Yerel SZI NSD

SZI NSD, bilgileri yetkisiz erişime karşı koruma aracının kısaltmasıdır. ISPD iş istasyonlarına erişimi olan kullanıcıların yetkisiz hareketlerini engellemek için kullanılırlar. Çıkarılabilir ortamlardan (CD / DVD diskler, flash sürücüler) yükleme kontrolü, cihazların kontrolü (böylece sol flash sürücüyü bağlamak ve bilgileri boşaltmak mümkün olmayacak), zorunlu erişim kontrolünün uygulanması gibi mekanizmaları içerir. (ISPD için gerekli değildir). Sadece kişisel olarak çalıştığım araçları vereceğim:
1) Gizli Ağ. Yük kontrol panosu ile veya olmadan temin edilebilir. secpol.msc aracılığıyla çalışır, bu nedenle Home sürümlerinde çalışmayabilir (kesinlikle Windows XP Home'da çalışmaz, evet, henüz Vista ve Windows 7'yi test etmedim). Kullanımı oldukça kolaydır, şimdiye kadar görülen en iyi cihaz kontrol mekanizmasına sahiptir. Etki alanı yapısına entegrasyon için tasarlanmış bir ağ sürümü vardır.
2) Koruyucu NT. Zorunlu erişim kontrolü için en iyi mekanizma. Operasyonda daha zordur (bazı koruyucu mekanizmaların kapatılamamasından dolayı). Ağ sürümü yok.
3) Dallas Kilidi. Etki alanı olmayan bir ağda ağ seçeneğinin normal konuşlandırılması olasılığı dışında, daha önce tartışılan tüm parametrelerde kayıplar.
Adından da anlaşılacağı gibi, bu araçlar yerel makinelerde kullanılmaktadır. Burada eklenecek bir şey yok.

güvenlik duvarları

Bence amaç açık. Ek olarak, eğer bir ISPD bir güvenlik duvarı tarafından ikiye bölünürse, o zaman onlara haklı olarak iki farklı ISPDN diyebiliriz. Ne için? Tam olarak işlenen kişisel veri konularının sayısı bakımından birinci sınıfa girerseniz, o zaman ISPD'yi ikiye bölerek, her ISPD'de işlenen konu sayısını azaltırsınız ve artık K1 değil K2 alırsınız. Şu anda piyasada birkaç sertifikalı güvenlik duvarı var:
1) VipNet Kişisel Güvenlik Duvarı. Sadece kişisel bir güvenlik duvarı, süslü şeyler yok. Yalnızca yerel olarak yönetilir. Merkezi bir yönetim mekanizması yoktur. Başlamak için bir şifre gerektirir, girmezseniz başlamaz.
2) VipNet Ofis Güvenlik Duvarı. Aynı, ancak ağ geçidine kurmanıza ve ISPD'yi segmentlere ayırmanıza izin veren birkaç ağ kartını destekler.
3) SSPT-2. Donanım ve yazılım kompleksi FreeBSD üzerinde çalışır, ancak hiç kimse işletim sisteminin kendisine erişmenize izin vermez. Hızlı çalışır, birçok parametreye göre filtrelemeyi destekler. Hoş olmayan bir özelliği vardır - kurallar yukarıdan aşağıya bir listede uygulanır ve en üstte bulunan kurallar daha yüksek önceliğe sahiptir. Bu belgelere yansımadı, ampirik olarak ortaya çıktı. Hem yerel konsoldan hem de web arayüzü üzerinden kontrol edilir.
4) APKSH "Kıta". Genel olarak, bu bir güvenlik duvarı değil, bir kripto yönlendiricidir, ancak ITU işlevlerine sahiptir. Mimari olarak SSPT-2'ye benzer, ancak yerel konsoldan kontrol yoktur - yalnızca özel bir yönetici konsolu aracılığıyla. Ayrıca, ilk kurulum sırasında yöneticinin bilgisayarının bağlanacağı arayüzü belirtmelisiniz.
Buna ek olarak, "Güvenlik Kodu" iki ürün daha yayınladı - ITU + HIPS "Security Studio Endpoint Protection" ve Kerberos kimlik doğrulamasını kullanarak güvenlik duvarı ve segmentasyonu birleştiren Trust Access dağıtılmış güvenlik duvarı sistemi. Bu ürünlerle çalışmak zorunda olmadığım için sadece açıklamalarına bağlantılar vereceğim:
Güven Erişimi
SSEP
Ayrıca başka bir ürün olan Stonegate Firewall/VPN'in üretimi sertifikalandırılmıştır. Fin firması Stonesoft'un ürünü. Ayrıca üzerine vidalanmış CryptoPRO şifreleme modülü ile birlikte gelir, bu da sertifikalı bir VPN çözümü olarak kullanılmasına izin verir.

CIPF

Bunlar aynı zamanda kriptografik koruma araçlarıdır. Daha önce bahsedilen Stonegate Güvenlik Duvarı / VPN'nin yanı sıra iki VPN çözümü daha vardır:
1) VipNet Özel. VipNet Yöneticisi - yönetim programı, VipNet Koordinatörü - ITU işlevli VPN sunucusu ve VipNet İstemcisi - VPN istemcisi ve ITU kompleksidir. Kontrol programı yalnızca anahtarlar ve sertifikalar oluşturmak için kullanılır; güvenlik duvarı ayarları yalnızca yerel olarak yönetilebilir. Yönetimde yalnızca yerleşik RDP yardımcı olabilir. Yani dahili haberci ve dahili postayı içerir. Tek avantajı, mevcut altyapıya kolayca entegre edilebilen tamamen bir yazılım çözümü olması gerçeğine atfedilebilir.
2) APKSH "Kıta". Prensip olarak, onun hakkında zaten konuştum. Yalnızca istemcinin en son sürümünde ("Continent-AP") güvenlik duvarı işlevleri olduğunu ve hatta Linux için bir istemci olduğunu ekleyeceğim. Kripto ağ geçitlerinin yönetimi yalnızca yönetici konsolundan, ancak uzaktan gerçekleştirilir. Özellikler ayrıca, ilk ayarın (yani, ağ yapılandırmasını ve anahtarları kripto ağ geçidine aktarma) yerel olarak, gerekli tüm bilgilerle bir flash sürücü besleyerek yerel olarak gerçekleştirilmesini içerir. Konfigürasyonu oluştururken bir hata yaptıysanız ve kripto ağ geçidini zaten uzak bir noktaya gönderdiyseniz, uzaktan alıp bir şeyi düzeltemezsiniz, konfigürasyonu tekrar oluşturmanız ve bir şekilde uzak noktaya aktarmanız gerekir.

Temel olarak, bildiğim tüm sertifikalı korumaların kısa bir açıklaması burada. Umarım bu bilgiler topluma yardımcı olur.

Konut ve toplum hizmetleri, konut dernekleri ve diğer şirketler, toplanan bilgileri değişiklik ve ifşadan korumakla yükümlüdür. Yasal gerekliliklere uygunluk, kişisel veri operatörlerinin kaydını tutan Federal İletişim, Bilgi Teknolojisi ve Kitle İletişim Denetleme Servisi Roskomnadzor tarafından izlenir. FSTEC ve FSB yönetmelikleri, operatörlerin antivirüs çözümleri, güvenlik duvarları, izinsiz giriş önleme sistemleri, kullanıcı tanımlama yönetimi ve erişim kontrolü, şifreleme, sızıntılara karşı koruma, bir güvenlik olay yönetim sistemi ve listelenen diğer koruyucu mekanizmaları kullanarak modern bir koruma sistemi oluşturmasını gerektirir. 18 Şubat 2013 tarihli FSTEC "Kişisel verilerin kişisel veri bilgi sistemlerinde işlenmesi sırasında güvenliğini sağlamak için kurumsal ve teknik önlemlerin bileşiminin ve içeriğinin onaylanması üzerine" N 21. Konut ve toplum hizmetleri işletmeleri bilgi sistemlerini kullanır nüfus, işletmeler, çeşitli kurum ve hizmetlerle çalışmak. Muhasebe, yönetim, vergi muhasebesi de yapılır, diğer işletmelerde olduğu gibi, diğer işletme türlerindeki benzer görevlerden pratik olarak farklı değildir.

Konut ve toplumsal hizmetler sistemlerinde bilgi depolamak ve işlemek için kullanılan veritabanlarının yapımını analiz ederken, iki nokta vurgulanır: inşaatın temeli ve bölgesel konum. En eski ve en yaygın olarak kullanılan veritabanı çerçevesi dbf dosyalarıdır. Ancak günümüzün karmaşık otomatik sistemleri için iki ana nedenden dolayı uygun değiller: tek bir tabloda sınırlı sayıda kayıt ve yetersiz güvenilirlik.

Modern veritabanları, istemci - sunucu teknolojileri temelinde oluşturulmuştur. Kendi avantajları ve dezavantajları olan çeşitli veritabanı yönetim sistemleri vardır. Her biri, konut ve toplumsal hizmetlerin otomasyonu için tasarlanmış en az bir sistemde kullanılmaktadır. En yaygın olanı MS SQL 2000'dir. Kişisel bilgisayarların popüler işletim sistemi - Windows için tasarlandığından. Sıradaki popülerlik Interbase. En gelişmiş, ancak pahalı ve hantal veritabanı yönetim sistemlerinden biri olan Oracle'ın kontrolünde konut ve toplumsal hizmetler veritabanının uygulamaları da bulunmaktadır.

Ayrıca, yazılım ürünlerini dağıtmayı amaçlayan veritabanı yönetim sistemleri tedarikçilerinin eğilimine de dikkat edilmelidir - konut ofisleri ve ödeme kabul noktalarını içeren, büyük ve zengin olmayan kullanıcılara uymayan belirli kısıtlamalara sahip ücretsiz sürümler sunar. Bu tür sistemlere örnek olarak Microsoft Corporation'a ait MSDE 2000, MSDE 2005 verilebilir.

En temel veritabanı topolojisi, tüm bilgilerin tek bir sunucuda bulunduğu yerdir. Müşteriler uzak hatlar aracılığıyla bağlanır ve mevcut görevlerini çözer.

Diğer bir uygulama seçeneği, konut ve toplumsal hizmetlerdeki katılımcıların tamamı veya bir kısmı için dağıtılmış bir veri tabanıdır. Dezavantajı, veri senkronizasyonu ihtiyacıdır.

Veri senkronizasyonu çeşitli şekillerde gerçekleştirilir. En yaygın olanı ihracat / ithalattır. Taşıyıcı veya e-posta ile ilgili veriler, konut ve toplum hizmetlerindeki katılımcılar arasında aktarılır. Bunda insan faktörünün sistemin performansı üzerinde önemli bir etkisi vardır - her şey zamanında ve çok dikkatli yapılmalıdır.

İkinci eşitleme düzeyi, uzak sunucularla iletişim kurarak sistem modülleri arasında veri alışverişidir. Bu değiş tokuş, kullanıcı komutuyla veya belirli bir programa göre tetiklenir. Bağlantılı sunuculardan birinde belirli bir prosedürün senkronizasyon için gerekli verileri "kendi kendine okuması" veya "ona yazması" gerçeğinden oluşur.

Son olarak, en üst düzey replikasyon yoluyla veritabanı senkronizasyonudur. Bu araçlar, verilerin hem iletişim hattının bir tarafında hem de diğer tarafında değiştirilmesine izin verir. Belirtilen programa göre veya kullanıcının komutuyla, sunucu veritabanlarını bağlar ve senkronize eder.

Kişisel verilerin korunması, yalnızca bir saldırganın temel öğelerinin (ağ cihazları, işletim sistemleri, uygulamalar ve VTYS) çalışmasına müdahale edemediği bir bilgi sisteminde sağlanabilir.

Kişisel verilerin güvenliğine yönelik ana tehditler, yani kişisel verilerin yok edilmesi, değiştirilmesi, engellenmesi, kopyalanması, dağıtılması ve bunların bilgi sisteminde işlenmesi sırasında diğer yetkisiz eylemler. Bilgi sızıntısı virüsler, kötü amaçlı yazılımlar, ağ saldırıları nedeniyle olabilir. Koruma için antivirüsler, güvenlik duvarları, izinsiz giriş önleme sistemleri (IPS) kullanılmaktadır (Geçiş trafikte bir saldırının işaretlerini belirlemeye ve tespit edilen en popüler saldırıyı engellemeye hizmet ederler. Ağ geçidi antivirüslerinden farklı olarak IPS, yalnızca IP paketlerinin içeriğini analiz etmez, aynı zamanda kullanılan protokoller ve kullanımlarının doğruluğu.), güvenlik açığı tarayıcıları (Bilgi sistemini işletim sistemlerinde ve yazılımlarda çeşitli "boşlukların" olup olmadığını kontrol ederler. Kural olarak, bunlar sistemi test eden ayrı programlar veya cihazlardır. protokol veya uygulama başına bir saldırıyı simüle eden özel istekler göndererek.). Gizli verileri sızıntılardan korumaya yönelik araçlar paketi üç üründen oluşur: çevresel aygıtlar üzerinde kontrol sistemleri, sızıntılara karşı koruma sistemleri (Veri Sızıntısını Önleme, DLP) ve tam güvenlik için şifreleme araçları; bu üç türün tümünü birleştirmek mantıklıdır. ürünlerin. Bu fonların yardımıyla, konut ve toplum hizmetleri ve diğer yönetim şirketleri, kişisel verilerin korunması için FSTEC gereksinimlerini karşılayabilir.

Cihazlar üzerinde kontrol. Veri sızıntısı genellikle çıkarılabilir medya ve yetkisiz iletişim kanalları aracılığıyla gerçekleşir: flash bellek, USB diskler, Bluetooth veya Wi-Fi, bu nedenle USB bağlantı noktalarının ve diğer çevresel ekipmanların kullanımının izlenmesi de sızıntıları kontrol etmenin yollarından biridir.

DLP. Sızıntı koruma sistemleri, gizli verileri veri akışından ayırmak ve yetkisiz iletimlerini engellemek için özel algoritmaların kullanılmasına izin verir. DLP sistemleri, çeşitli bilgi aktarım kanallarını kontrol etmek için mekanizmalar sağlar: e-posta, anlık mesajlar, Web-posta, bir yazıcıda yazdırma, çıkarılabilir bir diske kaydetme, vb. Ayrıca, DLP modülleri, yalnızca gizli verilerin sızmasını engeller çünkü bu veya bu bilginin ne kadar gizli olduğunu belirlemek için yerleşik mekanizmalara sahiptir.

Şifreleme. Sızıntılara karşı veri koruması bir şekilde şifreleme mekanizmalarını kullanır ve bu endüstri her zaman FSB tarafından kontrol edilmiştir ve şifreleme sistemlerinin sertifikasyonu için tüm gereksinimler bu departman tarafından yayınlanır ve doğrulanır. Sadece kişisel verilerin veritabanlarının kendilerinin değil, aynı zamanda ağ üzerinden iletimlerinin ve veritabanlarının yedek kopyalarının da şifrelenmesi gerektiğine dikkat edilmelidir. Şifreleme, kişisel verilerin dağıtılmış bir sistemdeki bir ağ üzerinden iletilmesi sırasında da kullanılır. Bu amaçla, çeşitli geliştiriciler tarafından sunulan ve kural olarak şifrelemeye dayalı VPN sınıfı ürünleri kullanmak mümkündür, ancak bu tür sistemlerin sertifikalandırılması ve kişisel verilerin saklandığı veritabanlarıyla yakından entegre edilmesi gerekir.

FSTEC tüzüğünde, koruma gereksinimleri çok farklı olan küçük, orta ve dağıtılmış veritabanlarına bir bölünme olduğu belirtilmelidir. Bu nedenle, dağıtılmış tabanları korumak için, kural olarak, anlaşılabilir olan ek koruma araçlarına ihtiyaç vardır - dağıtılmış bir tabanın, bölümleri arasında da korunması gereken iletişim kanalları olmalıdır.

Konut ve toplumsal hizmetlerin bilgi sisteminde, yönetici için asıl sorun, çalışanların çeşitli kaynaklara erişiminin doğru organizasyonudur - gizli verilerin güvenliği genellikle erişim haklarının doğru ayarlanmasına bağlıdır, bu nedenle erişim hakları yönetim sistemi olmalıdır. büyük bir bilgi sisteminin koruma sistemine dahil edilmiştir. Sistem, yerel operatörlerden koruma sağlayan güvenlik operatörünün izni olmadan erişim haklarını değiştirme girişimlerini engeller.

Büyük bir savunma sistemi, yalnızca potansiyel olarak belirli bir tehdidin uygulanmasına yol açabilecek potansiyel saldırılar hakkında birçok mesaj üretebilir. Genellikle bu mesajlar yalnızca uyarılardır, ancak büyük bir sistemdeki güvenlik operatörlerinin neler olduğunu anlamalarına yardımcı olacak bir araca sahip olması gerekir. Olay korelasyon sistemi, koruma cihazlarından gelen birkaç mesajı tek bir olay zincirine bağlamaya ve tüm zincirin tehlikesini kapsamlı bir şekilde değerlendirmeye izin veren böyle bir analiz aracı haline gelebilir. Bu, güvenlik operatörlerinin dikkatini en tehlikeli olaylara çekmeye yardımcı olur.

Koruyucu mekanizmaların merkezi kontrol sistemleri, bilgi sisteminin güvenliği ile ilgili tüm olayların tam kontrolünü sağlar. Bu seviyedeki ürünler, kuruluşta kurulu güvenlik mekanizmalarını algılayabilir, yönetebilir ve raporlayabilir. Aynı ürünler, en temel sorunların çözülmesini otomatikleştirebilir veya yöneticilerin karmaşık saldırıları hızla anlamasına yardımcı olabilir.

Yukarıdaki ürünlerin üçü de büyük bilgi sistemlerini korumak için gerekli değildir, ancak güvenlik operatörleri tarafından çözülen görevlerin çoğunu otomatikleştirmenize ve konut ve bilgi sistemi gibi büyük bir sistemi korumak için gereken çalışan sayısını en aza indirmenize izin verir. toplumsal hizmetler.

Kişisel verilerin korunmasına ilişkin gerekliliklerin ihlali sorumluluğu

Kişisel Veriler Yasasının gerekliliklerini ihlal etmekten suçlu bulunan kişiler, Rusya Federasyonu mevzuatına göre sorumludur (örneğin, medeni, cezai, idari, disiplin). Bu, Kişisel Veriler Kanunu'nun 24. maddesinin 1. fıkrasında belirtilmiştir.

Şu anda, operatörler için idari sorumluluk (kişisel verilerin işlenmesinin mesleki bir faaliyet olduğu ve lisansa tabi olduğu kişiler hariç) aşağıdakiler için sağlanmaktadır:

· Bir vatandaşa ve (veya) kuruluşa, sağlanması federal yasalar tarafından öngörülen, zamansız sağlanması veya kasıtlı olarak yanlış bilgi verilmesi (Rusya Federasyonu İdari Suçlar Kanunu'nun 5.39. Maddesi) yasa dışı olarak reddedilmesi için ). Bu kuralın bir istisnası, Rusya Federasyonu İdari Kanunu'nun 7.23.1 Maddesinde öngörülen durumlardır;

· Apartmanların yönetimi alanında faaliyet gösteren kuruluşlar tarafından bilgilerin ifşa edilmesine ilişkin mevzuatın gerekliliklerinin ihlali için (Rusya Federasyonu İdari Suçlar Kanunu'nun 7.23.1 maddesi);

Kanunla belirlenen kişisel verilerin toplanması, saklanması, kullanılması veya dağıtılması prosedürünün ihlali için (Rusya Federasyonu İdari Kanunu'nun 13.11. Maddesi);

· Resmi veya mesleki görevlerin yerine getirilmesiyle bağlantılı olarak erişim kazanmış bir kişi tarafından federal yasalarla (açıklanmasının cezai sorumluluk gerektirdiği durumlar hariç) erişimi sınırlı olan bilgilerin açıklanması için (Madde 13.14). Rusya Federasyonu İdari Suçlar Kanunu).

Cezai sorumluluk gerektiren suçlar şunlardır:

Bir kişinin özel hayatıyla ilgili, kişisel veya aile sırrını oluşturan bilgilerin, rızası olmaksızın yasa dışı toplanması veya yayılması veya bu bilgilerin bir eserde veya medyada kamuya açık bir şekilde sergilenmesi (m. 137). Rusya Federasyonu Ceza Kanunu);

Bir memurun, bir vatandaşın hak ve özgürlüklerini doğrudan etkileyen yerleşik prosedüre uygun olarak toplanan belge ve materyalleri sağlamayı yasa dışı olarak reddetmesi veya bu eylemlerin hak ve meşru menfaatlere zarar vermesi durumunda bir vatandaşa eksik veya kasıtlı olarak yanlış bilgi vermesi vatandaşların sayısı (Rusya Federasyonu Ceza Kanunu'nun 140. Maddesi);

Bu eylem bilgilerin imha edilmesini, engellenmesini, değiştirilmesini veya kopyalanmasını gerektiriyorsa, yasal olarak korunan bilgisayar bilgilerine yasadışı erişim (Rusya Federasyonu Ceza Kanunu'nun 272. maddesi)

27 Temmuz 2006 kabul edildi 152-FZ sayılı Federal Kanun "Kişisel Veriler Hakkında" mahremiyet, kişisel ve aile sırlarının korunması da dahil olmak üzere kişisel verilerini işlerken insan ve medeni hak ve özgürlüklerin korunmasını sağlamak. Bu yasanın kabul edilmesinin nedenlerinden biri, hükümet ve ticari yapılardaki kişisel veri tabanlarının çalınması, yaygın olarak satılması gerçeğiydi.

"Kişisel veriler" terimi ne anlama geliyor?

Kişisel verilerin (PD) tanımı, yasanın kabulünden önce karşılandı, örneğin, "Gizli bilgiler listesi" tarafından onaylandı. 188 sayılı Rusya Federasyonu Başkanı'nın kararnamesi ile 6 Mart 1997:

Gizli bilgiler şunları içerir: tarafından belirlenen durumlarda medyada yayılmaya tabi olan bilgiler hariç olmak üzere, bir vatandaşın kişiliğini (kişisel veriler) tanımlamayı mümkün kılan özel yaşamın gerçekleri, olayları ve koşulları hakkında bilgi. Federal yasalar.

Ancak, yasa bunu tamamladı. Şimdi, göre FZ-152, kişisel veriler - soyadı, adı, soyadı, yılı, ayı, doğum tarihi ve yeri, adresi, ailesi dahil olmak üzere belirli veya bu bilgilere dayanarak belirlenen herhangi bir bilgi (kişisel verilerin konusu) , sosyal, mülkiyet durumu, eğitim, meslek, gelir, diğer bilgiler.

Bu nedenle, kişisel veriler her şeyden önce pasaport verileri, medeni durum bilgileri, eğitim bilgileri, TIN numarası, devlet emeklilik sigortası sigorta sertifikası, sağlık sigortası, iş faaliyeti hakkında bilgiler, sosyal ve mülkiyet durumu, gelir hakkında bilgilerdir. Hemen hemen her kuruluşta bu tür veriler vardır.

Bir işe başvururken, bu, çalışanın kişisel kartında, otobiyografisinde ve bir iş sözleşmesi imzalarken doldurulan diğer belgelerde belirttiği işverenin personel departmanının verileridir.

Bir çocuk bir anaokuluna, okula, enstitüye, diğer eğitim kurumlarına girdiğinde, hem çocuğun (örneğin, doğum sertifikaları hakkındaki veriler) hem de ebeveynlerinin (yerine kadar) verilerinin bulunduğu birçok anket ve form doldurulur. iş, tutulan pozisyon) belirtilir.

Sağlık kurumlarında tedavi görürken, sadece pasaport verilerini değil, aynı zamanda yardımlar, sağlık sigortası, önceki tedaviler hakkında bilgiler ve test sonuçları hakkında bilgileri de belirtmek gerekir. Pek çok sağlık kurumunda poliklinik/yatan hasta kartları elektronik olarak çoğaltılmaktadır.

Ve tüm bu veriler mevcut mevzuata göre korumaya tabidir.

Korumaya nereden başlamalı ve hiç gerekli mi?

Kişisel verilerin gizliliği, işletmecinin veya kişisel verilere erişim sağlayan diğer kişilerin, kişisel verilerin sahibinin rızası veya diğer yasal gerekçeler olmaksızın yayılmasını önlemek için zorunlu bir gerekliliktir ( FZ-152).

Operatör - kişisel verilerin işlenmesini organize eden ve (veya) gerçekleştiren ve ayrıca kişisel verilerin işlenmesinin amaçlarını ve içeriğini belirleyen bir devlet kurumu, belediye organı, tüzel kişilik veya birey ( FZ-152).

Kişisel veri bilgi sistemi (ISPDN), bir veri tabanında yer alan kişisel verilerin toplanması ile bu kişisel verilerin otomasyon araçları kullanılarak veya bu araçlar kullanılmadan işlenmesine olanak sağlayan bilgi teknolojileri ve teknik araçlardan oluşan bir bilgi sistemidir. FZ-152).

Kişisel verilerin işlenmesi, kişisel verilerin toplanması, sistemleştirilmesi, toplanması, depolanması, aydınlatılması (güncelleme, değişiklik), kullanım, dağıtım (aktarma dahil), duyarsızlaştırma, engelleme, imha dahil olmak üzere kişisel verilerle yapılan eylemlerdir (işlemler). FZ-152).

PD'yi işlerken, operatör kişisel verileri yetkisiz veya kazara erişimden, kişisel verilerin imha edilmesinden, değiştirilmesinden, engellenmesinden, kopyalanmasından, yayılmasından ve diğer yasa dışı eylemlerden korumak için gerekli tüm organizasyonel ve teknik önlemleri almalıdır.

Kişisel verilerin korunması için ne yapılması gerekiyor?

Öncelikle PD bilgi sistemlerinin hangileri olduğunu ve bunlarda ne tür PD işlendiğini belirlemek gerekir.

Kişisel veri bilgi sisteminin sınıflandırılması

PD koruması sorununun ne kadar önemli olduğunu anlamak ve PD'yi korumak için gerekli yöntem ve yöntemleri seçmek için operatörün PDIS'i sınıflandırması gerekir. Sınıflandırma sırası tanımlandı Rusya FSTEC, Rusya FSB ve Rusya Bilgi Teknolojileri ve İletişim Bakanlığı'nın 13 Şubat 2008 tarih ve 55/86/20 sayılı emriyle.

Böylece operatör, ilk verileri analiz ettikten sonra uygun sınıfın ISPD'sini atamaya karar veren bir komisyon (kuruluş başkanının emriyle) oluşturur. Sınıflandırma sırasında aşağıdakiler belirlenir:

• işlenen kişisel verilerin kategorisi;
• işlenen kişisel verilerin hacmi;
• bilgi sistemi türü;
• bilgi sisteminin yapısı ve teknik araçlarının yeri;
• kişisel veri işleme modları;
• kullanıcı erişim haklarının farklılaşma modları;
• kamu ağlarına ve (veya) uluslararası bilgi alışverişi ağlarına bağlantıların mevcudiyeti.

Buna göre sipariş numarası 55/86/20, tüm bilgi sistemleri (IS) standart ve özel olarak ayrılmıştır.

Tipik bilgi sistemleri, yalnızca kişisel verilerin gizliliğinin gerekli olduğu bilgi sistemleridir.

Özel bilgi sistemleri, kişisel verilerin gizliliğini sağlama ihtiyacından bağımsız olarak, kişisel verilerin gizlilik dışındaki güvenlik özelliklerinden en az birinin (tahribattan korunma, değiştirilme, bloke edilme vb.) yanı sıra diğer yetkisiz eylemler).

Pratikte, tipik IS'lerin pratikte olmadığı ortaya çıkıyor, çünkü çoğu durumda, gizliliğe ek olarak, bilgilerin bütünlüğünü ve kullanılabilirliğini sağlamak da gerekli. Ek olarak, hatasız olarak özel sistemler şunları içermelidir:

• kişisel verilerin konularının sağlık durumuna ilişkin kişisel verilerin işlendiği bilgi sistemleri;
• kişisel verilerin konusu ile ilgili olarak yasal sonuçlara yol açan veya haklarını ve meşru menfaatlerini başka şekilde etkileyen kararların kişisel verilerin yalnızca otomatik olarak işlenmesi temelinde kabul edilmesini sağlayan bilgi sistemleri.

Dolayısıyla, ilk verilerin analizinin sonuçlarına dayanarak, komisyon uygun sınıfı kişisel veri sistemine atar:

sınıf 1 (K1) - içlerinde işlenen kişisel verilerin belirli bir güvenlik özelliğinin ihlal edilmesinin kişisel verilerin konuları için önemli olumsuz sonuçlara yol açabileceği bilgi sistemleri;

sınıf 2 (K2) - içlerinde işlenen kişisel verilerin belirli bir güvenlik özelliğinin ihlalinin kişisel verilerin konuları için olumsuz sonuçlara yol açabileceği bilgi sistemleri;

sınıf 3 (K3) - içlerinde işlenen kişisel verilerin belirtilen güvenlik özelliklerinin ihlal edilmesinin kişisel verilerin özneleri için küçük olumsuz sonuçlara yol açabileceği bilgi sistemleri;

sınıf 4 (K4) - İçlerinde işlenen kişisel verilerin belirtilen güvenlik özelliklerinin ihlal edilmesinin kişisel verilerin konuları için olumsuz sonuçlara yol açmadığı bilgi sistemleri.

Sınıflandırma sonuçları, ISPD'nin türünü (tipik, özel), ISPD'ye atanan sınıfı ve kararın verildiği koşulları gösteren ISPD Sınıflandırma Yasası tarafından resmileştirilir.

Daha önce de belirtildiği gibi, ISPD'de işlenen kişisel verilerin korunmasına yönelik yöntemlerin ve araçların daha ileri seçimi için sınıflandırma gereklidir, çünkü FSTEC ve FSB belgelerinde her sınıf, ISPD'yi korumak için kendi gereksinimlerini belirler; biraz sonra konuş.

İşleme konu olan PD'nin onayı

Ardından, bu verilerin işlenmesine devam etmeniz gerekir, ancak bunların işlenmesi yasal olmadan önce, işleme için kişisel verilerin konusunun onayını almanız gerekir (kanun böylece kişisel verilerin yasa dışı olarak toplanmasını ve kullanılmasını engeller):

Madde 6 FZ-152:

Kişisel verilerin işlenmesi, aşağıdaki durumlar dışında, PD konularının rızası ile operatör tarafından gerçekleştirilebilir:

1) kişisel verilerin işlenmesi, amacını belirleyen federal yasa, kişisel verilerin elde edilmesi için koşullar ve kişisel verileri işlemeye tabi olan konuların kapsamı ve ayrıca operatörün yetkilerinin belirlenmesi temelinde gerçekleştirilir;

2) kişisel verilerin işlenmesinin, kişisel verilerin konusu olan taraflardan birinin bir sözleşmenin ifası amacıyla gerçekleştirilmesi;

3) kişisel verilerin işlenmesi, kişisel verilerin zorunlu olarak kişiselleştirilmesine tabi olarak istatistiksel veya diğer bilimsel amaçlar için gerçekleştirilir;

4) kişisel verilerin konusunun rızasının alınması mümkün değilse, kişisel verilerin konusunun yaşamını, sağlığını veya diğer hayati menfaatlerini korumak için kişisel verilerin işlenmesi gereklidir;

5) kişisel verilerin işlenmesi, posta gönderilerinin posta kuruluşları tarafından teslimi, telekomünikasyon operatörlerinin sağlanan iletişim hizmetleri için iletişim hizmetleri kullanıcılarıyla anlaşma yapmaları ve ayrıca iletişim hizmetleri kullanıcılarının taleplerini dikkate almaları için gereklidir;

6) kişisel verilerin işlenmesi, bir gazetecinin mesleki faaliyeti amacıyla veya kişisel verilerin konusunun hak ve özgürlüklerini ihlal etmemesi koşuluyla bilimsel, edebi veya diğer yaratıcı faaliyetler amacıyla gerçekleştirilir;

7) kamu görevine sahip kişilerin kişisel verileri, kamu hizmeti pozisyonları, seçmeli devlet veya belediye görevlerine adayların kişisel verileri dahil olmak üzere yayına tabi kişisel verilerin federal yasalara uygun olarak işlenmesi.

Dolayısıyla, PD işleme durumumuz FZ-152'nin 6. Maddesinin 2. Kısmında öngörülmüşse, onay almak isteğe bağlıdır.

tarafından da yönlendirilmeniz gerekir. İş Kanunu, Bölüm 14... Örneğin, bir işveren, bir çalışanın özel hayatıyla ilgili verileri yalnızca yazılı rızasıyla alma ve işleme hakkına sahiptir ( İş Kanunu'nun 86. Maddesi 4. Kısmı).

Buna göre FZ-152'nin 9. maddesi kişisel verilerin konusunun kişisel verilerinin işlenmesi için yazılı olarak rızasının alınması gerekir. Kişisel veri sahibinin yazılı rızası şunları içermelidir:

Kişisel verilerin konusunun soyadı, adı, soyadı, adresi, kimliğini kanıtlayan ana belgenin numarası, belirtilen belgenin düzenlendiği tarih ve düzenleyen makam hakkında bilgi;

Kişisel verilerin konusunun onayını alan operatörün adı (soyadı, adı, soyadı) ve adresi;

Kişisel verilerin işlenme amacı;

Kişisel verilerin konusunun rızasının verildiği işlenmesi için kişisel verilerin listesi;

Performansı için onay verilen kişisel veriler içeren eylemlerin listesi, operatör tarafından kullanılan kişisel verileri işleme yöntemlerinin genel bir açıklaması;

Rızanın geçerli olduğu süre ve geri çekilme prosedürü.

Kişisel verilerin işlenmesi ve korunmasına ilişkin prosedürü düzenleyen düzenlemeler

Bu nedenle, operatör (gerekirse) kişisel verilerin işlenmesi için onay almıştır - kişisel veriler işlenebilir. Ama göre İş Kanunu ve FZ-152 kişisel verilerin saklanması, işlenmesi ve korunmasına ilişkin prosedürü düzenleyen bir düzenlemenin (varsa, Federal Yasa uyarınca değiştirilmesi) geliştirilmesi gerekir. Şartlı olarak Kişisel Verilerin Güvenliği Yönetmeliği diyelim. Kişisel verilerin güvenliğinin sağlanmasına ilişkin yönetmelik, kuruluşun dahili (yerel) bir belgesidir. Bu belgenin kesin bir formu yoktur, ancak gereksinimleri karşılaması gerekir. TC ve FZ-152, ve bu nedenle şunları belirtmelidir:

Kişisel verilerin güvenliğinin sağlanmasına ilişkin yönetmelik, kuruluş başkanı veya yetkilendirdiği bir kişi tarafından onaylanır ve başkanın talimatı ile yürürlüğe konulur. İşveren, çalışanı imza altındaki Yönetmeliklere alıştırmakla yükümlüdür.

PD işlemeye kabul edilen kişilerin listesi

Ek olarak, PD işlemine kabul edilen kişilerin bir listesini hazırlamak gerekir, yani. resmi görevlerini yerine getirmek için kişisel verilere erişmesi gerekenlerin (pozisyona göre) listesi. Her şeyden önce, bunlar personel departmanının çalışanlarıdır, çünkü çalışan ve muhasebe departmanı çalışanları hakkında veri toplar ve oluştururlar. Ek olarak, yapısal bölüm başkanları (örneğin, bölüm başkanları) bu bilgilere erişebilir - ve bu da listeye yansıtılmalıdır. Bununla birlikte, hepsinin herhangi bir veriyi değil, yalnızca belirli işgücü işlevlerini yerine getirmek için gerekli olanları talep etme hakkı vardır (örneğin, vergi avantajlarını hesaplamak için muhasebe departmanı çalışanla ilgili tüm bilgileri değil, yalnızca verileri alacaktır). bağımlılarının sayısına göre). Bu nedenle, kullanıcıların kabul edildiği bilgi kaynaklarının bir listesinin yazılması tavsiye edilir.

PD işlemine kabul edilen kişilerin listesi, kişisel verilerin güvenliğinin sağlanmasına ilişkin Yönetmeliğin eki şeklinde veya başkan tarafından onaylanan ayrı bir belge olarak hazırlanabilir.

Roskomnadzor bildirimi

Ayrıca, uyarınca madde 22 FZ-152 operatör, kişisel veri işlemeye başlamadan önce, PD konularının haklarının korunması için yetkili organı bilgilendirmekle yükümlüdür (bugün, İletişim, Bilgi Teknolojisi ve Kitle İletişim (Roskomnadzor) Alanında Federal Denetim Hizmetidir )) öngörülen durumlar haricinde, PD'yi işleme niyetinden FZ-152'nin 22. maddesinin 2. kısmı:

Operatör, kişisel verilerin konularının haklarının korunması için yetkili organa bildirimde bulunmadan kişisel verileri işleme hakkına sahiptir:

1) işletmeci ile iş ilişkileri ile ilişkili olan kişisel veri konularına ilişkin;

2) Kişisel verilerin paylaşılmaması ve kişisel verilerin sahibinin rızası olmadan üçüncü taraflara verilmemesi ve kişisel verilerin konusunun taraf olduğu bir sözleşmenin akdedilmesiyle bağlantılı olarak işletmeci tarafından alınan ve operatör tarafından yalnızca belirtilen sözleşmenin yürütülmesi ve kişisel verilerin konusuyla sözleşmelerin imzalanması için kullanılır;

3) bir kamu derneği veya dini kuruluşun üyeleri (katılımcıları) ile ilgili ve kurucu belgeleri tarafından öngörülen meşru hedeflere ulaşmak için Rusya Federasyonu mevzuatına uygun olarak hareket eden ilgili kamu kuruluşu veya dini kuruluş tarafından işlenen kişisel verilerin konularının yazılı izni olmaksızın kişisel verilerin paylaşılmaması kaydıyla;

4) kamuya açık kişisel veriler;

5) kişisel verilerin konularının yalnızca soyadları, adları ve soyadları dahil olmak üzere;

6) kişisel verilerin konusunun operatörün bulunduğu bölgeye tek geçişi veya diğer benzer amaçlar için gerekli olması;

7) federal yasalara uygun olarak federal otomatik bilgi sistemleri statüsüne sahip kişisel veri bilgi sistemlerine ve ayrıca devlet güvenliğini ve kamu düzenini korumak için oluşturulan devlet kişisel veri bilgi sistemlerine dahil edilen;

8) Rusya Federasyonu'nun federal yasalarına veya diğer düzenleyici yasal düzenlemelerine uygun olarak otomasyon araçları kullanılmadan işlenir, işlenmesi sırasında kişisel verilerin güvenliğinin sağlanması ve kişisel verilerin konularının haklarının gözetilmesi için gereklilikler belirlenir.

Bildirim gereksinimleri şurada belirtilmiştir: FZ-152'nin 22. maddesinin 3. bölümü... Kişisel verilerin (işleme niyetinin) işlenmesine ilişkin bildirim formu elektronik olarak Roskomnadzor web sitesinde doldurulabilir: http://rsoc.ru/personal-data/p181/

Artık kişisel verileri işlemeye başlayabilir, aynı anda en zor ve sorunlu sorunu çözebilirsiniz - kişisel verilerin işlenmesi sırasında güvenliğinin sağlanması.

Kişisel verilerin işlenmesi sırasında güvenliğinin sağlanması

Bilgileri korumaya yönelik önlemler zahmetlidir ve aşağıdaki ihtiyaçlardan dolayı önemli finansal maliyetlere yol açabilir:

Rusya'nın FSTEC tarafından gizli bilgilerin teknik olarak korunması için (gerekirse) bir lisans alın;

ISPD'yi korumak için bir sistem oluşturmak için önlemlerin uygulanması ve / veya bilgi güvenliği gereksinimleri için sertifikasyonu için Rusya FSTEC'in lisans sahibini görevlendirin;

Bilgi güvenliğini sağlamaktan sorumlu çalışanları bilgi güvenliği konusunda ileri eğitim kurslarına göndermek ve/veya bilgi güvenliği uzmanları istihdam etmek;

FSTEC gereksinimlerine (SRZI) göre sertifikalandırılmış bilgi güvenliği araçları, ISPD sınıfına bağlı olarak FSB tarafından sertifikalandırılmış kriptografik bilgi güvenliği araçları (CIPF) kurun.

Kendiniz yapabileceğiniz bir şey, ancak bir yerde uzmanlara güvenmek daha iyidir. Ancak kişisel verileri bir şekilde korumak gerekir.

Madde 19, FZ-152:

Operatör, kişisel verileri işlerken, kişisel verileri yetkisiz veya kazara erişimden, kişisel verilerin imha edilmesinden, değiştirilmesinden, engellenmesinden, kopyalanmasından, yayılmasından ve diğer yasa dışı eylemlerden korumak için gerekli organizasyonel ve teknik önlemleri almakla yükümlüdür.

• 17 Kasım 2007 tarih ve 781 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanan "Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğinin sağlanmasına ilişkin düzenlemeler".
• 15 Eylül 2008 tarih ve 687 sayılı Rusya Federasyonu Hükümeti tarafından onaylanan "Otomasyon araçları kullanılmadan gerçekleştirilen kişisel veri işlemenin özelliklerine ilişkin düzenlemeler".
• 6 Temmuz 2008 tarih ve 512 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanan "Biyometrik kişisel verilerin somut taşıyıcıları ve bu tür verileri kişisel veri bilgi sistemleri dışında depolamak için teknolojiler için gereklilikler".
• Rusya Devlet Teknik Komisyonu'nun 30 Ağustos 2002 tarih ve 282 sayılı emriyle onaylanan gizli bilgilerin (STR-K) teknik korunması için özel gereksinimler ve öneriler (ДСП)
• 15 Şubat 2008 tarihli kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğine yönelik tehditlerin temel modeli (Özet, sahte elektromanyetik radyasyon ve girişim (PEMIN) kanalları aracılığıyla bilgi sızıntısı tehditleri göz önüne alındığında, uygulanması gerekmektedir. bu belgenin tam sürümü - EAF)
• 15 Şubat 2008 tarihli kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğine yönelik fiili tehditleri belirleme metodolojisi ("Resmi kullanım için" işareti 16 Kasım 2009 tarihli FSTEC Kararı ile kaldırılmıştır)
• 15 Şubat 2008 tarihli kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğinin sağlanmasına yönelik öneriler (11 Kasım 2009 tarihli FSTEC Kararı ile "resmi kullanım için" işareti kaldırılmıştır)
• 15 Şubat 2008 tarihli kişisel veri bilgi sistemlerinde işlenen kişisel verilerin güvenliğinin organizasyonu ve teknik desteği için temel önlemler (11 Kasım 2009 tarihli FSTEC Kararı ile "resmi kullanım için" işareti kaldırılmıştır)
• Otomasyon araçları kullanılarak kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin kriptografik araçlar yardımıyla güvenliğinin sağlanmasına yönelik metodolojik öneriler. FSB, 21 Şubat 2008
• Şifreleme (kriptografik) organizasyonu ve çalışması için tipik gereksinimler, kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğini sağlamak için kullanıldığında devlet sırrı oluşturan bilgileri içermeyen bilgileri korumak için tasarlanmış araçlar. FSB, 21 Şubat 2008

ISPD'de işlenirken PD'nin güvenliğini sağlamak için karşılanması gereken tüm gereksinimleri ayrıntılı olarak ele almayacağız - bunların çoğu vardır ve belirli bir ISPD'ye büyük ölçüde bağlıdırlar. Operatörler için genellikle zorluklara neden olan ana noktalar üzerinde duralım.

Lisans - almak ya da almamak?

Mevzuat ve FSTEC belgeleri bize şunları söylüyor:

Madde 16, bölüm 6 FZ-149 27 Temmuz 2006 tarihli "Bilgi, bilgi teknolojileri ve bilgi koruması hakkında":

Federal yasalar, belirli bilgi koruma araçlarının kullanımına ve bilgi koruma alanındaki belirli faaliyet türlerinin uygulanmasına ilişkin kısıtlamalar getirebilir.

Federal Yasa-128'in 17. Maddesi, 1. Kısmı, 11. Maddesi 8 Ağustos 2001 tarihli "Belirli faaliyet türlerinin lisanslanması hakkında":

Bu Federal Yasa uyarınca, aşağıdaki faaliyet türleri lisanslamaya tabidir: gizli bilgilerin teknik olarak korunmasına yönelik faaliyetler.

504 Sayılı Rusya Federasyonu Hükümeti Kararı 15 Ağustos 2006 tarihli "Gizli bilgilerin teknik korunmasına yönelik lisanslama faaliyetleri hakkında"

Gizli bilgilerin teknik olarak korunması, bu bilgileri teknik kanallar da dahil olmak üzere yetkisiz erişimden ve ayrıca bu bilgiler üzerindeki özel etkilerden bu bilgileri yok etmek, çarpıtmak veya erişimi engellemek için korumak için bir dizi önlem ve (veya) hizmet olarak anlaşılır. .

FSTEC'in ana olayları

Madde 3.14

128 sayılı "Belirli Faaliyet Türlerinin Lisanslanmasına Dair" Federal Kanun hükümlerine ve 504 sayılı "Gizli Bilgilerin Teknik Korunmasına Yönelik Lisanslama Faaliyetlerine Dair Hükümet Kararnamesi" gereklerine uygun olarak, ISPD operatörleri, PD'nin (gizli bilgi) güvenliği, sınıfların ISPDN 1 , 2 ve 3'ünde (dağıtılmış sistemler) işlenmesi sırasında gizli bilgilerin öngörülen şekilde teknik korunmasına yönelik faaliyetleri yürütmek için bir lisans almalıdır.

Rusya FSTEC Dairesi başkanı Igor Grigorievich NAZAROV, Connect tarafından düzenlenen bir yuvarlak masada lisans ihtiyacı hakkındaki soruyu da yanıtladı! İletişim dünyası "( http://www.connect.ru/article.asp?id=9406):

Soru: ISPDN'de kişisel verileri işleyen operatörlerin, gizli bilgilerin teknik koruması için bir lisans almaları gerekiyor mu?

Igor Nazarov: FSTEC belgelerine göre, 1, 2 sınıf bilgi sistemleri ve coğrafi olarak dağıtılmış 3 sınıf sistemler üzerinde bu tür faaliyetleri bağımsız olarak yürüten PD operatörleri için bir lisans gerekir, bunlar kural olarak büyük devlet bilgi sistemleridir. Aynı zamanda 3. ve 4. derece ISPD'leri olan poliklinikler, anaokulları, eczaneler vb. için bu tür lisanslar gerekli değildir.

17 Kasım 2007 tarih ve 781 sayılı Rusya Federasyonu Hükümeti Kararnamesi uyarınca, ISPD operatörü yetkili bir kişi ile bilgi koruma (PD) açısından uygun önlemlerin uygulanması için bir anlaşma yaparsa - bir Rusya FSTEC lisansı sahibi, bir lisansa sahip olması gerekmez.

Bu nedenle, küçük kuruluşlar için, PD'nin güvenliğini sağlamak için önlemler almak için TZKI için FSTEC'den bir lisans almak (ISPD'yi korumak için bir sistemin oluşturulması, sertifikalandırma) yerine bir lisans sahibi çekmek daha uygun maliyetli olacaktır. gerekli tüm çalışmaları yapacak olan FSTEC'in.

Büyük kuruluşlar için (telekom operatörleri, büyük bankalar vb.), bir lisans almak ve gerekli tüm işleri kendileri yapmak daha karlı.

Gizli bilgilerin teknik olarak korunmasına yönelik faaliyetlerin yürütülmesi için lisans verilmesi prosedürü belirlenir. "Gizli bilgilerin teknik olarak korunmasına yönelik lisanslama faaliyetlerine ilişkin düzenlemeler"(15 Ağustos 2006 tarih ve 504 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanmıştır). Lisans almak için gerekenler:

a) teknik bilgi güvenliği veya yüksek veya orta mesleki (teknik) eğitim alanında yüksek mesleki eğitim almış ve teknik bilgi güvenliği konusunda yeniden eğitim veya ileri eğitim almış uzmanların lisans adayının (lisans sahibinin) kadrosunda bulunması;

b) lisans adayının (lisans alan), Rusya Federasyonu'nun düzenleyici yasal düzenlemeleri tarafından oluşturulan ve mülkiyet temelinde kendisine ait olan bilgilerin teknik korunmasına ilişkin teknik standartları ve gereklilikleri karşılayan lisanslı faaliyetleri yürütmek için tesislere sahip olması veya diğer herhangi bir yasal temelde;

c) Rusya Federasyonu mevzuatına uygun olarak metrolojik doğrulamadan (kalibrasyon), işaretlemeden ve sertifikalandırmadan geçen üretim, test ve kontrol ve ölçüm ekipmanlarının herhangi bir yasal temelde mevcudiyeti;

d) Rusya Federasyonu mevzuatına göre gizli bilgileri işleyen otomatik sistemlerin yanı sıra uygunluk değerlendirme prosedürünü geçen (onaylanmış ve (veya) bilgi güvenliği gerekliliklerine göre onaylanmış) bu tür bilgileri koruma araçları ;

e) hak sahipleri ile yapılan bir anlaşma temelinde lisanslı faaliyetlerin uygulanmasına yönelik elektronik bilgisayarlar ve veri tabanları için programların kullanılması;

f) Federal Teknik ve İhracat Kontrolü Servisi tarafından oluşturulan listeye uygun olarak bilgilerin teknik korunmasına ilişkin düzenleyici yasal düzenlemelerin, düzenleyici ve metodolojik ve metodolojik belgelerin mevcudiyeti.

PDSD oluşturma aşamaları

Buna göre Ana olaylar FSTEC tarafından yayınlanan kişisel veri bilgi sistemlerinde işlenen kişisel verilerin güvenliğinin organizasyonu ve teknik desteği konusunda, bir kişisel veri koruma sisteminin (SZPDn) oluşturulması aşağıdaki aşamalardan oluşur:

1 Ön tasarım aşaması

1.1 Bilgilendirme nesnesinin denetimi:

• ISPD'de PD işleme ihtiyacının belirlenmesi;
• korumaya tabi kişisel verilerin listesinin belirlenmesi;
• kontrollü alanın (KZ) sınırlarına göre ISPD'nin konumu için koşulların belirlenmesi;
• ISPD'nin konfigürasyonunun ve topolojisinin bir bütün olarak ve bireysel bileşenlerinin belirlenmesi; hem ISPD içinde hem de çeşitli düzey ve amaçlardaki diğer sistemlerle fiziksel, işlevsel ve teknolojik bağlantılar;
• korunan ISPD'de kullanılan teknik araçların ve sistemlerin belirlenmesi, yerlerinin koşulları;
• korumalı ISPD'de kullanılan sistem çapında, özel ve uygulamalı yazılım araçlarının tanımı;
• ISPD'de bir bütün olarak ve bireysel bileşenlerde bilgi işleme modunun belirlenmesi;
• ISPD'nin sınıflandırılması;
• personelin bilgilerin işlenmesine (tartışma, aktarma, depolama) katılım derecesinin belirlenmesi, birbirleriyle etkileşimlerinin niteliği;
• bilgi güvenliğine yönelik güvenlik açıkları ve tehditlerin bir listesinin belirlenmesi ve derlenmesi, tehditlerin bilgi güvenliğine uygunluğunun değerlendirilmesi;
• özel bir tehdit modelinin geliştirilmesi.

1.2 Aşağıdakileri içermesi gereken bir PDS'nin oluşturulması için teknik özelliklerin geliştirilmesi:

• bir PDSD geliştirme ihtiyacının gerekçesi;
• ISPD'nin teknik, yazılım, bilgi ve organizasyon açısından ilk verileri;
• sınıf ISPDN;
• Hangi PDIS'in geliştirileceği ve PDIS tarafından işletilmesi için kabul edileceği dikkate alınarak normatif belgelere bir referans;
• SZPDn için faaliyetlerin ve gereksinimlerin somutlaştırılması;
• kullanılması amaçlanan sertifikalı bilgi güvenliği araçlarının bir listesi;
• piyasada bulunan sertifikalı bilgi koruma araçlarını kullanmanın imkansız veya uygun olmaması durumunda kendi bilgi koruma araçlarının geliştirilmesinin gerekçesi;
• SZPDn'nin geliştirme ve uygulama aşamalarındaki çalışmaların bileşimi, içeriği ve zamanlaması.

2. SPSD'nin tasarım ve uygulama aşaması

2.1 SZPDn'nin oluşturulması için bir projenin geliştirilmesi;

2.2 gerekliliklere uygun olarak bilgileri korumak için organizasyonel ve teknik önlemlerin geliştirilmesi;

2.3 sertifikalı bilgi güvenliği araçlarının satın alınması;

2.4 ISPD'de işlenen bilgilere kullanıcılar ve personel erişimi için bir izin sisteminin geliştirilmesi ve uygulanması;

2.5 SRZI kurulumu ve konfigürasyonu;

2.6 bilgi koruma araçlarının işletilmesinden sorumlu bölümlerin ve kişilerin belirlenmesi, kişisel verilerin korunmasına ilişkin çalışmaların özellikleri konusunda atanmış kişilerin eğitimi;

2.7 ISPD ve bilgi güvenliği araçları için operasyonel dokümantasyonun yanı sıra bilgilerin korunması için organizasyonel ve idari dokümantasyonun geliştirilmesi (yönetmelikler, emirler, talimatlar ve diğer dokümanlar);

2.8 bilgileri korumaya yönelik diğer tedbirlerin uygulanması.

3. KVKK'nın faaliyete geçme aşaması

3.1 ISPD'nin bir parçası olarak performanslarını test etmek için bilgi güvenliği araçlarının diğer teknik ve yazılım araçlarıyla birlikte denenmesi;

3.2 bir kabul sertifikası verilmesi ile deneme operasyonunun sonuçlarına dayalı bilgi güvenliği araçlarının kabul testleri;

3.3 ISPD'nin bilgi güvenliği gereksinimlerine uygunluğunun değerlendirilmesi - bilgi güvenliği gereksinimlerine göre belgelendirme (beyan).

4. Bilgi güvenliği sisteminin bakımı ve desteği

Kişisel verilerin korunması için organizasyonel ve idari belgeler

Oluşturulan kişisel veri koruma sistemi için teknik çözümlere ek olarak, operatör, kişisel verilerin ISPD'de işlenmesi ve PDS'nin işletilmesi sırasında ortaya çıkan tüm sorunları düzenleyecek organizasyonel ve idari belgelerin geliştirilmesini sağlamalıdır. Bu tür birçok belge var, ana olanlar:

1. PD'nin güvenliğini sağlamaya ilişkin düzenlemeler - makalenin başında bu belgenin amacına ve bileşimine zaten değinmiştik. Her ihtimale karşı tekrar edeceğiz - şunu belirtmelidir:

Kişisel verilerin korunması alanındaki amaç ve hedefler;

Kişisel verilerin kavramı ve bileşimi;

Bu verilerin hangi yapısal bölümlerde ve hangi ortamda (kağıt, elektronik) biriktiği ve depolandığı;

Kişisel verilerin toplanması ve saklanması nasıldır;

Nasıl işlenir ve kullanılır;

Firma içinde kimlerin (pozisyona göre) bunlara erişimi var;

Yetkisiz erişim dahil olmak üzere PD koruma ilkeleri;

Çalışanların kişisel verilerinin korunmasını sağlamak için hakları;

Çalışanların kişisel verileriyle ilgili gizli bilgileri ifşa etme sorumluluğu.

2. ISPD'de PD ile çalışmak üzere kabul edilen kişilerin kabul ve kayıt sistemini düzenlemek, - PD işlemine kabul edilen kişilerin listesi (resmi görevlerini yerine getirmek için PD'ye erişmesi gerekenlerin pozisyonlarının listesi) ve Erişim Matrisi (gerekli ISPD'nin belirli bilgi kaynakları - okuma, yazma, düzeltme, silme) ile ilgili belirli eylemlerin uygulanması konusunda kullanıcıların yetkisini yansıtır. Her iki belge de başkan tarafından onaylanır.

3. Özel bir tehdit modeli (birkaç ISPD varsa, o zaman her biri için bir tehdit modeli geliştirilir) - bir ön anketin sonuçlarına dayalı olarak geliştirilir. Rusya'nın FSTEC teklifleri Temel model Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğine yönelik tehditler, buna göre özel bir model oluşturulurken aşağıdakiler dikkate alınmalıdır:

Teknik kanallardan bilgi sızıntısı tehditleri;

ISPD'ye erişimi olan ve tehditleri doğrudan ISPD'de gerçekleştiren ihlalcilerin eylemleriyle ilişkili yetkisiz erişim tehditleri. Aynı zamanda, ISPD'nin yasal kullanıcılarını potansiyel ihlalciler olarak değerlendirmek gerekir;

ISPD'ye erişimi olmayan, dış kamu iletişim ağlarından ve (veya) uluslararası bilgi alışverişi ağlarından gelen tehditleri gerçekleştiren ihlalcilerin eylemleriyle ilişkili yetkisiz erişim tehditleri.

Geliştirilen tehdit modeli başkan tarafından onaylanır.

4. ISPD'ye yönelik onaylanmış tehdit modeline dayanarak, ISPD'de işlenirken PD'nin güvenliğini sağlamak için gereksinimlerin geliştirilmesi gerekir. Tehdit modeli gibi gereksinimler, kuruluş başkanı tarafından onaylanması gereken bağımsız bir belgedir.

Bir tehdit ve gereksinim modeli geliştirmek için operatörün FSTEC lisans sahiplerinden uzmanları dahil etmesi tavsiye edilir.

5. ISPD'de işlenirken PD'nin güvenliğini sağlamaya yönelik talimatlar.

Ayrıca, operatör, PD'yi korumak için tüm önlemleri almadan önce, PD güvenliğini sağlamaktan sorumlu bir yetkili veya (PDIS yeterince büyükse) bir yapısal birim atamalıdır. Randevu kararı, başkanın emriyle resmileştirilir. PD'nin güvenliğini sağlamaktan sorumlu görevlinin (departmanın) görev, işlev ve yetkileri, iç organizasyonel ve idari belgeler (görev tanımları, yönetmelikler) ile belirlenir.

Neleri onaylamak zorunludur, ne değildir?

Kullanılan tüm yazılımların (yazılımların) sertifikalandırılması gerektiği ve sertifikalandırmanın pahalı ve zaman alıcı olduğu konusunda genellikle yanlış bir kanı vardır.

Ancak kişisel verilerin korunmasına ilişkin düzenlemelere ilişkin hiçbir belgede tüm yazılımların sertifikalı olması gerektiği yazmıyor. Bilgi güvenliği araçları, Rusya'nın FSTEC gereksinimlerine göre sertifikalandırılmalıdır, ancak ISPD'nin korumasına katılmayan sistem, uygulama veya özel yazılım değil.

Igor Nazarov:... NDV'nin yokluğunun kontrolü için sertifika, bilgi sisteminde kullanılan tüm yazılımları değil, güvenlik işlevselliğini, yani koruma araçlarını ifade eder (http://www.connect.ru/article.asp ?id=9406).

Bugün, Teknik ve İhracat Kontrolü Federal Servisi'nin web sitesinde görüntülenebilen FSTEC belgeleri bize bu konuda şunları söylüyor:

ISPDN'de yalnızca bilgi güvenliği gereksinimlerine uygun olarak onaylanmış teknik araçlar ve güvenlik sistemleri kullanılmalıdır.

Ana aktiviteler ...

Madde 4.2:... ISPD'de, yazılım ve bellenimde bildirilmemiş yeteneklerin varlığı için bir kontrol ve sistem ve uygulama yazılımının güvenliğinin bir analizi yapılmalıdır.

Madde 4.3: ISPD'deki bilgileri korumak için kullanılan yazılım için (genel sistem ve uygulama yazılımında yerleşik olanlar dahil bilgi güvenliği araçları), içinde NDV olmaması için uygun bir kontrol düzeyi sağlanmalıdır.

Bu nedenle, bilgi koruma sürecine katılmazsa sistem ve uygulama yazılımının sertifikalandırılmasına gerek yoktur - bu, operatörün talebi üzerine yapılabilir.

Kişisel veri koruma sistemleri oluşturma uygulaması, lisanslı yazılım (sistem, uygulama ve özel yazılım) ve sertifikalı bilgi koruması ve anti-virüs koruması (bu, yetkisiz erişim sistemlerinden, virüsten koruma ürünlerinden bir bilgi güvenlik sistemi olabilir) kullanılması gerektiğini göstermektedir. güvenlik duvarları, izinsiz giriş tespit araçları, belirli bir sınıfa karşılık gelen güvenlik analiz araçları). ISPD'de kriptografik bilgi koruma araçları (CIPF) kuruluysa, Rusya FSB gereksinimlerine göre de sertifikalandırılmalıdır.

Yalnızca FSTEC lisans sahibinin sertifikalı SRZI'yi kurma hakkına sahip olduğu ve yalnızca FSB'nin lisans sahibinin SKZI'yi kurma hakkına sahip olduğu belirtilmelidir.

Tasdik

ISPD'yi korumak için bir sistem oluşturmanın son aşaması, tasdik (uygunluk beyanı) olmalıdır - bunun sonucunda, özel bir belge aracılığıyla - Uygunluk Sertifikası (Sonuç) olan bir dizi organizasyonel ve teknik önlem, teyit edilir. ISPD, bilgi güvenliğine ilişkin standartların veya diğer düzenleyici ve metodolojik belgelerin gereksinimlerini karşılar. Geçerli bir Uygunluk Sertifikasının varlığı, Uygunluk Sertifikasında belirtilen süre boyunca bilgileri uygun bir gizlilik düzeyiyle işleme hakkı verir.

Soru: İşyerlerinin kişisel veriler alanında mevzuat ve düzenleyici belgelerin gerekliliklerine uygunluğunu kimler onaylayabilir?

Igor Nazarov: Gizli bilgilerin teknik korunması için bir lisansa (http://www.connect.ru/article.asp?id=9406) sahip olan FSTEC lisans sahipleri, ISPD'yi bilgi güvenliği gereksinimlerine uygunluk konusunda sertifikalandırma hakkına sahiptir.

Sertifikasyon, benimsenen koruma önlemleri setinin gerekli PD güvenliği düzeyine uygunluğunu değerlendirmek için gerçek çalışma koşullarında ISPD'nin kapsamlı bir kontrolünü (sertifikasyon testleri) sağlar.

Genel olarak, ISPD'nin bilgi güvenliği gereksinimlerine göre sertifikalandırılması aşağıdaki aşamaları içerir:

Onaylanmış ISPD'ye ilişkin ilk verilerin analizi;

Düzenleyici ve metodolojik belgelerin gerekliliklerine uygunluk için PD'nin güvenliğini sağlamak için bir ISPD uzman araştırması ve geliştirilen belgelerin analizi;

Yetkisiz erişime karşı güvenliği izlemek için özel kontrol ekipmanı ve yazılımı kullanarak gerçek çalışma koşullarında kapsamlı ISPD sertifikasyon testlerinin yapılması;

Kapsamlı tasdik testlerinin sonuçlarının analizi, tasdik sonuçlarına dayalı olarak Sonuç ve Uygunluk Belgesinin uygulanması ve onaylanması.

Önemli bir nokta, PD işleme koşullarında ve teknolojisinde bir değişiklik olması durumunda, işleticinin, PDIS'in belgelendirilmesini gerçekleştiren lisans sahibi kuruluşa bildirimde bulunmakla yükümlü olmasıdır. Bundan sonra, lisans sahibi kuruluş, ISPD koruma sisteminin etkinliğinin ek bir kontrolünün gerekliliğine karar verir.

Yasanın gerekliliklerine uymama sorumluluğu ve riskleri

Kişisel verilerin güvenliğinin sağlanmasına ilişkin gerekliliklerin yerine getirilmemesi durumunda işletmeci, müşterilerden veya çalışanlardan hukuk davası açma riskiyle karşı karşıya kalabilir.

Bu, sırayla, şirketin itibarını etkileyebilir ve ayrıca PD işleminin zorunlu olarak askıya alınmasına (fesih) yol açabilir, şirketi ve (veya) başını idari veya başka tür sorumluluklara sokar ve belirli koşullar altında - lisansların askıya alınması veya iptali için. Ek olarak, Federal Yasaya göre, gereklilikleri ihlal etmekten suçlu bulunan kişiler, Rusya Federasyonu mevzuatının öngördüğü medeni, cezai, idari, disiplin ve diğer sorumluluklara sahiptir ( madde 24 FZ-152):

Disiplin (Rusya Federasyonu İş Kanunu, Madde 81, 90, 195, 237, 391);

İdari (Rusya Federasyonu İdari Suçlar Kanunu, Madde 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);

Ceza (Rusya Federasyonu Ceza Kanunu, Madde 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).

9 Haziran 2011 05:20

Kişisel verilerin korunması uygulaması

• Bilgi Güvenliği

Yerel SZI NSD

SZI NSD, bilgileri yetkisiz erişime karşı koruma aracının kısaltmasıdır. ISPD iş istasyonlarına erişimi olan kullanıcıların yetkisiz hareketlerini engellemek için kullanılırlar. Çıkarılabilir ortamlardan (CD / DVD diskler, flash sürücüler) yükleme kontrolü, cihazların kontrolü (böylece sol flash sürücüyü bağlamak ve bilgileri boşaltmak mümkün olmayacak), zorunlu erişim kontrolünün uygulanması gibi mekanizmaları içerir. (ISPD için gerekli değildir). Sadece kişisel olarak çalıştığım araçları vereceğim:
1) Gizli Ağ. Yük kontrol panosu ile veya olmadan temin edilebilir. secpol.msc aracılığıyla çalışır, bu nedenle Home sürümlerinde çalışmayabilir (kesinlikle Windows XP Home'da çalışmaz, evet, henüz Vista ve Windows 7'yi test etmedim). Kullanımı oldukça kolaydır, şimdiye kadar görülen en iyi cihaz kontrol mekanizmasına sahiptir. Etki alanı yapısına entegrasyon için tasarlanmış bir ağ sürümü vardır.
2) Koruyucu NT. Zorunlu erişim kontrolü için en iyi mekanizma. Operasyonda daha zordur (bazı koruyucu mekanizmaların kapatılamamasından dolayı). Ağ sürümü yok.
3) Dallas Kilidi. Etki alanı olmayan bir ağda ağ seçeneğinin normal konuşlandırılması olasılığı dışında, daha önce tartışılan tüm parametrelerde kayıplar.
Adından da anlaşılacağı gibi, bu araçlar yerel makinelerde kullanılmaktadır. Burada eklenecek bir şey yok.

güvenlik duvarları

Bence amaç açık. Ek olarak, eğer bir ISPD bir güvenlik duvarı tarafından ikiye bölünürse, o zaman onlara haklı olarak iki farklı ISPDN diyebiliriz. Ne için? Tam olarak işlenen kişisel veri konularının sayısı bakımından birinci sınıfa girerseniz, o zaman ISPD'yi ikiye bölerek, her ISPD'de işlenen konu sayısını azaltırsınız ve artık K1 değil K2 alırsınız. Şu anda piyasada birkaç sertifikalı güvenlik duvarı var:
1) VipNet Kişisel Güvenlik Duvarı. Sadece kişisel bir güvenlik duvarı, süslü şeyler yok. Yalnızca yerel olarak yönetilir. Merkezi bir yönetim mekanizması yoktur. Başlamak için bir şifre gerektirir, girmezseniz başlamaz.
2) VipNet Ofis Güvenlik Duvarı. Aynı, ancak ağ geçidine kurmanıza ve ISPD'yi segmentlere ayırmanıza izin veren birkaç ağ kartını destekler.
3) SSPT-2. Donanım ve yazılım kompleksi FreeBSD üzerinde çalışır, ancak hiç kimse işletim sisteminin kendisine erişmenize izin vermez. Hızlı çalışır, birçok parametreye göre filtrelemeyi destekler. Hoş olmayan bir özelliği vardır - kurallar yukarıdan aşağıya bir listede uygulanır ve en üstte bulunan kurallar daha yüksek önceliğe sahiptir. Bu belgelere yansımadı, ampirik olarak ortaya çıktı. Hem yerel konsoldan hem de web arayüzü üzerinden kontrol edilir.
4) APKSH "Kıta". Genel olarak, bu bir güvenlik duvarı değil, bir kripto yönlendiricidir, ancak ITU işlevlerine sahiptir. Mimari olarak SSPT-2'ye benzer, ancak yerel konsoldan kontrol yoktur - yalnızca özel bir yönetici konsolu aracılığıyla. Ayrıca, ilk kurulum sırasında yöneticinin bilgisayarının bağlanacağı arayüzü belirtmelisiniz.
Buna ek olarak, "Güvenlik Kodu" iki ürün daha yayınladı - ITU + HIPS "Security Studio Endpoint Protection" ve Kerberos kimlik doğrulamasını kullanarak güvenlik duvarı ve segmentasyonu birleştiren Trust Access dağıtılmış güvenlik duvarı sistemi. Bu ürünlerle çalışmak zorunda olmadığım için sadece açıklamalarına bağlantılar vereceğim:
Güven Erişimi
SSEP
Ayrıca başka bir ürün olan Stonegate Firewall/VPN'in üretimi sertifikalandırılmıştır. Fin firması Stonesoft'un ürünü. Ayrıca üzerine vidalanmış CryptoPRO şifreleme modülü ile birlikte gelir, bu da sertifikalı bir VPN çözümü olarak kullanılmasına izin verir.

CIPF

Bunlar aynı zamanda kriptografik koruma araçlarıdır. Daha önce bahsedilen Stonegate Güvenlik Duvarı / VPN'nin yanı sıra iki VPN çözümü daha vardır:
1) VipNet Özel. VipNet Yöneticisi - yönetim programı, VipNet Koordinatörü - ITU işlevli VPN sunucusu ve VipNet İstemcisi - VPN istemcisi ve ITU kompleksidir. Kontrol programı yalnızca anahtarlar ve sertifikalar oluşturmak için kullanılır; güvenlik duvarı ayarları yalnızca yerel olarak yönetilebilir. Yönetimde yalnızca yerleşik RDP yardımcı olabilir. Yani dahili haberci ve dahili postayı içerir. Tek avantajı, mevcut altyapıya kolayca entegre edilebilen tamamen bir yazılım çözümü olması gerçeğine atfedilebilir.
2) APKSH "Kıta". Prensip olarak, onun hakkında zaten konuştum. Yalnızca istemcinin en son sürümünde ("Continent-AP") güvenlik duvarı işlevleri olduğunu ve hatta Linux için bir istemci olduğunu ekleyeceğim. Kripto ağ geçitlerinin yönetimi yalnızca yönetici konsolundan, ancak uzaktan gerçekleştirilir. Özellikler ayrıca, ilk ayarın (yani, ağ yapılandırmasını ve anahtarları kripto ağ geçidine aktarma) yerel olarak, gerekli tüm bilgilerle bir flash sürücü besleyerek yerel olarak gerçekleştirilmesini içerir. Konfigürasyonu oluştururken bir hata yaptıysanız ve kripto ağ geçidini zaten uzak bir noktaya gönderdiyseniz, uzaktan alıp bir şeyi düzeltemezsiniz, konfigürasyonu tekrar oluşturmanız ve bir şekilde uzak noktaya aktarmanız gerekir.

Temel olarak, bildiğim tüm sertifikalı korumaların kısa bir açıklaması burada. Umarım bu bilgiler topluma yardımcı olur.