I servizi abitativi e comunali, le associazioni abitative e altre società sono obbligate a proteggere le informazioni raccolte dalla modifica e dalla divulgazione. La conformità ai requisiti normativi è monitorata dal Roskomnadzor, il Servizio federale per la supervisione delle comunicazioni, della tecnologia dell'informazione e comunicazioni di massa, tenendo il registro degli operatori di dati personali. Gli statuti di FSTEC e FSB richiedono agli operatori di costruire un moderno sistema di protezione utilizzando soluzioni antivirus, firewall, sistemi di prevenzione delle intrusioni, gestione dell'identificazione degli utenti e controllo degli accessi, crittografia, protezione contro le perdite, un sistema di gestione degli eventi di sicurezza e altri meccanismi di protezione elencati nel documento di orientamento FSTEC "Sull'approvazione della composizione e del contenuto delle misure organizzative e tecniche per garantire la sicurezza dei dati personali durante il loro trattamento in sistemi di informazione dati personali "datato 18 febbraio 2013 N 21. Le imprese di servizi abitativi e comunali utilizzano i sistemi informativi per lavorare con la popolazione, le imprese, varie istituzioni e servizi. Vengono anche condotte contabilità, gestione, contabilità fiscale, come in altre imprese, praticamente lo fanno non differiscono da compiti simili in altri tipi di imprese.
Analizzando la costruzione delle banche dati utilizzate per l'archiviazione e l'elaborazione delle informazioni nei sistemi abitativi e dei servizi comunali, si evidenziano due punti: la base della costruzione e la localizzazione territoriale. Il framework di database più antico e più utilizzato sono i file dbf. Ma per il complesso di oggi sistemi automatizzati non sono adatti per due motivi principali: un numero limitato di record in una tabella e un'affidabilità insufficiente.
I database moderni sono costruiti sulla base del cliente - tecnologie server... esiste vari sistemi gestione del database, che hanno i loro vantaggi e svantaggi. Ciascuno di essi è utilizzato in almeno un sistema progettato per l'automazione degli alloggi e dei servizi comunali. Il più comune è MS SQL 2000. Poiché è progettato per il popolare sistema operativo dei personal computer - Windows. Il prossimo in popolarità è Interbase. Ci sono anche implementazioni del database degli alloggi e dei servizi comunali sotto il controllo di Oracle, uno dei sistemi di gestione di database più avanzati, ma costosi e ingombranti.
Va anche notato che c'è una tendenza per i fornitori di sistemi di gestione di database a diffondere il loro prodotti software- frase versioni gratuite con alcune restrizioni, che si adattano a utenti non grandi e non ricchi, che includono uffici abitativi e punti di accettazione dei pagamenti. Un esempio di tali sistemi sono MSDE 2000, MSDE 2005 di Microsoft Corporation.
La topologia di database più elementare è quella in cui tutte le informazioni si trovano su un server. I clienti si connettono da linee remote e risolvere i loro compiti attuali.
Un'altra opzione di implementazione è base distribuita dati su tutti o parte dei partecipanti agli alloggi e ai servizi comunali. Lo svantaggio è la necessità di sincronizzare i dati.
La sincronizzazione dei dati è in corso diversi modi... Il più comune è l'esportazione/importazione. I dati su un vettore o via e-mail vengono trasferiti tra i partecipanti ai servizi abitativi e comunali. In questo, il fattore umano ha un impatto significativo sulle prestazioni del sistema: tutto deve essere fatto in tempo e con molta attenzione.
Il secondo livello di sincronizzazione è lo scambio di dati tra i moduli del sistema comunicando con server remoti... Questo scambio viene chiamato dal comando dell'utente o in base a una pianificazione specificata. Consiste nel fatto che una certa procedura in uno dei server collegati"legge su se stesso" o "scrive su di esso" i dati necessari per la sincronizzazione.
Infine, il livello più alto è la sincronizzazione del database tramite replica. Questi strumenti consentono di modificare i dati sia da un lato che dall'altro della linea di comunicazione. Secondo la pianificazione specificata o su comando dell'utente, i server si connettono e sincronizzano i database.
La protezione dei dati personali può essere assicurata solo nel sistema informativo dove un attaccante non può interferire con il suo funzionamento. Elementi basici- dispositivi di rete, sistemi operativi, applicazioni e DBMS.
Le principali minacce alla sicurezza dei dati personali, vale a dire la distruzione, la modifica, il blocco, la copia, la distribuzione dei dati personali, nonché altre azioni non autorizzate durante il loro trattamento nel sistema informativo. La perdita di informazioni può essere dovuta a virus, malware, attacchi di rete... Antivirus, firewall e sistemi di prevenzione delle intrusioni (IPS) vengono utilizzati per la protezione (servono a rilevare i segni di un attacco nel traffico in transito e a bloccare l'attacco più diffuso rilevato. A differenza degli antivirus gateway, l'IPS analizza non solo il contenuto dei pacchetti IP , ma anche i protocolli utilizzati e la correttezza del loro utilizzo.), scanner di vulnerabilità (Controllano il sistema informativo per la presenza di varie "lacune" nei sistemi operativi e software. Di norma, questi sono programmi individuali o dispositivi che testano il sistema inviando Richieste Speciali che simulano un attacco a un protocollo o un'applicazione). La suite di strumenti per la protezione dei dati riservati dalle perdite è composta da tre prodotti: sistemi di controllo per dispositivi periferici, sistemi di protezione contro le perdite (Data Leak Prevention, DLP) e strumenti di crittografia per completa sicurezza ha senso combinare tutti e tre i tipi di cibo. Con l'aiuto di questi fondi, i servizi abitativi e comunali e altre società di gestione possono soddisfare i requisiti della FSTEC per la protezione dei dati personali.
Controllo sui dispositivi. La perdita di dati si verifica spesso attraverso supporti rimovibili e canali non autorizzati comunicazione: memoria flash, unità USB, Bluetooth o Wi-Fi, quindi monitorare l'uso di porte USB e altre apparecchiature periferiche è anche uno dei modi per controllare le perdite.
DLP. I sistemi di protezione dalle perdite consentono di utilizzare algoritmi speciali per separare i dati riservati dal flusso di dati e bloccarne la trasmissione non autorizzata. I sistemi DLP forniscono meccanismi per controllare vari canali di trasmissione delle informazioni: e-mail, messaggi istantanei, Web-mail, stampa su stampante, salvataggio su disco rimovibile e altri Inoltre, i moduli DLP bloccano la fuga di soli dati riservati, poiché dispongono di meccanismi integrati per determinare quanto questa o quella informazione sia segreta.
Crittografia. La protezione dei dati dalle perdite in un modo o nell'altro utilizza meccanismi di crittografia e questo settore è sempre stato controllato dall'FSB e tutti i requisiti per la certificazione dei sistemi di crittografia sono pubblicati e verificati da questo dipartimento. Si precisa che è necessario crittografare non solo le banche dati personali stesse, ma anche la loro trasmissione in rete, nonché backup banche dati. La crittografia viene utilizzata anche durante la trasmissione di dati personali su una rete in un sistema distribuito. A tal fine, è possibile utilizzare prodotti di classe VPN offerti da vari sviluppatori, che, di norma, si basano sulla crittografia, ma tali sistemi devono essere certificati e strettamente integrati con i database in cui sono archiviati i dati personali.
Va notato che nello statuto della FSTEC c'è una divisione in banche dati piccole, medie e distribuite, i cui requisiti per la protezione sono molto diversi. Quindi, per proteggere i database distribuiti, di norma, è necessario strumenti aggiuntivi protezione, che è comprensibile - una base distribuita deve avere canali di comunicazione tra le sue parti, che devono anche essere protetti
Nel sistema informativo degli alloggi e dei servizi comunali, il problema principale per il manager è la corretta organizzazione dell'accesso dei dipendenti a varie risorse - da impostazione corretta i diritti di accesso spesso dipendono dalla sicurezza dei dati riservati, quindi il sistema di gestione dei diritti di accesso dovrebbe essere incluso nel sistema di protezione di un grande sistema informativo. Il sistema blocca i tentativi di modificare i diritti di accesso senza l'autorizzazione dell'operatore di sicurezza, che fornisce protezione dagli operatori locali.
Un grande sistema di difesa può generare molti messaggi su potenziali attacchi, che sono solo potenzialmente in grado di portare all'implementazione di una particolare minaccia. Spesso questi messaggi sono solo avvertimenti, ma gli operatori di sicurezza in un sistema di grandi dimensioni devono disporre di uno strumento che li aiuti a capire cosa sta succedendo. Il sistema di correlazione degli eventi può diventare un tale strumento di analisi, che consente di collegare più messaggi provenienti da dispositivi di protezione in un'unica catena di eventi e di valutare in modo completo la pericolosità dell'intera catena. Questo richiama l'attenzione degli operatori della sicurezza sugli eventi più pericolosi.
I sistemi di controllo centralizzato dei meccanismi di protezione consentono il pieno controllo di tutti gli eventi legati alla sicurezza del sistema informativo. I prodotti a questo livello possono rilevare, gestire e creare report sui meccanismi di sicurezza installati nell'azienda. Questi stessi prodotti possono automatizzare di più problemi semplici o aiutare gli amministratori a comprendere rapidamente attacchi complessi.
Tutti e tre i prodotti di cui sopra non sono necessari per proteggere i grandi sistemi informativi, ma consentono di automatizzare la maggior parte dei compiti risolti dagli operatori della sicurezza e ridurre al minimo il numero di dipendenti necessari per proteggere un sistema di grandi dimensioni, come il sistema informativo delle abitazioni e servizi comunali.
Responsabilità per violazione delle prescrizioni in materia di protezione dei dati personali
Le persone colpevoli di violazione dei requisiti della Legge sui Dati Personali sono responsabili secondo la legislazione della Federazione Russa (ad esempio, civile, penale, amministrativa, disciplinare). Ciò è indicato dal comma 1 dell'articolo 24 della Legge sui Dati Personali.
Attualmente è prevista la responsabilità amministrativa degli operatori (ad eccezione dei soggetti per i quali il trattamento di dati personali è un'attività professionale ed è soggetto a licenza) per:
· Per rifiuto illegittimo di fornire a un cittadino e (o) un'organizzazione informazioni, la cui fornitura è prevista dalle leggi federali, fornitura intempestiva o fornitura di informazioni deliberatamente inesatte (articolo 5.39 del Codice dei reati amministrativi della Federazione Russa). Fanno eccezione a questa regola i casi previsti dall'articolo 7.23.1 del Codice amministrativo della Federazione Russa;
· Per violazione dei requisiti della legislazione sulla divulgazione di informazioni da parte delle organizzazioni che svolgono attività nel campo della gestione dei condomini (articolo 7.23.1 del Codice dei reati amministrativi della Federazione Russa);
· Per violazione della procedura di raccolta, conservazione, utilizzo o diffusione dei dati personali stabilita dalla legge (Articolo 13.11 del Codice Amministrativo della Federazione Russa);
· Per la divulgazione di informazioni, il cui accesso è limitato dalla legge federale (salvo i casi in cui la loro divulgazione comporta responsabilità penale), da parte di una persona che vi ha avuto accesso in relazione all'esercizio di doveri d'ufficio o professionali (articolo 13.14 del il Codice dei reati amministrativi della Federazione Russa).
I reati che comportano responsabilità penale sono:
Raccolta o distribuzione illegale di informazioni su privacy persone che costituiscono il suo segreto personale o familiare, senza il suo consenso, o la diffusione di queste informazioni in un discorso pubblico, un'opera esposta pubblicamente o un mezzo mass media(Articolo 137 del codice penale della Federazione Russa);
Rifiuto illegittimo ufficiale nella fornitura di documenti e materiali raccolti secondo le modalità prescritte che ledono direttamente i diritti e le libertà di un cittadino, o la fornitura di informazioni incomplete o deliberatamente false a un cittadino se questi atti hanno causato un danno ai diritti e agli interessi legittimi dei cittadini ( articolo 140 del codice penale della Federazione Russa);
Accesso illecito a cose legalmente protette informazioni sul computer se tale atto ha comportato la distruzione, il blocco, la modifica o la copiatura di informazioni (articolo 272 del codice penale della Federazione Russa)
Dopo la pubblicazione del decreto del governo della Federazione Russa n. 781 "Approvazione del regolamento sulla garanzia della sicurezza dei dati personali durante il loro trattamento nei sistemi di informazione dei dati personali" del 17 novembre 2007 e un ordine congiunto Servizio federale per il controllo tecnico e delle esportazioni, il Servizio di sicurezza federale della Federazione Russa e il Ministero delle tecnologie dell'informazione e delle comunicazioni della Federazione Russa del 13 febbraio 2008 n. 55/86/20 "Approvazione della procedura per la classificazione dei dati personali sistemi informativi" (di seguito "Procedura ...") prima che i servizi di sviluppo e gestione dei sistemi informativi (SI) elaborassero i dati personali, sorsero due domande quasi amletiche:
- come classificare la PI finalizzata alla protezione dei dati personali;
- come scegliere gli strumenti di sicurezza delle informazioni per proteggere i dati personali in questi sistemi.
La “Procedura…” prevede che “la classificazione dei sistemi informativi è effettuata da organi statali, organi comunali, persone giuridiche e persone fisiche che organizzano e (o) effettuano trattamenti di dati personali, nonché determinano le finalità e il contenuto delle il trattamento dei dati personali”. Ciò significa che i dati personali (PD) li classificano proprietario, che costituisce un serio aiuto per una scelta oggettiva di modalità e mezzi di protezione dei dati personali e crea una base oggettiva per un dialogo con le autorità ispettive sull'adeguatezza delle misure adottate nell'organizzazione per la protezione dei dati personali.
Nella classificazione degli IP destinati al trattamento dei dati personali, vengono presi in considerazione i seguenti dati iniziali:
- categoria dati personali trattati nel sistema informativo; ·
- volume PD trattati (numero di soggetti i cui dati personali sono trattati nel SI); ·
- le caratteristiche di sicurezza dei dati personali trattati nel SI stabilite dal titolare del sistema informativo; ·
- struttura del sistema informativo; ·
- disponibilità di connessioni IS alle reti di comunicazione uso comune e/o network di internazionali scambio di informazioni; ·
- modalità di elaborazione PD; ·
- modalità di differenziazione dei diritti di accesso per gli utenti del sistema informativo; ·
- ubicazione dei mezzi tecnici di PI.
Prima di tutto, determineremo cosa si riferisce ai dati personali. Si tratta di informazioni di natura diversa su individui specifici. Nota che stiamo parlando solo di informazioni in modulo elettronico, immessi, archiviati, elaborati e trasmessi nel sistema informativo. Queste informazioni sono suddivise in quattro categorie principali:
- categoria 1 - PD relativo a razza, nazionalità, opinioni politiche, convinzioni religiose e filosofiche, stato di salute, vita intima; ·
- categoria 2 - PD, che consente di identificare l'interessato e di ottenere ulteriori informazioni su di lui, ad eccezione dei dati personali appartenenti alla categoria 1; ·
- categoria 3 - dati personali che consentono di identificare il soggetto dei dati personali; ·
- categoria 4 - PD impersonale e (o) pubblicamente disponibile.
Ad esempio, separatamente il cognome è il dato della 4a categoria, la combinazione di cognome e indirizzo è la terza, il cognome, indirizzo, numero di assicurazione e tessera è la seconda, e se a questi dati viene aggiunta una cartella clinica elettronica, quindi i dati personali risultanti appartengono esclusivamente alla prima categoria.
Sulla base di tale classificazione si può affermare che eventuali dati medici, nonché le schede del personale contenenti la colonna “nazionalità” (e tali sono quasi tutti i questionari correnti e le schede anagrafiche delle schede del personale attualmente utilizzate), devono essere classificate nella prima categoria. È anche chiaro che i dati personali hanno quasi sempre una categoria inferiore rispetto al loro aggregato. Anche le informazioni dettagliate sulla salute di un individuo possono essere prive di significato se il suo cognome o altri dati sono sconosciuti, il che lega inequivocabilmente queste informazioni al paziente.
Il volume di PD processato può assumere i seguenti valori:
- - il SI tratta contemporaneamente i dati personali di oltre 100.000 soggetti o i dati personali di soggetti all'interno della regione della Federazione Russa o della Federazione Russa nel suo insieme; ·
- - il SI tratta contemporaneamente dati personali da 1000 a 100.000 soggetti o dati personali di soggetti operanti nell'economia della Federazione Russa, presso l'autorità statale residente nel comune; ·
- - il SI tratta contemporaneamente i dati di meno di 1000 soggetti oi dati personali dei soggetti di una determinata organizzazione.
In base alle caratteristiche di sicurezza delle PD elaborate nel sistema informativo, i SI si dividono in standard e speciali. I primi sono sistemi informativi in cui solo la fornitura di riservatezza dati personali.
La caratteristica di “riservatezza” significa che solo colui al quale sono destinati può gestire (inserire, archiviare, elaborare e trasmettere) il PD in forma elettronica. Per garantire la riservatezza durante il trasferimento di dati personali su reti, inclusa Internet, è necessario utilizzare la crittografia dei dati.
Sistemi informativi speciali sono quei SI in cui, indipendentemente dalla necessità di garantire la riservatezza della PD, è richiesto di assicurare almeno una delle caratteristiche di sicurezza dei dati personali, diversa dalla riservatezza (ad esempio, integrità o disponibilità). La caratteristica "integrità" significa che i dati personali dovrebbero essere modificati solo in modo regolamentato, ad esempio, solo un medico autorizzato può apportare modifiche alla cartella clinica elettronica e, in tutti gli altri casi, le informazioni nella cartella clinica non dovrebbero essere cambiato. In caso di trasmissione in rete, l'integrità è assicurata mediante l'utilizzo di una firma digitale elettronica.
La caratteristica “disponibilità” significa che il lavoro con PD dovrebbe essere fornito per una data quantità di dati e utenti nel rispetto delle regole temporali stabilite. In altre parole, "disponibilità" è un'altra formulazione dell'affidabilità del sistema. Si noti inoltre che parlare di disponibilità nelle reti aperte è praticamente privo di significato: nessun provider fornirà l'accesso garantito ai dati o la loro trasmissione ininterrotta.
I sistemi informativi speciali includono:
- IS, in cui sono trattati dati personali concernenti lo stato di salute dei soggetti; ·
- IP, che prevede l'adozione, sulla base di trattamenti esclusivamente automatizzati di dati personali, di decisioni che generano conseguenze giuridiche nei confronti dell'interessato o comunque ledono i suoi diritti e legittimi interessi.
Per struttura, i sistemi informativi per il trattamento della PD sono suddivisi:
- per autonomi (non collegati ad altri SI), destinati al trattamento di dati personali (postazioni di lavoro automatizzate); ·
- per complessi di postazioni automatizzate, unite in un unico SI mediante comunicazione senza l'ausilio di tecnologie accesso remoto(sistemi informativi locali); ·
- su complessi di postazioni di lavoro automatizzate e (o) SI locali, uniti in un unico sistema informativo mediante comunicazione mediante tecnologia di accesso remoto (sistemi informativi distribuiti).
In base alla presenza di connessioni alle reti pubbliche di comunicazione e (o) scambio internazionale di informazioni, i SI sono suddivisi in sistemi che hanno connessioni che non hanno connessioni.
In base al fatto che è obbligatorio garantire la riservatezza dei dati, è possibile evidenziare gli elementi necessari del sistema informativo per il trattamento dei dati personali.
Innanzitutto, il sistema informativo è obbligato a identificare gli utenti ed essere in grado di stabilire un'autorità individuale per l'accesso degli utenti alla PD, ovvero disporre di sistemi di identificazione e autenticazione e controllo degli accessi.
In secondo luogo, è necessario garantire la protezione dei dati personali che possono essere alienati dal sistema. Ad esempio, dovresti controllare il trasferimento di informazioni a supporti rimovibili... È molto probabile che in alcuni casi sia necessario tenere conto della possibilità di furto e smarrimento (smarrimento) informatica con dati personali. In questo caso è obbligatoria anche la cifratura della PD conservata sul supporto informatico.
Se il sistema dispone di collegamenti a reti aperte o prevede lo scambio di dati, è obbligatorio utilizzare la crittografia dei dati e le firme elettroniche digitali, nonché fornire protezione contro attacchi da reti esterne compresa la protezione antivirus.
Per la crittografia e la firma elettronica vengono utilizzate chiavi e certificati generati dagli utenti stessi e registrati nei cosiddetti centri di certificazione.
Un punto molto importante è la registrazione delle azioni con PD, che, da un lato, consente di identificare i responsabili della loro fuga e, dall'altro, crea una motivazione psicologica per un corretto lavoro con loro.
Ad un sistema informativo per l'elaborazione della PD può essere assegnata una delle seguenti classi:
- classe 1 (K1) - IS, per cui la violazione di una determinata caratteristica di sicurezza dei dati personali in essi trattati può comportare significative conseguenze negative per i soggetti dei dati personali; ·
- classe 2 (K2) - IS, per i quali la violazione delle specifiche caratteristiche di sicurezza dei PD in essi trattati può comportare conseguenze negative per i soggetti del trattamento dei dati personali; ·
- classe 3 (K3) - IS, per cui la violazione delle specifiche caratteristiche di sicurezza dei dati personali in essi trattati può comportare conseguenze negative di lieve entità per i soggetti interessati; ·
- classe 4 (K4) - IS, per i quali la violazione di una determinata caratteristica di sicurezza dei dati personali in essi trattati non comporta conseguenze negative per i soggetti dei dati personali.
| Categoria | |||
|---|---|---|---|
Primo, da "Ordine..." segue l'esistenza di categorie dati personali. È logico implementare aggregazione banche dati in SI contenenti PD in parti non sovrapposte contenenti dati di varie categorie. Inoltre, l'IC per l'elaborazione PD deve essere diviso in contorni contenente dati di una sola categoria. È del tutto possibile farlo, poiché le persone sono identificate in modo inequivocabile dal loro passaporto o numero TIN o dal numero della polizza di assicurazione sanitaria, che consente di indicizzare in modo univoco i database medici e altri array. Pertanto, è necessario seguire il principio che in ogni circuito dell'IS per il trattamento dei dati personali è necessario utilizzare prodotti certificati della stessa classe, e i contorni dovrebbero essere isolato a parte.
Si può affermare che la maggior parte dei sistemi informativi per il trattamento della MP (soprattutto per scopi medici) sarà speciale, cioè in essi è necessario garantire non solo la riservatezza, ma anche integrità obbligatorie e altre caratteristiche di sicurezza e affidabilità.
quando distribuito IP per il trattamento dei dati personali, anche se il solo conferimento è necessario riservatezza in conformità con la "Procedura ..." avrai sicuramente bisogno protezione dei PD . trasmessi e memorizzati... Ciò è pienamente conforme agli attuali requisiti del Servizio di sicurezza federale della Federazione Russa per i circuiti integrati automatizzati progettati per proteggere informazioni confidenziali, non costituendo segreto di Stato, vale a dire, la previsione che “tutte le informazioni riservate trasmesse attraverso i canali di comunicazione devono essere protette; le informazioni trasmesse sui canali di comunicazione devono essere crittografate utilizzando mezzi protezione crittografica informazioni (CIPF), o canali di comunicazione sicuri devono essere utilizzati per la sua trasmissione. La protezione delle informazioni registrate su supporti alienabili deve essere effettuata. ”
L'ultimo requisito è senz'altro applicabile per i SI PD isolati che non dispongono di canali di trasmissione PD, ovvero per i singoli luoghi di lavoro che trattano dati personali.
Ciò significa che per il trattamento dei dati personali, l'IP deve essere certificato in una classe non inferiore a AK2 nella classificazione dell'FSB della Federazione Russa. Ad esempio, questa classe corrisponde a Windows XP protetto con Secure Pack Rus. La composizione dei mezzi di protezione dovrebbe includere mezzi di protezione crittografica delle informazioni (CIP) di una classe non inferiore a KC2.
In base a ciò, per qualsiasi PD IS che elabori PD di categorie superiori alla 4a (a cui saranno sicuramente attribuiti tutti i sistemi di elaborazione PD medici), sarà necessario eseguire tutti i requisiti della classe AK2 nella classificazione dell'FSB RF.
Dall'architettura dell'IS PD con un numero sufficientemente elevato di PD elaborati (indicatore 1 o 2), verrà allocata definitivamente la componente server, che richiederà anche protezione. In questo caso, la protezione di tutte le informazioni riservate archiviate su supporti magnetici workstation e server che soddisfano i requisiti della classe AK3.
Pertanto, possiamo offrire una strategia ben fondata per la protezione dei dati personali, consistente nel fatto che la tabella. 1 è compilato come segue (vedi tabella 2).
| Categoria IP | Classe IP a seconda del volume di PD elaborati | ||
|---|---|---|---|
|
Non inferiore a AK3 |
Non inferiore a AK3 |
Non inferiore a AK3 |
|
Nota. "-" - significa che non ci sono requisiti.
Pertanto, per proteggere la PD della prima categoria, che comprende tutti i dati medici, è necessario utilizzare mezzi di protezione di classi non inferiori a AK3 e mezzi di protezione crittografica di classi non inferiori a KC3.
Per la dotazione pratica di IP con mezzi di protezione, è possibile consigliare prodotti appositamente adattati per la protezione dei dati personali e dotati dei necessari permessi (certificati e conclusioni). Questi sono, prima di tutto, Secure Pack Rus e strumenti di protezione crittografica della famiglia CryptoPro.
Proviamo ora a stimare i costi per attrezzare un posto di lavoro per il trattamento del PD. Esclusi gli sconti, il prezzo del pacchetto Secure Pack Rus è di circa RUB 2.000, mentre la famiglia di strumenti di protezione crittografica CryptoPro è già inclusa in questo pacchetto. Inoltre, per proteggere le informazioni personali archiviate su un computer, è consigliabile acquistare uno dei pacchetti di protezione dei dati CryptoPro EFS, Secure Pack Explorer o "Crypto Explorer". Il prezzo di ciascuno di questi prodotti varia da 600 a 1000 rubli. La protezione totale di un posto di lavoro, escluse l'installazione e la configurazione, costerà circa 3.000 rubli e l'installazione e l'adattamento dei programmi aggiungeranno tradizionalmente il 10-15% al costo
È possibile in via condizionale individuare "dieci passaggi mistici sulla strada" verso un sistema sicuro per l'elaborazione del PD.
- Identifica prima gli elementi del tuo IP che devono essere protetti. Innanzitutto, scopri quali dati personali devono essere protetti e dove si trovano attualmente sul tuo sistema. Quindi verifica se i luoghi di lavoro di tutti i dipendenti, senza eccezioni, hanno davvero bisogno della protezione dei dati. Forse è più facile allocare computer separati per lavorare con informazioni personali che devono essere protette in modo particolarmente affidabile? Ricorda che un computer connesso a Internet non è il posto migliore per memorizzare PD!
- Valuta lo stato attuale della sicurezza delle informazioni. Quanto è soddisfacente? Se possibile, conduci un controllo di sicurezza esterno del tuo sistema. Classifica il tuo IP secondo le linee guida di cui sopra. Confronta i tuoi risultati con quelli di un audit esterno.
- Determina chi è attualmente responsabile dell'applicazione della PI. È possibile restringere la cerchia delle persone da cui dipende l'affidabilità di questa protezione? Allo stesso tempo, ricorda: la sicurezza non può dipendere da una sola persona! Assicurati di nominare revisori, ad esempio, il primario può supervisionare il lavoro degli specialisti nel riempimento e spostamento del PD.
- Sii critico nei confronti dei requisiti degli esperti se insistono sull'installazione di hardware di sicurezza. Si noti inoltre che l'utilizzo di strumenti crittografici è un lavoro piuttosto serio. È importante capire: il mantenimento della crittografia e delle firme digitali interferirebbe con il core business della tua azienda? Tieni inoltre presente che non tutti i dipendenti possono e devono essere coinvolti nella crittografia dei dati.
- Pulisci la sicurezza della tua clinica. Imposta un regime che fornisca il livello richiesto di sicurezza delle informazioni, ma non esagerare. Ad esempio, le persone non dovrebbero essere private della possibilità di utilizzare i loro telefoni cellulari. È inoltre inappropriato vietare ai dipendenti l'accesso alla posta elettronica ea Internet per scopi personali. Allo stesso tempo, è abbastanza consigliabile regolamentare la procedura per l'introduzione di unità flash e laptop propri nel territorio dell'azienda o utilizzare la funzione di disabilitazione delle unità USB non consentite dall'amministratore, disponibile in Secure Pack Rus.
- Richiedere ai professionisti IT di elaborare un piano di lavoro chiaro per la creazione e la configurazione di un sistema di sicurezza. Chiedi per giustificare la necessità di acquisti fondi aggiuntivi garantire la sicurezza. Insistere per garantire che l'impostazione di sicurezza non interferisca con il funzionamento di base del sistema.
- Monitorare l'attuazione del piano di sicurezza.
- Ascolta le opinioni di medici e dipendenti: le misure di sicurezza interferiscono con il loro lavoro e le attività principali?
- Mantenere e monitorare lo stato di sicurezza di PD, nonché fidelizzare il personale addetto alla sicurezza.
- Vacci piano con l'innovazione della sicurezza: un sano conservatorismo ti farà risparmiare denaro.
Il 27 luglio 2006 è stato adottato Legge federale n. 152-FZ "Sui dati personali" garantire la tutela dei diritti e delle libertà umani e civili nel trattamento dei suoi dati personali, compresa la tutela dei diritti alla privacy, ai segreti personali e familiari. Uno dei motivi per l'adozione di questa legge sono stati i numerosi fatti di furto di banche dati personali in strutture governative e commerciali, la loro vendita diffusa.
Cosa significa il termine "dati personali"?
La definizione di dati personali (PD) era soddisfatta prima dell'adozione della legge, ad esempio nell'"Elenco delle informazioni riservate", approvato dal con decreto del Presidente della Federazione Russa n. 188 del 6 marzo 1997:
Le informazioni riservate comprendono: le informazioni su fatti, eventi e circostanze della vita privata di un cittadino, che consentono di identificare la sua identità (dati personali), ad eccezione delle informazioni da diffondere nei media nei casi previsti dalle leggi federali.
Tuttavia, la legge lo ha integrato. Ora, secondo FZ-152, dati personali - qualsiasi informazione relativa a uno specifico o determinata sulla base di tali informazioni un individuo (soggetto di dati personali), compreso il suo cognome, nome, patronimico, anno, mese, data e luogo di nascita, indirizzo, famiglia , sociale, posizione patrimoniale, istruzione, professione, reddito, altre informazioni.
Quindi, i dati personali sono, prima di tutto, i dati del passaporto, le informazioni su stato civile, informazioni sull'istruzione, numero TIN, certificato di assicurazione dell'assicurazione pensionistica statale, assicurazione medica, informazioni sull'attività lavorativa, stato sociale e patrimoniale, informazioni sul reddito. Quasi ogni organizzazione dispone di tali dati.
Quando si fa domanda per un lavoro, questi sono i dati dell'ufficio del personale del datore di lavoro, che il dipendente indica nella sua carta personale, autobiografia e altri documenti compilati al momento della conclusione di un contratto di lavoro.
Quando entra un bambino Asilo, scuola, istituto, altri istituzioni educative inoltre, vengono compilati molti questionari e moduli, che indicano i dati sia del bambino (ad esempio, i dati dell'atto di nascita) sia dei suoi genitori (fino al luogo di lavoro, alla posizione ricoperta).
Durante il trattamento in istituzioni medicheè necessario indicare non solo i dati del passaporto, ma anche informazioni su prestazioni, assicurazione medica, informazioni su trattamenti precedenti, risultati dei test. In molte istituzioni mediche, le tessere ambulatoriali/degenti sono duplicate in in formato elettronico.
E tutti questi dati, secondo la normativa vigente, sono soggetti a tutela.
Da dove iniziare la protezione ed è necessaria?
La riservatezza dei dati personali è requisito obbligatorio per l'operatore o altro soggetto che ha avuto accesso ai dati personali per impedirne la diffusione senza il consenso dell'interessato o altro motivo giuridico ( FZ-152).
Operatore - agenzia governativa, ente comunale, persona giuridica o persona fisica che organizza e (o) effettua il trattamento di dati personali, nonché determina le finalità e il contenuto del trattamento di dati personali ( FZ-152).
Il sistema di informazione sui dati personali (ISPDN) è un sistema informativo che è una raccolta di dati personali contenuti in un database, nonché tecnologie informatiche e mezzi tecnici che consentono il trattamento di tali dati personali utilizzando strumenti di automazione o senza l'utilizzo di tali mezzi ( FZ-152).
Il trattamento dei dati personali è azioni (operazioni) con dati personali, compresa la raccolta, la sistematizzazione, l'accumulo, la conservazione, il chiarimento (aggiornamento, modifica), l'uso, la distribuzione (incluso il trasferimento), la depersonalizzazione, il blocco, la distruzione dei dati personali ( FZ-152).
Durante il trattamento della PD, l'operatore deve adottare tutte le necessarie misure organizzative e misure tecniche per proteggere i dati personali da accessi non autorizzati o accidentali agli stessi, distruzione, alterazione, blocco, copia, diffusione dei dati personali, nonché da altre azioni illegali.
Cosa è necessario fare per proteggere i dati personali?
Prima di tutto, è necessario determinare quali sono i sistemi informativi PD e che tipo di PD vengono elaborati in essi.
Classificazione del sistema informativo dei dati personali
Per comprendere quanto sia significativo il problema della protezione PD, nonché per selezionare i metodi ei metodi necessari per proteggere PD, l'operatore deve classificare il PDIS. Ordine di classificazione definito con ordinanza dell'FSTEC della Russia, dell'FSB della Russia e del Ministero delle tecnologie dell'informazione e delle comunicazioni della Russia n. 55/86/20 del 13 febbraio 2008.
Quindi, l'operatore forma una commissione (per ordine del capo dell'organizzazione), che, dopo aver analizzato i dati iniziali, prende una decisione sull'assegnazione dell'ISPD della classe appropriata. Durante la classificazione vengono determinati:
- la categoria dei dati personali trattati;
- il volume dei dati personali trattati;
- tipo di sistema informativo;
- la struttura del sistema informativo e l'ubicazione dei suoi mezzi tecnici;
- modalità di trattamento dei dati personali;
- modalità di differenziazione dei diritti di accesso degli utenti;
- disponibilità di collegamenti a reti pubbliche e (o) reti di scambio internazionale di informazioni.
Secondo ordine n. 55/86/20, tutti i sistemi informativi (SI) si dividono in standard e speciali.
I tipici sistemi informativi sono sistemi informativi in cui è richiesta solo la riservatezza dei dati personali.
I sistemi informativi speciali sono sistemi informatici nei quali, indipendentemente dalla necessità di garantire la riservatezza dei dati personali, è richiesto di assicurare almeno una delle caratteristiche di sicurezza dei dati personali, diversa dalla riservatezza (protezione dalla distruzione, alterazione, blocco, come nonché altre azioni non autorizzate).
In pratica, si scopre che praticamente non esistono IS tipici, poiché nella maggior parte dei casi, oltre alla riservatezza, è anche necessario garantire l'integrità e la disponibilità delle informazioni. Inoltre, immancabilmente sistemi speciali dovrebbe essere attribuito:
- sistemi informatici in cui sono trattati dati personali concernenti lo stato di salute dei soggetti interessati;
- sistemi informatici, che prevedono l'adozione, sulla base di un trattamento esclusivamente automatizzato di dati personali, di decisioni che generano conseguenze giuridiche in relazione all'oggetto dei dati personali o che comunque ledono i suoi diritti e interessi legittimi.
Quindi, sulla base dei risultati dell'analisi dei dati iniziali, la commissione assegna la classe appropriata al sistema di dati personali:
classe 1 (K1) - sistemi informativi per i quali la violazione di una determinata caratteristica di sicurezza dei dati personali in essi trattati può comportare conseguenze negative significative per i soggetti dei dati personali;
classe 2 (K2) - sistemi informatici per i quali una violazione delle specifiche caratteristiche di sicurezza dei dati personali in essi trattati può comportare conseguenze negative per i soggetti dei dati personali;
classe 3 (K3) - sistemi informatici per i quali una violazione delle specifiche caratteristiche di sicurezza dei dati personali in essi trattati può comportare conseguenze negative di lieve entità per i soggetti dei dati personali;
classe 4 (K4) - sistemi informativi per i quali una violazione delle specifiche caratteristiche di sicurezza dei dati personali in essi trattati non comporta conseguenze negative per i soggetti dei dati personali.
I risultati della classificazione sono formalizzati dall'Act Classificazione ISPD, che indica il tipo di ISPD (tipico, speciale), la classe assegnata all'ISPD e le condizioni in base alle quali è stata presa la decisione.
Come già accennato, la classificazione è necessaria per ulteriore scelta metodi e mezzi per proteggere i dati personali elaborati nell'ISPD, poiché nei documenti del FSTEC e dell'FSB, ogni classe ha i propri requisiti per la protezione dell'ISPD, di cui parleremo un po' più avanti.
Consenso del PD oggetto di trattamento
Successivamente, è necessario procedere al trattamento di questi dati, ma prima che il loro trattamento sia lecito è necessario ottenere il consenso dell'interessato al trattamento (la legge impedisce quindi la raccolta e l'utilizzo illeciti dei dati personali):
Articolo 6 FZ-152:
Il trattamento dei dati personali può essere effettuato dal gestore con il consenso dei soggetti PD, ad eccezione dei casi:
1) il trattamento dei dati personali è effettuato sulla base di una legge federale che ne fissa le finalità, le condizioni per l'ottenimento dei dati personali e la gamma dei soggetti i cui dati personali sono oggetto di trattamento, nonché la determinazione dei poteri dell'operatore;
2) il trattamento dei dati personali è effettuato al fine di adempiere ad un contratto, di cui uno dei soggetti è oggetto di dati personali;
3) il trattamento dei dati personali è effettuato per finalità statistiche o altre finalità scientifiche, previa depersonalizzazione obbligatoria dei dati personali;
4) il trattamento dei dati personali è necessario per tutelare la vita, la salute o altri interessi vitali dell'interessato, qualora sia impossibile ottenere il consenso dell'interessato;
5) il trattamento dei dati personali è necessario per l'invio di invii postali da parte degli organismi postali, per gli operatori di telecomunicazioni per effettuare transazioni con gli utenti dei servizi di comunicazione per i servizi di comunicazione forniti, nonché per considerare reclami degli utenti dei servizi di comunicazione;
6) il trattamento di dati personali è effettuato ai fini dell'attività professionale di giornalista o ai fini dell'attività scientifica, letteraria o di altro tipo, purché ciò non leda i diritti e le libertà dell'interessato;
7) trattamento dei dati personali oggetto di pubblicazione ai sensi delle leggi federali, ivi compresi i dati personali dei titolari di cariche pubbliche, degli incarichi di pubblico impiego, i dati personali dei candidati alle cariche elettive statali o comunali.
Quindi, se il nostro caso di trattamento dei dati personali è previsto dalla parte 2 dell'articolo 6 di FZ-152, l'ottenimento del consenso è facoltativo.
Devi anche essere guidato da Codice del lavoro, capitolo 14... Ad esempio, un datore di lavoro ha il diritto di ricevere e trattare dati sulla vita privata di un dipendente solo con il suo consenso scritto ( Articolo 86 parte 4 del Codice del lavoro).
Secondo articolo 9 di FZ-152è necessario ottenere il consenso dell'interessato al trattamento dei suoi dati personali per iscritto. Il consenso scritto dell'interessato deve includere:
Cognome, nome, patronimico, indirizzo del titolare dei dati personali, numero del documento principale comprovante la sua identità, informazioni sulla data di rilascio detto documento e l'autorità di rilascio;
Nome (cognome, nome, patronimico) e indirizzo dell'operatore che riceve il consenso dell'interessato;
Lo scopo del trattamento dei dati personali;
L'elenco dei dati personali per il cui trattamento è prestato il consenso dell'interessato;
L'elenco delle azioni con dati personali, per l'esecuzione delle quali si presta il consenso, una descrizione generale delle modalità di trattamento dei dati personali utilizzate dal gestore;
Il periodo durante il quale il consenso è valido, nonché la procedura per il suo ritiro.
Regolamento che disciplina la procedura per il trattamento e la protezione dei dati personali
Quindi, l'operatore ha ricevuto (se necessario) il consenso al trattamento dei dati personali - i dati personali possono essere elaborati. Ma secondo Codice del Lavoro e FZ-152è necessario elaborare (se del caso, modificare in conformità con la legge federale) un regolamento che disciplini la procedura per l'archiviazione, l'elaborazione e la protezione dei dati personali. Chiamiamolo condizionatamente il Regolamento sulla sicurezza dei dati personali. Il regolamento sulla garanzia della sicurezza dei dati personali è un documento interno (locale) dell'organizzazione. Non esiste una forma rigorosa di questo documento, ma deve soddisfare i requisiti TC e FZ-152, e, pertanto, deve indicare:
Il regolamento sulla garanzia della sicurezza dei dati personali è approvato dal capo dell'organizzazione o da una persona da lui autorizzata ed è attuato per ordine del capo. Il datore di lavoro è obbligato a familiarizzare il dipendente con i regolamenti sotto la firma.
Elenco delle persone ammesse al trattamento PD
Inoltre, è necessario stilare un elenco delle persone ammesse al trattamento PD, es. un elenco di coloro (per posizione) che hanno bisogno di accedere ai dati personali per svolgere le proprie funzioni ufficiali. Prima di tutto, si tratta di dipendenti del dipartimento del personale, poiché raccolgono e formano dati sul dipendente, nonché sui dipendenti del dipartimento di contabilità. Inoltre, i capi delle divisioni strutturali (ad esempio, i capi dipartimento) possono accedere a queste informazioni - e questo deve essere riportato anche nell'elenco. Tuttavia, tutti hanno il diritto di richiedere non alcun dato, ma solo quelli necessari per svolgere determinate funzioni lavorative (ad esempio, per calcolare le agevolazioni fiscali, l'ufficio contabilità non riceverà tutte le informazioni sul dipendente, ma solo i dati sul numero dei suoi familiari). Pertanto, è consigliabile prescrivere un elenco di risorse informative a cui gli utenti sono ammessi.
L'elenco dei soggetti ammessi al trattamento dei PD può essere redatto in forma di allegato al Regolamento sulla sicurezza dei dati personali o di atto separato approvato dal responsabile.
Notifica Roskomnadzor
Inoltre, in conformità con articolo 22 FZ-152 Prima del trattamento dei dati personali, l'operatore è tenuto a notificare all'organismo autorizzato per la tutela dei diritti dei soggetti PD (oggi è il Servizio federale di vigilanza nell'ambito delle comunicazioni, dell'informatica e dei mass media (Roskomnadzor)) di la sua intenzione di trattare PD, ad eccezione dei casi previsti parte 2 dell'articolo 22 di FZ-152:
L'operatore ha il diritto di trattare i dati personali senza informare l'organismo autorizzato per la tutela dei diritti dei soggetti dei dati personali:
1) relative ai soggetti di dati personali che sono legati all'operatore da rapporti di lavoro;
2) ricevuti dall'operatore in relazione alla conclusione di un contratto di cui l'interessato è parte, se i dati personali non sono diffusi, e non sono forniti a terzi senza il consenso dell'interessato ed è utilizzati dall'operatore esclusivamente per l'esecuzione del contratto specificato e la conclusione di contratti con l'oggetto del trattamento dei dati personali;
3) relative a membri (partecipanti) di un'associazione pubblica o organizzazione religiosa e trattati dalla relativa associazione pubblica o organizzazione religiosa, che agisce in conformità con la legislazione della Federazione Russa, al fine di raggiungere le finalità legittime stabilite dal loro documenti costitutivi, fermo restando che i dati personali non saranno diffusi senza il consenso scritto dei soggetti del trattamento dei dati personali;
4) che sono dati personali pubblicamente disponibili;
5) includere esclusivamente i cognomi, nomi e patronimici dei soggetti trattati;
6) necessario al fine di un unico passaggio dei dati personali dell'interessato nel territorio in cui è situato l'operatore, o per altre finalità analoghe;
7) incluso nei sistemi di informazione sui dati personali, che, in conformità con le leggi federali, hanno lo status di sistemi di informazione automatizzati federali, nonché nei sistemi di informazione sui dati personali statali creati per proteggere la sicurezza dello stato e l'ordine pubblico;
8) trattati senza l'uso di strumenti di automazione in conformità con le leggi federali o altri atti normativi della Federazione Russa, che stabiliscono requisiti per garantire la sicurezza dei dati personali durante il loro trattamento e per osservare i diritti degli interessati dei dati personali
I requisiti di notifica sono specificati in parte 3 dell'articolo 22 di FZ-152... Il modulo di notifica sul trattamento (dell'intenzione di trattare) i dati personali può essere compilato elettronicamente sul sito Web Roskomnadzor: http://rsoc.ru/personal-data/p181/
Ora puoi iniziare a elaborare i dati personali, risolvendo contemporaneamente il problema più difficile e problematico: garantire la sicurezza dei dati personali durante il loro trattamento.
Garantire la sicurezza dei dati personali durante il loro trattamento
Le misure per proteggere le informazioni sono laboriose e possono comportare costi finanziari significativi, a causa della necessità di:
Ottenere (se necessario) una licenza per operare protezione tecnica confidenziale Informazioni FSTEC Russia;
Coinvolgere il licenziatario del FSTEC della Russia per l'attuazione di misure per creare un sistema per la protezione dell'ISPD e / o la sua certificazione per i requisiti di sicurezza delle informazioni;
Inviare i dipendenti responsabili della sicurezza delle informazioni a corsi di formazione avanzata sulla sicurezza delle informazioni e/o assumere specialisti della sicurezza delle informazioni;
Installa mezzi di sicurezza delle informazioni certificati secondo i requisiti FSTEC (SRZI), mezzi di sicurezza delle informazioni crittografiche (CIPF) certificati dall'FSB, a seconda della classe ISPD.
Qualcosa che puoi fare da solo, ma da qualche parte è meglio fidarsi degli specialisti. Ma è necessario proteggere i dati personali, in un modo o nell'altro.
Articolo 19, FZ-152:
Durante il trattamento dei dati personali, l'operatore è obbligato ad adottare le misure organizzative e tecniche necessarie per proteggere i dati personali dall'accesso non autorizzato o accidentale agli stessi, dalla distruzione, dalla modifica, dal blocco, dalla copia, dalla diffusione dei dati personali, nonché da altre azioni illegali.
- "Regolamento per garantire la sicurezza dei dati personali durante il loro trattamento nei sistemi di informazione dei dati personali", approvato con decreto del governo della Federazione Russa n. 781 del 17 novembre 2007.
- "Regolamento sulle specifiche del trattamento dei dati personali effettuato senza l'uso di strumenti di automazione", approvato con decreto del governo della Federazione Russa n. 687 del 15 settembre 2008.
- "Requisiti per supporti tangibili di dati personali biometrici e tecnologie per l'archiviazione di tali dati al di fuori dei sistemi di informazione dei dati personali", approvato con decreto del governo della Federazione Russa n. 512 del 6 luglio 2008.
- Requisiti speciali e raccomandazioni per la protezione tecnica delle informazioni riservate (STR-K), approvati con ordinanza della Commissione tecnica statale della Russia n. 282 del 30 agosto 2002 (ДСП)
- Il modello di base delle minacce alla sicurezza dei dati personali durante il loro trattamento nei sistemi informativi dei dati personali datato 15 febbraio 2008 (Estratto, quando si considerano le minacce di fuga di informazioni attraverso canali secondari radiazioni elettromagnetiche e interferenze (PEMIN), è necessario applicare la versione completa di questo documento - truciolato)
- Metodologia per determinare le attuali minacce alla sicurezza dei dati personali durante il loro trattamento nei sistemi di informazione dei dati personali del 15 febbraio 2008 (Il marchio "per uso ufficiale" è stato rimosso dalla decisione FSTEC del 16 novembre 2009)
- Raccomandazioni per garantire la sicurezza dei dati personali durante il loro trattamento nei sistemi informativi dei dati personali del 15 febbraio 2008 (Il marchio "per uso ufficiale" è stato rimosso dalla decisione FSTEC dell'11 novembre 2009)
- Le principali misure per l'organizzazione e il supporto tecnico della sicurezza dei dati personali trattati nei sistemi di informazione dei dati personali del 15 febbraio 2008 (Il contrassegno "per uso ufficiale" è stato rimosso dalla decisione FSTEC dell'11 novembre 2009)
- Raccomandazioni metodologiche per garantire la sicurezza dei dati personali con l'ausilio di mezzi crittografici durante il loro trattamento nei sistemi di informazione dei dati personali mediante strumenti di automazione. FSB, 21 febbraio 2008
- Requisiti tipici per l'organizzazione e il funzionamento dei mezzi di crittografia (crittografici) progettati per proteggere le informazioni che non contengono informazioni che costituiscono segreto di stato nel caso del loro utilizzo per garantire la sicurezza dei dati personali durante il loro trattamento nei sistemi informativi dei dati personali. FSB, 21 febbraio 2008
Non considereremo in dettaglio tutti i requisiti che devono essere soddisfatti per garantire la sicurezza del PD durante l'elaborazione in ISPD - ce ne sono molti e dipendono fortemente da uno specifico ISPD. Soffermiamoci sui punti principali che spesso mettono in difficoltà gli operatori.
Licenza: ricevere o non ricevere?
La normativa, così come i documenti FSTEC, ci dicono quanto segue:
Articolo 16, parte 6 FZ-149"Sull'informazione, le tecnologie dell'informazione e la protezione delle informazioni" del 27 luglio 2006:
Le leggi federali possono stabilire restrizioni all'uso di determinati mezzi di protezione delle informazioni e all'attuazione di determinati tipi di attività nel campo della protezione delle informazioni.
Articolo 17, parte 1, clausola 11 della legge federale-128"Sull'autorizzazione di alcuni tipi di attività" dell'8 agosto 2001:
In conformità con questa legge federale, i seguenti tipi di attività sono soggetti a licenza: attività sulla protezione tecnica delle informazioni riservate.
Risoluzione del governo della Federazione Russa n. 504"Sulle attività di licenza per la protezione tecnica delle informazioni riservate" del 15 agosto 2006
La protezione tecnica delle informazioni riservate è intesa come un insieme di misure e (o) servizi per proteggerle da accessi non autorizzati, inclusi canali tecnici, nonché da influenze speciali su tali informazioni al fine di distruggerle, distorcerle o bloccarne l'accesso.
I principali eventi di FSTEC
Clausola 3.14
In conformità con le disposizioni della legge federale n. 128 "Sull'autorizzazione di determinati tipi di attività" e i requisiti del decreto governativo n. 504 "Sulle attività di autorizzazione per la protezione tecnica delle informazioni riservate", gli operatori ISPD nell'attuazione delle misure per garantire la sicurezza delle PD (informazioni riservate) durante il loro trattamento in ISPDN 1 , 2 e 3 (sistemi distribuiti) delle classi devono ottenere una licenza per svolgere attività di protezione tecnica delle informazioni riservate secondo le modalità prescritte.
Anche il capo del dipartimento della FSTEC della Russia NAZAROV Igor Grigorievich ha risposto alla domanda sulla necessità di una licenza a tavola rotonda tenuto da Connect! Mondo delle comunicazioni "(http://www.connect.ru/article.asp?id=9406):
Domanda: Gli operatori che elaborano dati personali in ISPDN devono ottenere una licenza per la protezione tecnica delle informazioni riservate?
Igor Nazarov: In conformità con i documenti FSTEC, è richiesta una licenza per gli operatori PD che svolgono autonomamente tali attività su sistemi informativi di 1, 2 classi e sistemi geograficamente distribuiti di 3 classi, di norma si tratta di grandi sistemi informativi statali. Allo stesso tempo, per poliambulatori, asili nido, farmacie, ecc. che hanno ISPD di grado 3 e 4, tali licenze non sono necessarie.
In conformità con il decreto del governo della Federazione Russa del 17 novembre 2007 n. 781, se l'operatore di ISPD conclude un accordo per l'attuazione di misure appropriate in termini di protezione delle informazioni (PD) con una persona autorizzata - un licenziatario del FSTEC della Russia, non ha bisogno di avere una licenza.
Quindi, per le piccole organizzazioni, invece di ottenere una licenza FSTEC per TZKI per l'attuazione di misure volte a garantire la sicurezza dei dati personali (creazione di un sistema per la protezione ISPD, attestazione), sarà più conveniente attrarre un licenziatario FSTEC, che effettuerà tutti i lavori necessari.
Per le grandi organizzazioni (come operatori di telecomunicazioni, grandi banche, ecc.), è più redditizio ottenere una licenza ed eseguire autonomamente tutto il lavoro necessario.
Viene determinata la procedura per la concessione di una licenza per svolgere attività per la protezione tecnica delle informazioni riservate "Regolamento sulle attività di licenza per la protezione tecnica delle informazioni riservate"(Approvato con decreto del governo della Federazione Russa del 15 agosto 2006 n. 504). Requisiti per ottenere una licenza:
a) la presenza nel personale del richiedente la licenza (licenziatario) di specialisti che hanno un'istruzione professionale superiore nel campo della protezione tecnica dell'informazione o un'istruzione professionale (tecnica) superiore o secondaria e hanno seguito una riqualificazione o una formazione avanzata nella protezione tecnica dell'informazione ;
b) il richiedente la licenza (licenziatario) dispone di locali per lo svolgimento di attività autorizzate che soddisfano gli standard tecnici e i requisiti per la protezione tecnica delle informazioni stabiliti dagli atti normativi della Federazione Russa e gli appartengono in base alla proprietà o su qualsiasi altra base giuridica;
c) disponibilità, su qualsiasi base giuridica, di apparecchiature di produzione, collaudo e controllo e misurazione che siano state sottoposte a verifica metrologica (calibrazione), marcatura e certificazione secondo la legislazione della Federazione Russa;
d) utilizzo di sistemi automatizzati che trattano informazioni riservate, nonché mezzi per proteggere tali informazioni che hanno superato la procedura di valutazione della conformità (certificata e (o) certificata in conformità con i requisiti di sicurezza delle informazioni) in conformità con la legislazione della Federazione Russa;
e) utilizzo di programmi per elaboratori elettronici e banche dati destinati allo svolgimento delle attività oggetto di licenza sulla base di un accordo con l'avente diritto;
f) la disponibilità di atti normativi, documenti normativi e metodologici e metodologici sulla protezione tecnica delle informazioni secondo l'elenco stabilito dal Servizio federale per il controllo tecnico e delle esportazioni.
Fasi della creazione di un PDSD
Secondo Eventi principali sull'organizzazione e il supporto tecnico della sicurezza dei dati personali trattati nei sistemi informativi dei dati personali emessi da FSTEC, la creazione di un sistema di protezione dei dati personali (SZPDn) consiste nelle seguenti fasi:
1 Fase di pre-progettazione
1.1 ispezione dell'oggetto dell'informatizzazione:
- stabilire la necessità di elaborazione PD in ISPD;
- determinazione dell'elenco dei dati personali oggetto di protezione;
- determinazione delle condizioni per l'ubicazione dell'ISPD rispetto ai confini dell'area controllata (KZ);
- determinazione della configurazione e della topologia dell'ISPD nel suo complesso e della sua singoli componenti; collegamenti fisici, funzionali e tecnologici sia all'interno dell'ISPD che con altri sistemi di vario livello e finalità;
- determinazione dei mezzi tecnici e dei sistemi utilizzati nell'ISPD protetto, le condizioni della loro ubicazione;
- definizione di sistema, speciale e applicato strumenti software utilizzato nell'ISPDN protetto;
- determinazione delle modalità di elaborazione delle informazioni nell'ISPD nel suo insieme e nelle singole componenti;
- classificazione dell'ISPD;
- determinazione del grado di partecipazione del personale al trattamento (discussione, trasferimento, conservazione) delle informazioni, della natura della loro interazione reciproca;
- definire e compilare un elenco di vulnerabilità e minacce alla sicurezza delle informazioni, valutando la rilevanza delle minacce alla sicurezza delle informazioni;
- sviluppo di un modello di minaccia privata.
1.2 sviluppo di specifiche tecniche per la creazione di un PDS, che dovrebbe contenere:
- fondatezza della necessità di sviluppare un PDPD;
- dati iniziali di ISPD negli aspetti tecnici, software, informativi e organizzativi;
- classe ISPDN;
- un riferimento ai documenti normativi, tenendo conto che il PDIS sarà sviluppato e accettato in funzione dal PDIS;
- concretizzazione delle attività e dei requisiti per SZPDn;
- un elenco di strumenti certificati per la sicurezza delle informazioni destinati all'uso;
- prova dello sviluppo dei propri mezzi di sicurezza delle informazioni qualora sia impossibile o inopportuno utilizzare i mezzi certificati di sicurezza delle informazioni disponibili sul mercato;
- composizione, contenuto e tempistica del lavoro sulle fasi di sviluppo e attuazione di SZPDn.
2. Fase di progettazione e implementazione di SZPD
2.1 sviluppo di un progetto per la realizzazione di SZPDn;
2.2 sviluppo di misure organizzative e tecniche per proteggere le informazioni in conformità con i requisiti;
2.3 acquisto di mezzi certificati per la sicurezza delle informazioni;
2.4 sviluppo e implementazione di un sistema di autorizzazioni per l'accesso degli utenti e del personale alle informazioni trattate nell'ISPD;
2.5 installazione e configurazione di SRZI;
2.6 determinazione delle divisioni e dei responsabili del funzionamento dei mezzi di sicurezza delle informazioni, formazione dei soggetti designati nello specifico del lavoro per la protezione dei dati personali;
2.7 sviluppo di documentazione operativa per ISPDN e strumenti di sicurezza delle informazioni, nonché documentazione organizzativa e amministrativa per la protezione delle informazioni (regolamenti, ordini, istruzioni e altri documenti);
2.8 attuazione di altre misure volte alla protezione delle informazioni.
3. Fase di messa in servizio del PDSD
3.1 funzionamento di prova degli strumenti di sicurezza delle informazioni in combinazione con altri strumenti tecnici e software al fine di verificarne le prestazioni nell'ambito dell'ISPD;
3.2 test di accettazione degli strumenti di sicurezza delle informazioni basati sui risultati dell'operazione di prova con l'emissione di un certificato di accettazione;
3.3 Valutazione della conformità dell'ISPD ai requisiti di sicurezza delle informazioni - certificazione (dichiarazione) per i requisiti di sicurezza delle informazioni.
4. Manutenzione e manutenzione del sistema di sicurezza delle informazioni
Documentazione organizzativa e amministrativa per la protezione dei dati personali
Oltre alle soluzioni tecniche il sistema in fase di creazione protezione dei dati personali, l'operatore deve garantire lo sviluppo di documenti organizzativi e amministrativi che regolino tutte le questioni emergenti di garantire la sicurezza dei dati personali durante il loro trattamento nell'ISPD e il funzionamento del PDS. Ci sono molti di questi documenti, i principali sono:
1. Normativa per la tutela della sicurezza dei dati personali - abbiamo già accennato all'inizio dell'articolo sulle finalità e sulla composizione del presente documento. Per ogni evenienza, lo ripeteremo: dovrebbe indicare:
Finalità e obiettivi in materia di protezione dei dati personali;
Il concetto e la composizione dei dati personali;
In quali divisioni strutturali e su quali supporti (cartacei, elettronici) vengono accumulati e archiviati questi dati;
Come avviene la raccolta e la conservazione dei dati personali;
Come vengono elaborati e utilizzati;
Chi (per qualifica) all'interno dell'azienda vi ha accesso;
Principi di protezione PD, anche da accessi non autorizzati;
Diritti dei dipendenti al fine di garantire la protezione dei loro dati personali;
Responsabilità della divulgazione di informazioni riservate relative ai dati personali dei dipendenti.
2. Organizzare il sistema di ammissione e registrazione delle persone ammesse a lavorare con PD in ISPD, - Elenco delle persone ammesse al trattamento PD (elenco delle posizioni di coloro che hanno bisogno di accedere al PD per svolgere le proprie funzioni ufficiali) e Matrice di accesso ( dovrebbe riflettere l'autorità degli utenti sull'attuazione di azioni specifiche in relazione a risorse informative specifiche dell'ISPD - lettura, scrittura, correzione, cancellazione). Entrambi i documenti sono approvati dal capo.
3. Un modello di minaccia privato (se sono presenti più ISPD, viene sviluppato un modello di minaccia per ciascuno di essi) - viene sviluppato sulla base dei risultati di un'indagine preliminare. FSTEC della Russia offre Modello base minacce alla sicurezza dei dati personali durante il loro trattamento nei sistemi informativi dei dati personali, secondo cui, quando si crea un modello privato, si dovrebbe considerare quanto segue:
Minacce di fuga di informazioni attraverso canali tecnici;
Minacce di accesso non autorizzato associate alle azioni dei trasgressori che hanno accesso all'ISPD, realizzando minacce direttamente nell'ISPD. Allo stesso tempo, è necessario considerare gli utenti legali dell'ISPD come potenziali trasgressori;
Minacce di accesso non autorizzato associate alle azioni di trasgressori che non hanno accesso a ISPD, realizzando minacce da reti di comunicazione pubbliche esterne e (o) reti internazionali di scambio di informazioni.
Il modello di minaccia sviluppato è approvato dal capo.
4. Sulla base del modello approvato delle minacce all'ISPD, è necessario sviluppare requisiti per garantire la sicurezza della PD durante l'elaborazione in ISPD. I requisiti, come il modello di minaccia, sono un documento indipendente che deve essere approvato dal capo dell'organizzazione.
Per sviluppare un modello di minacce e requisiti, è consigliabile che l'operatore coinvolga specialisti dei licenziatari FSTEC.
5. Istruzioni per garantire la sicurezza della PD durante l'elaborazione in ISPD.
Inoltre, prima di adottare tutte le misure per proteggere la PD, l'operatore deve nominare un funzionario o (se il PDIS è abbastanza grande) un'unità strutturale responsabile di garantire la sicurezza della PD. La decisione sulla nomina è formalizzata con ordinanza del capo. I compiti, le funzioni ei poteri del funzionario (dipartimento) preposto alla sicurezza del PD sono determinati da documenti organizzativi e amministrativi interni (descrizione delle mansioni, regolamenti).
Cosa deve essere certificato e cosa no?
Spesso si pensa erroneamente che tutto il software (software) utilizzato debba essere certificato e che la certificazione sia costosa e dispendiosa in termini di tempo.
Tuttavia, nessuno dei documenti sulla regolamentazione delle questioni relative alla protezione dei dati personali dice che tutto il software deve essere certificato. I mezzi di sicurezza delle informazioni devono essere certificati secondo i requisiti del FSTEC della Russia, ma in nessun modo sistema, applicazione o software speciale che non partecipi alla protezione di ISPD.
Igor Nazarov:...la certificazione per il controllo dell'assenza di NDV riguarda la funzionalità di sicurezza, ovvero i mezzi di protezione, e non tutto Software, che viene utilizzato nel sistema informativo (http://www.connect.ru/article.asp?id=9406).
Oggi, i documenti FSTEC, che possono essere visualizzati sul sito Web del Servizio federale per il controllo tecnico e delle esportazioni, ci dicono quanto segue:
In ISPDN dovrebbero essere utilizzati solo mezzi tecnici e sistemi di sicurezza certificati in conformità con i requisiti di sicurezza delle informazioni.
Eventi principali ...
Clausola 4.2:... nell'ISPD, dovrebbe essere effettuato un controllo per la presenza di capacità non dichiarate nel software e nel firmware e un'analisi della sicurezza del sistema e del software applicativo.
Clausola 4.3: Per il software utilizzato per proteggere le informazioni in ISPD (strumenti di sicurezza delle informazioni, compresi quelli integrati nel sistema generale e nel software applicativo), dovrebbe essere fornito un livello di controllo appropriato per l'assenza di NDV in esso.
Pertanto, non è necessario certificare il sistema e il software applicativo se non partecipa al processo di protezione delle informazioni - questo può essere fatto su richiesta dell'operatore.
La pratica della creazione di sistemi di protezione dei dati personali mostra che è necessario utilizzare software con licenza (sistema, applicativo e software speciale) e sicurezza delle informazioni certificata e protezione antivirus(questo può essere un SRI dal NSD, prodotti antivirus, firewall, strumenti di rilevamento delle intrusioni, strumenti di analisi della sicurezza, appropriati una certa classe). Se l'ISPD è impostato mezzi crittografici protezione delle informazioni (CIP), quindi devono anche essere certificati secondo i requisiti dell'FSB della Russia.
Va notato che solo il licenziatario dell'FSTEC ha il diritto di installare SRZI certificato e il licenziatario dell'FSB ha il diritto di installare ICZI.
Attestazione
La fase finale della creazione di un sistema per la protezione dell'ISPD dovrebbe essere la certificazione (dichiarazione di conformità) - un insieme di misure organizzative e tecniche, a seguito delle quali, attraverso documento speciale- Il Certificato di Conformità (Conclusione) conferma che l'ISPDn è conforme ai requisiti degli standard o di altri documenti normativi e metodologici sulla sicurezza delle informazioni. La presenza di un Certificato di Conformità valido dà diritto a trattare le informazioni con un livello di riservatezza adeguato per il periodo di tempo specificato nel Certificato di Conformità.
Domanda: Chi può certificare i luoghi di lavoro per la conformità ai requisiti della legislazione e dei documenti normativi in materia di dati personali?
Igor Nazarov: I licenziatari FSTEC che dispongono di una licenza per la protezione tecnica delle informazioni riservate (http://www.connect.ru/article.asp?id=9406) hanno il diritto di certificare ISPD per la conformità ai requisiti di sicurezza delle informazioni.
La certificazione prevede un controllo completo (prove di certificazione) dell'ISPD in condizioni operative reali al fine di valutare la conformità dell'insieme delle misure di protezione adottate al livello di sicurezza PD richiesto.
V vista generale La certificazione ISPD per i requisiti di sicurezza delle informazioni comprende le seguenti fasi:
Analisi dei dati iniziali sull'ISPD attestato;
Conduzione di una perizia di ISPD e analisi della documentazione sviluppata per garantire la sicurezza della PD per la conformità ai requisiti dei documenti normativi e metodologici;
Condurre test di certificazione completi di ISPD in condizioni operative reali utilizzando speciali apparecchiature di controllo e software per monitorare la sicurezza contro l'accesso non autorizzato;
Analisi dei risultati dei test di attestazione completi, esecuzione e approvazione della Conclusione e del Certificato di conformità sulla base dei risultati dell'attestazione.
Un punto importante è che in caso di modifica delle condizioni e della tecnologia di elaborazione del PD, l'operatore deve informare l'organizzazione licenziataria che ha effettuato la certificazione del PDIS. Successivamente, l'organizzazione licenziataria decide sulla necessità di verifica aggiuntiva efficienza del sistema di protezione ISPDN.
Responsabilità e rischi per il mancato rispetto dei requisiti di legge
Se i requisiti per garantire la sicurezza dei dati personali non sono soddisfatti, l'operatore può affrontare rischi di cause civili da parte di clienti o dipendenti.
Ciò, a sua volta, può intaccare la reputazione dell'azienda, nonché portare alla sospensione forzata (cessazione) del trattamento dei dati personali, portando l'azienda e (o) il suo capo a responsabilità amministrative o di altro tipo, e a determinate condizioni - alla sospensione o revoca delle licenze. Inoltre, secondo la legge federale, le persone colpevoli di violazione dei requisiti hanno responsabilità civili, penali, amministrative, disciplinari e altre previste dalla legislazione della Federazione Russa ( articolo 24 FZ-152):
Disciplinare (Codice del lavoro della Federazione Russa, articoli 81, 90, 195, 237, 391);
Amministrativo (Codice della Federazione Russa sugli illeciti amministrativi, articoli 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);
Penale (Codice Penale della Federazione Russa, Articoli 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).
Un insieme di misure di diversa natura, attuate per contrastare attivamente possibili accessi non autorizzati ai dati personali, costituito da misure di gestione, mezzi di protezione hardware efficacemente operativi, costituisce la base di un Sistema di Protezione dei Dati Personali (PDS) effettivamente funzionante.
Lo scopo dell'introduzione di un insieme di misure affidabile è:
Esatto rispetto dei requisiti del regolatore in merito al rispetto delle disposizioni della legge federale "Sulla protezione dei dati personali", delle disposizioni dello statuto approvato che garantiscono il corretto livello di sicurezza per i dati personali utilizzati;
Sviluppo di istruzioni che prescrivono l'esecuzione certe regole quando si converte il PD usato, garantendone la protezione.
- Compiti da risolvere
- Equipaggiamento utilizzato
- Applicazioni
Lo sviluppo e l'implementazione di un sistema di protezione dei dati personali (PDS) è una serie di misure tecniche e gestionali volte a fornire una protezione completa delle informazioni riconosciuta dalla legge federale del 27.07. 2006 N 152-FZ dati personali.
L'operatore, che sono agenzie governative e imprese commerciali che svolgono azioni per collaborare con PD, è interessato al loro trattamento sicuro, riconoscendo così la necessità di implementare un sistema di sicurezza.
Tenendo conto dell'esperienza accumulata durante l'attuazione dei progetti per la creazione di SZPD, sembra possibile determinare una serie di importanti vantaggi dall'implementazione del sistema:
In primo luogo c'è una drastica riduzione dei rischi legali e reputazionali derivanti dalla non conformità legislazione vigente riguardo alla sicurezza dei dati personali.
Il secondo punto importante è il fatto che la costruzione scientificamente fondata del sistema di sicurezza consente di elaborare i dati personali di dipendenti e clienti senza timore per la loro sicurezza. Questo può diventare un potente vantaggio competitivo quando si tratta di informazioni riservate di individui e informazioni destinate esclusivamente all'uso ufficiale (interno). Un SZPDn ben costruito affronta facilmente le minacce più comuni: blocca l'impatto del malware, previene il furto dei database dei clienti, pratica spesso praticata dai dipendenti licenziati.
Il terzo fattore che motiva l'implementazione di un efficace sistema di protezione dei dati personali è la creazione dell'immagine aziendale di un partner affidabile a cui affidarsi per garantire la riservatezza dei dati personali.
Come sottolineano gli analisti, i frequenti scandali legati alla fuga di informazioni riservate costringono a prestare attenzione al sistema di sicurezza nella scelta della controparte partner. Stanno già diventando comuni accordi di partnership o condizioni di gara, in cui è richiesto di fornire il rispetto documentato del PDPD alla normativa vigente.
Non va dimenticato che un PDS efficace garantisce la continuità di tutti i processi aziendali nell'azienda stessa, elimina la probabilità di reclami dei clienti, reclami giustificati da parte dei dipendenti e istruzioni formidabili delle autorità di vigilanza del regolatore.
Fasi di lavoro da portare a norma 152-FZ
1. Inventario, analisi completa dello stato delle strutture informative coinvolte nell'elaborazione del PD.
Tale audit pre-progetto fornisce informazioni oggettive sui processi coinvolti nel trattamento dei dati personali in azienda e sulle misure per proteggerli. Gli specialisti di Open Vision verificano obbligatoriamente tutta la documentazione del servizio, la regolarità delle misure adottate, sviluppate per soddisfare i requisiti del quadro giuridico in merito alla sicurezza dei dati riservati utilizzati nel lavoro.
2. Creazione del concetto di un sistema di sicurezza utilizzato per la sicurezza dei dati personali, fornendo al cliente raccomandazioni ragionevoli per ottimizzare il trattamento dei dati personali, garantendo la sicurezza delle informazioni riservate.
In questa fase del lavoro, specialisti qualificati valutano possibili opzioni l'attuazione del progetto, determinare i punti di partenza per la sua attuazione, impostare alcune restrizioni sulla scala del progetto in corso di attuazione. Vengono identificati i problemi principali, viene creata la logica per le soluzioni proposte. I clienti ricevono un elenco degli elementi software e hardware del complesso di sicurezza informatica in fase di sviluppo, con l'indicazione obbligatoria del costo per ogni articolo.
3. Chiarimento livello reale Sicurezza PD
Nel corso del lavoro si determina la possibile tipologia di minacce ai dati personali protetti, con riferimento ad uno specifico sistema informativo, si specifica la composizione prevista dei dati personali, l'eventuale numero di soggetti. Tenendo conto dell'intero volume di informazioni ricevute, viene determinato lo stato reale del sistema di sicurezza dei dati personali.
4. Sviluppo di un modello delle possibili minacce al sistema di sicurezza PD, creazione di un modello di un attaccante
Il documento fornito al cliente è un elenco sistematizzato di possibili minacce alla sicurezza dei dati personali quando si lavora con loro nei sistemi di informazione sui dati personali (ISPDN). Minacce alla sicurezza dei dati personali (UBPDn) possono sorgere a seguito di azioni dolose o accidentali di individui, attività di servizi speciali stranieri o organizzazioni specializzate in spionaggio, gruppi criminali specializzati che preparano un hacking della sicurezza dei dati personali, che influenzeranno il diritti e libertà sia della società che dello stato o dei cittadini...
5. Sviluppo del capitolato d'oneri per la costruzione di SZPDn
Il capitolato d'oneri privato per la costruzione di una SZPD per una specifica struttura informativa ne determina lo scopo, gli obiettivi perseguiti, i requisiti per l'attività tecnica e supporto organizzativo, un piano per lo sviluppo e la creazione diretta di SZPDn.
6. Creazione del progetto SZPD
Creato in questa fase di attuazione del PDPD documentazione del progetto prevede un lavoro che tenga conto degli standard di sicurezza dei dati ad accesso limitato prescritti dalle disposizioni normative.
7. Sviluppo della documentazione organizzativa e amministrativa
L'insieme dei documenti che prescrivono le regole per il trattamento, a tutela dei dati personali, è costituito da decine di istruzioni organizzative e amministrative necessarie per adeguare tutti i processi per il lavoro e la sicurezza dei dati personali agli standard della normativa vigente.
8. Fornitura di software e hardware per la protezione delle informazioni
Il cliente viene fornito con elementi software e hardware per l'implementazione di PDS, che sono stati testati e soddisfano i requisiti delle leggi della Federazione Russa in materia di misure di sicurezza delle informazioni.
9. Installazione, configurazione del sistema di sicurezza delle informazioni
In questa fase di implementazione di SZPD, viene installata l'attrezzatura, viene installato il software, con le impostazioni appropriate. A seguito del lavoro svolto, il cliente riceve un insieme di strumenti di sicurezza delle informazioni compatibili con la struttura informativa utilizzata per lavorare con PD.
10. Valutazione dell'efficacia delle misure adottate per creare una protezione efficace dei dati personali
La determinazione dell'efficacia delle misure di sicurezza sviluppate per i dati riservati viene effettuata prima dell'avvio dell'operatività del PDPD. Il test di prova di un sistema commerciale è richiesto ogni 3 anni.
11. Certificazione dell'ISPD utilizzato per la conformità ai moderni requisiti di sicurezza delle informazioni
La certificazione ISPDn comprende un insieme di controlli organizzativi e tecnici (test di certificazione) volti a confermare il rispetto dei requisiti di sicurezza delle informazioni. Previsto per le agenzie governative.
Uno dei segmenti in rapido sviluppo del mercato IT domestico è il commercio su Internet, dovuto alla semplicità tecnica dell'implementazione. di questo progetto, trasparenza dei processi aziendali. L'e-commerce è riconosciuto come un tipo di attività efficace e promettente.
I temi della sicurezza informatica delle imprese su Internet non perdono la loro rilevanza, anzi, il numero di attacchi hacker le più grandi istituzioni finanziarie che investono enormi quantità di denaro in sistemi di protezione richiedono un'azione tempestiva. Ecco come raggiungere questo obiettivo, e anche con un livello di costi accettabile.
Tanti, soprattutto su stato iniziale, non hanno la capacità di sottrarre alla circolazione somme significative investendole in sistemi di sicurezza informatica. Il business è nuovo, le possibili "insidie" non sono note e le specificità del business su Internet presuppongono cambiamenti costanti.
Di conseguenza, viene creato un sistema di sicurezza, ma viene sviluppato "per conoscenza" o viene effettuato un ordine a un libero professionista, nella migliore delle ipotesi, uno studio web ufficialmente registrato. Inoltre, l'acquisizione di una soluzione già pronta non può essere considerata una garanzia di un serio livello di sicurezza, poiché vi sono problemi di integrazione nell'infrastruttura IT già esistente.
O forse dovresti pensare se tali sistemi forniscono davvero il giusto livello di sicurezza? L'imprenditore stesso ha le qualifiche necessarie per determinare il livello di formazione degli "shabashnik di Internet"? Può tale lavoro minimizzare? possibili rischi? Sfortunatamente, nella maggior parte dei casi, la risposta è no.
Anche se da parte del consumatore non c'è molto requisiti rigorosi per quanto riguarda la sicurezza dei dati personali che trasferisce al negozio online al momento dell'acquisto, questo non può fungere da indicatore principale per la scelta delle modalità di organizzazione del trattamento e della conservazione di tali informazioni riservate. L'acquirente non ha affatto la possibilità di valutare l'efficacia della protezione dei suoi dati personali. Sì, questo, per il momento, non disturba particolarmente, poiché i prezzi interessanti, una descrizione della merce ben fatta, la consegna preferenziale, raggiungono l'obiettivo.
La maggior parte del pubblico che acquista non si chiede nemmeno dove invia i propri dati personali. O si tratta di un imprenditore individuale o di un imprenditore privato che sviluppa la propria attività su Internet. Oppure è la divisione web di un grande rivenditore di elettronica di consumo. Naturalmente, l'atteggiamento nei confronti della sicurezza delle informazioni in una grande rete commerciale è più rigoroso di quello di un imprenditore, che a volte deve consegnare autonomamente merci ai clienti.
È interessante notare che, nonostante la minaccia sempre crescente di furto di informazioni riservate, la fiducia nel commercio su Internet è in costante crescita. L'acquirente inserisce le informazioni su se stesso, compilando il modulo d'ordine, a volte senza nemmeno preoccuparsi di come lo gestiranno i dipendenti del negozio. O forse non è tanto richiesto per i processi aziendali esistenti?
La ridondanza risultante dei dati richiesti rientra proprio nell'FZ-152, poiché esiste una discrepanza tra la natura e il volume delle informazioni ricevute compiti esistenti la sua elaborazione per i processi aziendali forniti nel negozio online.
Il livello tecnico di sviluppo del moderno commercio su Internet consente di assumere l'uso di sistemi CRM, grazie ai quali è possibile salvare i dati sul cliente per la successiva interazione con lui e la proposta di un nuovo prodotto. Ma è necessario per il livello di interazione post vendita con l'acquirente?
Secondo FZ-152 informazione personale possono essere conservati solo per il periodo di tempo necessario al loro trattamento. Dopo un acquisto o un rifiuto, tutti i dati personali dovrebbero essere distrutti, poiché la loro conservazione non corrisponde alle specificità dei processi aziendali in corso. Non c'è dubbio che praticamente nessuno lo fa.
FZ-152 contiene disposizioni che minacciano l'esistenza stessa del commercio su Internet. Qualsiasi organismo di ispezione può richiedere al proprietario di un negozio online di fornire esattamente il permesso scritto di un cittadino per utilizzare i suoi dati personali nel lavoro. Nessuno fornisce tale autorizzazione per iscritto, il massimo è limitato a un segno sulla familiarità con le regole del negozio.
Poiché non è previsto un contatto diretto in termini di commercio via Internet, ad eccezione dell'incontro dell'acquirente con un corriere per la consegna della merce, la conformità alla Legge federale 152 può essere ottenuta solo depersonalizzando i dati personali dei consumatori e ciò richiede l'adeguamento dei processi aziendali esistenti.
Indubbiamente strumento conveniente i portali aziendali sono ragionevolmente riconosciuti come facilitatori di accesso ai vari servizi informativi dell'azienda. Con una rete sviluppata di filiali e uffici situati a grande distanza dalla sede centrale, un numero significativo di partner commerciali, il mezzo di comunicazione ottimale è una connessione VPN con un livello di sicurezza adeguato. La scelta di una soluzione così high-tech, tuttavia, è piuttosto costosa e non alla portata di tutte le aziende. In assenza di fondi gratuiti per una connessione sicura, più di in modo semplice work è un punto di accesso da Internet.
Una caratteristica del portale aziendale, anche considerando diverso livello infrastruttura, è l'archiviazione di entrambe le informazioni riservate di dipendenti, clienti dell'azienda e partner commerciali entità legale e il collocamento di informazioni finanziarie della società stessa, la cui divulgazione potrebbe essere dannosa. L'organizzazione efficace di tutti i processi di trattamento dei dati personali dovrebbe tenere conto del fatto che le finalità e le modalità del trattamento dei dati sono diverse per ciascun sottogruppo di soggetti. È un approccio differenziato alla trasformazione dei dati riservati che dovrebbe essere incorporato nel concetto di sicurezza aziendale.
Non c'è dubbio che la situazione finanziaria della società che crea portale aziendale, consente di attirare programmatori esperti per lavoro o acquistare una soluzione già pronta e ripetutamente testata. Tuttavia, non va dimenticato che la sicurezza del codice non è l'unico parametro a cui prestare attenzione quando si sviluppa un sistema di sicurezza delle informazioni efficace. Di nell'insieme, la sicurezza delle informazioni dovrebbe essere riconosciuta dalla direzione aziendale come parte integrante sistema comune sicurezza.
Negli ultimi anni, il numero di utenti dei social network più diffusi su Runet è cresciuto a un ritmo senza precedenti, superando i 50 milioni. La colossale quantità di dati personali accumulata nei social network richiede un controllo appropriato, suggerito dalle norme di FZ-152.
Nonostante la prima impressione che le informazioni disponibili nei social network possano essere considerate "disponibili al pubblico", ogni anno il crescente volume di dati viene classificato per legge come "dati personali riservati".
I fatti di furto dai social network di account non sono rari all'estero e in Russia. Centinaia di migliaia di account sono esposti ai criminali informatici. Il numero di attacchi di hacker sui social network non sta diminuendo, gli esperti notano la costante attenzione del cybercrime verso questa parte di Internet.
Gli schemi fraudolenti socialmente orientati hanno un grande potenziale, poiché utilizzano attacchi di pharming, invio di spam e phishing per i propri scopi. Tutto questo insieme di strumenti della moderna criminalità informatica può portare al furto di dati riservati, facilitato dalla credulità e dall'inesperienza delle persone. Gli amministratori dei social network sono tenuti a svolgere un monitoraggio costante, individuando gli incidenti, eliminandone le conseguenze.
Il servizio di Internet banking sta diventando sempre più popolare nel settore bancario russo, diverse dozzine di istituti finanziari forniscono completamente un servizio simile... Ciò è dovuto sia alla mancanza di una piattaforma di integrazione unificata sia all'insufficiente livello di automazione di molte istituzioni.
Come le comuni applicazioni web, i servizi di Internet banking ei sistemi di pagamento elettronico si basano su un'architettura client-server comune. Si riconosce che l'“anello debole” di tale interazione è proprio l'utente e i dispositivi con cui gestisce il proprio account.
Purtroppo il consumatore non è in grado di valutare oggettivamente tutti i rischi che inevitabilmente si presentano durante la gestione conto bancario a distanza. Per non parlare dell'adozione di adeguate misure di sicurezza. Pertanto, le banche dovrebbero riempire la conoscenza dei clienti su questi temi.
È interessante notare che i criminali informatici spesso concentrano la loro attenzione sull'Internet banking non allo scopo di rubare fondi, poiché gli istituti finanziari forniscono la massima sicurezza delle transazioni, ma al fine di ottenere l'accesso ai dati personali del cliente. È grazie a questo che gli schemi fraudolenti diventano possibili con carte bancarie, altri metodi di furto finanziario. Molti esperti credono che sul mercato nero ingresso semplice sugli account dei clienti ha il suo valore.
Le statistiche mostrano chiaramente che la creazione e il funzionamento del servizio di Internet banking in molte strutture non è conforme alle norme e alle regole del settore. Molto spesso, ogni istituto finanziario era impegnato nello sviluppo in modo indipendente e gli standard esistenti erano solo di natura consultiva.
L'inizio di FZ-152 ha creato problemi significativi per molte banche, poiché il controllo del regolatore sulla sicurezza dei dati personali si sta rafforzando, il che richiede il miglioramento dei sistemi di sicurezza esistenti. Non importa quanto duramente l'associazione delle banche abbia cercato di posticipare l'inizio di FZ-152, è diventato necessario conformarsi alle sue disposizioni.
