19. siječnja 2009. 15:59

Andrej Ščerbakov

Nakon objave Uredbe Vlade Ruske Federacije br. 781 "O odobravanju Uredbe o osiguranju sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka" od 17. studenog 2007. i zajedničke naredbe Federalna služba za tehničku i izvoznu kontrolu, Federalna služba sigurnosti Ruske Federacije i Ministarstvo informacijske tehnologije i priopćenje Ruske Federacije od 13. veljače 2008. br. 55/86/20 "O odobrenju postupka za klasifikaciju informacijski sustavi osobni podaci "(u daljnjem tekstu "Postupak...") pred službama za razvoj i rad informacijskih sustava (IS) koje obrađuju osobne podatke postavila su se dva gotovo hamletova pitanja:

● kako klasificirati IP dizajniran za zaštitu osobnih podataka;

● kako odabrati alate za informacijsku sigurnost za zaštitu osobnih podataka u tim sustavima.

"Naredba..." kaže da se "provodi klasifikacija informacijskih sustava tijela državne uprave, općinska tijela, pravne i fizičke osobe koje organiziraju i (ili) provode obradu osobnih podataka, kao i određuju svrhu i sadržaj obrade osobnih podataka. To znači da ih osobni podaci (PD) klasificiraju vlasnik, što predstavlja ozbiljnu pomoć za objektivan odabir metoda i sredstava zaštite osobnih podataka te stvara objektivnu osnovu za dijalog s inspekcijskim tijelima o primjerenosti poduzetih mjera u organizaciji za zaštitu osobnih podataka.

Prilikom razvrstavanja IP-a namijenjenog obradi osobnih podataka u obzir se uzimaju sljedeći početni podaci:

● volumen obrađeni PD (broj subjekata čiji se osobni podaci obrađuju u IS-u);

● sigurnosne karakteristike osobnih podataka koji se obrađuju u IS-u koje postavlja vlasnik informacijskog sustava;

● struktura informacijskog sustava;

● dostupnost IS veza na komunikacijske mreže uobičajena upotreba i/ili mreže međunarodnih razmjena informacija;

● način obrade PD;

● način diferenciranja prava pristupa za korisnike informacijskog sustava;

● mjesto tehnička sredstva IP.

Prije svega ćemo utvrditi što se odnosi na osobne podatke. To su informacije drugačije prirode o određenim pojedincima. Imajte na umu da govorimo samo o informacijama u elektronički oblik, unose, pohranjuju, obrađuju i prenose u informacijskom sustavu. Ove informacije podijeljene su u četiri glavne kategorije:

Primjerice, prezime zasebno je podatak 4. kategorije, kombinacija prezimena i adrese je treća, prezime, adresa, broj osiguranja i kartice je druga, a ako se tim podacima doda i elektronički zdravstveni karton, tada dobiveni osobni podaci pripadaju isključivo prvoj kategoriji.

Na temelju ove klasifikacije može se konstatirati da su svi medicinski podaci, kao i kadrovska evidencija koja sadrži stupac "nacionalnost" (a takvi su gotovo svi valjani upitnici i osobni listovi trenutno u upotrebi) moraju se odnositi na prvu kategoriju. Također je jasno da su dijelovi osobnih podataka gotovo uvijek niže kategorije od njihovog skupa. Čak detaljima o zdravstvenom stanju pojedinca može biti besmisleno ako je nepoznato njegovo prezime ili drugi podaci, što te podatke nedvosmisleno veže za pacijenta.

Volumen obrađene PD može imati sljedeće vrijednosti:

1 - IS istovremeno obrađuje osobne podatke više od 100.000 subjekata ili osobne podatke subjekata unutar regije Ruske Federacije, ili Ruska Federacija općenito; ·

2 - IS istovremeno obrađuje osobne podatke od 1000 do 100 000 subjekata ili osobne podatke subjekata koji rade u gospodarstvu Ruske Federacije, u državnom tijelu sa sjedištem u općini;

3 - IS istovremeno obrađuje podatke manje od 1000 subjekata ili osobne podatke subjekata određene organizacije.

Prema sigurnosnim karakteristikama PD obrađenih u informacijskom sustavu, IS se dijele na standardne i posebne. Prvi su informacijski sustavi u kojima samo povjerljivost osobni podaci.

Obilježje "povjerljivosti" znači da samo onaj kome su namijenjene može rukovati (unositi, pohraniti, obraditi i prenijeti) PD u elektroničkom obliku. Kako bi se osigurala povjerljivost prilikom prijenosa osobnih podataka preko mreža, uključujući internet, mora se koristiti šifriranje podataka.

Posebni informacijski sustavi su takvi IS-ovi u kojima je, bez obzira na potrebu osiguranja povjerljivosti PD-a, potrebno osigurati barem jednu od sigurnosnih karakteristika osobnih podataka, osim povjerljivosti (na primjer, integritet ili dostupnost). Karakteristika "integritet" znači da se osobne podatke treba mijenjati samo na propisan način, na primjer, samo ovlašteni liječnik može vršiti izmjene u elektroničkom medicinskom kartonu, au svim drugim slučajevima podaci u medicinskom kartonu ne bi se trebali mijenjati. . Prilikom prijenosa preko mreža, integritet je osiguran korištenjem elektroničkih digitalni potpis.

Karakteristika "dostupnost" znači da se rad s PD-om treba osigurati za zadanu količinu podataka i korisnika u skladu s utvrđenim vremenskim propisima. Drugim riječima, "dostupnost" je još jedna formulacija pouzdanosti sustava. Napominjemo i da je pričanje o dostupnosti u otvorenim mrežama praktički besmisleno – niti jedan pružatelj usluga neće osigurati zajamčen pristup podacima niti njihov neprekinuti prijenos.

Posebni informacijski sustavi uključuju:

● IS, u kojem se obrađuju osobni podaci o zdravstvenom stanju ispitanika; ·

● IP koji predviđa donošenje na temelju isključivo automatizirane obrade osobnih podataka odluka koje stvaraju pravne posljedice u odnosu na subjekta ili na drugi način utječu na njegova prava i legitimne interese.

Po strukturi, informacijski sustavi za obradu PD dijele se:

● na samostalan (nije povezan s drugim IS-om), namijenjen za obradu osobnih podataka (automatizirane radne stanice); ·

● za komplekse automatiziranih radnih stanica, ujedinjenih u jedinstveni IS komunikacijskim sredstvima bez uporabe tehnologije daljinski pristup(lokalni informacijski sustavi); ·

● na kompleksima automatiziranih radnih stanica i (ili) lokalnih IS-ova, ujedinjenih u jedinstveni informacijski sustav komunikacijskim sredstvima pomoću tehnologije daljinskog pristupa (distribuirani informacijski sustavi).

Prema prisutnosti veza na javne komunikacijske mreže i (ili) međunarodnu razmjenu informacija, IS-ovi se dijele na sustave koji imaju veze koje nemaju veze.

Na temelju činjenice da je obvezno osigurati povjerljivost podataka, moguće je razlikovati potrebnih elemenata informacijski sustav za obradu osobnih podataka.

Prije svega, informacijski sustav je dužan identificirati korisnike i moći uspostaviti pojedinačna ovlaštenja za pristup korisnika PD-u, odnosno imati identifikacijske i autentifikacijske sustave i kontrolu pristupa.

Drugo, potrebno je osigurati zaštitu osobnih podataka koji se mogu otuđiti iz sustava. Na primjer, trebali biste kontrolirati prijenos informacija na prijenosni medij. Vrlo je vjerojatno da je u nekim slučajevima potrebno uzeti u obzir mogućnost krađe i gubitka (gubitka) računalna tehnologija s osobnim podacima. U tom slučaju, šifriranje PD-a pohranjenog na računalnim medijima također je obvezno.

Ako sustav ima veze na otvorene mreže ili predviđa razmjenu podataka, obvezna je uporaba enkripcije podataka i elektroničkih digitalnih potpisa, kao i zaštita od napada od strane vanjske mreže uključujući antivirusnu zaštitu.

Za šifriranje i Elektronički potpis koriste se ključevi i certifikati koje generiraju sami korisnici i koji su registrirani u tzv. certifikacijskim centrima.

Vrlo važna točka- evidentiranje radnji kod PD-a, što s jedne strane omogućuje identificiranje odgovornih za njihovo curenje, as druge strane stvara psihološku motivaciju za ispravan rad sa njima.

Informacijski sustav za obradu PD može se dodijeliti jednom od sljedećih klasa:

● klasa 1 (K1) - IS, za koje kršenje navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju može dovesti do značajnih negativnih posljedica za subjekte osobnih podataka;

● klasa 2 (K2) - IS, za koje kršenje navedenih sigurnosnih karakteristika PD-a obrađenih u njima može dovesti do negativnih posljedica za subjekte osobnih podataka;

● klasa 3 (K3) - IS, za koje kršenje navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju može dovesti do manjih negativnih posljedica za subjekte osobnih podataka;

● klasa 4 (K4) – IS, za koje kršenje navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju ne dovodi do negativnih posljedica za subjekte osobnih podataka.

Stol 1.

	IP klasa ovisno o obujmu obrađene PD

Prvo, iz "Naredbe ..." slijedi postojanje kategorije osobni podaci. Logično je za implementaciju agregacija baze podataka u IS-u koje sadrže PD na dijelove koji se ne preklapaju koji sadrže podatke različitih kategorija. Također, IC za obradu PD mora biti podijeljena na obrise koji sadrži podatke samo jedne kategorije. To je sasvim moguće učiniti, budući da pojedinci nedvojbeno se identificiraju brojem putovnice ili TIN-a ili brojem police zdravstvenog osiguranja, što omogućuje nedvosmisleno indeksiranje medicinskih baza podataka i drugih nizova. Dakle, potrebno je slijediti načelo da je u svakom krugu IS-a za obradu osobnih podataka potrebno koristiti certificirani proizvodi iste klase, a konture bi trebale biti izolirani odvojeno.

Može se ustvrditi da će većina informacijskih sustava za obradu PD (osobito u medicinske svrhe) biti poseban, odnosno u njima je potrebno osigurati ne samo povjerljivost, već i integritet bez greške i druge karakteristike sigurnosti i pouzdanosti.

Kada distribuiran IP za obradu osobnih podataka, čak i ako je potrebno dati samo povjerljivost u skladu s "Postupkom..." imperativno je potrebno zaštita prenesenih i pohranjenih PD-a... Ovo je u potpunosti u skladu s trenutnim zahtjevima Federalne službe sigurnosti Ruske Federacije za automatizirane IC-ove dizajnirane za zaštitu povjerljive informacije, nije komponenta državne tajne, naime, odredba da „sve povjerljive informacije koje se prenose komunikacijskim kanalima moraju biti zaštićene; informacije koje se prenose komunikacijskim kanalima moraju biti šifrirane pomoću sredstava kriptografska zaštita informacije (CIPF) ili sigurni komunikacijski kanali moraju se koristiti za njihov prijenos. Mora se provoditi zaštita podataka snimljenih na otuđivim medijima."

Posljednji zahtjev nedvojbeno je primjenjiv za izolirane PD IS-ove koji nemaju kanale za prijenos PD-a, odnosno za pojedinačna radna mjesta koja obrađuju osobne podatke.

To znači da za obradu osobnih podataka IP mora biti certificiran u klasi koja nije niža od AK2 u klasifikaciji FSB-a Ruske Federacije. Na primjer, ova klasa odgovara zaštićenom sustavu Windows XP sa Secure Pack Rus. Sastav sredstava zaštite trebao bi uključivati ​​sredstva kriptografske zaštite informacija (CIP) klase koja nije niža od KC2.

Na temelju toga, za bilo koji PD IS koji obrađuje PD kategorija iznad 4. (kojoj će se svakako pripisati svi medicinski sustavi obrade PD) bit će potrebno izvršiti svi zahtjevi klase AK2 u klasifikaciji FSB RF.

Iz arhitekture IS PD s dovoljno veliki broj obrađen PD (indikator 1 ili 2), serverska komponenta će svakako biti istaknuta, koja će također zahtijevati zaštitu. U tom slučaju, zaštita svih povjerljivih informacija pohranjenih na magnetski mediji radne stanice i poslužitelji koji zadovoljavaju zahtjeve klase AK3.

Dakle, možemo ponuditi dobro utemeljenu strategiju zaštite osobnih podataka koja se sastoji u tome da tabela. 1 popunjava se kako slijedi (vidi tablicu 2).

Tablica 2.

	IP klasa ovisno o obujmu obrađene PD
	Ne niže od AK3	Ne niže od AK3	Ne niže od AK3

Bilješka. "-" - znači da nema zahtjeva.

Dakle, za zaštitu PD prve kategorije, koja uključuje sve medicinske podatke, potrebno je koristiti zaštitna sredstva klasa ne nižih od AK3 i sredstva kriptografske zaštite klasa ne niže od KC3.

Za praktično opremanje IP zaštitnim sredstvima moguće je preporučiti proizvode posebno prilagođene za zaštitu osobnih podataka i koji imaju potrebne dozvole(potvrde i zaključci). To su prije svega Secure Pack Rus i alati za kriptografsku zaštitu obitelji CryptoPro.

Pokušajmo sada procijeniti troškove opremanja jednog radnog mjesta za obradu PD. Bez popusta, cijena paketa Secure Pack Rus je cca 2000 RUB, dok je CryptoPro obitelj alata za kriptografsku zaštitu već uključena u ovaj paket. Nadalje, radi zaštite osobnih podataka pohranjenih na računalu, preporučljivo je kupiti jedan od CryptoPro EFS paketa za zaštitu podataka, Secure Pack Explorer ili Crypto Explorer. Cijena svakog od ovih proizvoda kreće se od 600 do 1000 rubalja. Ukupna zaštita jednog radnog mjesta, bez instalacije i konfiguracije, koštat će oko 3000 rubalja, a instalacija i prilagodba programa tradicionalno će dodati 10-15% na cijenu

Uvjetno je moguće izdvojiti “mističnih deset koraka na putu” do sigurnog sustava za obradu PD-a.

1. Odredite elemente svog IP-a koje je potrebno prvo zaštititi. Najprije saznajte koje osobne podatke treba zaštititi i gdje se trenutno nalaze na vašem sustavu. Zatim provjerite jesu li radna mjesta svih zaposlenika, bez iznimke, doista potrebna zaštita podataka. Možda bi bilo lakše istaknuti odvojena računala raditi s osobne informacije koje treba posebno pouzdano zaštititi? Zapamtite da računalo spojeno na Internet nije najbolje mjesto za pohranu PD-a!

2. Ocijenite Trenutna država sigurnost informacija. Koliko je to zadovoljavajuće? Ako je moguće, potrošite vanjska revizija sigurnost vašeg sustava. Klasificirajte svoj IP prema gornjim smjernicama. Usporedite svoje nalaze s onima eksterne revizije.

3. Odredite tko je u zadano vrijeme odgovoran je za osiguranje IP zaštite. Može li se suziti krug osoba o kojima ovisi pouzdanost ove zaštite? Pritom zapamtite - sigurnost ne može ovisiti o jednoj osobi! Svakako imenujte revizore, na primjer, glavni liječnik može nadzirati rad stručnjaka za popunjavanje i premještanje PD.

4. Budite kritični prema zahtjevima stručnjaka ako inzistiraju na instaliranju sigurnosnog hardvera. Također imajte na umu da korištenjem kriptografskim sredstvima- prilično ozbiljan posao. Važno je razumjeti: Bi li održavanje enkripcije i digitalnih potpisa ometalo osnovnu djelatnost vaše tvrtke? Također imajte na umu da ne može i treba svaki zaposlenik biti uključen u šifriranje podataka.

5. Očistite sigurnost svoje klinike. Postavite način rada koji će osigurati potrebnu razinu sigurnost informacija međutim, nemojte ići predaleko. Na primjer, ne možete lišiti ljude mogućnosti korištenja Mobiteli... Također je neprimjereno zabraniti zaposlenicima kontakt e-mail i internet za osobnu upotrebu. Pritom je preporučljivo regulirati postupak uvođenja flash diskova i vlastitih prijenosnih računala na teritorij tvrtke ili koristiti onaj koji je dostupan u Secure Packu Rus funkcija onemogućavanje USB pogona koje nije odobrio administrator

6. Zahtijevajte od IT stručnjaka da sastave jasan plan rada za stvaranje i konfiguraciju sigurnosnog sustava. Pitajte da opravdate potrebu za kupnjom dodatna sredstva osiguranje sigurnosti. Inzistirajte na tome da sigurnosna postavka ne ometa osnovni rad sustava.

7. Pratiti provedbu sigurnosnog plana.

8. Poslušajte mišljenja liječnika i djelatnika – ometaju li im sigurnosne mjere rad i glavne aktivnosti?

9. Održavati i pratiti sigurnosni status PD te graditi lojalnost zaštitarskog osoblja.

10. Opustite se sa sigurnosnim inovacijama - zdrava konzervativnost će vam uštedjeti novac.

Stambeno-komunalne službe, stambene zajednice i druga poduzeća dužni su čuvati prikupljene podatke od izmjene i otkrivanja. Usklađenost s regulatornim zahtjevima nadzire Roskomnadzor, Federalna služba za nadzor komunikacija, informacijskih tehnologija i masovne komunikacije, vođenje registra operatera osobnih podataka. Propisi FSTEC-a i FSB-a zahtijevaju od operatera da grade suvremeni sustav zaštita korištenjem antivirusna rješenja, vatrozidi, sustavi za sprječavanje upada, upravljanje korisničkim identitetom i kontrola pristupa, enkripcija, zaštita od curenja, sustavi upravljanja sigurnosnim događajima i drugi zaštitni mehanizmi navedeni u FSTEC dokumentu s uputama „O odobravanju sastava i sadržaja organizacijskih i tehničke mjere o osiguranju sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka "od 18. veljače 2013. N 21. Stambeno-komunalna poduzeća koriste informacijske sustave za rad sa stanovništvom, poduzećima, raznim institucijama i uslugama. Računovodstvo, upravljanje, porez također se vodi računovodstvo., kao iu drugim poduzećima, praktički se ne razlikuju od sličnih zadataka u drugim vrstama poduzeća.

Analizirajući izgradnju baza podataka koje se koriste za pohranu i obradu informacija u stambeno-komunalnim sustavima, ističu se dvije točke: temelj izgradnje i teritorijalni položaj. Najstariji i najčešće korišteni okvir baze podataka su dbf datoteke. Ali za današnji kompleks automatizirani sustavi nisu prikladni iz dva glavna razloga: ograničena količina zapisi u istoj tablici i nedostatak pouzdanosti.

Moderne baze podataka grade se na temelju klijenta - poslužiteljske tehnologije... Postoji razni sustavi upravljanje bazama podataka, koji imaju svoje prednosti i nedostatke. Svaki od njih koristi se u barem jednom sustavu dizajniranom za automatizaciju stambenih i komunalnih usluga. Najčešći je MS SQL 2000. Budući da je namijenjen popularnom operativnom sustavu osobnih računala- Windows. Sljedeći po popularnosti je Interbase. Tu su i implementacije baze podataka stambeno-komunalnih usluga pod kontrolom Oraclea, jednog od najnaprednijih, ali skupih i glomaznih sustava za upravljanje bazama podataka.

Također treba napomenuti da postoji tendencija da dobavljači sustava za upravljanje bazama podataka šire svoje softverskih proizvoda- rečenica besplatne verzije uz određena ograničenja, koja odgovaraju malim i nebogatim korisnicima, uključujući stambene urede i mjesta za primanje plaćanja. Primjer takvih sustava su MSDE 2000, MSDE 2005 Microsoft Corporation.

Najosnovnija topologija baze podataka je gdje se sve informacije nalaze na jednom poslužitelju. Klijenti se povezuju putem udaljene linije i rješavaju svoje trenutne zadatke.

Druga opcija implementacije je distribuirana baza podaci o svim ili dijelom sudionika u stambeno-komunalnim djelatnostima. Nedostatak je potreba za sinkronizacijom podataka.

Sinkronizacija podataka je u tijeku različiti putevi... Najčešći je izvoz/uvoz. Podaci na prijevozniku ili e-mailom prenose se između sudionika stambeno-komunalne djelatnosti. Pri tome, značajan utjecaj na performanse sustava ima ljudski faktor- sve se mora obaviti na vrijeme i vrlo pažljivo.

Druga razina sinkronizacije je razmjena podataka između modula sustava putem komunikacije udaljenih poslužitelja... Ova razmjena se poziva ili korisničkom naredbom ili prema određenom rasporedu. Sastoji se u tome da određeni postupak na jednom od povezani poslužitelji"čita sebi" ili "u njega upisuje" podatke potrebne za sinkronizaciju.

Konačno, najviše visoka razina- sinkronizacija baze podataka putem replikacije. Ovi alati omogućuju promjenu podataka s jedne i s druge strane komunikacijske linije. Prema navedenom rasporedu ili na naredbu korisnika, poslužitelji se povezuju i sinkroniziraju baze podataka.

Zaštita osobnih podataka može se osigurati samo u informacijskom sustavu gdje napadač ne može ometati njegov rad. osnovni elementi - mrežnih uređaja, operativni sustavi, aplikacije i DBMS.

Glavne prijetnje sigurnosti osobnih podataka, a to su uništavanje, izmjena, blokiranje, kopiranje, distribucija osobnih podataka, kao i druge neovlaštene radnje tijekom njihove obrade u informacijskom sustavu. Do curenja informacija može doći zbog virusa, zlonamjernog softvera, mrežni napadi... Za zaštitu se koriste antivirusni programi, vatrozidovi i sustavi za sprječavanje upada (IPS) (služe za otkrivanje znakova napada u prolaznom prometu i blokiraju otkriveni najpopularniji napad. Za razliku od gateway antivirusa, IPS analizira ne samo sadržaj IP paketa, ali i korišteni protokoli i ispravnost njihove uporabe.), skeneri ranjivosti (Provjeravaju informacijski sustav na prisutnost raznih "praznina" u operativni sustavi i softver... U pravilu jest individualni programi ili uređaja koji testiraju sustav slanjem posebni zahtjevi koji simuliraju napad na protokol ili aplikaciju.). Skup alata za zaštitu povjerljivih podataka od curenja sastoji se od tri proizvoda: kontrolnih sustava perifernih uređaja, sprječavanje curenja podataka (DLP) i enkripcija za potpuna sigurnost smisleno je kombinirati sve tri vrste hrane. Uz pomoć tih sredstava, stambeno-komunalne usluge i druga društva za upravljanje mogu zadovoljiti FSTEC zahtjevi o zaštiti osobnih podataka.

Kontrola nad uređajima. Do curenja podataka često dolazi putem prijenosnih medija i neovlaštenih kanala komunikacija: flash memorija, USB diskovi, Bluetooth ili Wi-Fi, dakle kontrola korištenja USB portova i dr periferna oprema je također jedan od načina kontrole curenja.

DLP. Sustavi zaštite od curenja omogućuju korištenje posebnih algoritama za odvajanje povjerljivih podataka iz toka podataka i blokiranje njihovog neovlaštenog prijenosa. DLP sustavi pružaju mehanizme za kontrolu različitih kanala prijenosa informacija: e-pošte, brzo slanje poruka, Web pošta, ispis na pisač, spremanje na izmjenjivi disk i dr. Štoviše, DLP moduli blokiraju curenje samo povjerljivih podataka, budući da imaju ugrađene mehanizme za određivanje koliko su ove ili one informacije tajne.

Šifriranje. Zaštita podataka od curenja na ovaj ili onaj način koristi mehanizme enkripcije, a ovu industriju oduvijek kontrolira FSB, a sve zahtjeve za certifikaciju sustava za šifriranje objavljuje i verificira ovaj odjel. Treba napomenuti da je potrebno šifrirati ne samo same baze osobnih podataka, već i njihov prijenos preko mreže, kao i sigurnosne kopije baze podataka. Šifriranje se također koristi prilikom prijenosa osobnih podataka preko mreže na distribuirani sustav... U tu svrhu moguće je koristiti proizvode klase VPN koje nude različiti programeri, a koji se u pravilu temelje na enkripciji, međutim slični sustavi moraju biti certificirani i usko integrirani s bazama podataka u kojima se pohranjuju osobni podaci.

Treba napomenuti da je u statutu FSTEC-a podjela na male, srednje i distribuirane baze podataka čiji su zahtjevi za zaštitu vrlo različiti. Dakle, za zaštitu distribuiranih baza podataka, u pravilu, trebate dodatni alati zaštita, što je i razumljivo - distribuirana baza mora imati komunikacijske kanale između svojih dijelova, koji također moraju biti zaštićeni

U informacijskom sustavu stambeno-komunalnih usluga glavni problem jer vođa je ispravna organizacija pristup zaposlenika raznim resursima – od ispravna postavka prava pristupa često ovise o sigurnosti povjerljivih podataka, pa bi sustav upravljanja pravima pristupa trebao biti uključen u sustav zaštite velikog informacijskog sustava. Sustav blokira pokušaje promjene prava pristupa bez dopuštenja sigurnosnog operatera, što pruža zaštitu od lokalnih operatera.

Veliki obrambeni sustav može generirati mnoge poruke o potencijalnim napadima, koji su samo potencijalno sposobni dovesti do implementacije određene prijetnje. Često su te poruke samo upozorenja, ali sigurnosni operateri veliki sustav mora postojati alat koji bi im omogućio da shvate bit onoga što se događa. Sustav korelacije događaja može postati takav alat za analizu, koji omogućuje povezivanje nekoliko poruka sa zaštitnih uređaja u jedan lanac događaja i sveobuhvatnu procjenu opasnosti cijelog lanca. To skreće pozornost sigurnosnih operatera na najopasnije događaje.

Sustavi centralizirano upravljanje zaštitni mehanizmi omogućuju potpunu kontrolu svih događaja vezanih za sigurnost informacijskog sustava. Proizvodi na ovoj razini mogu otkriti, upravljati i izvještavati o sigurnosnim mehanizmima instaliranim u poduzeću. Ti isti proizvodi mogu najviše automatizirati jednostavni problemi ili pomoći administratorima da brzo razumiju složene napade.

Sva tri gore navedena proizvoda nisu potrebna za zaštitu velikih informacijskih sustava, ali vam omogućuju automatizaciju većine zadataka koje rješavaju sigurnosni operateri te minimiziraju broj zaposlenika potrebnih za zaštitu velikog sustava, poput informacijskog sustava stanovanja i komunalne usluge.

Odgovornost za kršenje zahtjeva za zaštitu osobnih podataka

Osobe krive za kršenje zahtjeva Zakona o osobnim podacima odgovorne su prema zakonodavstvu Ruske Federacije (na primjer, građanskopravna, kaznena, administrativna, disciplinska). Na to ukazuje stavak 1. članka 24. Zakona o osobnim podacima.

Na trenutno administrativnu odgovornost operatera (osim osoba za koje je obrada osobnih podataka profesionalne djelatnosti i podliježe licenciranju) predviđa:

· Za nezakonito odbijanje pružanja informacija građaninu i (ili) organizaciji čije je pružanje propisano saveznim zakonima, nepravodobno davanje ili davanje namjerno netočnih informacija (članak 5.39. Zakona o upravnim prekršajima Ruske Federacije). Iznimka od ovog pravila su slučajevi predviđeni člankom 7.23.1 Administrativnog zakona Ruske Federacije;

· Za kršenje zahtjeva zakona o otkrivanju informacija od strane organizacija koje obavljaju djelatnosti u području upravljanja višestambenim zgradama (članak 7.23.1. Zakona o upravnim prekršajima Ruske Federacije);

· za prekršaj utvrđeno zakonom postupak prikupljanja, pohrane, korištenja ili distribucije osobnih podataka (članak 13.11. Administrativnog zakona Ruske Federacije);

· Za otkrivanje informacija čiji je pristup ograničen saveznim zakonom (osim u slučajevima kada njihovo otkrivanje povlači kaznenu odgovornost), od strane osobe koja im je pristupila u vezi s obavljanjem službenih ili profesionalnih dužnosti (članak 13.14. Zakon o upravnim prekršajima Ruske Federacije).

Krivična djela za koja povlači kaznena odgovornost su:

Nezakonito prikupljanje ili distribucija informacija o privatnost osobe koje čine njegovu osobnu ili obiteljsku tajnu, bez njegovog pristanka ili širenja tih podataka u javnom govoru, javno izloženom djelu ili sredstvima masovni mediji(članak 137. Kaznenog zakona Ruske Federacije);

Protupravno odbijanje službeno u pružanju prikupljenih u uspostavljeni red dokumente i materijale koji izravno utječu na prava i slobode građana, ili daju građaninu nepotpune ili svjesne lažne informacije ako su ta djela prouzročila štetu pravima i legitimnim interesima građana (članak 140. Kaznenog zakona Ruske Federacije);

Nezakonit pristup pravno zaštićenom računalne informacije ako je ovaj čin podrazumijevao uništavanje, blokiranje, izmjenu ili kopiranje informacija (članak 272. Kaznenog zakona Ruske Federacije)

Nakon objave Uredbe Vlade Ruske Federacije br. 781 "O odobravanju Uredbe o osiguranju sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka" od 17. studenog 2007. i zajedničkog naloga Federalnog saveza Služba za tehničku i izvoznu kontrolu, Federalna služba sigurnosti Ruske Federacije i Ministarstvo informacijskih tehnologija i komunikacija Ruske Federacije od 13. veljače 2008. br. 55/86/20 „O odobravanju postupka za klasifikaciju informacijskih sustava osobni podaci" (u daljnjem tekstu "Postupak...") dva gotovo hamletova pitanja:

• kako klasificirati IP namijenjen zaštiti osobnih podataka;
• kako odabrati alate za informacijsku sigurnost za zaštitu osobnih podataka u tim sustavima.

"Postupkom..." stoji da "razvrstavanje informacijskih sustava provode državna tijela, općinska tijela, pravne i fizičke osobe koje organiziraju i (ili) provode obradu osobnih podataka, kao i utvrđuju svrhu i sadržaj obrada osobnih podataka." To znači da ih osobni podaci (PD) klasificiraju vlasnik, što predstavlja ozbiljnu pomoć za objektivan odabir metoda i sredstava zaštite osobnih podataka te stvara objektivnu osnovu za dijalog s inspekcijskim tijelima o primjerenosti poduzetih mjera u organizaciji za zaštitu osobnih podataka.

Prilikom razvrstavanja IP-a namijenjenog obradi osobnih podataka u obzir se uzimaju sljedeći početni podaci:

• kategorija osobni podaci koji se obrađuju u informacijskom sustavu; ·
• volumen obrađeni PD (broj subjekata čiji se osobni podaci obrađuju u IS-u); ·
• sigurnosne karakteristike osobnih podataka koji se obrađuju u IS-u koje postavlja vlasnik informacijskog sustava; ·
• struktura informacijskog sustava; ·
• dostupnost IS veza na javne komunikacijske mreže i (ili) mreže međunarodne razmjene informacija; ·
• PD način obrade; ·
• način diferenciranja prava pristupa za korisnike informacijskog sustava; ·
• mjesto tehničkih sredstava IP.

Prije svega ćemo utvrditi što se odnosi na osobne podatke. To su informacije drugačije prirode o određenim pojedincima. Napominjemo da je riječ samo o informacijama u elektroničkom obliku, unesenim, pohranjenim, obrađenim i prenesenim u informacijskom sustavu. Ove informacije podijeljene su u četiri glavne kategorije:

• kategorija 1 - PD vezano uz rasu, nacionalnost, političke stavove, vjerska i filozofska uvjerenja, zdravstveno stanje, intimni život; ·
• kategorija 2 - PD, što vam omogućuje da identificirate subjekta osobnih podataka i saznate o njemu Dodatne informacije, s izuzetkom osobnih podataka koji pripadaju kategoriji 1; ·
• kategorija 3 - osobni podaci koji vam omogućuju identificiranje subjekta osobnih podataka; ·
• kategorija 4 - neosobna i (ili) javno dostupna PD.

Primjerice, prezime zasebno je podatak 4. kategorije, kombinacija prezimena i adrese je treća, prezime, adresa, broj osiguranja i kartice je druga, a ako se tim podacima doda i elektronički zdravstveni karton, tada dobiveni osobni podaci pripadaju isključivo prvoj kategoriji.

Na temelju ove klasifikacije može se ustvrditi da se svi medicinski podaci, kao i kadrovska evidencija koja sadrži stupac "nacionalnost" (a takvi su gotovo svi važeći upitnici i osobne evidencije o personalnoj evidenciji koja se trenutno koristi), moraju biti svrstani u prvi kategorija. Također je jasno da su dijelovi osobnih podataka gotovo uvijek niže kategorije od njihovog skupa. Čak i detaljni podaci o zdravlju pojedinca mogu biti besmisleni ako su nepoznati njegovo prezime ili drugi podaci, što te podatke nedvosmisleno veže za pacijenta.

Volumen obrađene PD može imati sljedeće vrijednosti:

1. - IS istovremeno obrađuje osobne podatke više od 100.000 subjekata ili osobne podatke subjekata unutar regije Ruske Federacije ili Ruske Federacije u cjelini; ·
2. - IS istovremeno obrađuje osobne podatke od 1000 do 100 000 subjekata ili osobne podatke subjekata koji rade u gospodarstvu Ruske Federacije, u državnom tijelu sa sjedištem u općini; ·
3. - IS istovremeno obrađuje podatke manje od 1000 subjekata ili osobne podatke subjekata određene organizacije.

Prema sigurnosnim karakteristikama PD obrađenih u informacijskom sustavu, IS se dijele na standardne i posebne. Prvi su informacijski sustavi u kojima samo povjerljivost osobni podaci.

Obilježje “povjerljivosti” znači da samo onaj kome su namijenjene može rukovati (unositi, pohraniti, obraditi i prenijeti) PD u elektroničkom obliku. Kako bi se osigurala povjerljivost prilikom prijenosa osobnih podataka preko mreža, uključujući internet, mora se koristiti šifriranje podataka.

Posebni informacijski sustavi su takvi IS-ovi u kojima je, bez obzira na potrebu osiguranja povjerljivosti PD-a, potrebno osigurati barem jednu od sigurnosnih karakteristika osobnih podataka, osim povjerljivosti (na primjer, integritet ili dostupnost). Karakteristika “integritet” znači da se osobne podatke treba mijenjati samo na propisan način, npr. samo ovlašteni liječnik može vršiti izmjene u elektroničkom medicinskom kartonu, au svim drugim slučajevima podaci u medicinskom kartonu ne smiju se mijenjati. . Prilikom prijenosa putem mreža, integritet se osigurava korištenjem elektroničkog digitalnog potpisa.

Karakteristika “dostupnost” znači da se rad s PD-om treba osigurati za zadanu količinu podataka i korisnika u skladu s utvrđenim vremenskim propisima. Drugim riječima, "dostupnost" je još jedna formulacija pouzdanosti sustava. Napominjemo i da je pričanje o dostupnosti u otvorenim mrežama praktički besmisleno – niti jedan pružatelj usluga neće osigurati zajamčen pristup podacima niti njihov neprekinuti prijenos.

Posebni informacijski sustavi uključuju:

• IS, u kojem se obrađuju osobni podaci koji se odnose na zdravstveno stanje ispitanika; ·
• IP, koji predviđa usvajanje na temelju isključivo automatizirana obrada osobne podatke odluka koje izazivaju pravne posljedice u odnosu na subjekta ili na drugi način utječu na njegova prava i legitimne interese.

Po strukturi, informacijski sustavi za obradu PD dijele se:

• za autonomne (nepovezane s drugim IS-ima), namijenjene obradi osobnih podataka (automatizirane radne stanice); ·
• za komplekse automatiziranih radnih stanica, ujedinjenih u jedinstveni IS komunikacijskim sredstvima bez korištenja tehnologije daljinskog pristupa (lokalni informacijski sustavi); ·
• na kompleksima automatiziranih radnih stanica i (ili) lokalnih IS-ova, ujedinjenih u jedinstveni informacijski sustav putem komunikacije pomoću tehnologije daljinskog pristupa (distribuirani informacijski sustavi).

Prema prisutnosti veza na javne komunikacijske mreže i (ili) međunarodnu razmjenu informacija, IS-ovi se dijele na sustave koji imaju veze koje nemaju veze.

Na temelju činjenice da je obvezno osigurati povjerljivost podataka, moguće je istaknuti potrebne elemente informacijskog sustava za obradu osobnih podataka.

Prije svega, informacijski sustav je dužan identificirati korisnike i moći uspostaviti pojedinačna ovlaštenja za pristup korisnika PD-u, odnosno imati identifikacijske i autentifikacijske sustave i kontrolu pristupa.

Drugo, potrebno je osigurati zaštitu osobnih podataka koji se mogu otuđiti iz sustava. Na primjer, trebali biste kontrolirati prijenos informacija na prijenosni medij... Vrlo je vjerojatno da je u nekim slučajevima potrebno uzeti u obzir mogućnost krađe i gubitka (gubitka) računalne opreme s osobnim podacima. U tom slučaju, šifriranje PD-a pohranjenog na računalnim medijima također je obvezno.

Ako sustav ima veze s otvorenim mrežama ili omogućuje razmjenu podataka, obvezna je uporaba enkripcije podataka i elektroničkih digitalnih potpisa, kao i zaštita od napada s vanjskih mreža, uključujući antivirusnu zaštitu.

Za enkripciju i elektronički potpis koriste se ključevi i certifikati koje generiraju sami korisnici, a registrirani su u tzv. certifikacijskim centrima.

Vrlo važna točka je registracija radnji s PD-om, koja, s jedne strane, omogućuje identificiranje odgovornih za njihovo curenje, a s druge strane stvara psihološku motivaciju za ispravan rad s njima.

Informacijski sustav za obradu PD može se dodijeliti jednom od sljedećih klasa:

• klasa 1 (K1) - IS, za koje kršenje zadane sigurnosne karakteristike osobnih podataka koji se u njima obrađuju može dovesti do značajnih negativnih posljedica za subjekte osobnih podataka; ·
• klasa 2 (K2) - IS, za koje kršenje navedenih sigurnosnih karakteristika PD-a obrađenih u njima može dovesti do negativnih posljedica za subjekte osobnih podataka; ·
• klasa 3 (K3) - IS, za koje kršenje navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju može dovesti do manjih negativnih posljedica za subjekte osobnih podataka; ·
• klasa 4 (K4) - IS, za koje povreda zadane sigurnosne karakteristike osobnih podataka koji se u njima obrađuju ne dovodi do negativnih posljedica za subjekte osobnih podataka.

stol 1

Kategorija

Prvo, iz "Naredbe ..." slijedi postojanje kategorije osobni podaci. Logično je za implementaciju agregacija baze podataka u IS-u koje sadrže PD na dijelove koji se ne preklapaju koji sadrže podatke različitih kategorija. Također, IC za obradu PD mora biti podijeljena na obrise koji sadrži podatke samo jedne kategorije. To je sasvim moguće učiniti, budući da se pojedinci nedvosmisleno identificiraju po putovnici ili TIN broju ili po broju police zdravstvenog osiguranja, što omogućuje nedvosmisleno indeksiranje medicinskih baza podataka i drugih nizova. Dakle, potrebno je slijediti načelo da je u svakom krugu IS-a za obradu osobnih podataka potrebno koristiti certificirani proizvodi iste klase, a konture bi trebale biti izolirani odvojeno.

Može se ustvrditi da će većina informacijskih sustava za obradu PD (osobito u medicinske svrhe) biti poseban, odnosno u njima je potrebno osigurati ne samo povjerljivost, već i integritet obvezne i druge karakteristike sigurnosti i pouzdanosti.

Kada distribuiran IP za obradu osobnih podataka, čak i ako je potrebno dati samo povjerljivost u skladu s "Postupkom ..." svakako će vam trebati zaštita prenesenih i pohranjenih PD-a... To je u potpunosti u skladu s trenutnim zahtjevima Federalne službe sigurnosti Ruske Federacije za automatizirane informacijske sustave dizajnirane za zaštitu povjerljivih informacija koje ne predstavljaju državnu tajnu, odnosno odredbu da „sve povjerljive informacije koje se prenose komunikacijskim kanalima moraju biti zaštićene; informacije koje se prenose komunikacijskim kanalima moraju biti šifrirane korištenjem kriptografske zaštite informacija (CIP), ili se za njihov prijenos moraju koristiti sigurni komunikacijski kanali. Mora se provoditi zaštita podataka snimljenih na otuđivim medijima.”

Posljednji zahtjev nedvojbeno je primjenjiv za izolirane PD IS-ove koji nemaju kanale za prijenos PD-a, odnosno za pojedinačna radna mjesta koja obrađuju osobne podatke.

To znači da za obradu osobnih podataka IP mora biti certificiran u klasi koja nije niža od AK2 u klasifikaciji FSB-a Ruske Federacije. Na primjer, ova klasa odgovara zaštićenom sustavu Windows XP sa Secure Pack Rus. Sastav sredstava zaštite trebao bi uključivati ​​sredstva kriptografske zaštite informacija (CIP) klase koja nije niža od KC2.

Na temelju toga, za bilo koji PD IS koji obrađuje PD kategorija iznad 4. (kojoj će se svakako pripisati svi medicinski sustavi obrade PD) bit će potrebno izvršiti svi zahtjevi klase AK2 u klasifikaciji FSB RF.

Iz arhitekture IS PD-a s dovoljno velikim brojem obrađenih PD-a (indikator 1 ili 2) sigurno će biti dodijeljena poslužiteljska komponenta, koja će također zahtijevati zaštitu. U tom slučaju moraju biti zaštićene sve povjerljive informacije pohranjene na magnetskim medijima radnih stanica i poslužitelja, što udovoljava zahtjevima klase AK3.

Dakle, možemo ponuditi dobro utemeljenu strategiju zaštite osobnih podataka koja se sastoji u tome da tabela. 1 popunjava se kako slijedi (vidi tablicu 2).

tablica 2

IP kategorija	IP klasa ovisno o obujmu obrađene PD
	Ne niže od AK3	Ne niže od AK3	Ne niže od AK3

Bilješka. “-” - znači da nema zahtjeva.

Dakle, za zaštitu PD prve kategorije, koja uključuje sve medicinske podatke, potrebno je koristiti zaštitna sredstva klasa ne nižih od AK3 i sredstva kriptografske zaštite klasa ne niže od KC3.

Za praktično opremanje IP zaštitnim sredstvima moguće je preporučiti proizvode posebno prilagođene za zaštitu osobnih podataka i posjedovanje potrebnih dozvola (certifikata i zaključaka). To su prije svega Secure Pack Rus i alati za kriptografsku zaštitu obitelji CryptoPro.

Pokušajmo sada procijeniti troškove opremanja jednog radnog mjesta za obradu PD. Bez popusta, cijena paketa Secure Pack Rus je cca 2000 RUB, dok je CryptoPro obitelj alata za kriptografsku zaštitu već uključena u ovaj paket. Nadalje, radi zaštite osobnih podataka pohranjenih na računalu, preporučljivo je kupiti jedan od CryptoPro EFS paketa za zaštitu podataka, Secure Pack Explorer ili "Crypto Explorer". Cijena svakog od ovih proizvoda kreće se od 600 do 1000 rubalja. Ukupna zaštita jednog radnog mjesta, bez instalacije i konfiguracije, koštat će oko 3000 rubalja, a instalacija i prilagodba programa tradicionalno će dodati 10-15% na cijenu

Uvjetno je moguće izdvojiti “mističnih deset koraka na putu” do sigurnog sustava za obradu PD-a.

1. Identificirajte elemente svoje IP adrese koje je potrebno prvo zaštititi. Najprije saznajte koje osobne podatke treba zaštititi i gdje se trenutno nalaze na vašem sustavu. Zatim provjerite jesu li radna mjesta svih zaposlenika, bez iznimke, doista potrebna zaštita podataka. Možda je lakše dodijeliti zasebna računala za rad s osobnim podacima koje je potrebno posebno pouzdano zaštititi? Zapamtite da računalo spojeno na Internet nije najbolje mjesto za pohranu PD-a!
2. Procijenite trenutno stanje informacijske sigurnosti. Koliko je to zadovoljavajuće? Ako je moguće, izvršite vanjsku sigurnosnu reviziju vašeg sustava. Klasificirajte svoj IP prema gornjim smjernicama. Usporedite svoje nalaze s onima eksterne revizije.
3. Odredite tko je trenutno odgovoran za provođenje IP-a. Može li se suziti krug osoba o kojima ovisi pouzdanost ove zaštite? Pritom zapamtite - sigurnost ne može ovisiti o jednoj osobi! Svakako imenujte revizore, na primjer, glavni liječnik može nadzirati rad stručnjaka za popunjavanje i premještanje PD.
4. Budite kritični prema zahtjevima stručnjaka ako inzistiraju na instaliranju sigurnosnog hardvera. Također imajte na umu da je korištenje kriptografskih alata prilično ozbiljan posao. Važno je razumjeti: Bi li održavanje enkripcije i digitalnih potpisa ometalo osnovnu djelatnost vaše tvrtke? Također imajte na umu da ne može i treba svaki zaposlenik biti uključen u šifriranje podataka.
5. Očistite sigurnost svoje klinike. Postavite režim koji će osigurati potrebnu razinu informacijske sigurnosti, ali nemojte pretjerivati. Na primjer, ljudima ne bi trebalo uskratiti mogućnost korištenja mobitela. Također je neprikladno zabraniti zaposlenicima pristup e-pošti i internetu u osobne svrhe. Istodobno, preporučljivo je regulirati postupak uvođenja flash diskova i vlastitih prijenosnih računala na teritorij tvrtke ili koristiti funkciju onemogućavanja USB pogona koja nije dopuštena administratoru, dostupnu u Secure Pack Rus.
6. Zahtijevajte od IT stručnjaka da sastave jasan plan rada za stvaranje i konfiguriranje sigurnosnog sustava. Zatražite obrazloženje za kupnju dodatne sigurnosne opreme. Inzistirajte na tome da sigurnosna postavka ne ometa osnovni rad sustava.
7. Pratiti provedbu sigurnosnog plana.
8. Poslušajte mišljenja liječnika i djelatnika – ometaju li im sigurnosne mjere rad i glavne aktivnosti?
9. Održavati i pratiti sigurnosni status PD, kao i graditi lojalnost zaštitarskog osoblja.
10. Polako sa sigurnosnim inovacijama - zdrava konzervativnost će vam uštedjeti novac.

9. lipnja 2011. u 05:20 sati

Praksa zaštite osobnih podataka

• Sigurnost informacija

Lokalni GIS NSD

SZI NSD je kratica za sredstvo zaštite informacija od neovlaštenog pristupa. Koriste se za sprječavanje neovlaštenih radnji korisnika koji imaju pristup ISPD radnim stanicama. Uključuje mehanizme kao što je kontrola opterećenja od prijenosni medij(CD/DVD-diskovi, flash pogoni), upravljanje uređajem (kako ne bi bilo moguće spojiti lijevi flash pogon i isprazniti podatke), provedbu obvezne kontrole pristupa (ISPDN nije potreban). Dat ću samo one alate s kojima sam osobno radio:
1) Tajna mreža. Može se isporučiti sa ili bez ploče za kontrolu opterećenja. Radi preko secpol.msc, tako da možda neće raditi na Home verzijama (na Windows XP Home sigurno ne radi, a Vistu i Windows 7 još nisam testirao). Prilično jednostavan za rukovanje, ima najbolji mehanizam za upravljanje uređajem ikada viđen. Postoji mrežna verzija dizajnirana za integraciju u strukturu domene.
2) Čuvar NT. Najbolji mehanizam obavezna kontrola pristupa. U radu je teže (zbog činjenice da se neki od zaštitnih mehanizama ne mogu isključiti). Mrežna verzija Ne.
3) Dallas Lock. Gubi se u svim parametrima o kojima smo ranije govorili, osim mogućnosti normalnog postavljanja mrežne opcije u mreži bez domene.
Kao što naziv govori, na ova sredstva se koriste lokalni strojevi... Ovdje se nema što dodati.

Vatrozidi

Svrha je, mislim, jasna. Osim toga, ako je jedan ISPD vatrozidom podijeljen na dva dijela, onda je moguće s potpuno pravo nazovite ih dva različita ISPD-a. Za što? Ako spadate u prvi razred upravo po broju obrađenih subjekata osobnih podataka, tada ćete dijeljenjem ISPD-a na dva dijela smanjiti broj obrađenih subjekata u svakom ISPD-u i dobiti ne K1, već K2. Na tržištu sada postoji nekoliko certificiranih vatrozida:
1) VipNet osobni vatrozid. Samo osobni vatrozid, bez otmjenih stvari. Upravlja se samo lokalno. Ne postoji centralizirani mehanizam upravljanja. Za pokretanje potrebna je lozinka, ako je ne unesete, neće se pokrenuti.
2) VipNet Office Firewall. Isto, ali podržava više mrežne kartice, što vam omogućuje da ga instalirate na gateway i koristite ga za segmentiranje ISPD-a.
3) SSPT-2. Kompleks hardvera i softvera radi na FreeBSD-u, ali nitko vam neće dopustiti da dođete do samog OS-a. Radi brzo, podržava filtriranje po mnogim parametrima. Ima neugodnu značajku - pravila se primjenjuju na popisu odozgo prema dolje, a pravila koja se nalaze na vrhu imaju veći prioritet. To se ne odražava u dokumentaciji, otkriveno je empirijski. Upravlja se i s lokalne konzole i preko web sučelja.
4) APKSH "Kontinent". Općenito, ovo nije vatrozid, već kripto usmjerivač, ali s ITU funkcijama. Arhitektonski sličan SSPT-2, ali nema kontrole s lokalne konzole - samo preko posebne administratorske konzole. Štoviše, sa početno postavljanje morate odrediti sučelje na koje će se povezati administratorsko računalo.
Osim toga, "Sigurnosni kod" objavio je još dva proizvoda - ITU + HIPS "Security Studio Zaštita krajnje točke»I sustav distribuiranog vatrozida Trust Access koji kombinira vatrozid i segmentaciju pomoću Kerberos provjere autentičnosti. Budući da nisam morao raditi s ovim proizvodima, dat ću samo linkove na njihove opise:
TrustAccess
SSEP
Osim toga, certificirana je proizvodnja još jednog proizvoda, Stonegate Firewall / VPN. Proizvod finske tvrtke Stonesoft. Također dolazi s CryptoPRO enkripcijskim modulom pričvršćenim na njega, što mu omogućuje da se koristi kao certificirano VPN rješenje.

SKZI

Oni su također sredstva kriptografske zaštite. Osim već spomenutog Stonegate Firewall / VPN-a, postoje još dva VPN rješenja:
1) VipNet Custom. Riječ je o kompleksu VipNet Administrator - program za upravljanje, VipNet Coordinator - VPN poslužitelj s ITU funkcijama, te VipNet Client - VPN klijent i ITU. Kontrolni program koristi se samo za generiranje ključeva i certifikata; postavkama vatrozida može se upravljati samo lokalno. Samo ugrađeni RDP može pomoći u administraciji. To uključuje interni glasnik i internu poštu. Jedina stvar koja se može smatrati vrlinom je da je čista. softversko rješenje, koji se lako može integrirati u postojeću infrastrukturu.
2) APKSH "Kontinent". U principu, o njemu sam već govorio. Dodat ću samo ono što je unutra Najnovija verzija klijent ("Kontinent-AP") postoje funkcije vatrozida a postoji čak i Linux klijent. Upravljanje samim kripto pristupnicima provodi se samo s administratorske konzole, ali na daljinu. Značajke također uključuju činjenicu da započeti postavljanje(tj. prijenos mrežne konfiguracije i ključeva na kripto gateway) se izvodi lokalno, tako što se u njega unosi flash disk sa svih strana potrebne informacije... Ako ste pogriješili prilikom izrade konfiguracije i već ste poslali kripto pristupnik na udaljena točka- tada ga nećete moći daljinski pokupiti i popraviti nešto, morat ćete ponovno generirati konfiguraciju i nekako je prenijeti na udaljenu točku.

Uglavnom, ovdje Kratki opis sva meni poznata certificirana sredstva zaštite. Nada, ova informacija bit će od koristi zajednici.