19 ianuarie 2009 15:59

Andrei Șcerbakov

După publicarea Decretului Guvernului Federației Ruse nr. 781 „Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal” din 17 noiembrie 2007 și un ordin comun Serviciul Federal pentru controlul tehnic și al exporturilor, Serviciul Federal de Securitate al Federației Ruse și Ministerul tehnologia Informatieiși comunicările Federației Ruse din 13 februarie 2008 Nr. 55/86/20 „Cu privire la aprobarea procedurii de clasificare sisteme de informare date cu caracter personal” (denumită în continuare „Procedura...”) înainte de dezvoltarea și funcționarea sistemelor informatice (IS) care prelucrează date cu caracter personal, au apărut două întrebări aproape Hamlet:

● cum se clasifică IS conceput pentru a proteja datele personale;

● cum să alegeți instrumentele de securitate a informațiilor pentru a proteja datele personale în aceste sisteme.

„Ordinul...” precizează că „se realizează clasificarea sistemelor informaţionale organisme guvernamentale, autoritățile municipale, persoanele juridice și persoanele fizice care organizează și (sau) desfășoară prelucrarea datelor cu caracter personal, precum și determină scopurile și conținutul prelucrării datelor cu caracter personal. Aceasta înseamnă că datele personale (PD) le clasifică proprietar, care reprezintă un ajutor serios pentru o alegere obiectivă a metodelor și mijloacelor de protejare a datelor cu caracter personal și creează o bază obiectivă pentru un dialog cu organele de control asupra caracterului adecvat al măsurilor luate în organizație pentru protecția datelor cu caracter personal.

La clasificarea IP destinată prelucrării datelor cu caracter personal, se iau în considerare următoarele date inițiale:

● volum PD prelucrat (numărul de subiecți ale căror date cu caracter personal sunt prelucrate în IS);

● caracteristicile de securitate ale datelor cu caracter personal prelucrate în IS stabilite de proprietarul sistemului informatic;

● structura sistemului informatic;

● disponibilitatea conexiunilor IS la rețelele de comunicații uz comunși (sau) rețele internaționale schimb de informatii;

● Mod procesare PD;

● modul de diferențiere a drepturilor de acces ale utilizatorilor sistemului informațional;

● locație mijloace tehnice ESTE.

În primul rând, să definim ceea ce se referă la datele personale. Acestea sunt informații de natură diferită despre anumite persoane. Rețineți că vorbim doar despre informații în formular electronic introduse, stocate, prelucrate și transmise în sistemul informațional. Aceste informații se încadrează în patru categorii principale:

De exemplu, numai un nume de familie sunt date din categoria a 4-a, o combinație de nume de familie și o adresă este a treia, un nume de familie, adresă, numere de asigurări și carduri sunt a doua, iar dacă la aceste date se adaugă un card medical electronic, atunci datele personale rezultate aparțin exclusiv primei categorii.

Pe baza acestei clasificări, se poate afirma că orice date medicale, precum și fișele de personal care conțin coloana „naționalitate” (și acestea sunt aproape toate chestionarele actuale și foi personaleîn uz curent) ar trebui să fie atribuite primei categorii. De asemenea, este clar că bucățile de date cu caracter personal au aproape întotdeauna o categorie mai mică decât totalitatea lor. Chiar Detalii despre sănătatea unui individ poate fi lipsit de sens dacă numele lui sau alte date nu sunt cunoscute care leagă fără ambiguitate aceste informații la pacient.

Volumul PD procesat poate lua următoarele valori:

1 - IS prelucrează simultan date cu caracter personal ale a peste 100.000 de subiecți sau date cu caracter personal ale subiecților din regiunea Federației Ruse sau Federația Rusăîn general; ·

2 - IS prelucrează simultan date cu caracter personal de la 1.000 până la 100.000 de subiecți sau date cu caracter personal ale subiecților care lucrează în sectorul economiei Federației Ruse, într-o autoritate publică cu reședința într-un municipiu;

3 - datele cu mai puțin de 1000 de subiecți sau datele personale ale subiecților unei anumite organizații sunt prelucrate simultan în IS.

În funcție de caracteristicile de securitate ale PD procesate în sistemul informațional, SI sunt împărțite în standard și speciale. Primele sunt sistemele informatice care necesită doar intimitate date personale.

Caracteristica „confidenţialitate” înseamnă că numai persoana căreia îi sunt destinate poate gestiona (introduce, stoca, procesa şi transmite) electronic PD. Pentru a asigura confidențialitatea la transmiterea datelor cu caracter personal în rețele, inclusiv pe Internet, este necesară utilizarea criptării datelor.

Sistemele informatice speciale sunt astfel de sisteme informatice în care, indiferent de necesitatea asigurării confidențialității PD, este necesar să se asigure cel puțin una dintre caracteristicile de securitate ale datelor cu caracter personal, altele decât confidențialitatea (de exemplu, integritatea sau disponibilitatea). Caracteristica de „integritate” înseamnă că datele cu caracter personal ar trebui să se modifice doar într-o manieră reglementată, de exemplu, doar un medic autorizat poate face modificări la dosarul electronic de fișă medicală, iar în orice alte cazuri, informațiile din fișa medicală nu ar trebui să se modifice. Atunci când este transmis prin rețele, integritatea este asigurată prin utilizarea electronică semnatura digitala.

Caracteristica „disponibilitate” înseamnă că lucrul cu PD trebuie furnizat pentru o anumită cantitate de date și utilizatori, cu respectarea limitelor de timp stabilite. Cu alte cuvinte, „disponibilitatea” este o altă formulare a fiabilității sistemului. De asemenea, menționăm că este aproape lipsit de sens să vorbim despre disponibilitatea în rețelele deschise - niciun furnizor nu va oferi acces garantat la date sau transmiterea lor neîntreruptă.

Sistemele informatice specializate includ:

● IS în care sunt prelucrate date cu caracter personal referitoare la starea de sănătate a subiecților; ·

● IS, care prevăd adoptarea, în baza exclusivă a prelucrării automate a datelor cu caracter personal, a unor decizii care dau naștere la consecințe juridice în raport cu subiectul sau îi afectează în alt mod drepturile și interesele legitime.

Conform structurii, sistemele informatice pentru procesarea PD sunt împărțite în:

● autonom (neconectat la alte IS) destinat prelucrării datelor cu caracter personal (stație de lucru); ·

● către complexe de stații de lucru automatizate combinate într-un singur IS prin intermediul comunicațiilor fără utilizarea tehnologiei acces de la distanță(sisteme informaționale locale); ·

● către complexe de staţii de lucru şi (sau) sisteme informaţionale locale, unite într-un singur sistem informaţional prin intermediul comunicaţiilor folosind tehnologia de acces la distanţă (sisteme informaţionale distribuite).

În funcție de prezența conexiunilor la rețelele publice de comunicații și (sau) a schimbului internațional de informații, IS-urile sunt împărțite în sisteme care au conexiuni care nu au conexiuni.

Pe baza faptului că este obligatoriu să se asigure confidențialitatea datelor, putem distinge elementele necesare sistem informatic pentru prelucrarea datelor cu caracter personal.

În primul rând, sistemul informațional trebuie să identifice utilizatorii și să poată seta permisiuni individuale pentru ca utilizatorii să acceseze PD, adică să aibă sisteme de identificare și autentificare și control al accesului.

În al doilea rând, este necesar să se asigure protecția datelor cu caracter personal care pot fi înstrăinate din sistem. De exemplu, ar trebui să controlați transferul de informații pe medii amovibile. Este foarte probabil ca în unele cazuri să fie necesar să se țină cont de posibilitatea de furt și pierdere (pierdere) tehnologia calculatoarelor cu date personale. În acest caz, este obligatorie și criptarea PD-ului stocat pe mediul computerului.

Dacă sistemul are conexiuni la rețele deschise sau prevede schimbul de date, utilizarea criptării datelor și a semnăturii digitale electronice este obligatorie, precum și asigurarea protecției împotriva atacurilor de la rețele externe inclusiv protecție antivirus.

pentru criptare și semnatura electronica se folosesc chei și certificate, care sunt generate de utilizatorii înșiși și înregistrate în așa-numitele centre de certificare.

Foarte punct important- înregistrarea acțiunilor cu PD, care, pe de o parte, vă permite să identificați cei responsabili pentru scurgerea acestora și, pe de altă parte, creează motivație psihologică pentru funcţionare corectă cu ei.

Un sistem informatic pentru procesarea PD i se poate atribui una dintre următoarele clase:

● clasa 1 (K1) - IS pentru care încălcarea caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative semnificative pentru persoanele vizate;

● clasa 2 (K2) - IS pentru care încălcarea caracteristicii de securitate specificate a PD prelucrate în acestea poate duce la consecințe negative pentru persoanele vizate;

● clasa 3 (K3) - IS pentru care încălcarea caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative minore pentru persoanele vizate;

● clasa 4 (K4) - IS pentru care încălcarea caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea nu duce la consecințe negative pentru persoanele vizate.

Tabelul 1.

	Clasa IP în funcție de volumul PD procesat

În primul rând, din „Ordinul...” urmează existența categorii date personale. Este logic de implementat agregare baza de date într-un IS care conține PD în părți care nu se suprapun și care conțin date de diferite categorii. De asemenea, IS-ul pentru procesarea PD ar trebui să fie împărțit în contururi, conținând o singură categorie de date. Este foarte posibil să faci asta pentru că indivizii sunt identificate în mod unic printr-un număr de pașaport sau TIN sau un număr de poliță de asigurare medicală, care permite indexarea fără ambiguitate a bazelor de date medicale și a altor matrice. Astfel, este necesar să se respecte principiul că în fiecare circuit IP pentru prelucrarea datelor cu caracter personal este necesar să se utilizeze mijloace certificate dintr-o clasă, iar contururile ar trebui să fie izolat unul de altul.

Se poate afirma că majoritatea sistemelor informaționale pentru prelucrarea DP (în special în scopuri medicale) vor special, adică trebuie să asigure nu numai confidențialitatea, ci și integritate fără greșeală și alte caracteristici de siguranță și fiabilitate.

Când distribuite IS pentru prelucrarea datelor cu caracter personal, chiar dacă este necesar să se furnizeze numai intimitateîn conformitate cu „Comanda...” va fi cerută fără greșeală protecția PD transferate și stocate. Acest lucru respectă pe deplin cerințele actuale ale Serviciului Federal de Securitate al Federației Ruse pentru sistemele informatice automatizate concepute pentru a proteja informații confidențiale, nu o componentă secret de stat, și anume, prevederea că „toate informațiile confidențiale transmise prin canalele de comunicare trebuie protejate; informațiile transmise prin canalele de comunicare trebuie să fie criptate folosind mijloace protecţie criptografică(CIPF) sau canale de comunicare securizate trebuie utilizate pentru transmiterea acesteia. Protecția informațiilor înregistrate pe suporturi înstrăinabile trebuie efectuată.

Ultima cerință este cu siguranță aplicabilă pentru PD-urile IS izolate care nu au canale pentru transmiterea PD, adică pentru locurile de muncă individuale care prelucrează date cu caracter personal.

Aceasta înseamnă că, pentru a prelucra datele cu caracter personal, IS trebuie să fie certificat conform unei clase nu mai mici decât AK2 în clasificarea FSB al Federației Ruse. De exemplu, Windows XP protejat cu pachetul de servicii Secure Pack Rus corespunde acestei clase. Compoziția mijloacelor de protecție ar trebui să includă mijloace de protecție a informațiilor criptografice (CIPF) de o clasă nu mai mică de KS2.

Pe baza acestui fapt, pentru orice IS PD care prelucrează PD din categorii peste a 4-a (care va include cu siguranță toate sistemele de procesare PD medicale), va fi necesar să se efectueze toate cerințele clasei AK2în clasificarea FSB al Federației Ruse.

Din arhitectura IS PD cu destule în număr mare PD procesat (indicatorul 1 sau 2), componenta server va fi cu siguranță alocată, care va necesita și protecție. În acest caz, protecția tuturor informațiilor confidențiale stocate pe medii magnetice stații de lucru și servere, care îndeplinește cerințele clasei AK3.

Astfel, se poate oferi o strategie bine fundamentată de protejare a PD, care constă în faptul că Tabelul. 1 este completat în ediția următoare (vezi Tabelul 2).

Masa 2.

	Clasa IP în funcție de volumul PD procesat
	Nu mai jos decât AK3	Nu mai jos decât AK3	Nu mai jos decât AK3

Notă. „-” - înseamnă că cerințele nu sunt prezentate.

Astfel, pentru a proteja PD din prima categorie, care include toate datele medicale, este necesar să se utilizeze instrumente de securitate din clase nu mai mici decât AK3 și instrumente de protecție criptografică din clase nu mai mici decât KS3.

Pentru dotarea practică a SI cu mijloace de protecție, se pot recomanda produse special adaptate pentru protecția datelor cu caracter personal și care au cele necesare permise(certificate și concluzii). Acestea sunt, în primul rând, Secure Pack Rus și instrumentele de protecție criptografică din familia CryptoPro.

Să încercăm acum să estimăm costurile de echipare a unui loc de muncă pentru procesarea PD. Fără reduceri, prețul pachetului Secure Pack Rus este de aproximativ 2.000 de ruble, în timp ce instrumentele de protecție criptografică din familia CryptoPro sunt deja incluse în acest pachet. În plus, pentru a proteja informațiile personale stocate pe un computer, este recomandabil să achiziționați unul dintre pachetele de protecție a datelor CryptoPro EFS, Secure Pack Explorer sau Crypto Explorer. Prețul fiecăruia dintre aceste produse este de la 600 la 1000 de ruble. În total, protecția unui loc de muncă fără instalare și configurare va costa aproximativ 3.000 de ruble, iar instalarea și adaptarea programelor vor adăuga în mod tradițional 10-15% la cost.

Este posibil să se evidențieze „zece pași mistici pe drum” către un sistem securizat pentru procesarea PD.

1. Determină acele elemente ale IP-ului tău care trebuie protejate în primul rând. Mai întâi, aflați ce date cu caracter personal trebuie protejate și unde se află în prezent în sistemul dvs. Apoi verificați dacă locurile de muncă ale tuturor angajaților fără excepție au într-adevăr nevoie de protecție a datelor. Ar putea fi mai ușor de izolat calculatoare individuale a lucra cu Informații personale, care trebuie protejat în mod deosebit de fiabil? Amintiți-vă că un computer conectat la internet nu este cel mai bun loc pentru a stoca PD!

2. Rata Starea curenta securitatea informatiei. Cât de satisfăcător este? Dacă este posibil, cheltuiește audit extern securitatea sistemului dvs. Clasificați-vă IC conform instrucțiunilor de mai sus. Comparați constatările dvs. cu cele ale auditului extern.

3. Stabiliți cine este în timp oferit responsabil pentru asigurarea protecției IP. Este posibil să restrângem cercul persoanelor de care depinde fiabilitatea acestei protecții? În același timp, rețineți - siguranța nu poate depinde de o singură persoană! Asigurați-vă că numiți auditori, de exemplu, medicul șef poate controla activitatea specialiștilor în completarea și mutarea PD.

4. Fii critic cu cerințele specialiștilor dacă insistă să instaleze hardware de securitate. Vă rugăm să rețineți că aplicația mijloace criptografice- O muncă destul de serioasă. Este important să înțelegeți: întreținerea instrumentelor de criptare și utilizarea unei semnături digitale vor interfera cu activitățile principale ale companiei dvs.? De asemenea, rețineți că nu fiecare angajat poate și ar trebui să se ocupe de criptarea datelor.

5. Faceți ordine în securitatea clinicii dvs. Setați un mod care va oferi nivelul dorit securitatea informatiei, cu toate acestea, nu îndoiți bățul. De exemplu, oamenii nu ar trebui să fie privați de posibilitatea de a folosi telefoane mobile. De asemenea, este nepotrivit să interziceți angajaților să contacteze e-mailși internetul pentru uz personal. În același timp, este destul de recomandabil să reglementați procedura de aducere a unităților flash și a laptopurilor proprii pe teritoriul companiei sau să utilizați cele disponibile în Secure Pack Funcția rusă dezactivarea unităților USB care nu sunt autorizate pentru utilizare de către administrator

6. Solicitați profesioniștilor IT să creeze un plan de lucru clar pentru crearea și configurarea unui sistem de securitate. Cereți să justificați necesitatea achizițiilor fonduri suplimentare Securitate. Insistați asupra garanțiilor că setarea de securitate nu va afecta funcționarea de bază a sistemului.

7. Monitorizați implementarea planului de creare a unui sistem de securitate.

8. Ascultați opiniile medicilor și angajaților - interferează măsurile de securitate cu munca și activitățile lor de bază?

9. Menține și verifică starea de securitate a PD și întărește loialitatea personalului de securitate.

10. Luați-vă ușor cu inovația în materie de securitate - conservatorismul sănătos vă va economisi bani.

Serviciile de locuințe și comunale, HOA și alte companii sunt obligate să protejeze informațiile colectate împotriva modificărilor și dezvăluirii. Conformitatea cu cerințele de reglementare este monitorizată de Roskomnadzor - Serviciul Federal de Supraveghere a Comunicațiilor, Tehnologiei Informației și comunicatii de masa, care ține un registru al operatorilor de date cu caracter personal. Statutele FSTEC și ale FSB impun operatorilor să construiască sistem modern protectie folosind solutii antivirus, firewall-uri, sisteme de prevenire a intruziunilor, managementul identificării utilizatorilor și controlul accesului, criptare, protecție împotriva scurgerilor, sisteme de management al evenimentelor de securitate și alte mecanisme de protecție enumerate în documentul de orientare FSTEC „Cu privire la aprobarea compoziției și conținutului organizațional și masuri tehnice privind asigurarea securității datelor cu caracter personal pe parcursul prelucrării acestora în sistemele informaționale de date cu caracter personal „ din 18 februarie 2013 N 21. Întreprinderile de servicii locative și comunale utilizează sisteme informatice pentru a lucra cu populația, întreprinderile, diverse instituții și servicii. Contabilitate, gestiune, fiscalitate Contabilitatea este de asemenea menținută, ca și în alte întreprinderi, acestea practic nu diferă de sarcini similare din alte tipuri de întreprinderi.

Analizând construcția bazelor de date utilizate pentru stocarea și prelucrarea informațiilor în locuințe și servicii comunale, se evidențiază două puncte: baza construcției și amplasarea teritorială. Cea mai veche și cea mai utilizată bază pentru o bază de date sunt fișierele dbf. Dar pentru complexul de azi sisteme automatizate nu sunt potrivite din două motive principale: cantitate limitataînregistrări într-un singur tabel și fiabilitate insuficientă.

Bazele de date moderne sunt construite pe un client - tehnologii de server. Exista diverse sisteme gestionarea bazelor de date are propriile avantaje și dezavantaje. Fiecare dintre ele este utilizat în cel puțin un sistem conceput pentru a automatiza locuințele și serviciile comunale. Cel mai comun este MS SQL 2000. Deoarece este proiectat pentru sistemul de operare popular calculatoare personale- Windows. Următorul ca popularitate este Interbase. Există și implementări ale bazei de date de locuințe și servicii comunale sub controlul Oracle, unul dintre cele mai dezvoltate, dar costisitoare și greoaie sisteme de gestionare a bazelor de date.

De asemenea, este de remarcat tendința vânzătorilor de sisteme de gestionare a bazelor de date de a-și răspândi produse software- propoziție versiuni gratuite cu anumite restricții, care se potrivesc utilizatorilor nu mari și nu bogați, care includ ZhEK și puncte de acceptare a plăților. Exemple de astfel de sisteme sunt MSDE 2000, MSDE 2005 de la Microsoft Corporation.

Cea mai simplă topologie a bazei de date este locația tuturor informațiilor pe un singur server. Clienții se conectează prin linii la distanțăși să-și rezolve problemele actuale.

O altă opțiune de implementare este bază distribuită date despre toți sau parțial participanții la locuințe și servicii comunale. Dezavantajul este nevoia de sincronizare a datelor.

Sincronizarea datelor este în curs căi diferite. Cel mai frecvent este exportul/importul. Datele de pe transportator sau prin e-mail sunt mutate între participanții la locuințe și serviciile comunale. Acest lucru are un impact semnificativ asupra performanței sistemului. factorul uman- totul trebuie facut la timp si foarte atent.

Al doilea nivel de sincronizare este schimbul de date între modulele sistemului prin comunicare cu servere la distanță. Acest schimb este apelat fie la comanda utilizatorului, fie conform unui program dat. Constă în faptul că unele proceduri pe una dintre servere legate„citește pentru sine” sau „îi scrie” datele necesare sincronizării.

Și în sfârșit, cel mai mult nivel inalt- sincronizarea bazei de date prin replicare. Aceste instrumente vă permit să schimbați datele atât pe o parte a liniei de comunicație, cât și pe cealaltă. Conform unui program dat sau la comanda unui utilizator de server, serverele se conectează și sincronizează bazele de date.

Protecția datelor cu caracter personal poate fi asigurată doar în sistemul informațional în cazul în care un atacator nu poate interfera cu funcționarea acestuia. elemente de baza - dispozitive de rețea, sisteme de operare, aplicații și SGBD.

Principalele amenințări la adresa securității datelor cu caracter personal, și anume distrugerea, modificarea, blocarea, copierea, distribuirea datelor cu caracter personal, precum și alte acțiuni neautorizate în timpul prelucrării acestora în sistemul informatic. Scurgerea de informații se poate datora virușilor, malware, atacuri de rețea. Pentru protecție, folosesc antivirusuri, firewall-uri, sisteme de prevenire a intruziunilor (Intrusion Prevention System, IPS) (Servesc la identificarea semnelor de atac în traficul care trece și la blocarea celui mai popular atac detectat. Spre deosebire de antivirusurile gateway, IPS analizează nu numai conținutul pachetele IP, dar și protocoalele utilizate și corectitudinea utilizării acestora.), scanere de vulnerabilități (Verifică sistemul informațional pentru diverse „lacune” în sisteme de operareȘi software. De regulă, aceasta programe individuale sau dispozitive care testează sistemul prin trimitere Cerințe Speciale simulând un atac asupra unui protocol sau aplicaţie.). Setul de instrumente pentru protecția datelor confidențiale este format din trei produse: dispozitiv periferic, sisteme de protecție împotriva scurgerilor de date (Data Leak Prevention, DLP) și instrumente de criptare pentru securitate deplină are sens să combinați toate cele trei tipuri de produse. Cu ajutorul acestor fonduri, serviciile de locuințe și comunale și alte companii de administrare se pot satisface Cerințe FSTEC pentru protecția datelor cu caracter personal.

Controlul dispozitivului. Adesea, scurgerile de date apar prin medii de stocare amovibile și canale neautorizate conectivitate: memorie flash, unități USB, Bluetooth sau Wi-Fi, deci controlați utilizarea porturilor USB și altele echipament periferic este, de asemenea, o modalitate de a controla scurgerile.

DLP. Sistemele de protecție împotriva scurgerilor permit utilizarea unor algoritmi speciali pentru a izola datele confidențiale din fluxul de date și pentru a bloca transmisia neautorizată a acestora. Sistemele DLP oferă mecanisme pentru controlul diferitelor canale de transmitere a informațiilor: e-mail, mesagerie instanta, Web Mail, Print to Printer, Save to Disk detașabil Mai mult decât atât, modulele DLP blochează scurgerea doar a datelor confidențiale, deoarece au mecanisme încorporate pentru a determina cât de secretă este cutare sau cutare informație.

Criptare. Protecția împotriva scurgerilor de date utilizează mecanisme de criptare într-un fel sau altul, iar această industrie a fost întotdeauna controlată de FSB, iar toate cerințele pentru certificarea sistemelor de criptare sunt publicate și verificate de această agenție. Trebuie remarcat faptul că este necesar să se cripteze nu numai bazele de date personale în sine, ci și transmisia acestora prin rețea, precum și copii de rezervă baze de date. Criptarea este, de asemenea, utilizată atunci când se transferă date personale prin rețea către sistem distribuit. În acest scop, puteți utiliza produse de clasă VPN oferite de diverși dezvoltatori, care, de regulă, se bazează pe criptare, dar sisteme similare trebuie să fie certificat și strâns integrat cu bazele de date în care sunt stocate datele cu caracter personal.

De menționat că statutul FSTEC are o împărțire în baze de date mici, mijlocii și distribuite, ale căror cerințe de protecție variază foarte mult. Deci, pentru a proteja bazele de date distribuite, de regulă, aveți nevoie instrumente suplimentare protecție, ceea ce este de înțeles - o bază distribuită trebuie să aibă canale de comunicare între părțile sale, care trebuie de asemenea protejate

În sistemul informaţional al locuinţelor şi serviciilor comunale problema principala căci liderul este organizare adecvată accesul angajaților la diverse resurse – de la setare corectă drepturile de acces depind adesea de siguranța datelor confidențiale, astfel încât sistemul de gestionare a drepturilor de acces ar trebui să fie inclus în sistemul de protecție al unui sistem informațional mare. Sistemul blochează încercările de modificare a drepturilor de acces fără permisiunea operatorului de securitate, care oferă protecție față de operatorii locali.

Un sistem de securitate mare poate genera multe mesaje despre atacuri potențiale, care sunt numai potențial capabile să conducă la implementarea unei anumite amenințări. De multe ori aceste mesaje sunt doar avertismente, ci operatori de siguranță sistem mare trebuie să existe un instrument care să le permită să înțeleagă esența a ceea ce se întâmplă. Un sistem de corelare a evenimentelor poate deveni un astfel de instrument de analiză, care vă permite să legați mai multe mesaje de la dispozitivele de protecție într-un singur lanț de evenimente și să evaluați cuprinzător pericolul întregului lanț. Acest lucru face posibilă atragerea atenției operatorilor de siguranță asupra celor mai periculoase evenimente.

Sisteme control centralizat mecanismele de protecție vă permit să controlați pe deplin toate evenimentele legate de securitatea sistemului informațional. Produsele de la acest nivel pot detecta, gestiona și raporta mecanismele de securitate instalate în întreprindere. Aceleași produse pot automatiza decizia celor mai mulți probleme simple sau ajutați administratorii să înțeleagă rapid atacurile complexe.

Toate cele trei produse de mai sus nu sunt obligatorii pentru protecția sistemelor informatice mari, dar vă permit să automatizați majoritatea sarcinilor efectuate de operatorii de securitate și să minimizați numărul de angajați necesari pentru protejarea unui sistem mare, cum ar fi o locuință și sistem informatic comunal.

Responsabilitatea pentru încălcarea cerințelor privind protecția datelor cu caracter personal

Persoanele vinovate de încălcarea cerințelor Legii datelor cu caracter personal poartă răspunderea prevăzută de legislația Federației Ruse (de exemplu, civilă, penală, administrativă, disciplinară). Acest lucru este indicat de paragraful 1 al articolului 24 din Legea cu privire la datele cu caracter personal.

Pe în prezent răspunderea administrativă a operatorilor (cu excepția persoanelor pentru care prelucrarea datelor cu caracter personal este activitate profesionalăși este supus licenței) prevede:

pentru refuzul ilegal de a furniza informații unui cetățean și (sau) organizație, a căror furnizare este prevăzută de legile federale, furnizarea în timp util sau furnizarea de informații false cu bună știință (articolul 5.39 din Codul de infracțiuni administrative al Federației Ruse). O excepție de la această regulă sunt cazurile prevăzute la articolul 7.23.1 din Codul contravențiilor administrative al Federației Ruse;

· pentru încălcarea cerințelor legislației privind divulgarea informațiilor de către organizațiile care operează în domeniul administrării blocurilor de locuințe (articolul 7.23.1 din Codul de infracțiuni administrative al Federației Ruse);

· pentru încălcare statutar procedura de colectare, stocare, utilizare sau distribuire a datelor cu caracter personal (articolul 13.11 din Codul contravențiilor administrative al Federației Ruse);

Pentru dezvăluirea de informații, accesul la care este restricționat de legea federală (cu excepția cazurilor în care divulgarea lor implică răspundere penală), de către o persoană care a obținut acces la acestea în legătură cu îndeplinirea îndatoririlor oficiale sau profesionale (articolul 13.14 din Cod). de infracțiuni administrative ale Federației Ruse).

Infracțiunile care aduc răspundere penală sunt:

colectarea sau difuzarea ilegală de informații despre intimitate persoane care constituie secretul său personal sau de familie, fără consimțământul acestuia, sau diseminarea acestor informații într-un discurs public, lucrări sau mijloace demonstrate public mass media(Articolul 137 din Codul Penal al Federației Ruse);

Respingere greșită oficialîn furnizarea de colectate la momentul potrivit documente și materiale care afectează în mod direct drepturile și libertățile unui cetățean sau care oferă unui cetățean o informație incompletă sau cu bună știință informatii false dacă aceste acte au cauzat prejudicii drepturilor și intereselor legitime ale cetățenilor (articolul 140 din Codul penal al Federației Ruse);

Acces ilegal la protejate legal informatii de calculator dacă acest act a presupus distrugerea, blocarea, modificarea sau copierea informațiilor (articolul 272 din UKRF)

După publicarea Decretului Guvernului Federației Ruse nr. 781 „Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu caracter personal” din 17 noiembrie 2007 și un ordin comun al Serviciului Federal pentru controlul tehnic și al exporturilor, Serviciul Federal de Securitate al Federației Ruse și Ministerul Tehnologiilor Informaționale și Comunicațiilor din Federația Rusă din 13 februarie 2008 Nr. 55/86/20 „Cu privire la aprobarea procedurii de clasificare a sistemelor de informații cu date cu caracter personal ” (denumită în continuare „Procedura...”), două întrebări aproape hamletiene:

• cum se clasifică IS conceput pentru a proteja datele personale;
• cum să alegeți instrumentele de securitate a informațiilor pentru a proteja datele personale în aceste sisteme.

„Ordinul...” prevede că „clasificarea sistemelor informaționale se realizează de către organele de stat, organele municipale, persoanele juridice și persoanele fizice care organizează și (sau) desfășoară prelucrarea datelor cu caracter personal, precum și determină scopurile și conținutul prelucrarea datelor cu caracter personal.” Aceasta înseamnă că datele personale (PD) le clasifică proprietar, care reprezintă un ajutor serios pentru o alegere obiectivă a metodelor și mijloacelor de protejare a datelor cu caracter personal și creează o bază obiectivă pentru un dialog cu organele de control asupra caracterului adecvat al măsurilor luate în organizație pentru protecția datelor cu caracter personal.

La clasificarea IP destinată prelucrării datelor cu caracter personal, se iau în considerare următoarele date inițiale:

• categorie datele cu caracter personal prelucrate în sistemul informatic; ·
• volum PD prelucrat (numărul de subiecți ale căror date cu caracter personal sunt prelucrate în IS); ·
• caracteristicile de securitate ale datelor cu caracter personal prelucrate în SI stabilite de proprietarul sistemului informatic; ·
• structura sistemului informatic; ·
• disponibilitatea conexiunilor IS la rețelele publice de comunicații și (sau) rețelele internaționale de schimb de informații; ·
• modul de procesare PD; ·
• modul de diferențiere a drepturilor de acces ale utilizatorilor sistemului informațional; ·
• amplasarea mijloacelor tehnice IS.

În primul rând, să definim ceea ce se referă la datele personale. Acestea sunt informații de natură diferită despre anumite persoane. Rețineți că vorbim doar de informații în formă electronică, introduse, stocate, prelucrate și transmise în sistemul informațional. Aceste informații se încadrează în patru categorii principale:

• categoria 1 - PD legat de rasă, naționalitate, opinii politice, convingeri religioase și filozofice, stare de sănătate, viață intimă; ·
• categoria 2 - PD, permițând identificarea subiectului datelor cu caracter personal și obținerea de informații despre acesta Informatii suplimentare, cu excepția datelor cu caracter personal aparținând categoriei 1; ·
• categoria 3 - date cu caracter personal care permit identificarea subiectului datelor cu caracter personal; ·
• categoria 4 - PD depersonalizat și (sau) disponibil publicului.

De exemplu, numai un nume de familie sunt date din categoria a 4-a, o combinație de nume de familie și o adresă este a treia, un nume de familie, adresă, numere de asigurări și carduri sunt a doua, iar dacă la aceste date se adaugă un card medical electronic, atunci datele personale rezultate aparțin exclusiv primei categorii.

Pe baza acestei clasificări, se poate afirma că orice date medicale, precum și fișele de personal care conțin coloana „naționalitate” (și acestea sunt aproape toate chestionarele curente și fișele personale privind fișele de personal utilizate în prezent), trebuie atribuite primei categorii. . De asemenea, este clar că bucățile de date cu caracter personal au aproape întotdeauna o categorie mai mică decât totalitatea lor. Chiar și informații detaliate despre starea de sănătate a unui individ pot fi lipsite de sens dacă numele lui sau alte date nu sunt cunoscute care leagă fără ambiguitate aceste informații la pacient.

Volumul PD procesat poate lua următoarele valori:

1. - IS prelucrează simultan date cu caracter personal ale a peste 100.000 de subiecți sau date cu caracter personal ale subiecților din regiunea Federației Ruse sau a Federației Ruse în ansamblu; ·
2. - IS prelucrează simultan date cu caracter personal de la 1.000 până la 100.000 de subiecți sau date personale ale subiecților care lucrează în sectorul economiei Federației Ruse, într-o autoritate publică cu reședința într-o municipalitate; ·
3. - IS prelucrează simultan date a mai puțin de 1000 de subiecți sau date personale ale subiecților unei anumite organizații.

În funcție de caracteristicile de securitate ale PD procesate în sistemul informațional, SI sunt împărțite în standard și speciale. Primele sunt sistemele informatice care necesită doar intimitate date personale.

Caracteristica „confidențialitate” înseamnă că numai persoana căreia îi sunt destinate poate gestiona (introduce, stoca, procesează și transferă) PD în formă electronică. Pentru a asigura confidențialitatea la transmiterea datelor cu caracter personal în rețele, inclusiv pe Internet, este necesară utilizarea criptării datelor.

Sistemele informatice speciale sunt astfel de sisteme informatice în care, indiferent de necesitatea asigurării confidențialității PD, este necesar să se asigure cel puțin una dintre caracteristicile de securitate ale datelor cu caracter personal, altele decât confidențialitatea (de exemplu, integritatea sau disponibilitatea). Caracteristica „integritate” înseamnă că datele cu caracter personal ar trebui modificate doar într-un mod reglementat, de exemplu, doar un medic autorizat poate face modificări la dosarul electronic de fișă medicală, iar în orice alte cazuri, informațiile din fișa medicală nu trebuie modificate. . Atunci când este transmisă prin rețele, integritatea este asigurată prin utilizarea unei semnături digitale electronice.

Caracteristica „disponibilitate” înseamnă că lucrul cu PD trebuie furnizat pentru o anumită cantitate de date și utilizatori în conformitate cu limitele de timp stabilite. Cu alte cuvinte, „disponibilitatea” este o altă formulare a fiabilității sistemului. De asemenea, menționăm că este aproape lipsit de sens să vorbim despre disponibilitatea în rețelele deschise - niciun furnizor nu va oferi acces garantat la date sau transmiterea lor neîntreruptă.

Sistemele informatice specializate includ:

• IS în care sunt prelucrate date cu caracter personal referitoare la starea de sănătate a subiecților; ·
• IP care prevede acceptarea bazată exclusiv pe prelucrare automată datele personale ale deciziilor care dau naștere la consecințe juridice în raport cu subiectul sau îi afectează în alt mod drepturile și interesele legitime.

Conform structurii, sistemele informatice pentru procesarea PD sunt împărțite în:

• către autonome (neconectate la alte IS) destinate prelucrării datelor cu caracter personal (stații de lucru automate); ·
• pe complexe de locuri de muncă automatizate, combinate într-un singur IS prin mijloace de comunicare fără utilizarea tehnologiei de acces la distanță (sisteme informaționale locale); ·
• pe complexe de stații de lucru automate și (sau) sisteme informaționale locale, combinate într-un singur sistem informațional prin intermediul mijloacelor de comunicare folosind tehnologia de acces la distanță (sisteme de informații distribuite).

În funcție de prezența conexiunilor la rețelele publice de comunicații și (sau) a schimbului internațional de informații, IS-urile sunt împărțite în sisteme care au conexiuni care nu au conexiuni.

Pe baza faptului că este obligatorie asigurarea confidențialității datelor, se pot evidenția elementele necesare ale sistemului informatic pentru prelucrarea datelor cu caracter personal.

În primul rând, sistemul informațional trebuie să identifice utilizatorii și să poată seta permisiuni individuale pentru ca utilizatorii să acceseze PD, adică să aibă sisteme de identificare și autentificare și control al accesului.

În al doilea rând, este necesar să se asigure protecția datelor cu caracter personal care pot fi înstrăinate din sistem. De exemplu, transferul de informații către suporturi amovibile. Este foarte probabil ca in unele cazuri sa fie necesar sa se tina cont de posibilitatea furtului si pierderii (pierderii) echipamentelor informatice cu date personale. În acest caz, este obligatorie și criptarea PD-ului stocat pe mediul computerului.

Dacă sistemul are conexiuni la rețele deschise sau asigură schimbul de date, este obligatorie utilizarea criptării datelor și a semnăturii digitale electronice, precum și asigurarea protecției împotriva atacurilor din rețelele externe, inclusiv protecție antivirus.

Pentru criptare și semnătură electronică se folosesc chei și certificate, care sunt generate de utilizatorii înșiși și înregistrate în așa-numitele centre de certificare.

Un punct foarte important este înregistrarea acțiunilor cu PD, care, pe de o parte, vă permite să identificați cei responsabili pentru scurgerea lor și, pe de altă parte, creează motivație psihologică pentru a lucra corect cu aceștia.

Un sistem informatic pentru procesarea PD i se poate atribui una dintre următoarele clase:

• clasa 1 (K1) - IS pentru care încălcarea caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative semnificative pentru persoanele vizate; ·
• clasa 2 (K2) - IS pentru care încălcarea caracteristicii de securitate specificate a PD prelucrate în acestea poate duce la consecințe negative pentru persoanele vizate; ·
• clasa 3 (K3) - IS pentru care încălcarea caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative minore pentru persoanele vizate; ·
• clasa 4 (K4) - IS pentru care încălcarea caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea nu duce la consecințe negative pentru persoanele vizate.

tabelul 1

Categorie

În primul rând, din „Ordinul...” urmează existența categorii date personale. Este logic de implementat agregare baza de date într-un IS care conține PD în părți care nu se suprapun și care conțin date de diferite categorii. De asemenea, IS-ul pentru procesarea PD ar trebui să fie împărțit în contururi, conținând o singură categorie de date. Este foarte posibil să faceți acest lucru, deoarece persoanele sunt identificate în mod unic printr-un număr de pașaport sau TIN sau printr-un număr de poliță de asigurare medicală, ceea ce face posibilă indexarea în mod unic a bazelor de date medicale și a altor matrice. Astfel, este necesar să se respecte principiul că în fiecare circuit IP pentru prelucrarea datelor cu caracter personal este necesar să se utilizeze mijloace certificate dintr-o clasă, iar contururile ar trebui să fie izolat unul de altul.

Se poate afirma că majoritatea sistemelor informaționale pentru prelucrarea DP (în special în scopuri medicale) vor special, adică trebuie să asigure nu numai confidențialitatea, ci și integritate fără greșeală și alte caracteristici de siguranță și fiabilitate.

Când distribuite IS pentru prelucrarea datelor cu caracter personal, chiar dacă este necesar să se furnizeze numai intimitateîn conformitate cu „Comanda...”, aceasta va fi necesară fără greșeală protecția PD transferate și stocate. Acest lucru respectă pe deplin cerințele actuale ale Serviciului Federal de Securitate al Federației Ruse pentru sistemele informatice automatizate concepute pentru a proteja informațiile confidențiale care nu sunt secrete de stat, și anume, prevederea că „toate informațiile confidențiale transmise prin canalele de comunicare trebuie protejate; informațiile transmise prin canale de comunicație trebuie să fie criptate folosind instrumente de protecție a informațiilor criptografice (CIPF) sau pentru transmiterea lor trebuie utilizate canale de comunicații securizate. Informațiile înregistrate pe suporturi înstrăinabile trebuie protejate.”

Ultima cerință este cu siguranță aplicabilă pentru PD-urile IS izolate care nu au canale pentru transmiterea PD, adică pentru locurile de muncă individuale care prelucrează date cu caracter personal.

Aceasta înseamnă că, pentru a prelucra datele cu caracter personal, IS trebuie să fie certificat conform unei clase nu mai mici decât AK2 în clasificarea FSB al Federației Ruse. De exemplu, Windows XP protejat cu pachetul de servicii Secure Pack Rus corespunde acestei clase. Compoziția mijloacelor de protecție ar trebui să includă mijloace de protecție a informațiilor criptografice (CIPF) de o clasă nu mai mică de KS2.

Pe baza acestui fapt, pentru orice IS PD care prelucrează PD din categorii peste a 4-a (care va include cu siguranță toate sistemele de procesare PD medicale), va fi necesar să se efectueze toate cerințele clasei AK2în clasificarea FSB al Federației Ruse.

Din arhitectura IS PD, cu un număr suficient de mare de PD-uri procesate (indicatorul 1 sau 2), se va remarca cu siguranță o componentă de server, care va necesita și protecție. În acest caz, toate informațiile confidențiale stocate pe mediile magnetice ale stațiilor de lucru și serverelor trebuie protejate, ceea ce îndeplinește cerințele clasei AK3.

Astfel, se poate oferi o strategie bine fundamentată de protejare a PD, care constă în faptul că Tabelul. 1 este completat în ediția următoare (vezi Tabelul 2).

masa 2

categoria IP	Clasa IP în funcție de volumul PD procesat
	Nu mai jos decât AK3	Nu mai jos decât AK3	Nu mai jos decât AK3

Notă. „-” înseamnă că nu există cerințe.

Astfel, pentru a proteja PD din prima categorie, care include toate datele medicale, este necesar să se utilizeze instrumente de securitate din clase nu mai mici decât AK3 și instrumente de protecție criptografică din clase nu mai mici decât KS3.

Pentru dotarea practică a SI cu mijloace de protecție, se pot recomanda produse special adaptate pentru protecția datelor cu caracter personal și care dispun de avizele necesare (certificate și concluzii). Acestea sunt, în primul rând, Secure Pack Rus și instrumentele de protecție criptografică din familia CryptoPro.

Să încercăm acum să estimăm costurile de echipare a unui loc de muncă pentru procesarea PD. Fără reduceri, prețul pachetului Secure Pack Rus este de aproximativ 2.000 de ruble, în timp ce instrumentele de protecție criptografică din familia CryptoPro sunt deja incluse în acest pachet. În plus, pentru a proteja informațiile personale stocate pe un computer, este recomandabil să achiziționați unul dintre pachetele de protecție a datelor CryptoPro EFS, Secure Pack Explorer sau Crypto Explorer. Prețul fiecăruia dintre aceste produse este de la 600 la 1000 de ruble. În total, protecția unui loc de muncă fără instalare și configurare va costa aproximativ 3.000 de ruble, iar instalarea și adaptarea programelor vor adăuga în mod tradițional 10-15% la cost.

Este posibil să se evidențieze „zece pași mistici pe drum” către un sistem securizat pentru procesarea PD.

1. Determinați elementele IP-ului dvs. care trebuie protejate mai întâi. Mai întâi, aflați ce date cu caracter personal trebuie protejate și unde se află în prezent în sistemul dvs. Apoi verificați dacă locurile de muncă ale tuturor angajaților fără excepție au într-adevăr nevoie de protecție a datelor. Poate că este mai ușor să alocați computere separate pentru a lucra cu informații personale care trebuie protejate în mod deosebit de fiabil? Amintiți-vă că un computer conectat la internet nu este cel mai bun loc pentru a stoca PD!
2. Evaluați starea actuală a securității informațiilor. Cât de satisfăcător este? Dacă este posibil, efectuați un audit extern de securitate al sistemului dvs. Clasificați-vă IC conform instrucțiunilor de mai sus. Comparați constatările dvs. cu cele ale auditului extern.
3. Determinați cine este în prezent responsabil pentru asigurarea protecției IP. Este posibil să restrângem cercul persoanelor de care depinde fiabilitatea acestei protecții? În același timp, rețineți - siguranța nu poate depinde de o singură persoană! Asigurați-vă că numiți auditori, de exemplu, medicul șef poate controla activitatea specialiștilor în completarea și mutarea PD.
4. Fii critic cu cerințele specialiștilor dacă insistă să instaleze hardware de securitate. De asemenea, rețineți că utilizarea instrumentelor criptografice este o muncă destul de serioasă. Este important să înțelegeți: întreținerea instrumentelor de criptare și utilizarea unei semnături digitale vor interfera cu activitățile principale ale companiei dvs.? De asemenea, rețineți că nu fiecare angajat poate și ar trebui să se ocupe de criptarea datelor.
5. Aduceți ordine în securitatea clinicii dvs. Setați un mod care vă va permite să oferiți nivelul necesar de securitate a informațiilor, dar nu mergeți prea departe. De exemplu, oamenii nu ar trebui să fie privați de posibilitatea de a folosi telefoanele mobile. De asemenea, este nepotrivit să se interzică angajaților să acceseze e-mailul și internetul în scopuri personale. În același timp, este destul de recomandabil să reglementați procedura de aducere a unităților flash și a laptopurilor proprii pe teritoriul companiei sau să utilizați funcția disponibilă în Secure Pack Rus pentru a dezactiva unitățile USB care nu sunt permise pentru utilizare de către administrator.
6. Solicitați profesioniștilor IT să creeze un plan de lucru clar pentru crearea și configurarea unui sistem de securitate. Solicitați să justificați necesitatea achiziționării de echipamente de securitate suplimentare. Insistați asupra garanțiilor că setarea de securitate nu va afecta funcționarea de bază a sistemului.
7. Monitorizează implementarea planului de securitate.
8. Ascultați opiniile medicilor și angajaților - interferează măsurile de securitate cu munca și activitățile lor de bază?
9. Menține și verifică starea de securitate a PD și întărește loialitatea personalului de securitate.
10. Luați-vă ușor cu inovația în materie de securitate - conservatorismul sănătos vă va economisi bani.

9 iunie 2011 la 05:20

Practica de protectie a datelor cu caracter personal

• Securitatea informațiilor

Local SZI NSD

SZI NSD este o abreviere pentru un mijloc de protejare a informațiilor împotriva accesului neautorizat. Folosit pentru a preveni acțiunile neautorizate ale utilizatorilor care au acces la stațiile de lucru ISPD. Include mecanisme precum controlul de pornire de la suporturi amovibile(CD / DVD-ROM-uri, unități flash), controlul dispozitivelor (astfel încât să nu puteți conecta unitatea flash din stânga și să îmbinați informații), implementarea controlului accesului obligatoriu (nu este necesar pentru ISDN). Iată doar cele cu care am lucrat personal:
1) Rețea secretă. Poate fi furnizat cu sau fără o placă de control al sarcinii. Funcționează prin secpol.msc, deci s-ar putea să nu funcționeze pe versiunile Home (pe Windows XP, Home nu funcționează sigur, dar nu am testat încă Vista și Windows 7). Destul de ușor de utilizat, are cel mai bun mecanism de control al dispozitivului pe care l-am văzut vreodată. Există o versiune de rețea concepută pentru integrarea în structura domeniului.
2) Guardian NT. Cel mai bun mecanism controlul accesului obligatoriu. Este mai dificil de operat (din cauza faptului că unele dintre mecanismele de protecție nu pot fi dezactivate). versiunea de rețea Nu.
3) Ecluza Dallas. Pierde în toți parametrii discutați mai devreme, cu excepția posibilității de implementare normală a opțiunii de rețea într-o rețea fără domeniu.
După cum sugerează și numele, aceste fonduri sunt utilizate pe mașini locale. Nu este nimic de adăugat aici.

Firewall-uri

Misiunea, cred, este clară. În plus, dacă un ISPD este împărțit de un firewall în două părți, atunci este posibil drept deplin numiți-le două ISPD-uri diferite. Pentru ce? Dacă te încadrezi în prima clasă tocmai după numărul de subiecte de date cu caracter personal prelucrate, atunci prin împărțirea ISPD-ului în două părți, vei reduce numărul de subiecți procesați în fiecare ISPD și vei obține nu K1, ci K2. Există mai multe firewall-uri certificate pe piață astăzi:
1) VipNet Personal Firewall. Doar un firewall personal, fără fiori. Gestionat doar local. Nu există un mecanism de control centralizat. Pentru a-l rula este nevoie de o parolă, dacă nu o introduceți - nu pornește.
2) VipNet Office Firewall. La fel, dar acceptă mai multe plăci de rețea, care vă permite să îl instalați pe gateway și să îl utilizați pentru segmentarea ISPD.
3) SSPT-2. Complexul software și hardware rulează pe FreeBSD, dar nimeni nu vă va lăsa să ajungeți la sistemul de operare în sine. Funcționează rapid, acceptă filtrarea după mulți parametri. Are o caracteristică neplăcută - regulile sunt aplicate în listă de sus în jos, iar regulile situate în partea de sus au o prioritate mai mare. Acest lucru nu se reflectă în documentație, a fost relevat empiric. Gestionat atât din consola locală, cât și prin interfața web.
4) APKSh „Continent”. În general, acesta nu este un firewall, ci un criptorouter, ci cu funcții ITU. Este similar arhitectural cu SSPT-2, dar nu există control de la consola locală - doar printr-o consolă specială de administrator. La ce, la configurare inițială trebuie să specificați interfața la care va fi conectat computerul administratorului.
În plus, „Codul de securitate” a lansat încă două produse - ITU + HIPS „Security Studio protecția punctului final”și sistemul de firewall distribuit Trust Access, care combină firewall-ul și segmentarea folosind autentificarea folosind protocolul Kerberos. Deoarece nu a trebuit să lucrez cu aceste produse, voi oferi doar link-uri către descrierea lor:
Acces de încredere
SSEP
În plus, a fost certificată producția unui alt produs, Stonegate Firewall/VPN. Produs al companiei finlandeze Stonesoft. De asemenea, vine cu un modul de criptare CryptoPRO fixat pe el, ceea ce îi permite să fie utilizat ca soluție VPN certificată.

CIPF

Sunt mijloace de protecție criptografică. Pe lângă paravanul de protecție/VPN Stonegate deja menționat, mai există două soluții VPN:
1) VIPNet Personalizat. Este un complex de VipNet Administrator - program de management, VipNet Coordinator - server VPN cu funcții ITU și VipNet Client - client VPN și ITU. Programul de management este folosit doar pentru a genera chei și certificate; setările firewall-ului pot fi gestionate doar local. Numai RDP-ul încorporat poate ajuta la administrare. Deci include mesageria internă și poșta internă. Singurul avantaj este că este pur soluție software, care este ușor de integrat în infrastructura existentă.
2) APKSh „Continent”. Practic, am vorbit deja despre el. Voi adăuga doar ce ultima versiune client ("Continent-AP") existau functii firewall, și există chiar și un client pentru Linux. Gateway-urile cripto în sine sunt gestionate numai din consola de administrator, dar de la distanță. De asemenea, este de menționat faptul că începe setarea(adică transferul configurației rețelei și a cheilor către gateway-ul cripto) se face local, prin alimentarea cu o unitate flash de peste tot informatie necesara. Dacă ați făcut o greșeală la crearea configurației și ați trimis deja gateway-ul cripto la punct îndepărtat- atunci nu îl puteți prelua de la distanță și nu veți putea repara ceva, va trebui să regenerați configurația și să o transferați cumva într-un punct de la distanță.

Practic, aici scurta descriere toate mijloacele de protecție certificate cunoscute de mine. Speranţă, aceasta informatie va fi de folos comunitatii.