olduğundan, istenen verilerin sonuçta ortaya çıkan fazlalığı FZ-152'nin kapsamına girer.

Modern İnternet ticaretinin teknik gelişim seviyesi, CRM sistemlerinin kullanımını üstlenmeyi mümkün kılar, bu sayede müşteri ile daha sonraki etkileşim ve yeni bir ürün teklifi için müşteri hakkında veri kaydetmenin mümkün olması. Ancak alıcı ile satış sonrası etkileşimin seviyesi için gerekli mi?

FZ-152'ye göre, kişisel bilgiler yalnızca işlenmesi için gerekli olan süre boyunca saklanabilir. Bir satın alma yapıldıktan veya reddedildikten sonra, tüm kişisel veriler, depolanmaları gerçekleştirilen iş süreçlerinin özelliklerine karşılık gelmediğinden imha edilmelidir. Hiç şüphe yok ki, pratikte kimse bunu yapmıyor.

FZ-152, İnternet ticaretinin varlığını tehdit eden hükümler içerir. Herhangi bir denetim kurumu, bir çevrimiçi mağaza sahibinden kişisel verilerini işte kullanması için bir vatandaşın yazılı iznini tam olarak vermesini isteyebilir. Hiç kimse yazılı olarak böyle bir izin vermez, maksimum mağaza kurallarına aşina olma işaretiyle sınırlıdır.

Malları teslim etmek için alıcı ve kurye arasında bir toplantı dışında İnternet üzerinden ticaret açısından doğrudan temas beklenmediğinden, FZ-152 normlarına uyum yalnızca tüketici kişisel verilerinin kişiselleştirilmesiyle sağlanabilir ve bu, mevcut iş süreçlerinin ayarlanmasını gerektirir.

Kuşkusuz, kurumsal portallar, bir şirketin çeşitli bilgi hizmetlerine erişimi kolaylaştıran kullanışlı bir araç olarak makul bir şekilde kabul edilmektedir. Merkez ofisten çok uzakta bulunan gelişmiş bir şube ve ofis ağıyla, önemli sayıda iş ortağıyla, en uygun iletişim aracı, yeterli düzeyde güvenliğe sahip bir VPN bağlantısıdır. Ancak böylesine yüksek teknolojili bir çözümün seçimi oldukça pahalıdır ve her şirket için mevcut değildir. Güvenli bir bağlantı için ücretsiz fon yokluğunda, çalışmanın daha kolay bir yolu İnternetten bir erişim noktasıdır.

Kurumsal portalın bir özelliği, farklı altyapı düzeylerini hesaba katsa bile, hem çalışanların, firmanın müşterilerinin ve tüzel kişiliğin iş ortaklarının gizli bilgilerinin depolanması, hem de ifşa edilmesi zarara neden olabilecek şirketin kendisine ait finansal bilgilerin yerleştirilmesidir. Kişisel verilerle çalışmak için tüm süreçlerin etkin organizasyonu, veri işleme amaçlarının ve yöntemlerinin her bir özne alt grubu için farklı olduğunu dikkate almalıdır. Kurumsal güvenlik kavramına dahil edilmesi gereken kısıtlı verileri dönüştürmek için farklılaştırılmış bir yaklaşımdır.

Kuşkusuz, kurumsal bir portal oluşturan bir şirketin mali durumu, deneyimli programcıları işe çekmeyi veya hazır ve tekrar tekrar test edilmiş bir çözüm satın almayı mümkün kılar. Ancak unutulmamalıdır ki, etkili bir bilgi güvenliği sistemi geliştirirken dikkat etmeniz gereken tek parametre kod güvenliği değildir. Bilgi güvenliği genel olarak şirket yönetimi tarafından genel güvenlik sisteminin ayrılmaz bir parçası olarak kabul edilmelidir.

Geçtiğimiz birkaç yıl içinde, Runet'teki popüler sosyal ağların kullanıcılarının sayısı, 50 milyonu aşarak, benzeri görülmemiş bir oranda arttı. Sosyal ağlarda biriken muazzam miktarda kişisel veri, FZ-152 normlarının önerdiği uygun kontrolü gerektirir.

Sosyal ağlarda bulunan bilgilerin "halka açık" olarak kabul edilebileceği ilk izlenimine rağmen, her yıl artan veri hacmi yasalarca "gizli kişisel veriler" olarak sınıflandırılmaktadır.

Sosyal hesap ağlarından hırsızlık gerçekleri yurtdışında ve Rusya'da nadir değildir. Yüz binlerce hesap siber suçlulara maruz kalıyor. Sosyal ağlara yapılan hacker saldırılarının sayısı azalmıyor, uzmanlar, siber suçların İnternetin bu kısmına sürekli dikkat ettiğini belirtiyor.

Sosyal odaklı dolandırıcılık planları, kendi amaçları için eczacılık saldırıları, spam gönderme ve kimlik avı kullanma gibi büyük bir potansiyele sahiptir. Tüm bu modern siber suç araçları seti, insanların saflığı ve deneyimsizliği ile kolaylaştırılan gizli verilerin çalınmasına yol açabilir. Sosyal ağ yöneticilerinin olayları sürekli olarak izlemesi, olayları tanımlaması ve sonuçlarını ortadan kaldırması gerekir.

İnternet bankacılığı hizmeti, Rus bankacılık sektöründe giderek daha popüler hale geliyor; birkaç düzine finans kurumu bu hizmeti tam olarak sağlıyor. Bunun nedeni hem tek bir entegrasyon platformunun olmaması hem de birçok kurumun yetersiz otomasyon seviyesidir.

Yaygın web uygulamaları gibi, İnternet bankacılığı hizmetleri ve elektronik ödeme sistemleri de ortak bir istemci-sunucu mimarisine dayanmaktadır. Bu tür bir etkileşimin "zayıf halkasının" kullanıcı ve kendi hesabını yönettiği cihazlar olduğu kabul edilmektedir.

Ne yazık ki tüketici, bir banka hesabını uzaktan yönetirken kaçınılmaz olarak ortaya çıkan tüm riskleri objektif olarak değerlendiremez. Uygun güvenlik önlemlerinin alınmasından bahsetmiyorum bile. Bu nedenle, bankalar bu konularda müşterilerin bilgilerini doldurmalıdır.

Finansal kurumlar maksimum işlem güvenliği sağladığından, ancak müşterinin kişisel verilerine erişim sağlamak için siber suçluların dikkatlerini genellikle para çalmaya değil İnternet bankacılığına odaklamaları dikkate değerdir. Bu sayede banka kartları ve diğer finansal hırsızlık yöntemleriyle dolandırıcılık planları mümkün hale geliyor. Birçok uzman, karaborsada sadece müşteri hesaplarını kaydetmenin kendine ait bir maliyeti olduğuna inanıyor.

İstatistikler, İnternet bankacılığı hizmetinin birçok yapıda oluşturulmasının ve işletilmesinin endüstri normlarına ve kurallarına uymadığını açıkça göstermektedir. Çoğu zaman, her bir finans kurumu bağımsız olarak kalkınma ile uğraşıyordu ve mevcut standartlar doğası gereği sadece tavsiye niteliğindeydi.

Düzenleyicinin kişisel verilerin güvenliği üzerindeki kontrolü sıkılaştırıldığından ve mevcut güvenlik sistemlerinin iyileştirilmesini gerektirdiğinden, FZ-152'nin başlangıcı birçok banka için önemli sorunlar yaratmıştır. Bankalar Birliği FZ-152'nin başlangıcını ne kadar ertelemeye çalışsa da, hükümlerine uymak gerekli hale geldi.

9 Haziran 2011, 05:20

Kişisel veri koruma uygulaması

• Bilgi Güvenliği

Yerel DSS NSD

SZI NSD, bilgileri yetkisiz erişime karşı korumak için kullanılan bir kısaltmadır. ISPD iş istasyonlarına erişimi olan kullanıcıların yetkisiz eylemlerini önlemek için kullanılırlar. Çıkarılabilir medyadan (CD / DVD diskler, flash sürücüler) yükleme kontrolü, cihazların kontrolü (böylece bir sol flash sürücüyü bağlamak ve bilgileri boşaltmak mümkün olmayacak şekilde), zorunlu erişim kontrolünün uygulanması (ISPDN için gerekli değildir) gibi mekanizmaları içerirler. Yalnızca kişisel olarak çalıştığım araçları vereceğim:
1) Gizli Ağ. Yük kontrol panosu ile veya olmadan tedarik edilebilir. Secpol.msc aracılığıyla çalışır, bu nedenle Home sürümlerinde çalışmayabilir (Windows XP Home'da kesinlikle çalışmaz, evet henüz Vista ve Windows 7'yi test etmedim). Kullanımı oldukça kolaydır, şimdiye kadar görülen en iyi cihaz kontrol mekanizmasına sahiptir. Bir etki alanı yapısına entegrasyon için tasarlanmış bir ağ sürümü vardır.
2) Guardian NT. Zorunlu erişim kontrolü için en iyi mekanizma. Çalıştırması daha zordur (bazı koruyucu mekanizmaların devre dışı bırakılamaması nedeniyle). Ağ sürümü yok.
3) Dallas Lock. Etki alanı içermeyen bir ağda ağ seçeneğinin normal bir şekilde yerleştirilmesi olasılığı dışında, daha önce tartışılan tüm parametrelerde kayıplar.
Adından da anlaşılacağı gibi, bu araçlar yerel makinelerde kullanılmaktadır. Buraya eklenecek hiçbir şey yok.

Güvenlik duvarları

Bence amaç açık. Ayrıca, bir ISPD bir güvenlik duvarı tarafından iki kısma bölünürse, onları haklı olarak iki farklı ISPD olarak adlandırabiliriz. Ne için? Tam olarak işlenen kişisel veri konularının sayısına göre birinci sınıfa girerseniz, ISPD'yi iki kısma bölerek, her ISPD'de işlenen konu sayısını azaltacaksınız ve artık K1 değil, K2 alacaksınız. Şu anda piyasada birkaç sertifikalı güvenlik duvarı bulunmaktadır:
1) VipNet Kişisel Güvenlik Duvarı. Sadece kişisel bir güvenlik duvarı, süslü şeyler yok. Yalnızca yerel olarak yönetilir. Merkezi bir yönetim mekanizması yoktur. Başlamak için bir parola gerektirir, girmezseniz başlamaz.
2) VipNet Office Güvenlik Duvarı. Aynısı, ancak ağ geçidine kurmanıza ve ISPDN'yi bölümlere ayırmak için kullanmanıza izin veren birkaç ağ kartını destekler.
3) SSPT-2. Donanım ve yazılım kompleksi FreeBSD üzerinde çalışır, ancak hiç kimse size işletim sisteminin kendisine erişim sağlamaz. Hızlı çalışır, birçok parametreye göre filtrelemeyi destekler. Hoş olmayan bir özelliği vardır - kurallar yukarıdan aşağıya bir listede uygulanır ve en üstte bulunan kurallar daha yüksek önceliğe sahiptir. Bu dokümantasyona yansımadı, ampirik olarak ortaya çıktı. Hem yerel konsoldan hem de web arayüzünden kontrol edilir.
4) APKSH "Kıta". Genel olarak, bu bir güvenlik duvarı değil, bir kripto yönlendiricidir, ancak ITU işlevlerine sahiptir. Mimari olarak SSPT-2'ye benzer, ancak yerel konsoldan kontrol yoktur - yalnızca özel bir yönetici konsolu aracılığıyla. Ayrıca, ilk kurulum sırasında, yönetici bilgisayarının bağlanacağı arabirimi de belirtmelisiniz.
Ek olarak, "Güvenlik Kodu" iki ürün daha piyasaya sürdü - ITU + HIPS "Security Studio Uç Nokta Koruması" ve Kerberos kimlik doğrulamasını kullanarak güvenlik duvarı ve segmentasyonu birleştiren Trust Access dağıtılmış güvenlik duvarı sistemi. Bu ürünlerle çalışmak zorunda olmadığım için, yalnızca açıklamalarına bağlantı vereceğim:
TrustAccess
SSEP
Ayrıca başka bir ürün olan Stonegate Firewall / VPN'in üretimi de onaylandı. Fin şirketi Stonesoft'un ürünü. Ayrıca, sertifikalı bir VPN çözümü olarak kullanılmasına izin veren, üzerine vidalanmış bir CryptoPRO şifreleme modülü ile birlikte gelir.

SKZI

Aynı zamanda kriptografik koruma araçlarıdır. Daha önce bahsedilen Stonegate Güvenlik Duvarı / VPN'nin yanı sıra, iki VPN çözümü daha var:
1) VipNet Özel. VipNet Yöneticisi - yönetim programı, VipNet Koordinatörü - ITU işlevlerine sahip VPN sunucusu ve VipNet İstemcisi - VPN istemcisi ve ITU'nun bir kompleksidir. Kontrol programı yalnızca anahtarlar ve sertifikalar oluşturmak için kullanılır; güvenlik duvarı ayarları yalnızca yerel olarak yönetilebilir. Yalnızca yerleşik RDP yönetimde yardımcı olabilir. Bu, dahili mesajlaşma ve dahili postayı içerir. Tek avantajı, mevcut altyapıya kolayca entegre edilebilen tamamen bir yazılım çözümü olması gerçeğine bağlanabilir.
2) APKSH "Kıta". Prensip olarak, onun hakkında çoktan konuştum. Yalnızca istemcinin son sürümünde ("Kıta-AP") güvenlik duvarı işlevleri olduğunu ve hatta Linux için bir istemci olduğunu ekleyeceğim. Kripto ağ geçitlerinin yönetimi yalnızca yönetici konsolundan ancak uzaktan gerçekleştirilir. Tuhaflıklar, ilk ayarın (yani, ağ yapılandırmasının ve anahtarların kripto ağ geçidine iletilmesi) yerel olarak, gerekli tüm bilgilerle bir flash sürücü besleyerek gerçekleştirilmesi gerçeğini de içerir. Yapılandırmayı oluştururken bir hata yaptıysanız ve kripto ağ geçidini uzak bir noktaya gönderdiyseniz, o zaman uzaktan bağlanamaz ve bir şeyi düzeltemezsiniz, yapılandırmayı yeniden oluşturmanız ve bir şekilde uzak noktaya aktarmanız gerekir.

Temel olarak, bildiğim tüm onaylı korumaların kısa bir açıklaması burada. Umarım bu bilgiler topluluk için yararlıdır.

Yerel DSS NSD

SZI NSD, bilgileri yetkisiz erişime karşı korumak için kullanılan bir kısaltmadır. ISPD iş istasyonlarına erişimi olan kullanıcıların yetkisiz eylemlerini önlemek için kullanılırlar. Çıkarılabilir medyadan (CD / DVD diskler, flash sürücüler) yükleme kontrolü, cihazların kontrolü (böylece bir sol flash sürücüyü bağlamak ve bilgileri boşaltmak mümkün olmayacak şekilde), zorunlu erişim kontrolünün uygulanması (ISPDN için gerekli değildir) gibi mekanizmaları içerirler. Yalnızca kişisel olarak çalıştığım araçları vereceğim:
1) Gizli Ağ. Yük kontrol panosu ile veya olmadan tedarik edilebilir. Secpol.msc aracılığıyla çalışır, bu nedenle Home sürümlerinde çalışmayabilir (Windows XP Home'da kesinlikle çalışmaz, evet henüz Vista ve Windows 7'yi test etmedim). Kullanımı oldukça kolaydır, şimdiye kadar görülen en iyi cihaz kontrol mekanizmasına sahiptir. Bir etki alanı yapısına entegrasyon için tasarlanmış bir ağ sürümü vardır.
2) Guardian NT. Zorunlu erişim kontrolü için en iyi mekanizma. Çalıştırması daha zordur (bazı koruyucu mekanizmaların devre dışı bırakılamaması nedeniyle). Ağ sürümü yok.
3) Dallas Lock. Etki alanı içermeyen bir ağda ağ seçeneğinin normal bir şekilde yerleştirilmesi olasılığı dışında, daha önce tartışılan tüm parametrelerde kayıplar.
Adından da anlaşılacağı gibi, bu araçlar yerel makinelerde kullanılmaktadır. Buraya eklenecek hiçbir şey yok.

Güvenlik duvarları

Bence amaç açık. Ayrıca, bir ISPD bir güvenlik duvarı tarafından iki kısma bölünürse, onları haklı olarak iki farklı ISPD olarak adlandırabiliriz. Ne için? Tam olarak işlenen kişisel veri konularının sayısına göre birinci sınıfa girerseniz, ISPD'yi iki kısma bölerek, her ISPD'de işlenen konu sayısını azaltacaksınız ve artık K1 değil, K2 alacaksınız. Şu anda piyasada birkaç sertifikalı güvenlik duvarı bulunmaktadır:
1) VipNet Kişisel Güvenlik Duvarı. Sadece kişisel bir güvenlik duvarı, süslü şeyler yok. Yalnızca yerel olarak yönetilir. Merkezi bir yönetim mekanizması yoktur. Başlamak için bir parola gerektirir, girmezseniz başlamaz.
2) VipNet Office Güvenlik Duvarı. Aynısı, ancak ağ geçidine kurmanıza ve ISPDN'yi bölümlere ayırmak için kullanmanıza izin veren birkaç ağ kartını destekler.
3) SSPT-2. Donanım ve yazılım kompleksi FreeBSD üzerinde çalışır, ancak hiç kimse size işletim sisteminin kendisine erişim sağlamaz. Hızlı çalışır, birçok parametreye göre filtrelemeyi destekler. Hoş olmayan bir özelliği vardır - kurallar yukarıdan aşağıya bir listede uygulanır ve en üstte bulunan kurallar daha yüksek önceliğe sahiptir. Bu dokümantasyona yansımadı, ampirik olarak ortaya çıktı. Hem yerel konsoldan hem de web arayüzünden kontrol edilir.
4) APKSH "Kıta". Genel olarak, bu bir güvenlik duvarı değil, bir kripto yönlendiricidir, ancak ITU işlevlerine sahiptir. Mimari olarak SSPT-2'ye benzer, ancak yerel konsoldan kontrol yoktur - yalnızca özel bir yönetici konsolu aracılığıyla. Ayrıca, ilk kurulum sırasında, yönetici bilgisayarının bağlanacağı arabirimi de belirtmelisiniz.
Ek olarak, "Güvenlik Kodu" iki ürün daha piyasaya sürdü - ITU + HIPS "Security Studio Uç Nokta Koruması" ve Kerberos kimlik doğrulamasını kullanarak güvenlik duvarı ve segmentasyonu birleştiren Trust Access dağıtılmış güvenlik duvarı sistemi. Bu ürünlerle çalışmak zorunda olmadığım için, yalnızca açıklamalarına bağlantı vereceğim:
TrustAccess
SSEP
Ayrıca başka bir ürün olan Stonegate Firewall / VPN'in üretimi de onaylandı. Fin şirketi Stonesoft'un ürünü. Ayrıca, sertifikalı bir VPN çözümü olarak kullanılmasına izin veren, üzerine vidalanmış bir CryptoPRO şifreleme modülü ile birlikte gelir.

SKZI

Aynı zamanda kriptografik koruma araçlarıdır. Daha önce bahsedilen Stonegate Güvenlik Duvarı / VPN'nin yanı sıra, iki VPN çözümü daha var:
1) VipNet Özel. VipNet Yöneticisi - yönetim programı, VipNet Koordinatörü - ITU işlevlerine sahip VPN sunucusu ve VipNet İstemcisi - VPN istemcisi ve ITU'nun bir kompleksidir. Kontrol programı yalnızca anahtarlar ve sertifikalar oluşturmak için kullanılır; güvenlik duvarı ayarları yalnızca yerel olarak yönetilebilir. Yalnızca yerleşik RDP yönetimde yardımcı olabilir. Bu, dahili mesajlaşma ve dahili postayı içerir. Tek avantajı, mevcut altyapıya kolayca entegre edilebilen tamamen bir yazılım çözümü olması gerçeğine bağlanabilir.
2) APKSH "Kıta". Prensip olarak, onun hakkında çoktan konuştum. Yalnızca istemcinin son sürümünde ("Kıta-AP") güvenlik duvarı işlevleri olduğunu ve hatta Linux için bir istemci olduğunu ekleyeceğim. Kripto ağ geçitlerinin yönetimi yalnızca yönetici konsolundan ancak uzaktan gerçekleştirilir. Tuhaflıklar, ilk ayarın (yani, ağ yapılandırmasının ve anahtarların kripto ağ geçidine iletilmesi) yerel olarak, gerekli tüm bilgilerle bir flash sürücü besleyerek gerçekleştirilmesi gerçeğini de içerir. Yapılandırmayı oluştururken bir hata yaptıysanız ve kripto ağ geçidini uzak bir noktaya gönderdiyseniz, o zaman uzaktan bağlanamaz ve bir şeyi düzeltemezsiniz, yapılandırmayı yeniden oluşturmanız ve bir şekilde uzak noktaya aktarmanız gerekir.

Temel olarak, bildiğim tüm onaylı korumaların kısa bir açıklaması burada. Umarım bu bilgiler topluluk için yararlıdır.

27 Temmuz 2006 kabul edildi 152-FZ Sayılı "Kişisel Verilere Dair" Federal Yasa mahremiyet haklarının, kişisel ve aile sırlarının korunması da dahil olmak üzere, kişisel verilerini işlerken insan ve medeni hak ve özgürlüklerin korunmasını sağlamak. Bu kanunun kabul edilmesinin nedenlerinden biri, hükümet ve ticari yapılardaki kişisel veri tabanlarının çalınması, yaygın satışlarıdır.

"Kişisel veriler" terimi ne anlama geliyor?

Kişisel verilerin (PD) tanımına, kanunun kabul edilmesinden önce, örneğin, "Gizli bilgiler listesi" nde de karşılaşılmıştır. 188 sayılı Rusya Federasyonu Cumhurbaşkanı kararı ile 6 Mart 1997:

Gizli bilgiler şunları içerir: federal yasalarla belirlenen durumlarda medyada yayılacak bilgiler haricinde, bir vatandaşın kimliğinin (kişisel verilerinin) tanımlanmasına izin veren gerçekleri, olayları ve koşulları hakkında bilgiler.

Ancak kanun bunu tamamladı. Şimdi göre FZ-152, kişisel veriler - soyadı, adı, soyadı, yılı, ayı, tarihi ve doğum yeri, adresi, ailesi, sosyal, mülk dahil olmak üzere bir bireye (kişisel verilerin konusu) belirli veya bu bilgilere dayanarak belirlenen herhangi bir bilgi pozisyon, eğitim, meslek, gelir, diğer bilgiler.

Bu nedenle kişisel veriler, öncelikle pasaport verileri, medeni durum bilgileri, eğitim bilgileri, TIN numarası, devlet emeklilik sigortası sigorta sertifikası, sağlık sigortası, işgücü faaliyeti hakkında bilgiler, sosyal ve mülkiyet durumu, gelir hakkında bilgilerdir. Hemen hemen her kuruluşta bu tür veriler vardır.

Bir işe başvururken, bu, çalışanın kişisel kartında, otobiyografisinde ve bir iş sözleşmesi imzalarken doldurulan diğer belgelerde belirttiği işveren personel departmanının verileridir.

Bir çocuk anaokuluna, okula, enstitüye ve diğer eğitim kurumlarına girdiğinde, hem çocuğun (örneğin, doğum belgelerine ilişkin veriler) hem de ebeveynlerinin (iş yerine, tutulan pozisyona kadar) verilerinin belirtildiği birçok anket ve form da doldurulur.

Sağlık kurumlarında tedavi görürken sadece pasaport verilerinin değil, aynı zamanda yardımlar, sağlık sigortası, önceki tedaviler hakkında bilgiler ve test sonuçları hakkında bilgilerin de belirtilmesi gerekir. Birçok sağlık kurumunda, ayakta tedavi / yatan hasta kartları elektronik olarak kopyalanmaktadır.

Ve tüm bu veriler, mevcut mevzuata göre korumaya tabidir.

Korumaya nereden başlamalı ve buna ihtiyaç var mı?

Kişisel verilerin gizliliği, kişisel verilere erişim sağlayan operatör veya diğer kişilerin, kişisel veri konusunun rızası olmadan veya diğer hukuki gerekçelerle yayımlanmasına izin vermemesi için zorunlu bir gerekliliktir ( FZ-152).

Operatör - kişisel verilerin işlenmesini düzenleyen ve (veya) gerçekleştiren ve ayrıca kişisel verilerin işlenmesinin amaçlarını ve içeriğini belirleyen bir devlet organı, bir belediye organı, bir tüzel kişilik veya bir birey ( FZ-152).

Kişisel veri bilgi sistemi (ISPDN), bir veri tabanında yer alan kişisel verilerin toplanması ile bilgi teknolojileri ve bu tür kişisel verilerin otomasyon araçları kullanılarak veya bu tür araçlar kullanılmadan işlenmesine izin veren teknik araçlar olan bir bilgi sistemidir ( FZ-152).

Kişisel verilerin işlenmesi, kişisel verilerin toplanması, sistematik hale getirilmesi, biriktirilmesi, depolanması, açıklığa kavuşturulması (güncelleme, değiştirme), kullanımı, dağıtımı (aktarım dahil), kişisel olmayanlaştırma, engelleme, kişisel verilerin imhası ( FZ-152).

PD işlenirken, operatör kişisel verilerin yetkisiz veya kazara erişime, imha edilmesine, değiştirilmesine, bloke edilmesine, kopyalanmasına, yayılmasına ve diğer yasadışı eylemlere karşı korunması için gerekli tüm organizasyonel ve teknik önlemleri almalıdır.

Kişisel verileri korumak için ne yapılması gerekiyor?

Öncelikle hangi PD bilgi sistemlerinin olduğu ve bunlarda ne tür PD işlendiğinin belirlenmesi gerekir.

Kişisel veri bilgi sistemi sınıflandırması

PD koruma sorununun ne kadar önemli olduğunu anlamak ve PD'yi korumak için gerekli yöntemleri ve yöntemleri seçmek için, operatörün PDIS'i sınıflandırması gerekir. Sınıflandırma sırası tanımlandı rusya FSTEC, Rusya FSB ve Rusya Bilgi ve İletişim Bakanlığı'nın 13 Şubat 2008 tarihli 55/86/20 sayılı emri ile.

Bu nedenle, operatör, ilk verileri analiz ettikten sonra uygun sınıfın ISPD'sini atama kararı veren bir komisyon oluşturur (kuruluş başkanının emriyle). Sınıflandırma şunları belirler:

• işlenen kişisel verilerin kategorisi;
• işlenen kişisel verilerin miktarı;
• bilgi sistemi türü;
• bilgi sisteminin yapısı ve teknik araçlarının yeri;
• kişisel veri işleme modları;
• kullanıcı erişim haklarının farklılaşma modları;
• kamu ağlarına ve (veya) uluslararası bilgi alışverişi ağlarına bağlantıların mevcudiyeti.

Göre 55/86/20 numaralı sipariştüm bilgi sistemleri (IS) standart ve özel olmak üzere ikiye ayrılır.

Tipik bilgi sistemleri, yalnızca kişisel verilerin gizliliğinin gerekli olduğu bilgi sistemleridir.

Özel bilgi sistemleri, kişisel verilerin gizliliğinin sağlanması gerekliliğine bakılmaksızın, gizlilik dışında kişisel verilerin güvenlik özelliklerinden en az birinin (imha, değişiklik, engelleme ve diğer yetkisiz işlemlerden korunma) sağlanması gereken bilgi sistemleridir.

Uygulamada, çoğu durumda gizliliğe ek olarak bilginin bütünlüğünü ve kullanılabilirliğini sağlamak da gerekli olduğundan, pratikte tipik IS'lerin olmadığı ortaya çıkmıştır. Ek olarak, hatasız olarak, özel sistemler şunları içermelidir:

• kişisel veri öznelerinin sağlık durumuyla ilgili olarak kişisel verilerin işlendiği bilgi sistemleri;
• kişisel verilerin konusu ile ilgili olarak yasal sonuçlar üreten veya haklarını ve meşru menfaatlerini başka şekilde etkileyen kararların kişisel verilerin münhasıran otomatik olarak işlenmesi temelinde benimsenmesini sağlayan bilgi sistemleri.

Bu nedenle, ilk verilerin analizinin sonuçlarına göre komisyon, kişisel veri sistemine uygun sınıfı atar:

sınıf 1 (K1) - içlerinde işlenen kişisel verilerin belirtilen güvenlik özelliklerinin ihlal edilmesinin kişisel verilerin konuları için önemli olumsuz sonuçlara yol açabileceği bilgi sistemleri;

sınıf 2 (K2) - içlerinde işlenen kişisel verilerin belirli bir güvenlik özelliğinin ihlal edilmesinin kişisel verilerin konuları için olumsuz sonuçlara yol açabileceği bilgi sistemleri;

sınıf 3 (K3) - içlerinde işlenen kişisel verilerin belirtilen güvenlik özelliklerinin ihlal edilmesinin kişisel verilerin konuları için küçük olumsuz sonuçlara yol açabileceği bilgi sistemleri;

sınıf 4 (K4) - İçlerinde işlenen kişisel verilerin belirtilen güvenlik özelliklerinin ihlal edilmesinin kişisel veri konuları için olumsuz sonuçlara yol açmadığı bilgi sistemleri.

Sınıflandırma sonuçları, ISPD'nin türünü (tipik, özel), ISPD'ye atanan sınıfı ve kararın hangi temelde alındığını belirten ISPD Sınıflandırma Yasası ile resmileştirilir.

Daha önce de belirtildiği gibi, sınıflandırma, ISPD'de işlenen kişisel verilerin korunmasına yönelik yöntemlerin ve araçların daha fazla seçimi için gereklidir, çünkü FSTEC ve FSB belgelerinde, her sınıf, biraz sonra bahsedeceğimiz ISPD'yi korumak için kendi gereksinimlerini belirler.

İşleme tabi tutulan PD'nin onayı

Daha sonra, bu verilerin işlenmesine devam etmeniz gerekir, ancak bunların işlenmesi yasal olmadan önce, işleme için kişisel verilerin konusunun onayını almanız gerekir (yasa böylece kişisel verilerin yasa dışı olarak toplanmasını ve kullanılmasını engeller):

Madde 6 FZ-152:

Kişisel verilerin işlenmesi, aşağıdaki durumlar haricinde, PD konularının rızası ile operatör tarafından gerçekleştirilebilir:

1) kişisel verilerin işlenmesi, amacını, kişisel verileri elde etme koşullarını ve kişisel verileri işlemeye tabi tutulan konuların kapsamını belirleyen ve ayrıca operatörün yetkilerini belirleyen federal bir yasa temelinde gerçekleştirilir;

2) Kişisel verilerin işlenmesi, taraflardan birinin kişisel verilerin konusu olduğu bir sözleşmenin yerine getirilmesi amacıyla gerçekleştiriliyorsa;

3) kişisel verilerin işlenmesi, kişisel verilerin zorunlu olarak kişiselleştirilmemesine tabi olarak, istatistiksel veya diğer bilimsel amaçlarla gerçekleştirilir;

4) Kişisel veri konusunun rızasının alınmasının imkansız olması halinde, kişisel verilerin işlenmesinin, kişisel veri konusunun yaşamını, sağlığını veya diğer hayati menfaatlerini korumak için gerekli olması;

5) kişisel verilerin işlenmesi, posta kuruluşları tarafından posta kuruluşlarının teslimatı için, telekomünikasyon operatörlerinin sağlanan iletişim hizmetleri için iletişim hizmetlerinin kullanıcılarıyla anlaşmalar yapmasının yanı sıra iletişim hizmetleri kullanıcılarının iddialarını dikkate almaları için gereklidir;

6) Kişisel verilerin işlenmesi, kişisel veri konusunun hak ve özgürlüklerini ihlal etmemek kaydıyla, bir gazetecinin mesleki faaliyeti veya bilimsel, edebi veya diğer yaratıcı faaliyet amacıyla gerçekleştiriliyorsa;

7) kamu görevine sahip kişilerin kişisel verileri, kamu hizmeti pozisyonları, seçmeli eyalet veya belediye ofisleri adaylarının kişisel verileri dahil olmak üzere federal yasalara uygun olarak yayınlanmaya tabi kişisel verilerin işlenmesi.

Dolayısıyla, PD işleme vakamız FZ-152 Madde 6 Bölüm 2 tarafından sağlanmışsa, izin almak isteğe bağlıdır.

Ayrıca rehberlik edilmeniz gerekiyor İş Kanunu, Bölüm 14... Örneğin, bir işveren, bir çalışanın özel hayatıyla ilgili verileri yalnızca yazılı onayı ile alma ve işleme hakkına sahiptir ( İş Kanunu'nun 86.Maddesi 4.Bölüm).

Göre fZ-152'nin 9. maddesi kişisel verilerinin işlenmesi için kişisel veri konusunun yazılı olarak onayının alınması gerekmektedir. Kişisel veri konusunun yazılı izni şunları içermelidir:

Soyadı, adı, soyadı, kişisel veri konusunun adresi, kimliğini kanıtlayan ana belgenin numarası, belirtilen belgenin düzenlendiği tarih ve düzenleyen makam hakkında bilgi;

Kişisel verilerin konusunun onayını alan operatörün adı (soyadı, adı, soyadı) ve adresi;

Kişisel verilerin işlenme amacı;

Kişisel veri konusunun rızasının verildiği işlenmesi için kişisel verilerin listesi;

Kişisel verilere sahip eylemlerin listesi, performansı için rıza verilen, operatör tarafından kullanılan kişisel verileri işleme yöntemlerinin genel bir açıklaması;

Onayın geçerli olduğu süre ve geri çekilme prosedürü.

Kişisel verilerin işlenmesi ve korunması prosedürünü düzenleyen düzenlemeler

Bu nedenle, operatör kişisel verilerin işlenmesine (gerekirse) izin almıştır - kişisel veriler işlenebilir. Ama göre İş Kanunu ve FZ-152 Kişisel verilerin saklanması, işlenmesi ve korunması için prosedürü düzenleyen bir hüküm geliştirmek (varsa, Federal Yasaya göre sonuçlandırmak) gereklidir. Buna koşullu olarak kişisel verilerin güvenliği Yönetmeliği diyelim. Kişisel verilerin güvenliğinin sağlanmasına ilişkin düzenleme, kuruluşun dahili (yerel) bir belgesidir. Bu belgenin kesin bir biçimi yoktur, ancak gereksinimleri karşılaması gerekir TC ve FZ-152ve bu nedenle şunları belirtmelidir:

Kişisel verilerin güvenliğinin sağlanmasına ilişkin düzenleme, kuruluş başkanı veya yetkilendirdiği bir kişi tarafından onaylanarak başkanın emriyle yürürlüğe konulur. İşveren, çalışanı imzalı Yönetmeliğe alıştırmakla yükümlüdür.

PD işlemeye kabul edilen kişilerin listesi

Ek olarak, PD işlemeye kabul edilen kişilerin bir listesini hazırlamak gerekir, örn. resmi görevlerini yerine getirmek için kişisel verilere erişmesi gerekenlerin (pozisyona göre) listesi. Her şeyden önce, bunlar çalışanların yanı sıra muhasebe departmanı çalışanları hakkında veri topladıkları ve oluşturdukları için personel departmanının çalışanlarıdır. Ek olarak, yapısal bölüm başkanları (örneğin, bölüm başkanları) bu bilgilere erişebilir ve bu da listeye yansıtılmalıdır. Bununla birlikte, hepsinin herhangi bir veriyi değil, yalnızca belirli emek işlevlerini yerine getirmek için gerekli olanları talep etme hakkı vardır (örneğin, vergi avantajlarını hesaplamak için, muhasebe departmanı çalışanla ilgili tüm bilgileri değil, yalnızca bakmakla yükümlü olduğu kişilerin sayısına ilişkin verileri alacaktır). Bu nedenle, kullanıcılara izin verilen bilgi kaynaklarının bir listesinin yazılması tavsiye edilir.

PD işlemeye kabul edilen kişilerin listesi, kişisel verilerin güvenliğinin sağlanmasına ilişkin Yönetmelik eki şeklinde veya başkan tarafından onaylanan ayrı bir belge olarak düzenlenebilir.

Roskomnadzor bildirimi

Ayrıca, uyarınca madde 22 FZ-152 Operatör, kişisel veri işlemeye başlamadan önce, PD konularının haklarının korunması için yetkili kuruma (bugün İletişim, Bilgi Teknolojisi ve Kitle İletişim Alanında Federal Denetim Hizmetidir (Roskomnadzor)), PD'yi işleme niyetini, belirtilen durumlar hariç olmak üzere bildirmekle yükümlüdür. fZ-152'nin 22. maddesinin 2. kısmı:

Operatör, kişisel veri konularının haklarının korunması için yetkili kuruma bildirimde bulunmaksızın kişisel verileri işleme hakkına sahiptir:

1) operatörle iş ilişkileri yoluyla ilişkilendirilen kişisel veri konuları ile ilgili;

2) Kişisel verilerin yayılmaması ve kişisel verilerin konusunun rızası olmadan üçüncü kişilere verilmemesi ve operatör tarafından yalnızca kişisel verilerin konusu ile sözleşmelerin yapılması ve belirtilen sözleşmenin ifası için kullanılması halinde, kişisel veri konusunun taraf olduğu bir sözleşmenin akdedilmesi ile bağlantılı olarak operatör tarafından alınan;

3) bir kamu kurumu veya dini kuruluşun üyeleri (katılımcıları) ile ilgili olup, ilgili kamu kurumu veya dini kuruluş tarafından işlenen, Rusya Federasyonu mevzuatına uygun olarak hareket ederek, kişisel verilerin yayınlanmadan dağıtılmaması koşuluyla, kurucu belgelerinde öngörülen meşru hedeflere ulaşmak için kişisel veri konularının yazılı rızası;

4) kamuya açık kişisel veriler;

5) yalnızca kişisel veri konularının soyadları, adları ve soyadlarını içeren;

6) operatörün bulunduğu bölgeye tabi olan kişisel verilerin tek bir geçişi için veya diğer benzer amaçlar için gerekli;

7) federal yasalara uygun olarak federal otomatik bilgi sistemleri statüsüne sahip olan kişisel veri bilgi sistemlerine ve ayrıca eyalet güvenliğini ve kamu düzenini korumak için oluşturulan eyalet kişisel veri bilgi sistemlerine dahil;

8) Rusya Federasyonunun federal yasalarına veya diğer düzenleyici yasal düzenlemelerine uygun olarak otomasyon araçları kullanılmadan işlenmesi, işlenmesi sırasında kişisel verilerin güvenliğinin sağlanması ve kişisel veri öznelerinin haklarının gözetilmesi için gereklilikler oluşturulması

Bildirim gereksinimleri şurada belirtilmiştir: fZ-152'nin 22. maddesinin 3. kısmı... Kişisel verilerin işlenmesinin bildirim formu (işleme niyetinin) Roskomnadzor web sitesinde elektronik olarak doldurulabilir: http://rsoc.ru/personal-data/p181/

Artık kişisel verileri işlemeye başlayabilir, eşzamanlı olarak en zor ve sorunlu sorunu çözebilir ve bu işlemler sırasında kişisel verilerin güvenliğini sağlayabilirsiniz.

Kişisel verilerin işlenmesi sırasında güvenliğinin sağlanması

Bilgiyi korumaya yönelik önlemler zahmetlidir ve aşağıdakilere ihtiyaç duyulması nedeniyle önemli mali maliyetlere yol açabilir:

Gizli bilgilerin teknik olarak korunması için FSTEC of Russia tarafından bir lisans alın (gerekirse);

ISPD'yi ve / veya bilgi güvenliği gereksinimleri için sertifikasını korumak için bir sistem oluşturmak için önlemler almak üzere Rusya FSTEC lisans sahibini görevlendirin;

Bilgi güvenliğini sağlamaktan sorumlu çalışanları bilgi güvenliği konusunda ileri eğitim kurslarına göndermek ve / veya bilgi güvenliği uzmanları işe almak;

Kurulum bilgisi güvenliği, ISPD sınıfına bağlı olarak FSB tarafından onaylanan FSTEC gereksinimlerine (SRZI), kriptografik bilgi güvenlik araçlarına (CIPF) göre onaylanmış araçlar.

Kendi kendinize yapabileceğiniz bir şey, ancak bir yerlerde uzmanlara güvenmek daha iyidir. Ancak kişisel verilerin şu ya da bu şekilde korunması gereklidir.

Madde 19, FZ-152:

Operatör, kişisel verileri işlerken, kişisel verilerin yetkisiz veya yanlışlıkla erişime, imha edilmesine, değiştirilmesine, bloke edilmesine, kopyalanmasına, yayılmasına ve diğer yasa dışı eylemlere karşı korunması için gerekli organizasyonel ve teknik önlemleri almakla yükümlüdür.

• 17 Kasım 2007 tarih ve 781 sayılı Rusya Federasyonu Hükümeti tarafından onaylanan "Kişisel veri bilgi sistemlerinde işlenirken kişisel verilerin güvenliğinin sağlanmasına ilişkin düzenlemeler"
• 15 Eylül 2008 tarih ve 687 sayılı Rusya Federasyonu Hükümeti tarafından onaylanan "Otomasyon araçları kullanılmadan gerçekleştirilen kişisel veri işlemenin özelliklerine ilişkin düzenleme".
• 6 Temmuz 2008 tarih ve 512 sayılı Rusya Federasyonu Hükümeti Kararı ile onaylanan "Biyometrik kişisel verilerin somut taşıyıcıları ve bu tür verilerin kişisel veri bilgi sistemleri dışında saklanması için teknolojiler için gereksinimler".
• 30 Ağustos 2002 tarihli 282 sayılı Rusya Devlet Teknik Komisyonu'nun (DSP) emriyle onaylanan gizli bilgilerin (STR-K) teknik olarak korunması için özel şartlar ve tavsiyeler
• 15 Şubat 2008 tarihli kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğine yönelik temel tehdit modeli (Çıkar, sahte elektromanyetik radyasyon ve girişim (PEMIN) kanallarından bilgi sızıntısı tehditleri düşünüldüğünde, bu belgenin tam versiyonunun - EAF'nin uygulanması gerekir)
• 15 Şubat 2008 tarihli kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğine yönelik fiili tehditleri belirleme metodolojisi ("resmi kullanım için" işareti 16 Kasım 2009 tarihli FSTEC Kararı ile kaldırılmıştır)
• 15 Şubat 2008 tarihli kişisel veri bilgi sistemlerinde işlenmeleri sırasında kişisel verilerin güvenliğinin sağlanması için öneriler ("resmi kullanım için" işareti 11 Kasım 2009 tarihli FSTEC Kararı ile kaldırılmıştır)
• 15 Şubat 2008 tarihli kişisel veri bilgi sistemlerinde işlenen kişisel verilerin güvenliğinin organizasyonu ve güvenliğine yönelik temel önlemler (11 Kasım 2009 tarihli FSTEC Kararı ile "resmi kullanım için" işareti kaldırılmıştır)
• Otomasyon araçları kullanılarak kişisel veri bilgi sistemlerinde işlenirken kriptografik araçlar yardımıyla kişisel verilerin güvenliğinin sağlanmasına yönelik metodolojik öneriler. FSB, 21 Şubat 2008
• Şifreleme organizasyonu ve operasyonu için standart gereksinimler (kriptografik), kişisel veri bilgi sistemlerinde işlenirken kişisel verilerin güvenliğini sağlamak için kullanıldığında, bir devlet sırrı oluşturan bilgileri içermeyen bilgileri korumak için tasarlanmış anlamına gelir. FSB, 21 Şubat 2008

PD'yi ISPD'de işlerken güvenliğini sağlamak için karşılanması gereken tüm gereksinimleri ayrıntılı olarak ele almayacağız - bunların çoğu vardır ve bunlar büyük ölçüde belirli bir PDIS'e bağımlıdır. Operatörler için genellikle zorluklara neden olan ana noktalar üzerinde duralım.

Lisans - almak veya almamak?

Mevzuat ve FSTEC belgeleri bize şunları söyler:

Madde 16, bölüm 6 FZ-149 27 Temmuz 2006 tarihli "bilgi, bilgi teknolojisi ve bilgi koruma" hakkında:

Federal yasalar, belirli bilgi koruma araçlarının kullanımına ve bilgi koruma alanında belirli faaliyet türlerinin uygulanmasına kısıtlamalar getirebilir.

Federal Yasanın 17. Maddesi 1. Kısım, 11. Fıkra-128 8 Ağustos 2001 tarihli "Belirli faaliyet türlerinin lisanslanması hakkında":

Bu Federal Yasaya göre, aşağıdaki faaliyet türleri ruhsatlandırmaya tabidir: gizli bilgilerin teknik olarak korunmasına ilişkin faaliyet.

504 sayılı Rusya Federasyonu Hükümeti Kararı 15 Ağustos 2006 tarihli "Gizli bilgilerin teknik olarak korunmasına yönelik lisanslama faaliyetleri hakkında"

Gizli bilgilerin teknik olarak korunması, teknik kanallar da dahil olmak üzere yetkisiz erişime karşı korunmasına yönelik bir dizi önlem ve (veya) hizmetin yanı sıra, bunları yok etmek, bozmak veya erişimi engellemek için bu tür bilgiler üzerindeki özel etkiler olarak anlaşılır.

FSTEC'in ana olayları

Madde 3.14

128 Sayılı "Bazı Faaliyet Türlerinin Ruhsatlandırılmasına İlişkin" Federal Yasa hükümlerine ve 504 Sayılı "Gizli Bilgilerin Teknik Olarak Korunmasına Yönelik Lisans Faaliyetlerine İlişkin Hükümet Kararnamesi" gerekliliklerine uygun olarak, ISPD operatörleri, ISPDN'de işlenirken PD'nin (gizli bilgiler) güvenliğini sağlamak için önlemler alırken 1 2. ve 3. sınıflar (dağıtılmış sistemler), gizli bilgilerin teknik olarak korunmasına yönelik faaliyetleri belirtilen şekilde yürütmek için bir lisans almalıdır.

FSTEC Rusya Departmanı başkanı Igor Grigorievich NAZAROV, Connect'in düzenlediği yuvarlak bir masada lisans ihtiyacıyla ilgili soruyu da yanıtladı! İletişim Dünyası "(http://www.connect.ru/article.asp?id\u003d9406):

Soru: ISPDN'de kişisel verileri işleyen operatörlerin, gizli bilgilerin teknik olarak korunması için bir lisans alması gerekiyor mu?

Igor Nazarov: FSTEC belgelerine uygun olarak, 1, 2 sınıf bilgi sistemleri ve coğrafi olarak dağıtılmış 3 sınıflı sistemler üzerinde bu tür faaliyetleri bağımsız olarak gerçekleştiren PD operatörleri için bir lisans gereklidir, bunlar kural olarak büyük devlet bilgi sistemleridir. Aynı zamanda, 3. ve 4. sınıf ISPD'leri olan poliklinikler, kreşler, eczaneler vb. İçin bu tür lisanslar gerekli değildir.

17 Kasım 2007 tarihli ve 781 sayılı Rusya Federasyonu Hükümeti Kararnamesi uyarınca, ISPD'nin operatörü yetkili bir kişi ile bilgi koruma (PD) açısından uygun önlemlerin uygulanması için bir anlaşma imzalarsa - Rusya FSTEC'in bir lisans sahibi, bir lisansa sahip olması gerekmez.

Bu nedenle, küçük kuruluşlar için, PD'nin güvenliğini sağlamak için önlemler almak için TZKI için FSTEC'ten bir lisans almak yerine (ISPD'yi korumak için bir sistem oluşturulması, sertifikasyon), gerekli tüm çalışmaları yapacak bir FSTEC lisans sahibini çekmek daha uygun maliyetli olacaktır.

Büyük kuruluşlar için (telekom operatörleri, büyük bankalar vb.), Bir lisans almak ve gerekli tüm işleri kendileri yapmak daha karlı.

Gizli bilgilerin teknik olarak korunmasına yönelik faaliyetleri yürütmek için lisans verme prosedürü belirlenir. "Gizli bilgilerin teknik olarak korunmasına yönelik lisanslama faaliyetlerine ilişkin düzenlemeler"(15 Ağustos 2006 tarihli 504 sayılı RF Hükümet Kararı ile onaylanmıştır). Bir lisans almak için gerekenler:

a) Teknik bilgi güvenliği veya daha yüksek veya orta mesleki (teknik) eğitim alanında yüksek mesleki eğitim almış ve teknik bilgi güvenliği konusunda yeniden eğitim veya ileri eğitim almış uzmanların lisans başvuru sahibinin (lisans sahibi) kadrosunda bulunması;

b) lisans başvuru sahibi (lisans sahibi), Rusya Federasyonu'nun düzenleyici yasal düzenlemeleri tarafından oluşturulan ve mülkiyet temelinde veya diğer yasal temelde kendisine ait olan bilgilerin teknik koruma standartlarını ve gereksinimlerini karşılayan lisanslı faaliyetler yürütmek için tesislere sahiptir;

c) Rusya Federasyonu mevzuatına uygun olarak metrolojik doğrulama (kalibrasyon), işaretleme ve sertifikasyondan geçmiş üretim, test ve kontrol ve ölçüm ekipmanlarının herhangi bir yasal temelde mevcudiyeti;

d) gizli bilgileri işleyen otomatik sistemlerin kullanılması ve ayrıca uygunluk değerlendirme prosedürünü (bilgi güvenliği gereklilikleri için sertifikalı ve (veya) sertifikalı) geçmiş olan bilgileri Rusya Federasyonu mevzuatına göre koruma araçları;

e) elektronik bilgisayarlar ve veri tabanları için, telif hakkı sahipleri ile yapılan bir anlaşma temelinde lisanslı faaliyetlerin uygulanmasına yönelik programların kullanılması;

f) Federal Teknik ve İhracat Kontrolü Servisi tarafından oluşturulan listeye uygun olarak bilgilerin teknik olarak korunmasına ilişkin düzenleyici yasal düzenlemelerin, düzenleyici ve metodolojik ve metodolojik belgelerin mevcudiyeti.

PDPD oluşturmanın aşamaları

Göre Ana olaylar FSTEC tarafından yayınlanan kişisel veri bilgi sistemlerinde işlenen kişisel verilerin güvenliğinin organizasyonu ve teknik desteği konusunda bir kişisel veri koruma sisteminin (SZPDn) oluşturulması aşağıdaki aşamalardan oluşur:

1 Ön tasarım aşaması

1.1 Bilgilendirme nesnesinin incelenmesi:

• iSPD'de PD işleme ihtiyacının belirlenmesi;
• korumaya tabi kişisel verilerin listesinin belirlenmesi;
• kontrollü alanın sınırlarına (KZ) göre ISPD'nin konumu için koşulların belirlenmesi
• iSPD'nin konfigürasyonunun ve topolojisinin bir bütün olarak ve tek tek bileşenlerinin belirlenmesi; hem ISPD içinde hem de çeşitli düzey ve amaçlara sahip diğer sistemlerle fiziksel, işlevsel ve teknolojik bağlantılar;
• korumalı ISPD'de kullanılan teknik araçların ve sistemlerin, konumlarının koşullarının belirlenmesi;
• genel sistem tanımı, korumalı ISPD'de kullanılan özel ve uygulamalı yazılım;
• iSPD'de bir bütün olarak ve tek tek bileşenlerde bilgi işleme modunun belirlenmesi;
• iSPD'nin sınıflandırılması;
• personelin bilginin işlenmesine (tartışma, aktarım, depolama) katılım derecesinin belirlenmesi, birbirleriyle etkileşimlerinin niteliği;
• bilgi güvenliğine yönelik güvenlik açıklarının ve tehditlerin bir listesinin tanımlanması ve derlenmesi, tehditlerin bilgi güvenliğiyle olan ilişkisinin değerlendirilmesi;
• özel bir tehdit modelinin geliştirilmesi.

1.2 Aşağıdakileri içermesi gereken bir PDS'nin oluşturulması için teknik özelliklerin geliştirilmesi:

• bir PDSD'nin geliştirilmesi ihtiyacının gerekçelendirilmesi;
• iSPD'nin teknik, yazılım, bilgi ve organizasyon açısından ilk verileri;
• iSPDN sınıfı;
• pDIS'in geliştirilip PDIS tarafından işletime alınacağı dikkate alınarak, normatif belgelere bir referans;
• sPSD için faaliyetlerin ve gereksinimlerin somutlaştırılması;
• kullanılması amaçlanan sertifikalı bilgi güvenliği araçlarının bir listesi;
• piyasada bulunan sertifikalı bilgi koruma araçlarını kullanmanın imkansız veya uygun olmaması durumunda kendi bilgi koruma araçlarının geliştirilmesinin gerekçelendirilmesi;
• sZPDn'nin geliştirilmesi ve uygulanması aşamalarında çalışmanın bileşimi, içeriği ve zamanlaması.

2. SZPD'nin tasarım ve uygulama aşaması

2.1 SZPDn'nin oluşturulması için bir projenin geliştirilmesi;

2.2 Bilgiyi gereksinimlere uygun olarak korumak için organizasyonel ve teknik önlemlerin geliştirilmesi;

2.3 sertifikalı bilgi güvenliği araçlarının satın alınması;

2.4 ISPD'de işlenen bilgilere kullanıcılar ve personel erişimi için bir izin sisteminin geliştirilmesi ve uygulanması;

2.5 SRZI kurulumu ve yapılandırması;

2.6 Bilgi koruma araçlarının işletilmesinden sorumlu bölümlerin ve kişilerin belirlenmesi, kişisel verilerin korunması için işin özellikleri konusunda görevlendirilen kişilerin eğitimi;

2.7 ISPD ve bilgi güvenliği araçları için operasyonel dokümantasyonun yanı sıra bilgilerin korunması için organizasyonel ve idari dokümantasyonun geliştirilmesi (düzenlemeler, siparişler, talimatlar ve diğer dokümanlar);

2.8 Bilgiyi korumayı amaçlayan diğer önlemlerin uygulanması.

3. PDSD'nin devreye alma aşaması

3.1 ISPD'nin bir parçası olarak performanslarını test etmek için diğer teknik ve yazılım araçlarıyla birlikte bilgi güvenliği araçlarının deneme çalışması;

3.2 bir kabul sertifikasının düzenlenmesi ile deneme operasyonunun sonuçlarına dayalı bilgi güvenliği araçlarının kabul testleri;

3.3 ISPD'nin bilgi güvenliği gereksinimlerine uygunluğunun değerlendirilmesi - bilgi güvenliği gereksinimleri için sertifika (beyan).

4. Bilgi güvenliği sisteminin bakımı ve desteği

Kişisel verilerin korunması için organizasyonel ve idari belgeler

Oluşturulmakta olan kişisel veri koruma sistemi için teknik çözümlere ek olarak, operatör, ISPD'de işlenmesi ve PDS'nin çalışması sırasında kişisel verilerin güvenliğini sağlamaya ilişkin ortaya çıkan tüm sorunları düzenleyecek organizasyonel ve idari belgelerin geliştirilmesini sağlamalıdır. Bu tür pek çok belge var, başlıcaları:

1. PD'nin güvenliğini sağlamaya ilişkin düzenlemeler - makalenin başında bu belgenin amacına ve bileşimine değinmiştik. Her ihtimale karşı, tekrar edeceğiz - şunu göstermelidir:

Kişisel verilerin korunması alanındaki amaç ve hedefler;

Kişisel verilerin kavramı ve bileşimi;

Bu verilerin hangi yapısal birimlerde ve hangi ortamda (kağıt, elektronik) toplanıp saklandığı;

Kişisel verilerin toplanması ve depolanması nasıldır;

Nasıl işlenir ve kullanılırlar;

Firma içinde kimlerin (pozisyona göre) bunlara erişimi vardır;

Yetkisiz erişimler dahil olmak üzere PD koruma ilkeleri;

Kişisel verilerinin korunmasını sağlamak için çalışan hakları;

Çalışanların kişisel verileri ile ilgili gizli bilgilerin ifşa edilmesi sorumluluğu.

2. ISPD'de PD ile çalışmaya kabul edilen kişilerin kabul ve kayıt sistemini düzenlemek, - PD işlemeye kabul edilen kişilerin listesi (resmi görevlerini yerine getirmek için PD'ye erişmesi gerekenlerin pozisyonlarının listesi) ve Erişim Matrisi (kullanıcıların yetkisini yansıtmalıdır. ISPD'nin belirli bilgi kaynaklarına ilişkin belirli eylemlerin uygulanması - okuma, yazma, güncelleme, silme). Her iki belge de başkan tarafından onaylanır.

3. Özel bir tehdit modeli (birkaç ISPD varsa, her biri için bir tehdit modeli geliştirilir) - bir ön anketin sonuçlarına göre geliştirilir. FSTEC of Russia teklifleri Temel model Kişisel veri bilgi sistemlerinde işlenirken kişisel verilerin güvenliğine yönelik tehditler, buna göre özel bir model oluştururken aşağıdakiler dikkate alınmalıdır:

Teknik kanallardan bilgi sızıntısı tehditleri;

ISPD'ye erişimi olan ihlalcilerin eylemleriyle ilişkili yetkisiz erişim tehditleri, tehditleri doğrudan ISPD'de uygular. Aynı zamanda, ISPD'nin yasal kullanıcılarını potansiyel ihlal edenler olarak değerlendirmek gerekir;

ISPD'ye erişimi olmayan, dış kamu iletişim ağlarından ve (veya) uluslararası bilgi alışverişi ağlarından gelen tehditleri fark eden ihlalcilerin eylemleriyle ilişkili yetkisiz erişim tehditleri.

Geliştirilen tehdit modeli, başkan tarafından onaylanmıştır.

4. ISPD'ye yönelik onaylanmış tehdit modeline dayalı olarak, bunları ISPD'de işlerken PD'nin güvenliğini sağlamak için gereksinimlerin geliştirilmesi gereklidir. Tehdit modeli gibi gereksinimler, kuruluşun başkanı tarafından onaylanması gereken bağımsız bir belgedir.

Bir tehdit ve gereksinim modeli geliştirmek için, operatörün FSTEC lisans sahiplerinden uzmanları dahil etmesi tavsiye edilir.

5. PD'nin ISPDN'de işlenirken güvenliğini sağlamaya yönelik talimatlar.

Ek olarak, PD'yi korumak için tüm önlemleri almadan önce, operatör PD güvenliğini sağlamaktan sorumlu bir yetkili veya (PDIS yeterince büyükse) yapısal bir birim atamalıdır. Atama kararı, başkanın emriyle resmileştirilir. Kişisel verilerin güvenliğini sağlamaktan sorumlu resmi görevlinin (departman) görevleri, işlevleri ve yetkileri kurum içi organizasyonel ve idari belgelerle (iş tanımları, yönetmelikler) belirlenir.

Neyin onaylanması gerekir ve ne değildir?

Genellikle kullanılan tüm yazılımların (yazılımların) sertifikalandırılması gerektiği ve sertifikasyonun pahalı ve zaman alıcı olduğu konusunda bir yanlış kanı vardır.

Ancak, kişisel veri koruma konularının düzenlenmesine ilişkin belgelerin hiçbiri, tüm yazılımların sertifikalandırılması gerektiğini söylememektedir. Bilgi güvenliği araçları, Rusya'nın FSTEC'inin gerekliliklerine göre onaylanmalıdır, ancak ISPD'nin korunmasına katılmayan sistem, uygulama veya özel yazılımlar için değil.

Igor Nazarov: ... NDV yokluğunun kontrolü için sertifika, bilgi sisteminde kullanılan tüm yazılımlara değil, güvenlik işlevselliğine, yani koruma araçlarına atıfta bulunur (http://www.connect.ru/article.asp?id\u003d9406).

Bugün, Federal Teknik ve İhracat Kontrol Servisi web sitesinde görüntülenebilen FSTEC belgeleri bize bu konuda şunları söylüyor:

ISPDN'de yalnızca bilgi güvenliği gereksinimlerine göre onaylanmış teknik araçlar ve güvenlik sistemleri kullanılmalıdır.

Ana aktiviteler ...

Madde 4.2: … ISPD'de, yazılım ve bellenimde beyan edilmemiş yeteneklerin varlığının kontrolü ve sistem ve uygulama yazılımının güvenliği analizi yapılmalıdır.

Madde 4.3: ISPD'deki bilgileri korumak için kullanılan yazılım için (sistem genelinde ve uygulanan yazılımda yerleşik olanlar dahil bilgi güvenliği araçları), içinde NDV bulunmaması durumunda uygun bir kontrol seviyesi sağlanmalıdır.

Bu nedenle, bilgi koruma sürecine katılmıyorsa, sistem ve uygulama yazılımının sertifikalandırılmasına gerek yoktur - bu, operatörün talebi üzerine yapılabilir.

Kişisel veri koruma sistemleri oluşturma pratiği, lisanslı yazılım (sistem, uygulama ve özel yazılım) ve sertifikalı bilgi güvenliği ve anti-virüs koruma araçlarının (bu, yetkisiz erişim sistemlerinden, antivirüs ürünlerinden, güvenlik duvarlarından, izinsiz giriş tespit araçlarından, güvenlik analiz araçlarından bir bilgi güvenlik sistemi olabilir. belirli bir sınıfa karşılık gelir). Kriptografik bilgi güvenlik araçları (CIPF) ISPD'ye kurulursa, Rusya FSB'sinin gereksinimlerine göre de sertifikalandırılmalıdır.

Yalnızca FSTEC lisans sahibinin sertifikalı SRZI'yi kurma hakkına sahip olduğu ve yalnızca FSB'nin lisans sahibinin SKZI'yi kurma hakkına sahip olduğu unutulmamalıdır.

Tasdik

ISPD'yi korumak için bir sistem oluşturmanın son aşaması tasdik (uygunluk beyanı) olmalıdır - bunun sonucu olarak özel bir belge aracılığıyla Uygunluk Sertifikası (Sonuç), ISPD'nin bilgi güvenliğine ilişkin standartların veya diğer düzenleyici ve metodolojik belgelerin gereksinimlerini karşıladığı doğrulanan bir dizi kurumsal ve teknik önlem olmalıdır. Geçerli bir Uygunluk Sertifikasının varlığı, Uygunluk Sertifikasında belirtilen süre boyunca bilgileri uygun bir gizlilik düzeyinde işleme hakkı verir.

Soru: İşyerlerinin kişisel veriler alanında mevzuat ve düzenleyici belgelerin gerekliliklerine uygunluğunu kim belgeleyebilir?

Igor Nazarov: Gizli bilgilerin teknik olarak korunması için bir lisansa sahip olan FSTEC lisans sahipleri (http://www.connect.ru/article.asp?id\u003d9406), ISPDn'yi bilgi güvenliği gerekliliklerine uygunluk için onaylama hakkına sahiptir.

Onay, benimsenen koruma önlemleri setinin gerekli PD güvenlik seviyesi ile uyumluluğunu değerlendirmek için ISPD'nin gerçek çalışma koşullarında kapsamlı bir kontrolünü (sertifika testleri) sağlar.

Genel olarak, ISPD'nin bilgi güvenliği gereksinimlerine göre sertifikalandırılması aşağıdaki aşamaları içerir:

Sertifikalı ISPD için ilk verilerin analizi;

Düzenleyici ve metodolojik belgelerin gerekliliklerine uyum için PD'nin güvenliğini sağlamak için ISPD'ye uzman bir anket yapmak ve geliştirilen belgelerin analizini yapmak;

Yetkisiz erişime karşı güvenliği izlemek için özel kontrol ekipmanı ve yazılım kullanarak gerçek çalışma koşullarında kapsamlı ISPD sertifikasyon testlerinin gerçekleştirilmesi;

Kapsamlı sertifikasyon testlerinin sonuçlarının analizi, Sonuç ve Uygunluk Sertifikasının sertifikasyon sonuçlarına göre yürütülmesi ve onaylanması.

Önemli bir nokta, PD işleme koşullarında ve teknolojisinde bir değişiklik olması durumunda, operatörün, PDIS sertifikasyonunu gerçekleştiren lisans sahibi kuruluşu bilgilendirmesi gerektiğidir. Bundan sonra, lisans sahibi kuruluş, ISPD koruma sisteminin etkinliğinin ek doğrulama ihtiyacına karar verir.

Kanunun gerekliliklerine uyulmaması durumunda sorumluluk ve riskler

Kişisel verilerin güvenliğini sağlama gereksinimleri karşılanmazsa, operatör müşterilerden veya çalışanlardan hukuk davası riskleriyle karşı karşıya kalabilir.

Bu da, şirketin itibarını etkileyebilir, ayrıca PD işlemenin zorla askıya alınmasına (feshedilmesine), şirketi ve (veya) başını idari veya diğer sorumluluk türlerine ve belirli koşullar altında - lisansların askıya alınmasına veya iptaline yol açabilir. Buna ek olarak, Federal Yasaya göre, şartları ihlal etmekten suçlu olan kişiler, Rusya Federasyonu mevzuatı tarafından öngörülen hukuki, cezai, idari, disiplin ve diğer sorumlulukları taşımaktadır ( madde 24 FZ-152):

Disiplin (Rusya Federasyonu İş Kanunu, Madde 81, 90, 195, 237, 391);

İdari (Rusya Federasyonu İdari Suçlar Kanunu, Madde 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);

Ceza (Rusya Federasyonu Ceza Kanunu, Madde 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).