19 janar 2009 15:59

Andrey Shcherbakov

Pas publikimit të Dekretit të Qeverisë së Federatës Ruse Nr. 781 "Për miratimin e Rregullores për garantimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale" të datës 17 nëntor 2007 dhe një urdhër të përbashkët Shërbimi Federal për kontrollin teknik dhe të eksportit, Shërbimi Federal i Sigurisë i Federatës Ruse dhe Ministria teknologjitë e informacionit dhe komunikimet e Federatës Ruse të 13 shkurtit 2008 Nr. 55/86/20 "Për miratimin e procedurës për klasifikimin sistemet e informacionit të dhënat personale "(në tekstin e mëtejmë" Procedura ... ") përpara shërbimeve për zhvillimin dhe funksionimin e sistemeve të informacionit (IS) që përpunojnë të dhënat personale, u ngritën dy pyetje pothuajse Hamlet:

● si të klasifikohet IP e krijuar për të mbrojtur të dhënat personale;

● si të zgjidhni mjetet e sigurisë së informacionit për të mbrojtur të dhënat personale në këto sisteme.

“Urdhri…” thotë se “klasifikimi i sistemeve të informacionit kryhet organet qeveritare, organet komunale, personat juridikë dhe individët që organizojnë dhe (ose) kryejnë përpunimin e të dhënave personale, si dhe përcaktojnë qëllimet dhe përmbajtjen e përpunimit të të dhënave personale”. Kjo do të thotë se të dhënat personale (PD) i klasifikojnë ato pronar, e cila është një ndihmë serioze për një zgjedhje objektive të metodave dhe mjeteve të mbrojtjes së të dhënave personale dhe krijon një bazë objektive për një dialog me autoritetet inspektuese për përshtatshmërinë e masave të marra në organizatë për mbrojtjen e të dhënave personale.

Kur klasifikoni IP-në e destinuar për përpunimin e të dhënave personale, merren parasysh të dhënat e mëposhtme fillestare:

● vëllimi PD e përpunuar (numri i subjekteve të dhënat personale të të cilëve përpunohen në SI);

● karakteristikat e sigurisë së të dhënave personale të përpunuara në SI të vendosura nga pronari i sistemit të informacionit;

● strukturën e sistemit të informacionit;

● disponueshmëria e lidhjeve IS me rrjetet e komunikimit përdorim të përbashkët dhe/ose rrjete ndërkombëtare shkëmbimi i informacionit;

● Mënyra e përpunimit të PD;

● mënyra e diferencimit të të drejtave të aksesit për përdoruesit e sistemit të informacionit;

● vendndodhjen mjete teknike IP.

Para së gjithash, ne do të përcaktojmë se çfarë lidhet me të dhënat personale. Ky është informacion i një natyre të ndryshme për individë të veçantë. Vini re se ne po flasim vetëm për informacion në formë elektronike, futet, ruhet, përpunohet dhe transmetohet në sistemin e informacionit. Ky informacion ndahet në katër kategori kryesore:

Për shembull, mbiemri veç e veç është të dhënat e kategorisë së 4-të, kombinimi i mbiemrit dhe adresës është i treti, mbiemri, adresa, sigurimi dhe numrat e kartës është i dyti dhe nëse këtyre të dhënave i shtohet një kartelë elektronike mjekësore, atëherë të dhënat personale që rezultojnë i përkasin ekskluzivisht kategorisë së parë.

Bazuar në këtë klasifikim, mund të thuhet se çdo e dhënë mjekësore, si dhe të dhënat e personelit që përmbajnë kolonën "kombësia" (dhe të tilla janë pothuajse të gjithë pyetësorët e vlefshëm dhe fletë personale aktualisht në përdorim) duhet t'i referohen kategorisë së parë. Është gjithashtu e qartë se pjesët e të dhënave personale janë pothuajse gjithmonë të një kategorie më të vogël se sa përmbledhja e tyre. Madje detajet për shëndetin e një individi mund të jetë i pakuptimtë nëse mbiemri i tij ose të dhëna të tjera nuk dihen, gjë që e lidh pa mëdyshje këtë informacion me pacientin.

Vëllimi i PD-së së përpunuar mund të marrë vlerat e mëposhtme:

1 - IS përpunon në të njëjtën kohë të dhëna personale të më shumë se 100,000 subjekteve ose të dhëna personale të subjekteve brenda rajonit të Federatës Ruse, ose Federata Ruse në përgjithësi; ·

2 - IS përpunon njëkohësisht të dhëna personale nga 1000 deri në 100,000 subjekte ose të dhëna personale të subjekteve që punojnë në ekonominë e Federatës Ruse, në organin qeveritar që banon brenda komunës;

3 - IS përpunon njëkohësisht të dhënat e më pak se 1000 subjekteve ose të dhëna personale të subjekteve të një organizate të caktuar.

Sipas karakteristikave të sigurisë së PD të përpunuara në sistemin e informacionit, IS-të ndahen në standarde dhe të veçanta. Të parat janë sistemet e informacionit në të cilat vetëm konfidencialiteti te dhena Personale.

Karakteristika "konfidencialitet" do të thotë se vetëm ai për të cilin ato synohen mund të trajtojë (fusë, ruajë, përpunojë dhe transmetojë) PD-në në formë elektronike. Për të siguruar konfidencialitet gjatë transferimit të të dhënave personale përmes rrjeteve, duke përfshirë internetin, duhet të përdoret enkriptimi i të dhënave.

Sisteme të veçanta informacioni janë IS në të cilat, pavarësisht nga nevoja për të garantuar konfidencialitetin e PD-së, kërkohet të sigurohet të paktën një nga karakteristikat e sigurisë së të dhënave personale, përveç konfidencialitetit (për shembull, integriteti ose disponueshmëria). Karakteristika "integritet" nënkupton që të dhënat personale duhet të ndryshohen vetëm në mënyrë të rregulluar, për shembull, vetëm një mjek i autorizuar mund të bëjë ndryshime në dosjen elektronike të dosjes mjekësore dhe në çdo rast tjetër, informacioni në kartelën mjekësore nuk duhet të ndryshojë. . Kur transmetohet përmes rrjeteve, integriteti sigurohet nga përdorimi i elektronikës nënshkrimi dixhital.

Karakteristika "disponueshmëri" nënkupton që puna me PD duhet të sigurohet për një sasi të caktuar të dhënash dhe përdoruesish në përputhje me rregulloret e përcaktuara kohore. Me fjalë të tjera, "disponueshmëria" është një formulim tjetër i besueshmërisë së sistemit. Vini re gjithashtu se të folurit për disponueshmërinë në rrjetet e hapura është praktikisht e pakuptimtë - asnjë ofrues nuk do të sigurojë akses të garantuar në të dhëna ose transmetimin e tyre të pandërprerë.

Sistemet e veçanta të informacionit përfshijnë:

● IS, në të cilin përpunohen të dhënat personale në lidhje me gjendjen shëndetësore të subjekteve; ·

● IP, e cila parashikon miratimin mbi bazën e përpunimit ekskluzivisht të automatizuar të të dhënave personale të vendimeve që gjenerojnë pasoja juridike në lidhje me subjektin ose cënojnë ndryshe të drejtat dhe interesat e tij legjitime.

Sipas strukturës, sistemet e informacionit për përpunimin e PD-së ndahen:

● të pavarur (jo të lidhur me SI të tjera), të destinuara për përpunimin e të dhënave personale (stacione të automatizuara pune); ·

● për komplekse stacionesh pune të automatizuara, të bashkuara në një IS të vetëm me anë të komunikimit pa përdorimin e teknologjisë akses në distancë(sistemet e informacionit lokal); ·

● në komplekset e stacioneve të automatizuara të punës dhe (ose) IS lokale, të bashkuara në një sistem të vetëm informacioni me anë të komunikimit duke përdorur teknologjinë e aksesit në distancë (sistemet e informacionit të shpërndarë).

Sipas pranisë së lidhjeve me rrjetet e komunikimit publik dhe (ose) shkëmbimin ndërkombëtar të informacionit, IS-të ndahen në sisteme që kanë lidhje që nuk kanë lidhje.

Bazuar në faktin se është e detyrueshme të sigurohet konfidencialiteti i të dhënave, është e mundur të bëhet dallimi elementet e nevojshme sistem informacioni për përpunimin e të dhënave personale.

Para së gjithash, sistemi i informacionit është i detyruar të identifikojë përdoruesit dhe të jetë në gjendje të krijojë autoritet individual për aksesin e përdoruesit në PD, domethënë të ketë sisteme identifikimi dhe vërtetimi dhe kontroll të aksesit.

Së dyti, është e nevojshme të sigurohet mbrojtja e të dhënave personale që mund të tjetërsohen nga sistemi. Për shembull, duhet të kontrolloni transferimin e informacionit në media të lëvizshme. Ka shumë të ngjarë që në disa raste të jetë e nevojshme të merret parasysh mundësia e vjedhjes dhe humbjes (humbjes) teknologji kompjuterike me të dhëna personale. Në këtë rast, enkriptimi i PD-së së ruajtur në median kompjuterike është gjithashtu i detyrueshëm.

Nëse sistemi ka lidhje me rrjete të hapura ose parashikon shkëmbimin e të dhënave, është i detyrueshëm përdorimi i kriptimit të të dhënave dhe nënshkrimeve dixhitale elektronike, si dhe sigurimi i mbrojtjes kundër sulmeve nga rrjetet e jashtme duke përfshirë mbrojtjen kundër viruseve.

Për kriptim dhe nënshkrim elektronik përdoren çelësa dhe certifikata që gjenerohen nga vetë përdoruesit dhe regjistrohen në të ashtuquajturat qendra certifikimi.

Shumë pikë e rëndësishme- regjistrimi i veprimeve me PD, i cili nga njëra anë bën të mundur identifikimin e përgjegjësve për rrjedhjen e tyre dhe nga ana tjetër krijon motivim psikologjik për punë korrekte me ta.

Një sistemi informacioni për përpunimin e PD mund t'i caktohet një nga klasat e mëposhtme:

● klasa 1 (K1) - IS, për të cilën një shkelje e karakteristikave të specifikuara të sigurisë të të dhënave personale të përpunuara në to mund të çojë në pasoja të rëndësishme negative për subjektet e të dhënave personale;

● klasi 2 (K2) - IS, për të cilin shkelja e karakteristikave të specifikuara të sigurisë të PD të përpunuara në to mund të çojë në pasoja negative për subjektet e të dhënave personale;

● klasa 3 (K3) - IS, për të cilën një shkelje e karakteristikave të specifikuara të sigurisë të të dhënave personale të përpunuara në to mund të çojë në pasoja të vogla negative për subjektet e të dhënave personale;

● klasa 4 (K4) - IS, për të cilën shkelja e karakteristikave të specifikuara të sigurisë të të dhënave personale të përpunuara në to nuk çon në pasoja negative për subjektet e të dhënave personale.

Tabela 1.

	Klasa IP në varësi të vëllimit të PD-së së përpunuar

Së pari, nga "Rendi ..." rrjedh ekzistenca e kategoritë te dhena Personale. Është logjike të zbatohet grumbullimi bazat e të dhënave në SI që përmbajnë PD në pjesë jo të mbivendosura që përmbajnë të dhëna të kategorive të ndryshme. Gjithashtu, IC për përpunimin e PD duhet të jetë të ndara në skica që përmbajnë të dhëna të vetëm një kategorie. Është mjaft e mundur për ta bërë këtë, pasi individët identifikohen pa mëdyshje nga numri i pasaportës ose TIN ose numri i policës së sigurimit shëndetësor, gjë që bën të mundur indeksimin e bazave të të dhënave mjekësore dhe grupeve të tjera në mënyrë të paqartë. Kështu, është e nevojshme të ndiqet parimi që në çdo qark të IS për përpunimin e të dhënave personale, është e nevojshme të përdoret produkte të çertifikuara të së njëjtës klasë, dhe konturet duhet të jenë i izoluar veçmas.

Mund të thuhet se shumica e sistemeve të informacionit për përpunimin e PD (veçanërisht për qëllime mjekësore) do të jenë e veçantë, domethënë në to është e nevojshme të sigurohet jo vetëm konfidencialiteti, por edhe integriteti pa dështim dhe karakteristika të tjera të sigurisë dhe besueshmërisë.

Kur të shpërndara IP për përpunimin e të dhënave personale, edhe nëse është e nevojshme të sigurohet vetëm konfidencialiteti në përputhje me "Procedurën ..." kërkohet në mënyrë imperative mbrojtja e PD-së së transmetuar dhe të ruajtur... Kjo përputhet plotësisht me kërkesat aktuale të Shërbimit Federal të Sigurisë të Federatës Ruse për IC-të e automatizuara të krijuara për të mbrojtur informacion konfidencial, jo një komponent sekretet shtetërore, përkatësisht, dispozita se “të gjitha informacionet konfidenciale të transmetuara përmes kanaleve të komunikimit duhet të mbrohen; informacioni i transmetuar përmes kanaleve të komunikimit duhet të kodohet duke përdorur mjete mbrojtje kriptografike informacioni (CIPF), ose kanalet e sigurta të komunikimit duhet të përdoren për transmetimin e tij. Duhet të bëhet mbrojtja e informacionit të regjistruar në media të tjetërsueshme.

Kërkesa e fundit është padyshim e zbatueshme për IS-të e izoluara të PD-së që nuk kanë kanale për transmetimin e PD-së, domethënë për vendet individuale të punës që përpunojnë të dhëna personale.

Kjo do të thotë që për përpunimin e të dhënave personale, IP duhet të certifikohet në një klasë jo më të ulët se AK2 në klasifikimin e FSB të Federatës Ruse. Për shembull, kjo klasë korrespondon me Windows XP të mbrojtur me Secure Pack Rus. Përbërja e mjeteve të mbrojtjes duhet të përfshijë mjetet e mbrojtjes kriptografike të informacionit (CIP) të një klase jo më të ulët se KC2.

Bazuar në këtë, për çdo IS PD që përpunon PD të kategorive mbi të 4-tën (të cilës do t'i atribuohen sigurisht të gjitha sistemet e përpunimit të PD mjekësore), do të jetë e nevojshme të kryhet të gjitha kërkesat e klasës AK2 në klasifikimin e FSB RF.

Nga arkitektura e PD-së së IS me mjaft një numër i madh PD e përpunuar (treguesi 1 ose 2), komponenti i serverit patjetër do të theksohet, i cili gjithashtu do të kërkojë mbrojtje. Në këtë rast, mbrojtja e të gjithë informacionit konfidencial ruhet në media magnetike stacione pune dhe serverë që plotësojnë kërkesat e klasës AK3.

Kështu, ne mund të ofrojmë një strategji të bazuar mirë për mbrojtjen e të dhënave personale, që konsiston në atë tabelë. 1 plotësohet si më poshtë (shih tabelën 2).

Tabela 2.

	Klasa IP në varësi të vëllimit të PD-së së përpunuar
	Jo më e ulët se AK3	Jo më e ulët se AK3	Jo më e ulët se AK3

Shënim. "-" - do të thotë që nuk ka kërkesa.

Kështu, për të mbrojtur PD të kategorisë së parë, që përfshin të gjitha të dhënat mjekësore, është e nevojshme të përdoren mjete mbrojtëse të klasave jo më të ulëta se AK3 dhe mjete mbrojtëse kriptografike të klasave jo më të ulëta se KC3.

Për pajisjen praktike të IP me mjete mbrojtëse, është e mundur të rekomandohen produkte të përshtatura posaçërisht për mbrojtjen e të dhënave personale dhe që kanë të nevojshme lejet(certifikatat dhe konkluzionet). Këto janë, para së gjithash, Secure Pack Rus dhe mjetet e mbrojtjes kriptografike të familjes CryptoPro.

Le të përpiqemi tani të vlerësojmë kostot e pajisjes së një vendi pune për përpunimin e PD. Duke përjashtuar zbritjet, çmimi i paketës Secure Pack Rus është afërsisht 2000 RUB, ndërsa familja e mjeteve të mbrojtjes kriptografike CryptoPro tashmë janë përfshirë në këtë paketë. Më tej, për të mbrojtur informacionin personal të ruajtur në një kompjuter, këshillohet të blini një nga paketat e mbrojtjes së të dhënave CryptoPro EFS, Secure Pack Explorer ose Crypto Explorer. Çmimi i secilit prej këtyre produkteve varion nga 600 në 1000 rubla. Mbrojtja totale e një vendi pune, duke përjashtuar instalimin dhe konfigurimin, do të kushtojë rreth 3000 rubla, dhe instalimi dhe përshtatja e programeve tradicionalisht do të shtojë 10-15% në kosto.

Është e mundur me kusht të veçohen "dhjetë hapa mistik në rrugë" drejt një sistemi të sigurt për përpunimin e PD.

1. Identifikoni elementët e IP-së tuaj që duhet të mbrohen fillimisht. Së pari, zbuloni se cilat të dhëna personale duhet të mbrohen dhe ku ndodhen aktualisht në sistemin tuaj. Pastaj kontrolloni nëse vendet e punës të të gjithë punonjësve, pa përjashtim, kanë vërtet nevojë për mbrojtje të të dhënave. Mund të jetë më e lehtë për t'u theksuar kompjuterë të veçantë për të punuar me informata personale që duhet të mbrohet veçanërisht në mënyrë të besueshme? Mos harroni se një kompjuter i lidhur në internet nuk është vendi më i mirë për të ruajtur PD!

2. Vlerësoni Gjendja e tanishme siguria e informacionit. Sa e kënaqshme është? Nëse është e mundur, shpenzoni auditimi i jashtëm sigurinë e sistemit tuaj. Klasifikoni IP-në tuaj sipas udhëzimeve të mësipërme. Krahasoni gjetjet tuaja me ato të një auditimi të jashtëm.

3. Përcaktoni se kush është brenda kohën e dhënëështë përgjegjës për sigurimin e mbrojtjes së IP. A është e mundur të ngushtohet rrethi i personave nga të cilët varet besueshmëria e kësaj mbrojtjeje? Në të njëjtën kohë, mbani mend - siguria nuk mund të varet nga një person! Sigurohuni që të caktoni auditorë, për shembull, mjeku kryesor mund të mbikëqyrë punën e specialistëve në plotësimin dhe lëvizjen e PD.

4. Jini kritik ndaj kërkesave të ekspertëve nëse ata insistojnë në instalimin e pajisjeve të sigurisë. Gjithashtu vini re se duke përdorur mjete kriptografike- punë mjaft serioze. Është e rëndësishme të kuptohet: A do të ndërhynte ruajtja e kriptimit dhe nënshkrimeve dixhitale në biznesin kryesor të kompanisë suaj? Ju lutemi vini re gjithashtu se jo çdo punonjës mund dhe duhet të përfshihet në enkriptimin e të dhënave.

5. Pastroni sigurinë e klinikës suaj. Vendosni një modalitet që do të sigurojë nivelin e kërkuar siguria e informacionit megjithatë, mos shkoni shumë larg. Për shembull, ju nuk mund t'i privoni njerëzit nga mundësia për të përdorur Telefonat celular... Është gjithashtu e papërshtatshme të ndalosh punonjësit të kontaktojnë e-mail dhe interneti për përdorim personal. Në të njëjtën kohë, është mjaft e këshillueshme që të rregulloni procedurën për futjen e disqeve flash dhe laptopëve të vet në territorin e kompanisë, ose të përdorni atë të disponueshëm në Paketën e Sigurt. Funksioni Rusçaktivizimi i disqeve USB të paautorizuara për përdorim nga administratori

6. Kërkoni nga profesionistët e IT të hartojnë një plan të qartë pune për krijimin dhe konfigurimin e një sistemi sigurie. Kërkoni të justifikoni nevojën për blerje fonde shtesë duke garantuar siguri. Këmbëngulni të siguroheni që cilësimi i sigurisë të mos ndërhyjë në funksionimin bazë të sistemit.

7. Monitorimi i zbatimit të planit të sigurisë.

8. Dëgjoni mendimet e mjekëve dhe punonjësve - a pengojnë masat e sigurisë në punën dhe aktivitetet e tyre kryesore?

9. Ruajtja dhe monitorimi i statusit të sigurisë së PD, dhe ndërtimi i besnikërisë së personelit të sigurisë.

10. Merreni lehtë me inovacionin e sigurisë - konservatorizmi i shëndetshëm do t'ju kursejë para.

Shërbimet e banimit dhe komunale, shoqatat e strehimit dhe kompanitë e tjera janë të detyruara të mbrojnë informacionin e mbledhur nga modifikimi dhe zbulimi. Pajtueshmëria me kërkesat rregullatore monitorohet nga Roskomnadzor, Shërbimi Federal për Mbikëqyrjen e Komunikimeve, Teknologjisë së Informacionit dhe komunikimet masive, duke mbajtur regjistrin e operatorëve të të dhënave personale. Aktet nënligjore të FSTEC dhe FSB kërkojnë që operatorët të ndërtojnë sistem modern mbrojtje duke përdorur zgjidhje antivirus, muret e zjarrit, sistemet e parandalimit të ndërhyrjeve, menaxhimi i identitetit të përdoruesit dhe kontrolli i aksesit, kriptimi, mbrojtja nga rrjedhjet, sistemet e menaxhimit të ngjarjeve të sigurisë dhe mekanizmat e tjerë mbrojtës të listuar në dokumentin udhëzues të FSTEC "Për miratimin e përbërjes dhe përmbajtjes së organizatës dhe masat teknike për garantimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale "datë 18 shkurt 2013 N 21. Ndërmarrjet e banesave dhe shërbimeve komunale përdorin sisteme informacioni për të punuar me popullatën, ndërmarrjet, institucionet dhe shërbimet e ndryshme. Kontabilitet, menaxhim, tatimet kontabiliteti mbahet gjithashtu. , si në ndërmarrjet e tjera, ato praktikisht nuk ndryshojnë nga detyrat e ngjashme në llojet e tjera të ndërmarrjeve.

Duke analizuar ndërtimin e bazave të të dhënave të përdorura për ruajtjen dhe përpunimin e informacionit në sistemet e banesave dhe shërbimeve komunale, theksohen dy pika: baza e ndërtimit dhe vendndodhja territoriale. Korniza më e vjetër dhe më e përdorur e bazës së të dhënave janë skedarët dbf. Por për kompleksin e sotëm sisteme të automatizuara ato nuk janë të përshtatshme për dy arsye kryesore: sasi e kufizuar regjistrime në të njëjtën tabelë dhe mungesë besueshmërie.

Bazat e të dhënave moderne janë ndërtuar në bazë të klientit - teknologjitë e serverëve... ekziston sisteme të ndryshme menaxhimin e bazës së të dhënave, të cilat kanë avantazhet dhe disavantazhet e tyre. Secila prej tyre përdoret në të paktën një sistem të krijuar për automatizimin e banesave dhe shërbimeve komunale. Më i zakonshmi është MS SQL 2000. Meqenëse është menduar për një sistem operativ popullor kompjuterët personalë- Dritaret. Tjetra në popullaritet është Interbase. Ekzistojnë gjithashtu zbatime të bazës së të dhënave të banesave dhe shërbimeve komunale nën kontrollin e Oracle, një nga sistemet më të avancuara, por të shtrenjta dhe të vështira të menaxhimit të bazës së të dhënave.

Duhet të theksohet gjithashtu se ekziston një tendencë që shitësit e sistemeve të menaxhimit të bazës së të dhënave të përhapin të tyren produkte softuerike- fjali versionet falas me kufizime të caktuara, që u përshtaten përdoruesve jo të mëdhenj dhe jo të pasur, ku përfshihen zyrat e strehimit dhe pikat e pranimit të pagesave. Një shembull i sistemeve të tilla janë MSDE 2000, MSDE 2005 nga Microsoft Corporation.

Topologjia më themelore e bazës së të dhënave është ajo ku i gjithë informacioni ndodhet në një server. Klientët lidhen me linjat e largëta dhe të zgjidhin detyrat e tyre aktuale.

Një tjetër mundësi zbatimi është bazë e shpërndarë të dhëna për të gjithë ose një pjesë të pjesëmarrësve në shërbimet e banimit dhe komunale. Disavantazhi është nevoja për të sinkronizuar të dhënat.

Sinkronizimi i të dhënave është në proces menyra te ndryshme... Më e zakonshme është eksporti/importi. Të dhënat në një transportues ose me e-mail transferohen midis pjesëmarrësve në shërbimet e strehimit dhe komunës. Në këtë, një efekt të rëndësishëm në performancën e sistemit ka faktori njeri- çdo gjë duhet bërë në kohë dhe me shumë kujdes.

Niveli i dytë i sinkronizimit është shkëmbimi i të dhënave ndërmjet moduleve të sistemit duke komunikuar me serverë të largët... Ky shkëmbim thirret ose me komandë të përdoruesit ose sipas një plani të caktuar. Ai konsiston në faktin se një procedurë e caktuar në një nga serverë të lidhur"lexon në vetvete" ose "i shkruan" të dhënat e nevojshme për sinkronizim.

Së fundi, më nivel të lartë- sinkronizimi i bazës së të dhënave përmes replikimit. Këto mjete lejojnë ndryshimin e të dhënave si në njërën anë të linjës së komunikimit ashtu edhe në anën tjetër. Sipas orarit të specifikuar ose me urdhër të përdoruesit, serverët lidhin dhe sinkronizojnë bazat e të dhënave.

Mbrojtja e të dhënave personale mund të sigurohet vetëm në sistemin e informacionit ku një sulmues nuk mund të ndërhyjë në funksionimin e tij. elementet bazë - pajisjet e rrjetit, sistemet operative, aplikacionet dhe DBMS.

Kërcënimet kryesore për sigurinë e të dhënave personale, përkatësisht shkatërrimi, modifikimi, bllokimi, kopjimi, shpërndarja e të dhënave personale, si dhe veprime të tjera të paautorizuara gjatë përpunimit të tyre në sistemin e informacionit. Rrjedhja e informacionit mund të jetë për shkak të viruseve, malware, sulmet në rrjet... Antiviruset, muret e zjarrit dhe Sistemet e Parandalimit të Ndërhyrjeve (IPS) përdoren për mbrojtje (Shërbejnë për të zbuluar shenjat e një sulmi në trafikun kalimtar dhe për të bllokuar sulmin më të njohur të zbuluar. Ndryshe nga antiviruset e portës, IPS analizon jo vetëm përmbajtjen e paketave IP . por edhe protokollet e përdorura dhe korrektësinë e përdorimit të tyre.), skanerët e cenueshmërisë (Ata kontrollojnë sistemin e informacionit për praninë e "boshllëqeve" të ndryshme në sistemet operative dhe software... Si rregull, është programe individuale ose pajisje që testojnë sistemin duke dërguar kërkesa të veçanta që simulojnë një sulm në një protokoll ose aplikacion.). Kompleti i mjeteve për mbrojtjen e të dhënave konfidenciale nga rrjedhjet përbëhet nga tre produkte: sistemet e kontrollit pajisjet periferike, Parandalimi i rrjedhjes së të dhënave (DLP) dhe enkriptimi për siguri të plotë ka kuptim të kombinohen të tre llojet e ushqimeve. Me ndihmën e këtyre fondeve, shërbimet e strehimit dhe komunale dhe kompanitë e tjera të menaxhimit mund të kënaqin Kërkesat e FSTEC për mbrojtjen e të dhënave personale.

Kontroll mbi pajisjet. Rrjedhja e të dhënave shpesh ndodh përmes mediave të lëvizshme dhe kanale të paautorizuara komunikimi: memorie flash, disqe USB, Bluetooth ose Wi-Fi, kështu që kontrolloni përdorimin e porteve USB dhe të tjera pajisje periferikeështë gjithashtu një nga mënyrat për të kontrolluar rrjedhjet.

DLP. Sistemet e mbrojtjes nga rrjedhjet lejojnë përdorimin e algoritmeve speciale për të ndarë të dhënat konfidenciale nga rrjedha e të dhënave dhe për të bllokuar transmetimin e tyre të paautorizuar. Sistemet DLP ofrojnë mekanizma për kontrollin e kanaleve të ndryshme të transmetimit të informacionit: e-mail, mesazhe të çastit, postë në ueb, printim në një printer, ruajtje në disk i lëvizshëm Për më tepër, modulet DLP bllokojnë rrjedhjen vetëm të të dhënave konfidenciale, pasi ato kanë mekanizma të integruar për të përcaktuar se sa është sekret ky apo ai informacion.

Enkriptimi. Mbrojtja e të dhënave nga rrjedhjet në një mënyrë ose në një tjetër përdor mekanizmat e kriptimit, dhe kjo industri ka qenë gjithmonë e kontrolluar nga FSB, dhe të gjitha kërkesat për certifikimin e sistemeve të kriptimit publikohen dhe verifikohen nga ky departament. Duhet të theksohet se është e nevojshme të kriptohet jo vetëm vetë bazat e të dhënave personale, por edhe transmetimi i tyre përmes rrjetit, si dhe kopje rezervë bazat e të dhënave. Kriptimi përdoret gjithashtu kur transmetohen të dhëna personale përmes rrjetit në sistemi i shpërndarë... Për këtë qëllim, është e mundur të përdoren produkte të klasës VPN të ofruara nga zhvillues të ndryshëm, të cilët, si rregull, bazohen në enkriptim, megjithatë sisteme të ngjashme duhet të jetë i certifikuar dhe i integruar ngushtë me bazat e të dhënave që ruajnë të dhënat personale.

Duhet theksuar se në aktet nënligjore të FSTEC ka një ndarje në baza të të dhënave të vogla, të mesme dhe të shpërndara, kërkesat për mbrojtjen e të cilave janë shumë të ndryshme. Pra, për të mbrojtur bazat e të dhënave të shpërndara, si rregull, ju duhet mjete shtesë mbrojtje, e cila është e kuptueshme - një bazë e shpërndarë duhet të ketë kanale komunikimi ndërmjet pjesëve të saj, të cilat gjithashtu duhet të mbrohen

Në sistemin e informacionit të banesave dhe shërbimeve komunale problemi kryesor për liderin është organizim korrekt aksesi i punonjësve në burime të ndryshme - nga vendosjen e duhur të drejtat e aksesit shpesh varen nga siguria e të dhënave konfidenciale, kështu që sistemi i menaxhimit të të drejtave të aksesit duhet të përfshihet në sistemin e mbrojtjes së një sistemi të madh informacioni. Sistemi bllokon përpjekjet për të ndryshuar të drejtat e aksesit pa lejen e operatorit të sigurisë, i cili siguron mbrojtje nga operatorët lokalë.

Një sistem i madh mbrojtës mund të gjenerojë shumë mesazhe rreth sulmeve të mundshme, të cilat janë vetëm potencialisht të afta të çojnë në zbatimin e një kërcënimi të veçantë. Shpesh këto mesazhe janë vetëm paralajmërime, por operatorë sigurie sistem i madh duhet të ketë një mjet që do t'i lejonte ata të kuptojnë thelbin e asaj që po ndodh. Sistemi i korrelacionit të ngjarjeve mund të bëhet një mjet i tillë analize, i cili lejon lidhjen e disa mesazheve nga pajisjet mbrojtëse në një zinxhir të vetëm ngjarjesh dhe vlerësimin gjithëpërfshirës të rrezikut të të gjithë zinxhirit. Kjo tërheq vëmendjen e operatorëve të sigurisë për ngjarjet më të rrezikshme.

Sistemet menaxhimin e centralizuar mekanizmat mbrojtës ju lejojnë të kontrolloni plotësisht të gjitha ngjarjet që lidhen me sigurinë e sistemit të informacionit. Produktet në këtë nivel mund të zbulojnë, menaxhojnë dhe raportojnë mbi mekanizmat e sigurisë të instaluara në ndërmarrje. Të njëjtat produkte mund të automatizohen më së shumti probleme të thjeshta ose ndihmoni administratorët të kuptojnë shpejt sulmet komplekse.

Të tre produktet e mësipërme nuk kërkohen për të mbrojtur sisteme të mëdha informacioni, por ato ju lejojnë të automatizoni shumicën e detyrave të zgjidhura nga operatorët e sigurisë dhe të minimizoni numrin e punonjësve të nevojshëm për të mbrojtur një sistem të madh, si sistemi i informacionit të strehimit dhe shërbimet komunale.

Përgjegjësia për shkeljen e kërkesave për mbrojtjen e të dhënave personale

Personat fajtorë për shkeljen e kërkesave të Ligjit për të Dhënat Personale janë përgjegjës sipas legjislacionit të Federatës Ruse (për shembull, civil, penal, administrativ, disiplinor). Këtë e tregon paragrafi 1 i nenit 24 të Ligjit për të Dhënat Personale.

Në aktualisht përgjegjësia administrative për operatorët (me përjashtim të personave për të cilët bëhet përpunimi i të dhënave personale aktivitetet profesionale dhe është subjekt i licencimit) parashikon:

· Për refuzimin e paligjshëm për t'i dhënë një qytetari dhe (ose) një organizate informacione, dispozita e të cilave përcaktohet nga ligjet federale, dhënia e parakohshme ose dhënia e informacionit qëllimisht të pasaktë (neni 5.39 i Kodit të Kundërvajtjeve Administrative të Federatës Ruse). Një përjashtim nga ky rregull janë rastet e parashikuara nga neni 7.23.1 i Kodit Administrativ të Federatës Ruse;

· Për shkelje të kërkesave të legjislacionit për zbulimin e informacionit nga organizatat që kryejnë veprimtari në fushën e menaxhimit të ndërtesave të banimit (neni 7.23.1 i Kodit të Kundërvajtjeve Administrative të Federatës Ruse);

· për shkelje të përcaktuara me ligj procedura për mbledhjen, ruajtjen, përdorimin ose shpërndarjen e të dhënave personale (neni 13.11 i Kodit Administrativ të Federatës Ruse);

· Për zbulimin e informacionit, qasja në të cilën është e kufizuar me ligj federal (me përjashtim të rasteve kur zbulimi i tij sjell përgjegjësi penale), nga një person që ka fituar akses në të në lidhje me kryerjen e detyrave zyrtare ose profesionale (neni 13.14 i Kodi i kundërvajtjeve administrative të Federatës Ruse).

Krimet që sjellin përgjegjësi penale janë:

Mbledhja ose shpërndarja e paligjshme e informacionit rreth privatësi personat që përbëjnë sekretin e tij personal ose familjar, pa pëlqimin e tij, ose shpërndarjen e këtij informacioni në një fjalim publik, vepër të shfaqur publikisht ose mjete. masmedia(neni 137 i Kodit Penal të Federatës Ruse);

Refuzim i paligjshëm zyrtare në sigurimin e mbledhur në rend i vendosur dokumente dhe materiale që prekin drejtpërdrejt të drejtat dhe liritë e një qytetari, ose i japin një qytetari jo të plotë ose me vetëdije informacione të rreme nëse këto veprime kanë shkaktuar dëm të të drejtave dhe interesave legjitime të qytetarëve (neni 140 i Kodit Penal të Federatës Ruse);

Qasje e paligjshme në të mbrojtura ligjërisht informacion kompjuterik nëse ky akt ka sjellë shkatërrimin, bllokimin, modifikimin ose kopjimin e informacionit (neni 272 i Kodit Penal të Federatës Ruse)

Pas publikimit të Dekretit të Qeverisë së Federatës Ruse Nr. 781 "Për miratimin e Rregullores për garantimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale" të datës 17 nëntor 2007 dhe një urdhër të përbashkët të Federatës Ruse. Shërbimi për Kontrollin Teknik dhe Eksport, Shërbimi Federal i Sigurisë i Federatës Ruse dhe Ministria e Teknologjive të Informacionit dhe Komunikimeve të Federatës Ruse, e datës 13 shkurt 2008 Nr. 55/86/20 "Për miratimin e procedurës për klasifikimin e sistemeve të informacionit të të dhënat personale" (në tekstin e mëtejmë "Procedura ...") dy pyetje pothuajse të Hamletit:

• si të klasifikohet IP e krijuar për të mbrojtur të dhënat personale;
• si të zgjidhni mjetet e sigurisë së informacionit për të mbrojtur të dhënat personale në këto sisteme.

"Procedura ..." thotë se "klasifikimi i sistemeve të informacionit kryhet nga organet shtetërore, organet komunale, personat juridikë dhe individët që organizojnë dhe (ose) kryejnë përpunimin e të dhënave personale, si dhe përcaktojnë qëllimet dhe përmbajtjen e përpunimin e të dhënave personale." Kjo do të thotë se të dhënat personale (PD) i klasifikojnë ato pronar, e cila është një ndihmë serioze për një zgjedhje objektive të metodave dhe mjeteve të mbrojtjes së të dhënave personale dhe krijon një bazë objektive për një dialog me autoritetet inspektuese për përshtatshmërinë e masave të marra në organizatë për mbrojtjen e të dhënave personale.

Kur klasifikoni IP-në e destinuar për përpunimin e të dhënave personale, merren parasysh të dhënat e mëposhtme fillestare:

• kategori të dhënat personale të përpunuara në sistemin e informacionit; ·
• vëllimi PD e përpunuar (numri i subjekteve të dhënat personale të të cilëve përpunohen në SI); ·
• karakteristikat e sigurisë së të dhënave personale të përpunuara në SI të vendosura nga pronari i sistemit të informacionit; ·
• struktura e sistemit të informacionit; ·
• disponueshmëria e lidhjeve të IS me rrjetet publike të komunikimit dhe (ose) rrjetet e shkëmbimit ndërkombëtar të informacionit; ·
• Mënyra e përpunimit të PD; ·
• mënyra e diferencimit të të drejtave të aksesit për përdoruesit e sistemit të informacionit; ·
• vendndodhjen e mjeteve teknike të IP.

Para së gjithash, ne do të përcaktojmë se çfarë lidhet me të dhënat personale. Ky është informacion i një natyre të ndryshme për individë të veçantë. Vini re se bëhet fjalë vetëm për informacione në formë elektronike, të futura, të ruajtura, të përpunuara dhe të transmetuara në sistemin e informacionit. Ky informacion ndahet në katër kategori kryesore:

• kategoria 1 - PD në lidhje me racën, kombësinë, pikëpamjet politike, besimet fetare dhe filozofike, gjendjen shëndetësore, jetën intime; ·
• kategoria 2 - PD, duke ju lejuar të identifikoni subjektin e të dhënave personale dhe të merrni rreth tij Informacion shtese, me përjashtim të të dhënave personale që i përkasin kategorisë 1; ·
• kategoria 3 - të dhëna personale që ju lejojnë të identifikoni subjektin e të dhënave personale; ·
• kategoria 4 - PD jopersonale dhe (ose) e disponueshme publikisht.

Për shembull, mbiemri veç e veç është të dhënat e kategorisë së 4-të, kombinimi i mbiemrit dhe adresës është i treti, mbiemri, adresa, sigurimi dhe numrat e kartës është i dyti dhe nëse këtyre të dhënave i shtohet një kartelë elektronike mjekësore, atëherë të dhënat personale që rezultojnë i përkasin ekskluzivisht kategorisë së parë.

Bazuar në këtë klasifikim, mund të thuhet se çdo e dhënë mjekësore, si dhe të dhënat e personelit që përmbajnë kolonën "kombësia" (dhe të tilla janë pothuajse të gjithë pyetësorët e vlefshëm dhe të dhënat personale në të dhënat e personelit të përdorura aktualisht), duhet të klasifikohen në të parën. kategori. Është gjithashtu e qartë se pjesët e të dhënave personale janë pothuajse gjithmonë të një kategorie më të vogël se sa përmbledhja e tyre. Edhe informacioni i detajuar për shëndetin e një individi mund të jetë i pakuptimtë nëse mbiemri i tij ose të dhëna të tjera nuk dihen, gjë që e lidh pa mëdyshje këtë informacion me pacientin.

Vëllimi i PD-së së përpunuar mund të marrë vlerat e mëposhtme:

1. - IS përpunon njëkohësisht të dhëna personale të më shumë se 100,000 subjekteve ose të dhëna personale të subjekteve brenda rajonit të Federatës Ruse ose Federatës Ruse në tërësi; ·
2. - IS përpunon në të njëjtën kohë të dhëna personale nga 1000 deri në 100,000 subjekte ose të dhëna personale të subjekteve që punojnë në ekonominë e Federatës Ruse, në organin qeveritar që banon në komunë; ·
3. - IS përpunon njëkohësisht të dhënat e më pak se 1000 subjekteve ose të dhënat personale të subjekteve të një organizate të caktuar.

Sipas karakteristikave të sigurisë së PD të përpunuara në sistemin e informacionit, IS-të ndahen në standarde dhe të veçanta. Të parat janë sistemet e informacionit në të cilat vetëm konfidencialiteti te dhena Personale.

Karakteristika e “konfidencialitetit” do të thotë se vetëm ai për të cilin ato synohen mund të trajtojë (fusë, ruajë, përpunojë dhe transmetojë) PD-në në formë elektronike. Për të siguruar konfidencialitet gjatë transferimit të të dhënave personale përmes rrjeteve, duke përfshirë internetin, duhet të përdoret enkriptimi i të dhënave.

Sisteme të veçanta informacioni janë IS në të cilat, pavarësisht nga nevoja për të garantuar konfidencialitetin e PD-së, kërkohet të sigurohet të paktën një nga karakteristikat e sigurisë së të dhënave personale, përveç konfidencialitetit (për shembull, integriteti ose disponueshmëria). Karakteristika "integritet" nënkupton që të dhënat personale duhet të ndryshohen vetëm në mënyrë të rregulluar, për shembull, vetëm një mjek i autorizuar mund të bëjë ndryshime në dosjen elektronike të dosjes mjekësore dhe në çdo rast tjetër informacioni në kartelën mjekësore nuk duhet të ndryshohet. . Kur transmetohet përmes rrjeteve, integriteti sigurohet duke përdorur një nënshkrim elektronik dixhital.

Karakteristika "disponueshmëri" nënkupton që puna me PD duhet të sigurohet për një sasi të caktuar të dhënash dhe përdoruesish në përputhje me rregulloret e përcaktuara kohore. Me fjalë të tjera, "disponueshmëria" është një formulim tjetër i besueshmërisë së sistemit. Vini re gjithashtu se të folurit për disponueshmërinë në rrjetet e hapura është praktikisht e pakuptimtë - asnjë ofrues nuk do të sigurojë akses të garantuar në të dhëna ose transmetimin e tyre të pandërprerë.

Sistemet e veçanta të informacionit përfshijnë:

• IS, në të cilin përpunohen të dhënat personale në lidhje me gjendjen shëndetësore të subjekteve; ·
• IP, e cila parashikon miratimin në bazë të vetëm përpunimi i automatizuar të dhënat personale të vendimeve që sjellin pasoja juridike në lidhje me subjektin ose cënojnë ndryshe të drejtat dhe interesat e tij legjitime.

Sipas strukturës, sistemet e informacionit për përpunimin e PD-së ndahen:

• për autonome (jo të lidhur me SI të tjera), të destinuara për përpunimin e të dhënave personale (stacione të automatizuara pune); ·
• për komplekset e stacioneve të automatizuara të punës, të bashkuara në një IS të vetëm me anë të komunikimit pa përdorur teknologjinë e aksesit në distancë (sistemet e informacionit lokal); ·
• në komplekset e stacioneve të automatizuara të punës dhe (ose) IS lokale, të bashkuara në një sistem të vetëm informacioni me anë të komunikimit duke përdorur teknologjinë e aksesit në distancë (sistemet e informacionit të shpërndarë).

Sipas pranisë së lidhjeve me rrjetet e komunikimit publik dhe (ose) shkëmbimin ndërkombëtar të informacionit, IS-të ndahen në sisteme që kanë lidhje që nuk kanë lidhje.

Nisur nga fakti se është e detyrueshme të sigurohet konfidencialiteti i të dhënave, është e mundur të theksohen elementët e nevojshëm të sistemit të informacionit për përpunimin e të dhënave personale.

Para së gjithash, sistemi i informacionit është i detyruar të identifikojë përdoruesit dhe të jetë në gjendje të krijojë autoritet individual për aksesin e përdoruesit në PD, domethënë të ketë sisteme identifikimi dhe vërtetimi dhe kontroll të aksesit.

Së dyti, është e nevojshme të sigurohet mbrojtja e të dhënave personale që mund të tjetërsohen nga sistemi. Për shembull, ju duhet të kontrolloni transferimin e informacionit në media e lëvizshme... Ka shumë mundësi që në disa raste të jetë e nevojshme të merret parasysh mundësia e vjedhjes dhe humbjes (humbjes) të pajisjeve kompjuterike me të dhëna personale. Në këtë rast, enkriptimi i PD-së së ruajtur në median kompjuterike është gjithashtu i detyrueshëm.

Nëse sistemi ka lidhje me rrjete të hapura ose siguron shkëmbim të dhënash, është i detyrueshëm përdorimi i enkriptimit të të dhënave dhe nënshkrimeve dixhitale elektronike, si dhe për të siguruar mbrojtje kundër sulmeve nga rrjetet e jashtme, duke përfshirë mbrojtjen kundër viruseve.

Për kriptim dhe nënshkrim elektronik përdoren çelësa dhe certifikata që gjenerohen nga vetë përdoruesit dhe regjistrohen në të ashtuquajturat qendra certifikimi.

Një pikë shumë e rëndësishme është regjistrimi i veprimeve pranë PD-së, i cili nga njëra anë të lejon të identifikosh përgjegjësit e rrjedhjes së tyre dhe nga ana tjetër krijon motivim psikologjik për punë korrekte me ta.

Një sistemi informacioni për përpunimin e PD mund t'i caktohet një nga klasat e mëposhtme:

• klasa 1 (K1) - IS, për të cilën një shkelje e një karakteristike të caktuar sigurie të të dhënave personale të përpunuara në to mund të çojë në pasoja të rëndësishme negative për subjektet e të dhënave personale; ·
• klasa 2 (K2) - IS, për të cilën një shkelje e karakteristikave të specifikuara të sigurisë të PD-së të përpunuara në to mund të çojë në pasoja negative për subjektet e të dhënave personale; ·
• klasa 3 (K3) - IS, për të cilën një shkelje e karakteristikave të specifikuara të sigurisë të të dhënave personale të përpunuara në to mund të çojë në pasoja të vogla negative për subjektet e të dhënave personale; ·
• klasa 4 (K4) - IS, për të cilat shkelja e një karakteristike të caktuar sigurie të të dhënave personale të përpunuara në to nuk çon në pasoja negative për subjektet e të dhënave personale.

Tabela 1

Kategoria

Së pari, nga "Rendi ..." rrjedh ekzistenca e kategoritë te dhena Personale. Është logjike të zbatohet grumbullimi bazat e të dhënave në SI që përmbajnë PD në pjesë jo të mbivendosura që përmbajnë të dhëna të kategorive të ndryshme. Gjithashtu, IC për përpunimin e PD duhet të jetë të ndara në skica që përmbajnë të dhëna të vetëm një kategorie. Është mjaft e mundur për ta bërë këtë, pasi individët identifikohen pa mëdyshje nga numri i pasaportës ose TIN-it të tyre ose nga numri i policës së sigurimit shëndetësor, gjë që bën të mundur indeksimin e bazave të të dhënave mjekësore dhe grupeve të tjera në mënyrë të paqartë. Kështu, është e nevojshme të ndiqet parimi që në çdo qark të IS për përpunimin e të dhënave personale, është e nevojshme të përdoret produkte të çertifikuara të së njëjtës klasë, dhe konturet duhet të jenë i izoluar veçmas.

Mund të thuhet se shumica e sistemeve të informacionit për përpunimin e PD (veçanërisht për qëllime mjekësore) do të jenë e veçantë, domethënë në to është e nevojshme të sigurohet jo vetëm konfidencialiteti, por edhe integriteti karakteristika të detyrueshme dhe të tjera të sigurisë dhe besueshmërisë.

Kur të shpërndara IP për përpunimin e të dhënave personale, edhe nëse është e nevojshme të sigurohet vetëm konfidencialiteti në përputhje me "Procedurën ..." do t'ju duhet patjetër mbrojtja e PD-së së transmetuar dhe të ruajtur... Kjo përputhet plotësisht me kërkesat aktuale të Shërbimit Federal të Sigurisë të Federatës Ruse për sistemet e automatizuara të informacionit të krijuara për të mbrojtur informacionin konfidencial që nuk përbën sekret shtetëror, përkatësisht, dispozita që "të gjitha informacionet konfidenciale të transmetuara përmes kanaleve të komunikimit duhet të mbrohen; informacioni i transmetuar përmes kanaleve të komunikimit duhet të kodohet duke përdorur mbrojtjen e informacionit kriptografik (CIP), ose duhet të përdoren kanale të sigurta komunikimi për transmetimin e tij. Duhet të bëhet mbrojtja e informacionit të regjistruar në media të tjetërsueshme.”

Kërkesa e fundit është padyshim e zbatueshme për IS-të e izoluara të PD-së që nuk kanë kanale për transmetimin e PD-së, domethënë për vendet individuale të punës që përpunojnë të dhëna personale.

Kjo do të thotë që për përpunimin e të dhënave personale, IP duhet të certifikohet në një klasë jo më të ulët se AK2 në klasifikimin e FSB të Federatës Ruse. Për shembull, kjo klasë korrespondon me Windows XP të mbrojtur me Secure Pack Rus. Përbërja e mjeteve të mbrojtjes duhet të përfshijë mjetet e mbrojtjes kriptografike të informacionit (CIP) të një klase jo më të ulët se KC2.

Bazuar në këtë, për çdo IS PD që përpunon PD të kategorive mbi të 4-tën (të cilës do t'i atribuohen sigurisht të gjitha sistemet e përpunimit të PD mjekësore), do të jetë e nevojshme të kryhet të gjitha kërkesat e klasës AK2 në klasifikimin e FSB RF.

Nga arkitektura e IS PD me një numër mjaft të madh të PD-ve të përpunuara (treguesi 1 ose 2), patjetër do të ndahet komponenti i serverit, i cili gjithashtu do të kërkojë mbrojtje. Në këtë rast, të gjitha informacionet konfidenciale të ruajtura në mediat magnetike të stacioneve të punës dhe serverëve duhet të mbrohen, gjë që plotëson kërkesat e klasës AK3.

Kështu, ne mund të ofrojmë një strategji të bazuar mirë për mbrojtjen e të dhënave personale, që konsiston në atë tabelë. 1 plotësohet si më poshtë (shih tabelën 2).

tabela 2

Kategoria IP	Klasa IP në varësi të vëllimit të PD-së së përpunuar
	Jo më e ulët se AK3	Jo më e ulët se AK3	Jo më e ulët se AK3

Shënim. "-" - do të thotë që nuk ka kërkesa.

Kështu, për të mbrojtur PD të kategorisë së parë, që përfshin të gjitha të dhënat mjekësore, është e nevojshme të përdoren mjete mbrojtëse të klasave jo më të ulëta se AK3 dhe mjete mbrojtëse kriptografike të klasave jo më të ulëta se KC3.

Për pajisjen praktike të IP me mjete mbrojtëse, mund të rekomandohen produkte të përshtatura posaçërisht për mbrojtjen e të dhënave personale dhe me lejet e nevojshme (certifikatat dhe konkluzionet). Këto janë, para së gjithash, Secure Pack Rus dhe mjetet e mbrojtjes kriptografike të familjes CryptoPro.

Le të përpiqemi tani të vlerësojmë kostot e pajisjes së një vendi pune për përpunimin e PD. Duke përjashtuar zbritjet, çmimi i paketës Secure Pack Rus është afërsisht 2000 RUB, ndërsa familja e mjeteve të mbrojtjes kriptografike CryptoPro tashmë janë përfshirë në këtë paketë. Më tej, për të mbrojtur informacionin personal të ruajtur në një kompjuter, këshillohet të blini një nga paketat e mbrojtjes së të dhënave CryptoPro EFS, Secure Pack Explorer ose "Crypto Explorer". Çmimi i secilit prej këtyre produkteve varion nga 600 në 1000 rubla. Mbrojtja totale e një vendi pune, duke përjashtuar instalimin dhe konfigurimin, do të kushtojë rreth 3000 rubla, dhe instalimi dhe përshtatja e programeve tradicionalisht do të shtojë 10-15% në kosto.

Është e mundur me kusht të veçohen "dhjetë hapa mistik në rrugë" drejt një sistemi të sigurt për përpunimin e PD.

1. Identifikoni elementët e IP-së tuaj që duhet të mbrohen së pari. Së pari, zbuloni se cilat të dhëna personale duhet të mbrohen dhe ku ndodhen aktualisht në sistemin tuaj. Pastaj kontrolloni nëse vendet e punës të të gjithë punonjësve, pa përjashtim, kanë vërtet nevojë për mbrojtje të të dhënave. Ndoshta është më e lehtë të ndash kompjuterë të veçantë për të punuar me informacione personale që duhet të mbrohen veçanërisht me besueshmëri? Mos harroni se një kompjuter i lidhur në internet nuk është vendi më i mirë për të ruajtur PD!
2. Vlerësoni gjendjen aktuale të sigurisë së informacionit. Sa e kënaqshme është? Nëse është e mundur, kryeni një auditim të jashtëm të sigurisë së sistemit tuaj. Klasifikoni IP-në tuaj sipas udhëzimeve të mësipërme. Krahasoni gjetjet tuaja me ato të një auditimi të jashtëm.
3. Përcaktoni se kush është aktualisht përgjegjës për zbatimin e IP. A është e mundur të ngushtohet rrethi i personave nga të cilët varet besueshmëria e kësaj mbrojtjeje? Në të njëjtën kohë, mbani mend - siguria nuk mund të varet nga një person! Sigurohuni që të caktoni auditorë, për shembull, mjeku kryesor mund të mbikëqyrë punën e specialistëve në plotësimin dhe lëvizjen e PD.
4. Jini kritik ndaj kërkesave të ekspertëve nëse ata insistojnë në instalimin e pajisjeve të sigurisë. Vini re gjithashtu se përdorimi i mjeteve kriptografike është një punë mjaft serioze. Është e rëndësishme të kuptohet: A do të ndërhynte ruajtja e kriptimit dhe nënshkrimeve dixhitale në biznesin kryesor të kompanisë suaj? Ju lutemi vini re gjithashtu se jo çdo punonjës mund dhe duhet të përfshihet në enkriptimin e të dhënave.
5. Pastroni sigurinë e klinikës suaj. Vendosni një regjim që do të sigurojë nivelin e kërkuar të sigurisë së informacionit, por mos e teproni. Për shembull, njerëzit nuk duhet të privohen nga aftësia për të përdorur celularët e tyre. Është gjithashtu e papërshtatshme t'i ndalosh punonjësit të hyjnë në e-mail dhe internet për qëllime personale. Në të njëjtën kohë, është mjaft e këshillueshme që të rregulloni procedurën për futjen e disqeve flash dhe laptopëve të vet në territorin e kompanisë, ose të përdorni funksionin e çaktivizimit të disqeve USB që nuk lejohen për përdorim nga administratori, i disponueshëm në Secure Pack Rus.
6. Kërkoni nga profesionistët e IT të hartojnë një plan të qartë pune për krijimin dhe konfigurimin e një sistemi sigurie. Kërkoni një arsyetim për blerjen e pajisjeve shtesë të sigurisë. Këmbëngulni të siguroheni që cilësimi i sigurisë të mos ndërhyjë në funksionimin bazë të sistemit.
7. Monitoroni zbatimin e planit të sigurisë.
8. Dëgjoni mendimet e mjekëve dhe punonjësve - a ndërhyjnë masat e sigurisë në punën dhe aktivitetet e tyre kryesore?
9. Ruajtja dhe monitorimi i statusit të sigurisë së PD-së, si dhe ndërtimi i besnikërisë së personelit të sigurisë.
10. Merreni lehtë me inovacionin e sigurisë - konservatorizmi i shëndetshëm do t'ju kursejë para.

9 qershor 2011 në orën 05:20

Praktika e mbrojtjes së të dhënave personale

• Siguria e Informacionit

GIS NSD lokale

SZI NSD është një shkurtim për një mjet për të mbrojtur informacionin nga aksesi i paautorizuar. Ato përdoren për të parandaluar veprimet e paautorizuara të përdoruesve që kanë akses në stacionet e punës ISPD. Përfshin mekanizma të tillë si kontrolli i ngarkesës nga media e lëvizshme(CD / DVD-disqe, disqe flash), kontrolli i pajisjes (në mënyrë që të mos jetë e mundur të lidhni një flash drive të majtë dhe të kulloni informacionin), zbatimi i kontrollit të detyrueshëm të hyrjes (ISPDN nuk kërkohet). Unë do të jap vetëm ato mjete me të cilat kam punuar personalisht:
1) Rrjeta sekrete. Mund të furnizohet me ose pa një tabelë kontrolli të ngarkesës. Funksionon përmes secpol.msc, kështu që mund të mos funksionojë në versionet Home (nuk funksionon me siguri në Windows XP Home, dhe nuk kam testuar ende Vista dhe Windows 7). Mjaft i lehtë për t'u përdorur, ka mekanizmin më të mirë të kontrollit të pajisjes që është parë ndonjëherë. Ekziston një version i rrjetit i krijuar për t'u integruar në një strukturë domeni.
2) Kujdestari NT. Mekanizmi më i mirë kontrolli i detyrueshëm i aksesit. Në funksionim, është më e vështirë (për shkak të faktit se disa nga mekanizmat mbrojtës nuk mund të fiken). Versioni i rrjetit nr.
3) Dallas Lock. Humbet në të gjithë parametrat e diskutuar më parë, me përjashtim të mundësisë së vendosjes normale të opsionit të rrjetit në një rrjet pa domen.
Siç nënkupton edhe emri, këto fonde përdoren për të makina lokale... Nuk ka asgjë për të shtuar këtu.

Firewalls

Qëllimi, mendoj, është i qartë. Për më tepër, nëse një ISPD ndahet nga një mur zjarri në dy pjesë, atëherë është e mundur me të drejtë të plotë quajini dy ISPD të ndryshme. Per cfare? Nëse bini në klasën e parë pikërisht nga numri i subjekteve të përpunuara të të dhënave personale, atëherë duke e ndarë ISPD-në në dy pjesë, do të zvogëloni numrin e subjekteve të përpunuara në çdo ISPD dhe do të merrni jo K1, por K2. Tani ka disa mure zjarri të certifikuara në treg:
1) VipNet Personal Firewall. Thjesht një mur zjarri personal, pa gjëra të zbukuruara. Menaxhohet vetëm në nivel lokal. Nuk ka asnjë mekanizëm të centralizuar të menaxhimit. Për ta nisur kërkon një fjalëkalim, nëse nuk e fut, nuk fillon.
2) VipNet Office Firewall. E njëjta gjë, por mbështet shumë kartat e rrjetit, i cili ju lejon ta instaloni atë në portë dhe ta përdorni për segmentimin e ISPD.
3) SSPT-2. Kompleksi i harduerit dhe softuerit funksionon në FreeBSD, por askush nuk do t'ju lejojë të shkoni te vetë OS. Punon shpejt, mbështet filtrimin sipas shumë parametrave. Ka një veçori të pakëndshme - rregullat zbatohen në një listë nga lart-poshtë, dhe rregullat e vendosura në krye kanë një përparësi më të lartë. Kjo nuk është pasqyruar në dokumentacion, është zbuluar në mënyrë empirike. Ai kontrollohet si nga tastiera lokale ashtu edhe nëpërmjet ndërfaqes në internet.
4) APKSH “Kontinenti”. Në përgjithësi, ky nuk është një mur zjarri, por një ruter kripto, por me funksione ITU. Arkitekturisht i ngjashëm me SSPT-2, por nuk ka kontroll nga tastiera lokale - vetëm përmes një tastierë të veçantë administratori. Për më tepër, me konfigurimi fillestar duhet të specifikoni ndërfaqen me të cilën do të lidhet kompjuteri i administratorit.
Për më tepër, "Security Code" lëshoi ​​​​dy produkte të tjera - ITU + HIPS "Studio e Sigurisë". Mbrojtja e pikës fundore»Dhe sistemi Trust Access shpërndau murin e zjarrit që kombinon murin e zjarrit dhe segmentimin duke përdorur vërtetimin Kerberos. Meqenëse nuk më është dashur të punoj me këto produkte, do të jap vetëm lidhje me përshkrimet e tyre:
TrustAccess
SSEP
Përveç kësaj, u certifikua prodhimi i një produkti tjetër, Stonegate Firewall / VPN. Produkt i kompanisë finlandeze Stonesoft. Ai gjithashtu vjen me modulin e kriptimit CryptoPRO të vidhosur mbi të, i cili e lejon atë të përdoret si një zgjidhje e certifikuar VPN.

SKZI

Ato janë gjithashtu mjete të mbrojtjes kriptografike. Përveç Firewall / VPN të përmendur tashmë të Stonegate, ka edhe dy zgjidhje të tjera VPN:
1) VipNet Custom. Është një kompleks i VipNet Administrator - program menaxhues, VipNet Coordinator - VPN server me funksione ITU, dhe VipNet Client - VPN klient dhe ITU. Programi i kontrollit përdoret vetëm për të gjeneruar çelësa dhe certifikata; cilësimet e murit të zjarrit mund të menaxhohen vetëm në nivel lokal. Vetëm RDP e integruar mund të ndihmojë në administrim. Pra përfshin mesazherin e brendshëm dhe postën e brendshme. E vetmja gjë që mund të konsiderohet virtyt është se është e pastër. zgjidhje softuerike, të cilat mund të integrohen lehtësisht në infrastrukturën ekzistuese.
2) APKSH “Kontinenti”. Në parim, unë kam folur tashmë për të. Unë do të shtoj vetëm atë që është në Versioni i fundit klienti ("Continent-AP") ka funksione muri i zjarrit dhe madje ka një klient Linux. Menaxhimi i vetë portave të kriptove kryhet vetëm nga tastiera e administratorit, por nga distanca. Veçoritë përfshijnë edhe faktin se filloni vendosjen(d.m.th., transferimi i konfigurimit të rrjetit dhe i çelësave në portën e kriptove) kryhet në nivel lokal, duke e ushqyer atë me një flash drive nga e gjithë. informacionin e nevojshëm... Nëse keni bërë një gabim gjatë krijimit të konfigurimit dhe keni dërguar tashmë portën e kriptove në pikë e largët- atëherë nuk do të jeni në gjendje ta merrni nga distanca dhe të rregulloni diçka, do të duhet të gjeneroni përsëri konfigurimin dhe disi ta transferoni atë në pikën e largët.

Në thelb, këtu Përshkrim i shkurtër të gjitha mjetet e certifikuara të mbrojtjes të njohura për mua. Shpresa, ky informacion do të jenë të dobishme për komunitetin.