Organizaciona sredstva zaštite ličnih podataka. IP klasa u zavisnosti od zapremine obrađene PD

02.04.2019 vijesti

Januar 19, 2009 15:59

Andrey Shcherbakov

Nakon objavljivanja Uredbe Vlade Ruske Federacije br. 781 "O odobravanju Uredbe o osiguranju sigurnosti ličnih podataka tokom njihove obrade u informacionim sistemima o ličnim podacima" od 17. novembra 2007. godine i zajedničkog naloga Federalna služba za tehničku i izvoznu kontrolu, Federalna služba sigurnosti Ruske Federacije i Ministarstvo informacione tehnologije i saopštenja Ruske Federacije od 13. februara 2008. br. 55/86/20 „O odobravanju postupka za klasifikaciju informacioni sistemi lični podaci „(u daljem tekstu „Procedura...“) pred službama za razvoj i rad informacionih sistema (IS) koje obrađuju lične podatke, postavila su se dva skoro hamletova pitanja:

● kako klasifikovati IP dizajniran za zaštitu ličnih podataka;

● kako odabrati alate za sigurnost informacija za zaštitu ličnih podataka u ovim sistemima.

"Naredba..." kaže da se "provodi klasifikacija informacionih sistema državnim organima, opštinski organi, pravna i fizička lica koja organizuju i (ili) sprovode obradu ličnih podataka, kao i određuju svrhe i sadržaj obrade ličnih podataka. To znači da ih lični podaci (PD) klasifikuju vlasnik, što predstavlja ozbiljnu pomoć za objektivan izbor metoda i sredstava zaštite podataka o ličnosti i stvara objektivnu osnovu za dijalog sa inspekcijskim organima o adekvatnosti preduzetih mera u organizaciji za zaštitu podataka o ličnosti.

Prilikom razvrstavanja IP-a namijenjenog za obradu ličnih podataka, uzimaju se u obzir sljedeći početni podaci:

● volumen obrađeni PD (broj subjekata čiji se lični podaci obrađuju u IS-u);

● sigurnosne karakteristike ličnih podataka koji se obrađuju u IS-u koje postavlja vlasnik informacionog sistema;

● struktura informacionog sistema;

● dostupnost IS veza sa komunikacionim mrežama zajednička upotreba i/ili mreže međunarodnih razmjena informacija;

● Način obrade PD;

● način diferencijacije prava pristupa za korisnike informacionog sistema;

● lokacija tehnička sredstva IP.

Prije svega, odredit ćemo šta se odnosi na lične podatke. Ovo su informacije različite prirode o određenim pojedincima. Imajte na umu da govorimo samo o informacijama u elektronski oblik, unose, čuvaju, obrađuju i prenose u informacioni sistem. Ove informacije su podijeljene u četiri glavne kategorije:

Na primjer, posebno prezime je podatak 4. kategorije, kombinacija prezimena i adrese je treća, prezime, adresa, broj osiguranja i kartice je druga, a ako se tim podacima doda elektronski zdravstveni karton, tada nastali lični podaci pripadaju isključivo prvoj kategoriji.

Na osnovu ove klasifikacije može se konstatovati da su svi medicinski podaci, kao i kadrovska evidencija koja sadrži kolonu „nacionalnost“ (a takvi su skoro svi validni upitnici i lični listovi trenutno u upotrebi) moraju se odnositi na prvu kategoriju. Također je jasno da dijelovi ličnih podataka gotovo uvijek imaju nižu kategoriju od njihove zbirne. Čak detalji o zdravlju pojedinca može biti besmisleno ako je nepoznato njegovo prezime ili drugi podaci, što nedvosmisleno vezuje ove podatke za pacijenta.

Volumen obrađenog PD može imati sljedeće vrijednosti:

1 - IS istovremeno obrađuje lične podatke više od 100.000 subjekata ili lične podatke subjekata u regionu Ruske Federacije, ili Ruska Federacija općenito; ·

2 - IS istovremeno obrađuje lične podatke od 1.000 do 100.000 subjekata ili lične podatke subjekata koji rade u privredi Ruske Federacije, u državnom organu sa sjedištem u opštini;

3 - IS istovremeno obrađuje podatke manje od 1000 subjekata ili lične podatke subjekata određene organizacije.

Prema sigurnosnim karakteristikama PD obrađenih u informacionom sistemu, IS se dijele na standardne i posebne. Prvi su informacioni sistemi u kojima je samo obezbeđivanje povjerljivost lične podatke.

Karakteristika "povjerljivosti" znači da samo onaj kome su namijenjene može rukovati (unijeti, pohraniti, obraditi i prenijeti) PD u elektronskom obliku. Kako bi se osigurala povjerljivost prilikom prijenosa osobnih podataka preko mreža, uključujući internet, mora se koristiti šifriranje podataka.

Posebni informacioni sistemi su takvi IS-ovi u kojima je, bez obzira na potrebu da se osigura povjerljivost PD, potrebno osigurati barem jednu od sigurnosnih karakteristika ličnih podataka, osim povjerljivosti (na primjer, integritet ili dostupnost). Karakteristika "integritet" znači da lične podatke treba menjati samo na propisan način, na primer, samo ovlašćeni lekar može da vrši izmene u elektronskom medicinskom kartonu, au svim drugim slučajevima, podaci u medicinskom kartonu se ne smeju menjati. . Prilikom prenosa preko mreža, integritet je osiguran upotrebom elektroničkih digitalni potpis.

Karakteristika „dostupnost“ znači da rad sa PD treba da bude obezbeđen za zadatu količinu podataka i korisnika u skladu sa utvrđenim vremenskim propisima. Drugim riječima, „dostupnost“ je još jedna formulacija pouzdanosti sistema. Imajte na umu i da je pričanje o dostupnosti u otvorenim mrežama praktički besmisleno – nijedan provajder neće osigurati zagarantovan pristup podacima ili njihov neprekidan prijenos.

Posebni informacioni sistemi uključuju:

● IS, u kojem se obrađuju lični podaci o zdravstvenom stanju ispitanika; ·

● IP, koji predviđa donošenje na osnovu isključivo automatizovane obrade ličnih podataka odluka koje stvaraju pravne posledice u odnosu na subjekta ili na drugi način utiču na njegova prava i legitimne interese.

Po strukturi, informacioni sistemi za obradu PD se dele:

● na samostalan (nije povezan sa drugim IS), namijenjen za obradu ličnih podataka (automatizirane radne stanice); ·

● za komplekse automatizovanih radnih stanica, objedinjene u jedinstven IS putem komunikacije bez upotrebe tehnologije daljinski pristup(lokalni informacioni sistemi); ·

● na kompleksima automatizovanih radnih stanica i (ili) lokalnih IS-a, ujedinjenih u jedinstven informacioni sistem putem komunikacije korišćenjem tehnologije daljinskog pristupa (distribuisani informacioni sistemi).

Prema prisutnosti priključaka na javne komunikacijske mreže i (ili) međunarodnu razmjenu informacija, IS se dijele na sisteme koji imaju veze koje nemaju veze.

Na osnovu činjenice da je obavezno osigurati povjerljivost podataka, moguće je razlikovati neophodni elementi informacioni sistem za obradu ličnih podataka.

Prije svega, informacioni sistem je dužan da identifikuje korisnike i da može uspostaviti pojedinačna ovlaštenja za pristup korisnika PD-u, odnosno da ima sisteme za identifikaciju i autentifikaciju i kontrolu pristupa.

Drugo, potrebno je osigurati zaštitu ličnih podataka koji se mogu otuđiti iz sistema. Na primjer, trebali biste kontrolirati prijenos informacija na prenosive medije. Vrlo je vjerovatno da je u nekim slučajevima potrebno uzeti u obzir mogućnost krađe i gubitka (gubitka) kompjuterska tehnologija sa ličnim podacima. U ovom slučaju, šifriranje PD-a pohranjenog na kompjuterskom mediju je također obavezno.

Ako sistem ima veze sa otvorene mreže ili predviđa razmjenu podataka, obavezna je upotreba enkripcije podataka i elektronskih digitalnih potpisa, kao i zaštita od napada od strane eksterne mreže uključujući antivirusnu zaštitu.

Za enkripciju i elektronski potpis Koriste se ključevi i sertifikati koje generišu sami korisnici i koji su registrovani u tzv. certifikacionim centrima.

Veoma važna tačka- registracija radnji kod PD, što, s jedne strane, omogućava identifikaciju odgovornih za njihovo curenje, as druge strane stvara psihološku motivaciju za korektan rad sa njima.

Informacioni sistem za obradu PD može se dodeliti jednoj od sledećih klasa:

● klasa 1 (K1) – IS, za koje kršenje navedenih bezbednosnih karakteristika ličnih podataka koji se u njima obrađuju može dovesti do značajnih negativnih posledica po subjekte ličnih podataka;

● klasa 2 (K2) - IS, za koje kršenje navedenih bezbednosnih karakteristika PD obrađenih u njima može dovesti do negativnih posledica po subjekte ličnih podataka;

● klasa 3 (K3) - IS, za koje kršenje navedenih bezbednosnih karakteristika ličnih podataka koji se u njima obrađuju može dovesti do manjih negativnih posledica po subjekte ličnih podataka;

● klasa 4 (K4) – IS, za koje kršenje navedenih bezbednosnih karakteristika ličnih podataka koji se u njima obrađuju ne dovodi do negativnih posledica po subjekte ličnih podataka.

Tabela 1.

	IP klasa u zavisnosti od zapremine obrađene PD

Prvo, iz "Order..." slijedi postojanje kategorije lične podatke. Logično je implementirati agregacija baze podataka u IS koje sadrže PD na dijelove koji se ne preklapaju koji sadrže podatke različitih kategorija. Također, IC za obradu PD mora biti podijeljena na obrise koji sadrži podatke samo jedne kategorije. To je sasvim moguće učiniti, budući da pojedinci nedvosmisleno se identifikuju brojem pasoša ili PIB-a ili brojem polise zdravstvenog osiguranja, što omogućava nedvosmisleno indeksiranje medicinskih baza podataka i drugih nizova. Stoga je potrebno slijediti princip da je u svakom krugu IS-a za obradu ličnih podataka potrebno koristiti certificirani proizvodi iste klase, a konture bi trebale biti izolovan odvojeno.

Može se reći da će većina informacionih sistema za obradu PD (posebno u medicinske svrhe) biti poseban, odnosno u njima je potrebno osigurati ne samo povjerljivost, već i integritet bez greške i druge karakteristike sigurnosti i pouzdanosti.

Kada distribuirano IP za obradu ličnih podataka, čak i ako je samo to potrebno dati povjerljivost u skladu sa "Procedurom..." imperativno je potrebno zaštita prenesenih i pohranjenih PD-a... Ovo je u potpunosti u skladu sa trenutnim zahtjevima Federalne službe sigurnosti Ruske Federacije za automatizirane IC dizajnirane za zaštitu povjerljiva informacija, nije komponenta državne tajne, naime, odredba da „sve povjerljive informacije koje se prenose komunikacijskim kanalima moraju biti zaštićene; informacije koje se prenose komunikacijskim kanalima moraju biti šifrirane korištenjem sredstava kriptografska zaštita informacije (CIPF) ili sigurni komunikacijski kanali moraju se koristiti za njihov prijenos. Zaštita informacija snimljenih na otuđivim medijima mora se provoditi."

Posljednji zahtjev je nesumnjivo primjenjiv za izolirane PD IS koji nemaju kanale za prijenos PD, odnosno za pojedinačna radna mjesta koja obrađuju lične podatke.

To znači da za obradu ličnih podataka IP mora biti certificiran u klasi koja nije niža od AK2 u klasifikaciji FSB-a Ruske Federacije. Na primjer, ova klasa odgovara zaštićenom Windows XP-u sa Secure Pack Rus. Sastav sredstava zaštite treba da uključuje sredstva kriptografske zaštite informacija (CIP) klase koja nije niža od KC2.

Na osnovu toga, za bilo koji PD IS koji obrađuje PD kategorija iznad 4. (kojima će se svakako pripisati svi sistemi obrade medicinskih PD), bit će potrebno izvršiti svi zahtjevi klase AK2 u klasifikaciji FSB RF.

Iz arhitekture IS PD s dovoljno veliki broj obrađen PD (indikator 1 ili 2), serverska komponenta će svakako biti istaknuta, koja će također zahtijevati zaštitu. U ovom slučaju, zaštita svih povjerljivih informacija pohranjenih na magnetni mediji radne stanice i serveri koji ispunjavaju zahtjeve AK3 klase.

Dakle, možemo ponuditi dobro utemeljenu strategiju za zaštitu ličnih podataka, koja se sastoji u tome da tabela. 1 se popunjava na sljedeći način (vidi tabelu 2).

Tabela 2.

IP klasa u zavisnosti od zapremine obrađene PD




Ne niže od AK3	Ne niže od AK3	Ne niže od AK3

Bilješka. "-" - znači da nema zahtjeva.

Dakle, za zaštitu PD prve kategorije, koja uključuje sve medicinske podatke, potrebno je koristiti zaštitna sredstva klasa ne nižih od AK3 i sredstva kriptografske zaštite klasa ne niže od KC3.

Za praktično opremanje IP zaštitnim sredstvima moguće je preporučiti proizvode posebno prilagođene za zaštitu ličnih podataka i koji imaju potrebne dozvole(sertifikati i zaključci). To su, prije svega, Secure Pack Rus i alati za kriptografsku zaštitu porodice CryptoPro.

Pokušajmo sada procijeniti troškove opremanja jednog radnog mjesta za obradu PD. Bez popusta, cijena paketa Secure Pack Rus je oko 2.000 RUB, dok je CryptoPro porodica alata za kriptografsku zaštitu već uključena u ovaj paket. Dalje, radi zaštite ličnih podataka pohranjenih na računaru, preporučljivo je kupiti jedan od CryptoPro EFS paketa za zaštitu podataka, Secure Pack Explorer ili Crypto Explorer. Cijena svakog od ovih proizvoda kreće se od 600 do 1000 rubalja. Ukupna zaštita jednog radnog mjesta, isključujući instalaciju i konfiguraciju, koštat će oko 3.000 rubalja, a instalacija i prilagođavanje programa tradicionalno će dodati 10-15% na cijenu

Uslovno je moguće izdvojiti „mističnih deset koraka na putu“ do sigurnog sistema za obradu PD.

1. Identifikujte elemente vašeg IP-a koje je potrebno prvo zaštititi. Prvo saznajte koje lične podatke treba zaštititi i gdje se trenutno nalaze na vašem sistemu. Zatim provjerite da li je radnim mjestima svih zaposlenih, bez izuzetka, zaista potrebna zaštita podataka. Možda je lakše istaknuti odvojeni računari raditi sa lična informacija koje treba posebno pouzdano zaštititi? Zapamtite da računar povezan na Internet nije najbolje mjesto za pohranjivanje PD-a!

2. Rate Trenutna drzava sigurnost informacija. Koliko je to zadovoljavajuće? Ako je moguće, potrošite eksterna revizija sigurnost vašeg sistema. Klasificirajte svoju IP adresu prema gore navedenim smjernicama. Uporedite svoje nalaze sa onima eksterne revizije.

3. Odredite ko je unutra dato vreme odgovoran je za osiguranje IP zaštite. Da li je moguće suziti krug osoba od kojih zavisi pouzdanost ove zaštite? U isto vrijeme, zapamtite - sigurnost ne može ovisiti o jednoj osobi! Obavezno imenovati revizore, na primjer, glavni liječnik može nadzirati rad specijalista za popunjavanje i premještanje PD.

4. Budite kritični prema zahtjevima stručnjaka ako insistiraju na instaliranju sigurnosnog hardvera. Također imajte na umu da korištenje kriptografskim sredstvima- prilično ozbiljan posao. Važno je razumjeti: Da li bi održavanje enkripcije i digitalnih potpisa ometalo osnovnu djelatnost vaše kompanije? Također imajte na umu da ne može i treba svaki zaposlenik biti uključen u šifriranje podataka.

5. Očistite sigurnost vaše klinike. Podesite režim koji će obezbediti potreban nivo sigurnost informacija međutim, nemojte ići predaleko. Na primjer, ne možete lišiti ljude mogućnosti korištenja mobilni telefoni... Takođe je neprikladno zabraniti zaposlenima da kontaktiraju e-mail i internet za ličnu upotrebu. Istovremeno, preporučljivo je regulisati proceduru uvođenja fleš diskova i sopstvenih laptopa na teritoriju kompanije, ili koristiti onaj koji je dostupan u Secure Pack-u Rus funkcija onemogućavanje USB diskova koje administrator nije ovlastio za upotrebu

6. Zahtijevajte od IT profesionalaca da sastave jasan plan rada za kreiranje i konfiguraciju sigurnosnog sistema. Pitajte da opravdate potrebu za kupovinom dodatna sredstva osiguranje sigurnosti. Insistirajte na tome da sigurnosna postavka ne ometa osnovni rad sistema.

7. Pratiti implementaciju sigurnosnog plana.

8. Poslušajte mišljenja ljekara i zaposlenih – da li im sigurnosne mjere ometaju rad i glavne aktivnosti?

9. Održavati i pratiti bezbjednosni status UP, te graditi lojalnost osoblja obezbjeđenja.

10. Olako sa sigurnosnim inovacijama - zdrava konzervativnost će vam uštedjeti novac.

Stambeno-komunalne službe, stambene zajednice i druga preduzeća dužni su čuvati prikupljene podatke od izmjene i odavanja. Usklađenost sa regulatornim zahtjevima prati Roskomnadzor, Federalna služba za nadzor komunikacija, informacionih tehnologija i masovne komunikacije, vođenje registra operatera ličnih podataka. Podzakonski akti FSTEC-a i FSB-a zahtijevaju od operatera da grade savremeni sistem korišćenje zaštite antivirusna rješenja, zaštitne zidove, sisteme za sprečavanje upada, upravljanje identitetom korisnika i kontrolu pristupa, enkripciju, zaštitu od curenja, sisteme za upravljanje sigurnosnim događajima i druge zaštitne mehanizme navedene u dokumentu FSTEC vodiča „O odobravanju sastava i sadržaja organizacionih i tehničke mjere o obezbjeđivanju sigurnosti ličnih podataka prilikom njihove obrade u informacionim sistemima podataka o ličnosti“ od 18. februara 2013. godine N 21. Stambeno-komunalna preduzeća koriste informacione sisteme za rad sa stanovništvom, preduzećima, raznim institucijama i službama. Računovodstvo, upravljanje, porez se takođe vodi računovodstvo., kao iu drugim preduzećima, praktično se ne razlikuju od sličnih poslova u drugim tipovima preduzeća.

Analizirajući izgradnju baza podataka koje se koriste za skladištenje i obradu informacija u stambeno-komunalnim sistemima, izdvajaju se dvije tačke: osnova izgradnje i teritorijalni položaj. Najstariji i najčešće korišteni okvir baze podataka su dbf datoteke. Ali za današnji kompleks automatizovani sistemi nisu prikladni iz dva glavna razloga: ograničena količina zapisi u istoj tabeli i nedostatak pouzdanosti.

Savremene baze podataka se grade na osnovu klijenta - serverske tehnologije... Postoji razni sistemi upravljanje bazama podataka, koji imaju svoje prednosti i nedostatke. Svaki od njih se koristi u najmanje jednom sistemu dizajniranom za automatizaciju stambeno-komunalnih usluga. Najčešći je MS SQL 2000. Budući da je namijenjen popularnom operativnom sistemu personalni računari- Windows. Sljedeći po popularnosti je Interbase. Postoje i implementacije baze podataka stambeno-komunalnih usluga pod kontrolom Oraclea, jednog od najnaprednijih, ali skupih i glomaznih sistema za upravljanje bazom podataka.

Takođe treba napomenuti da postoji tendencija da proizvođači sistema za upravljanje bazama podataka šire svoje softverskih proizvoda- ponuda besplatne verzije sa određenim ograničenjima, koja odgovaraju malim i nebogatim korisnicima, a koja uključuju stambene kancelarije i punktove za primanje plaćanja. Primjer takvih sistema su MSDE 2000, MSDE 2005 Microsoft Corporation.

Najosnovnija topologija baze podataka je gdje se sve informacije nalaze na jednom serveru. Klijenti se povezuju preko udaljene linije i rješavaju svoje trenutne zadatke.

Druga opcija implementacije je distribuiranu bazu podaci o svim ili dijelom učesnika u stambeno-komunalnim uslugama. Nedostatak je potreba za sinhronizacijom podataka.

Sinhronizacija podataka je u toku Različiti putevi... Najčešći je izvoz/uvoz. Podaci na nosiocu ili e-mailom se prenose između učesnika u stambeno-komunalnim uslugama. Pri tome, značajan uticaj na performanse sistema ima ljudski faktor- sve mora biti urađeno na vrijeme i vrlo pažljivo.

Drugi nivo sinhronizacije je razmena podataka između modula sistema putem komunikacije udaljeni serveri... Ova razmjena se poziva ili korisničkom naredbom ili prema određenom rasporedu. Sastoji se u tome da se određena procedura na jednom od povezani serveri"čita sebi" ili "u njega upisuje" podatke potrebne za sinhronizaciju.

Konačno, najviše visoki nivo- sinhronizacija baze podataka putem replikacije. Ovi alati omogućavaju promjenu podataka kako na jednoj strani komunikacijske linije tako i na drugoj. Prema navedenom rasporedu ili na komandu korisnika, serveri se povezuju i sinhronizuju baze podataka.

Zaštita ličnih podataka može se osigurati samo u informacionom sistemu gdje napadač ne može ometati njegov rad. osnovni elementi - mrežni uređaji, operativni sistemi, aplikacije i DBMS.

Glavne prijetnje sigurnosti ličnih podataka, a to su uništavanje, modifikacija, blokiranje, kopiranje, distribucija ličnih podataka, kao i druge neovlaštene radnje tokom njihove obrade u informacionom sistemu. Curenje informacija može biti uzrokovano virusima, malware, mrežni napadi... Za zaštitu se koriste antivirusi, vatrozidovi i sistemi za prevenciju upada (IPS) (služe za otkrivanje znakova napada u prolaznom prometu i blokiraju otkriveni najpopularniji napad. Za razliku od gateway antivirusa, IPS analizira ne samo sadržaj IP paketa, ali i korišćeni protokoli i ispravnost njihovog korišćenja.), skeneri ranjivosti (Proveravaju informacioni sistem na prisustvo raznih „praznina“ u operativni sistemi i softver... Po pravilu jeste individualni programi ili uređaja koji testiraju sistem slanjem posebne zahtjeve koji simuliraju napad na protokol ili aplikaciju.). Paket alata za zaštitu povjerljivih podataka od curenja sastoji se od tri proizvoda: kontrolnih sistema periferije, sprečavanje curenja podataka (DLP) i enkripcija za potpuna sigurnost ima smisla kombinovati sve tri vrste hrane. Uz pomoć ovih sredstava, stambeno-komunalne službe i druga društva za upravljanje mogu zadovoljiti FSTEC zahtjevi o zaštiti ličnih podataka.

Kontrola nad uređajima. Do curenja podataka često dolazi preko prenosivih medija i nedozvoljeni kanali komunikacija: fleš memorija, USB drajvovi, Bluetooth ili Wi-Fi, pa kontrola upotrebe USB portova i dr periferna oprema je također jedan od načina kontrole curenja.

DLP. Sistemi zaštite od curenja omogućavaju korištenje posebnih algoritama za odvajanje povjerljivih podataka iz toka podataka i blokiranje njihovog neovlaštenog prijenosa. DLP sistemi obezbeđuju mehanizme za kontrolu različitih kanala prenosa informacija: e-mail, instant poruka, Web pošta, štampanje na štampač, čuvanje na izmjenjivi disk i dr. Štaviše, DLP moduli blokiraju curenje samo povjerljivih podataka, budući da imaju ugrađene mehanizme za utvrđivanje koliko su ove ili one informacije tajne.

Enkripcija. Zaštita podataka od curenja na ovaj ili onaj način koristi mehanizme enkripcije, a ovu industriju je oduvijek kontrolirao FSB, a sve zahtjeve za sertifikaciju sistema šifriranja objavljuje i verificira ovo odjeljenje. Treba napomenuti da je potrebno šifrirati ne samo same baze ličnih podataka, već i njihov prijenos preko mreže, kao i rezervne kopije baze podataka. Šifriranje se također koristi prilikom prijenosa ličnih podataka preko mreže na distribuirani sistem... U tu svrhu moguće je koristiti proizvode klase VPN-a koje nude različiti programeri, a koji se u pravilu temelje na enkripciji, međutim slični sistemi moraju biti certificirani i blisko integrirani s bazama podataka u kojima se pohranjuju osobni podaci.

Treba napomenuti da u statutu FSTEC postoji podjela na male, srednje i distribuirane baze podataka, čiji su zahtjevi za zaštitu veoma različiti. Dakle, za zaštitu distribuiranih baza podataka, po pravilu, trebate dodatni alati zaštita, što je i razumljivo - distribuirana baza mora imati komunikacione kanale između svojih dijelova, koji također moraju biti zaštićeni

U informacionom sistemu stambeno-komunalnih usluga glavni problem jer vođa je korektna organizacija pristup zaposlenih raznim resursima – od ispravno podešavanje prava pristupa često zavise od sigurnosti povjerljivih podataka, pa sistem upravljanja pravima pristupa treba uključiti u sistem zaštite velikog informacionog sistema. Sistem blokira pokušaje promjene prava pristupa bez dozvole operatera sigurnosti, što pruža zaštitu od lokalnih operatera.

Veliki odbrambeni sistem može generirati mnoge poruke o potencijalnim napadima, koji samo potencijalno mogu dovesti do implementacije određene prijetnje. Često su ove poruke samo upozorenja, ali sigurnosni operateri veliki sistem mora postojati alat koji bi im omogućio da shvate suštinu onoga što se dešava. Sistem korelacije događaja može postati takav alat za analizu, koji omogućava povezivanje nekoliko poruka sa zaštitnih uređaja u jedan lanac događaja i sveobuhvatnu procjenu opasnosti cijelog lanca. Ovo skreće pažnju sigurnosnih operatera na najopasnije događaje.

Sistemi centralizovano upravljanje zaštitni mehanizmi vam omogućavaju da u potpunosti kontrolišete sve događaje koji se odnose na sigurnost informacionog sistema. Proizvodi na ovom nivou mogu otkriti, upravljati i izvestiti o sigurnosnim mehanizmima instaliranim u preduzeću. Ti isti proizvodi mogu najviše automatizirati jednostavni problemi ili pomoći administratorima da brzo razumiju složene napade.

Sva tri gore navedena proizvoda nisu potrebna za zaštitu velikih informacionih sistema, ali vam omogućavaju da automatizujete većinu zadataka koje rešavaju bezbednosni operateri i minimiziraju broj zaposlenih potrebnih za zaštitu velikog sistema, poput informacionog sistema stanovanja i komunalne usluge.

Odgovornost za kršenje uslova za zaštitu ličnih podataka

Lica koja su kriva za kršenje zahtjeva Zakona o ličnim podacima odgovorna su prema zakonodavstvu Ruske Federacije (na primjer, građanskopravna, krivična, administrativna, disciplinska). Na to ukazuje stav 1. člana 24. Zakona o ličnim podacima.

On trenutno administrativnu odgovornost operatera (osim osoba za koje je obrada ličnih podataka profesionalne aktivnosti i podliježe licenciranju) predviđa:

· Za nezakonito odbijanje da se građaninu i (ili) organizaciji daju informacije, čije je pružanje propisano saveznim zakonima, neblagovremeno davanje ili davanje namjerno netačnih informacija (član 5.39 Zakona o upravnim prekršajima Ruske Federacije) . Izuzetak od ovog pravila su slučajevi predviđeni članom 7.23.1 Administrativnog zakonika Ruske Federacije;

· Za kršenje zahtjeva zakona o otkrivanju informacija od strane organizacija koje obavljaju djelatnosti u oblasti upravljanja stambenim zgradama (član 7.23.1 Zakona o upravnim prekršajima Ruske Federacije);

· za prekršaj utvrđeno zakonom postupak prikupljanja, skladištenja, korišćenja ili distribucije ličnih podataka (član 13.11 Administrativnog zakonika Ruske Federacije);

· Za otkrivanje informacija čiji je pristup ograničen saveznim zakonom (osim u slučajevima kada njihovo otkrivanje povlači krivičnu odgovornost), od strane lica koje je pristupilo u vezi sa obavljanjem službenih ili profesionalnih dužnosti (član 13.14. Zakon o upravnim prekršajima Ruske Federacije).

Krivična djela koja povlače krivičnu odgovornost su:

Nezakonito prikupljanje ili distribucija informacija o privatnost lica koja predstavljaju njegovu ličnu ili porodičnu tajnu, bez njegovog pristanka, ili širenja ovih informacija u javnom govoru, javno izloženim radovima ili sredstvima masovni medij(član 137. Krivičnog zakona Ruske Federacije);

Nezakonito odbijanje službeni u pružanju prikupljenih u uspostavljen red dokumente i materijale koji direktno utiču na prava i slobode građanina, ili daju građaninu nepotpuno ili svjesno lažne informacije ako su ova djela nanijela štetu pravima i legitimnim interesima građana (član 140. Krivičnog zakona Ruske Federacije);

Nezakonit pristup zakonom zaštićenom kompjuterske informacije ako je ovo djelo podrazumijevalo uništavanje, blokiranje, izmjenu ili kopiranje informacija (član 272. Krivičnog zakona Ruske Federacije)

Nakon objavljivanja Uredbe Vlade Ruske Federacije br. 781 "O odobravanju Uredbe o osiguranju sigurnosti ličnih podataka tokom njihove obrade u informacionim sistemima o ličnim podacima" od 17. novembra 2007. godine i zajedničkog naloga Federalnog Služba za tehničku i izvoznu kontrolu, Federalna služba bezbednosti Ruske Federacije i Ministarstvo informacionih tehnologija i komunikacija Ruske Federacije od 13. februara 2008. br. 55/86/20 „O odobravanju postupka za klasifikaciju informacionih sistema lični podaci” (u daljem tekstu “Procedura...”) dva skoro Hamletova pitanja:

kako klasificirati IP dizajniran za zaštitu ličnih podataka;
kako odabrati alate za sigurnost informacija za zaštitu ličnih podataka u ovim sistemima.

„Procedura...“ navodi da „razvrstavanje informacionih sistema vrše državni organi, opštinski organi, pravna i fizička lica koja organizuju i (ili) sprovode obradu ličnih podataka, kao i utvrđivanje svrhe i sadržaja obrada ličnih podataka." To znači da ih lični podaci (PD) klasifikuju vlasnik, što predstavlja ozbiljnu pomoć za objektivan izbor metoda i sredstava zaštite podataka o ličnosti i stvara objektivnu osnovu za dijalog sa inspekcijskim organima o adekvatnosti preduzetih mera u organizaciji za zaštitu podataka o ličnosti.

Prilikom razvrstavanja IP-a namijenjenog za obradu ličnih podataka, uzimaju se u obzir sljedeći početni podaci:

kategorija lični podaci koji se obrađuju u informacionom sistemu; ·
volumen obrađeni PD (broj subjekata čiji se lični podaci obrađuju u IS-u); ·
sigurnosne karakteristike ličnih podataka koji se obrađuju u IS-u koje postavlja vlasnik informacionog sistema; ·
struktura informacionog sistema; ·
dostupnost IS veza na javne komunikacione mreže i (ili) mreže međunarodne razmjene informacija; ·
PD način obrade; ·
način diferencijacije prava pristupa za korisnike informacionog sistema; ·
lokacija tehničkih sredstava IP.

Prije svega, odredit ćemo šta se odnosi na lične podatke. Ovo su informacije različite prirode o određenim pojedincima. Napominjemo da je riječ samo o informacijama u elektronskom obliku, unesenim, pohranjenim, obrađenim i prenesenim u informacioni sistem. Ove informacije su podijeljene u četiri glavne kategorije:

kategorija 1 - PD vezano za rasu, nacionalnost, političke stavove, vjerska i filozofska uvjerenja, zdravstveno stanje, intimni život; ·
kategorija 2 - PD, koja vam omogućava da identifikujete subjekta ličnih podataka i saznate o njemu Dodatne informacije, sa izuzetkom ličnih podataka koji pripadaju kategoriji 1; ·
kategorija 3 - lični podaci koji vam omogućavaju da identifikujete subjekt ličnih podataka; ·
kategorija 4 - bezlična i (ili) javno dostupna PD.

Na osnovu ove klasifikacije može se konstatovati da se svi medicinski podaci, kao i kadrovska evidencija koja sadrži kolonu „nacionalnost“ (a takvi su skoro svi aktuelni upitnici i lični dosijei o kadrovskoj evidenciji koji se trenutno koriste), moraju svrstati u prvu kategorija. Također je jasno da dijelovi ličnih podataka gotovo uvijek imaju nižu kategoriju od njihove zbirne. Čak i detaljni podaci o zdravlju pojedinca mogu biti besmisleni ako su nepoznati njegovo prezime ili drugi podaci, što te podatke nedvosmisleno vezuje za pacijenta.

Volumen obrađenog PD može imati sljedeće vrijednosti:

- IS istovremeno obrađuje lične podatke više od 100.000 subjekata ili lične podatke subjekata u regionu Ruske Federacije ili Ruske Federacije u celini; ·
- IS istovremeno obrađuje lične podatke od 1.000 do 100.000 subjekata ili lične podatke subjekata koji rade u privredi Ruske Federacije, u državnom organu sa sjedištem u opštini; ·
- IS istovremeno obrađuje podatke manje od 1000 subjekata ili lične podatke subjekata određene organizacije.

Karakteristika “povjerljivosti” znači da samo onaj kome su namijenjene može rukovati (unositi, pohranjivati, obraditi i prenositi) PD u elektronskom obliku. Kako bi se osigurala povjerljivost prilikom prijenosa osobnih podataka preko mreža, uključujući internet, mora se koristiti šifriranje podataka.

Posebni informacioni sistemi su takvi IS-ovi u kojima je, bez obzira na potrebu da se osigura povjerljivost PD, potrebno osigurati barem jednu od sigurnosnih karakteristika ličnih podataka, osim povjerljivosti (na primjer, integritet ili dostupnost). Karakteristika „integritet“ znači da lične podatke treba menjati samo na propisan način, na primer, samo ovlašćeni lekar može da vrši izmene u elektronskom medicinskom kartonu, au svim drugim slučajevima, podaci u medicinskom kartonu ne bi trebalo da se menjaju. promijenio. Prilikom prijenosa preko mreža, integritet se osigurava korištenjem elektronskog digitalnog potpisa.

Posebni informacioni sistemi uključuju:

IS, u kojem se obrađuju lični podaci koji se odnose na zdravstveno stanje ispitanika; ·
IP, koji predviđa usvajanje na osnovu isključivo automatizovana obrada lične podatke odluka koje izazivaju pravne posljedice u odnosu na subjekta ili na drugi način utiču na njegova prava i legitimne interese.

Po strukturi, informacioni sistemi za obradu PD se dele:

za autonomne (nepovezane sa drugim IS), namenjene za obradu ličnih podataka (automatizovane radne stanice); ·
za komplekse automatizovanih radnih stanica, objedinjene u jedinstven IS putem komunikacije bez upotrebe tehnologije daljinskog pristupa (lokalni informacioni sistemi); ·
na kompleksima automatizovanih radnih stanica i (ili) lokalnih IS-a, ujedinjenih u jedinstven informacioni sistem putem komunikacije pomoću tehnologije daljinskog pristupa (distribuisani informacioni sistemi).

Prema prisutnosti priključaka na javne komunikacijske mreže i (ili) međunarodnu razmjenu informacija, IS se dijele na sisteme koji imaju veze koje nemaju veze.

Na osnovu činjenice da je obavezno osigurati povjerljivost podataka, moguće je izdvojiti neophodne elemente informacionog sistema za obradu ličnih podataka.

Drugo, potrebno je osigurati zaštitu ličnih podataka koji se mogu otuđiti iz sistema. Na primjer, trebali biste kontrolirati prijenos informacija na prenosivi medij... Vrlo je vjerovatno da je u nekim slučajevima potrebno uzeti u obzir mogućnost krađe i gubitka (gubitka) računarske opreme sa ličnim podacima. U ovom slučaju, šifriranje PD-a pohranjenog na kompjuterskom mediju je također obavezno.

Ukoliko sistem ima veze sa otvorenim mrežama ili omogućava razmjenu podataka, obavezno je korištenje enkripcije podataka i elektronskih digitalnih potpisa, kao i zaštita od napada sa vanjskih mreža, uključujući i antivirusnu zaštitu.

Za šifrovanje i elektronski potpis koriste se ključevi i sertifikati koje sami generišu korisnici i registrovani su u tzv. sertifikacionim centrima.

Vrlo važna točka je registracija radnji kod PD, koja, s jedne strane, omogućava identifikaciju odgovornih za njihovo curenje, a s druge strane stvara psihološku motivaciju za ispravan rad s njima.

Informacioni sistem za obradu PD može se dodeliti jednoj od sledećih klasa:

klasa 1 (K1) - IS, za koje kršenje date sigurnosne karakteristike ličnih podataka koji se u njima obrađuju može dovesti do značajnih negativnih posljedica za subjekte ličnih podataka; ·
klasa 2 (K2) - IS, za koje kršenje navedenih bezbednosnih karakteristika PD obrađenih u njima može dovesti do negativnih posledica po subjekte ličnih podataka; ·
klasa 3 (K3) - IS, za koje kršenje navedenih bezbednosnih karakteristika ličnih podataka koji se u njima obrađuju može dovesti do manjih negativnih posledica po subjekte ličnih podataka; ·
klasa 4 (K4) - IS, za koje kršenje date sigurnosne karakteristike ličnih podataka koji se u njima obrađuju ne dovodi do negativnih posljedica za subjekte ličnih podataka.

Tabela 1

Kategorija
Kategorija

Prvo, iz "Order..." slijedi postojanje kategorije lične podatke. Logično je implementirati agregacija baze podataka u IS koje sadrže PD na dijelove koji se ne preklapaju koji sadrže podatke različitih kategorija. Također, IC za obradu PD mora biti podijeljena na obrise koji sadrži podatke samo jedne kategorije. To je sasvim moguće učiniti, jer se pojedinci nedvosmisleno identifikuju po pasošu ili PIB-u ili po broju polise zdravstvenog osiguranja, što omogućava nedvosmisleno indeksiranje medicinskih baza podataka i drugih nizova. Stoga je potrebno slijediti princip da je u svakom krugu IS-a za obradu ličnih podataka potrebno koristiti certificirani proizvodi iste klase, a konture bi trebale biti izolovan odvojeno.

Može se reći da će većina informacionih sistema za obradu PD (posebno u medicinske svrhe) biti poseban, odnosno u njima je potrebno osigurati ne samo povjerljivost, već i integritet obavezne i druge karakteristike sigurnosti i pouzdanosti.

Kada distribuirano IP za obradu ličnih podataka, čak i ako je samo to potrebno dati povjerljivost u skladu sa "Procedurom..." će vam svakako trebati zaštita prenesenih i pohranjenih PD-a... Ovo je u potpunosti usklađeno sa trenutnim zahtjevima Federalne službe sigurnosti Ruske Federacije za automatizirane informacione sisteme dizajnirane da zaštite povjerljive informacije koje ne predstavljaju državnu tajnu, odnosno odredbu da „sve povjerljive informacije koje se prenose putem komunikacionih kanala moraju biti zaštićene; informacije koje se prenose komunikacijskim kanalima moraju biti šifrirane korištenjem kriptografske zaštite informacija (CIP), ili se za njihov prijenos moraju koristiti sigurni komunikacijski kanali. Zaštita informacija snimljenih na otuđivim medijima mora se provoditi.”

Posljednji zahtjev je nesumnjivo primjenjiv za izolirane PD IS koji nemaju kanale za prijenos PD, odnosno za pojedinačna radna mjesta koja obrađuju lične podatke.

Iz arhitekture IS PD-a sa dovoljno velikim brojem obrađenih PD-a (indikator 1 ili 2), sigurno će biti alocirana serverska komponenta koja će također zahtijevati zaštitu. U tom slučaju sve povjerljive informacije pohranjene na magnetnim medijima radnih stanica i servera moraju biti zaštićene, što ispunjava zahtjeve klase AK3.

Dakle, možemo ponuditi dobro utemeljenu strategiju za zaštitu ličnih podataka, koja se sastoji u tome da tabela. 1 se popunjava na sljedeći način (vidi tabelu 2).

tabela 2

IP kategorija	IP klasa u zavisnosti od zapremine obrađene PD
IP kategorija



	Ne niže od AK3	Ne niže od AK3	Ne niže od AK3

Bilješka. “-” - znači da nema zahtjeva.

Dakle, za zaštitu PD prve kategorije, koja uključuje sve medicinske podatke, potrebno je koristiti zaštitna sredstva klasa ne nižih od AK3 i sredstva kriptografske zaštite klasa ne niže od KC3.

Za praktično opremanje IP zaštitnim sredstvima moguće je preporučiti proizvode posebno prilagođene za zaštitu ličnih podataka i poseduju potrebne dozvole (sertifikate i zaključke). To su, prije svega, Secure Pack Rus i alati za kriptografsku zaštitu porodice CryptoPro.

Pokušajmo sada procijeniti troškove opremanja jednog radnog mjesta za obradu PD. Bez popusta, cijena paketa Secure Pack Rus je oko 2.000 RUB, dok je CryptoPro porodica alata za kriptografsku zaštitu već uključena u ovaj paket. Dalje, radi zaštite ličnih podataka pohranjenih na računaru, preporučljivo je kupiti jedan od CryptoPro EFS paketa za zaštitu podataka, Secure Pack Explorer ili "Crypto Explorer". Cijena svakog od ovih proizvoda kreće se od 600 do 1000 rubalja. Ukupna zaštita jednog radnog mjesta, isključujući instalaciju i konfiguraciju, koštat će oko 3.000 rubalja, a instalacija i prilagođavanje programa tradicionalno će dodati 10-15% na cijenu

Uslovno je moguće izdvojiti „mističnih deset koraka na putu“ do sigurnog sistema za obradu PD.

Identifikujte elemente svoje IP adrese koje je potrebno prvo zaštititi. Prvo saznajte koje lične podatke treba zaštititi i gdje se trenutno nalaze na vašem sistemu. Zatim provjerite da li je radnim mjestima svih zaposlenih, bez izuzetka, zaista potrebna zaštita podataka. Možda je lakše izdvojiti odvojene računare za rad sa ličnim podacima koje je potrebno posebno pouzdano zaštititi? Zapamtite da računar povezan na Internet nije najbolje mjesto za pohranjivanje PD-a!
Procijenite trenutno stanje sigurnosti informacija. Koliko je to zadovoljavajuće? Ako je moguće, izvršite eksternu sigurnosnu reviziju vašeg sistema. Klasificirajte svoju IP adresu prema gore navedenim smjernicama. Uporedite svoje nalaze sa onima eksterne revizije.
Odredite ko je trenutno odgovoran za provođenje IP-a. Da li je moguće suziti krug osoba od kojih zavisi pouzdanost ove zaštite? U isto vrijeme, zapamtite - sigurnost ne može ovisiti o jednoj osobi! Obavezno imenovati revizore, na primjer, glavni liječnik može nadzirati rad specijalista za popunjavanje i premještanje PD.
Budite kritični prema zahtjevima stručnjaka ako oni insistiraju na instaliranju sigurnosnog hardvera. Također imajte na umu da je korištenje kriptografskih alata prilično ozbiljan posao. Važno je razumjeti: Da li bi održavanje enkripcije i digitalnih potpisa ometalo osnovnu djelatnost vaše kompanije? Također imajte na umu da ne može i treba svaki zaposlenik biti uključen u šifriranje podataka.
Očistite sigurnost vaše klinike. Postavite režim koji će osigurati potreban nivo sigurnosti informacija, ali nemojte pretjerivati. Na primjer, ljudi ne bi trebali biti lišeni mogućnosti korištenja mobilnih telefona. Takođe je neprikladno zabraniti zaposlenima pristup e-pošti i Internetu u lične svrhe. Istovremeno, preporučljivo je regulirati proceduru uvođenja fleš diskova i vlastitih prijenosnih računala na teritoriju kompanije, ili koristiti funkciju onemogućavanja USB diskova koje administrator ne smije koristiti, a dostupna je u Secure Pack Rus.
Zahtijevajte od IT profesionalaca da sastave jasan plan rada za kreiranje i konfiguraciju sigurnosnog sistema. Tražite opravdanje za kupovinu dodatne sigurnosne opreme. Insistirajte na tome da sigurnosna postavka ne ometa osnovni rad sistema.
Pratiti implementaciju sigurnosnog plana.
Poslušajte mišljenja ljekara i zaposlenih – da li im sigurnosne mjere ometaju rad i glavne aktivnosti?
Održavati i pratiti bezbednosni status UP, kao i graditi lojalnost osoblja obezbeđenja.
Polako sa sigurnosnim inovacijama - zdrava konzervativnost će vam uštedjeti novac.

9. juna 2011. u 05:20

Praksa zaštite ličnih podataka

Sigurnost informacija

Lokalni GIS NSD

SZI NSD je skraćenica za sredstvo zaštite informacija od neovlaštenog pristupa. Koriste se za sprječavanje neovlaštenih radnji korisnika koji imaju pristup ISPD radnim stanicama. Uključuje mehanizme kao što je kontrola opterećenja od prenosivi medij(CD/DVD-diskovi, fleš diskovi), kontrola uređaja (kako ne bi bilo moguće spojiti lijevi fleš disk i isprazniti informacije), implementacija obavezne kontrole pristupa (ISPDN nije potreban). Dat ću samo one alate sa kojima sam lično radio:
1) Tajna mreža. Može se isporučiti sa ili bez ploče za kontrolu opterećenja. Radi preko secpol.msc, tako da možda neće raditi na Home verzijama (ne radi na Windows XP Home sigurno, da, nisam još testirao Vistu i Windows 7). Prilično jednostavan za rukovanje, ima najbolji mehanizam za kontrolu uređaja ikada viđen. Postoji mrežna verzija dizajnirana za integraciju u strukturu domena.
2) Guardian NT. Najbolji mehanizam obavezna kontrola pristupa. U radu je teže (zbog činjenice da se neki od zaštitnih mehanizama ne mogu isključiti). Mrežna verzija br.
3) Dallas Lock. Gubi se u svim parametrima o kojima smo ranije govorili, osim mogućnosti normalnog postavljanja mrežne opcije u mreži bez domene.
Kao što naziv govori, ova sredstva se koriste lokalne mašine... Ovdje se nema šta dodati.

Zaštitni zidovi

Mislim da je svrha jasna. Osim toga, ako je jedan ISPD firewall podijeljen na dva dijela, onda je to moguće sa potpuno desno nazovite ih dva različita ISPD-a. Za što? Ako spadate u prvu klasu upravo po broju obrađenih subjekata ličnih podataka, onda ćete dijeljenjem ISPD-a na dva dijela smanjiti broj subjekata obrađenih u svakom ISPD-u i dobiti ne K1, već K2. Trenutno postoji nekoliko certificiranih zaštitnih zidova na tržištu:
1) VipNet Personal Firewall. Samo lični zaštitni zid, bez fensi stvari. Upravlja se samo lokalno. Ne postoji centralizovan mehanizam upravljanja. Za pokretanje potrebna je lozinka, ako je ne unesete, neće se pokrenuti.
2) VipNet Office Firewall. Isto, ali podržava više mrežne kartice, što vam omogućava da ga instalirate na gateway i koristite ga za segmentiranje ISPD-a.
3) SSPT-2. Kompleks hardvera i softvera radi na FreeBSD-u, ali niko vam neće dozvoliti da dođete do samog OS. Radi brzo, podržava filtriranje po mnogim parametrima. Ima jednu neprijatnu osobinu - pravila se primenjuju u top-down listi, a pravila koja se nalaze na vrhu imaju veći prioritet. To se ne odražava u dokumentaciji, to je otkriveno empirijski. Kontroliše se i sa lokalne konzole i preko web interfejsa.
4) APKSH "Kontinent". Općenito, ovo nije firewall, već kripto ruter, ali s ITU funkcijama. Arhitektonski sličan SSPT-2, ali nema kontrole sa lokalne konzole - samo preko posebne administratorske konzole. Štaviše, sa početno podešavanje morate odrediti interfejs na koji će biti povezan računar administratora.
Osim toga, "Sigurnosni kod" izdao je još dva proizvoda - ITU + HIPS "Security Studio Endpoint Protection»I Trust Access distribuirani firewall sistem koji kombinuje zaštitni zid i segmentaciju koristeći Kerberos autentifikaciju. Pošto nisam morao da radim sa ovim proizvodima, daću samo linkove do njihovih opisa:
TrustAccess
SSEP
Osim toga, certificirana je proizvodnja još jednog proizvoda, Stonegate Firewall / VPN. Proizvod finske kompanije Stonesoft. Također dolazi sa CryptoPRO modulom za šifriranje pričvršćenim na njega, što mu omogućava da se koristi kao certificirano VPN rješenje.

SKZI

Oni su također sredstva kriptografske zaštite. Osim već spomenutog Stonegate Firewall/VPN-a, postoje još dva VPN rješenja:
1) VipNet Custom. Reč je o kompleksu VipNet Administrator - programa za upravljanje, VipNet Coordinator - VPN servera sa ITU funkcijama i VipNet Client - VPN klijenta i ITU. Kontrolni program se koristi samo za generiranje ključeva i certifikata; postavkama zaštitnog zida može se upravljati samo lokalno. Samo ugrađeni RDP može pomoći u administraciji. To uključuje interni messenger i internu poštu. Jedina stvar koja se može smatrati vrlinom je da je čista. softversko rješenje, koji se lako integriše u postojeću infrastrukturu.
2) APKSH "Kontinent". U principu, o njemu sam već govorio. Dodaću samo ono što je unutra najnoviju verziju klijent ("Continent-AP") postoje funkcije firewall a postoji čak i Linux klijent. Upravljanje samim kripto gatewayima provodi se samo sa administratorske konzole, ali na daljinu. Karakteristike takođe uključuju činjenicu da početak podešavanja(odnosno, prijenos mrežne konfiguracije i ključeva na kripto gateway) se obavlja lokalno, tako što mu se sa svih strana šalje fleš disk potrebne informacije... Ako ste pogriješili prilikom kreiranja konfiguracije i već ste poslali kripto gateway na udaljena tačka- tada ga nećete moći daljinski pokupiti i popraviti nešto, morat ćete ponovo generirati konfiguraciju i nekako je prenijeti na udaljenu tačku.

U osnovi, ovdje Kratki opis sva mi poznata certificirana sredstva zaštite. nada, ove informacijeće biti od koristi zajednici.