Perkhidmatan perumahan dan komunal, persatuan pemilik rumah dan syarikat lain bertanggungjawab untuk melindungi maklumat yang dikumpul daripada pengubahsuaian dan pendedahan. Pematuhan terhadap keperluan kawal selia dipantau oleh Roskomnadzor - Perkhidmatan Persekutuan untuk Penyeliaan Komunikasi, Teknologi Maklumat dan Komunikasi Massa, yang mengekalkan daftar pengendali data peribadi. Peraturan FSTEC dan FSB memerlukan pengendali membina sistem keselamatan moden menggunakan penyelesaian anti-virus, tembok api, sistem pencegahan pencerobohan, pengurusan identiti pengguna dan kawalan akses, penyulitan, perlindungan kebocoran, sistem pengurusan acara keselamatan dan mekanisme perlindungan lain yang disenaraikan dalam dokumen panduan FSTEC "Pada kelulusan komposisi dan kandungan langkah-langkah organisasi dan teknikal untuk memastikan keselamatan data peribadi semasa pemprosesannya dalam sistem maklumat data peribadi" bertarikh 18 Februari 2013 N 21. Perusahaan perumahan dan perkhidmatan komunal menggunakan sistem maklumat untuk bekerja dengan penduduk , perusahaan, pelbagai institusi dan perkhidmatan. Perakaunan, pengurusan dan perakaunan cukai dijalankan dengan cara yang sama seperti dalam perusahaan lain; mereka secara praktikalnya tidak berbeza daripada tugas yang serupa dalam jenis perusahaan lain.

Menganalisis pembinaan pangkalan data yang digunakan untuk menyimpan dan memproses maklumat dalam sistem perumahan dan perkhidmatan komunal, dua perkara diserlahkan: asas pembinaan dan lokasi wilayah. Pangkalan pangkalan data tertua dan paling banyak digunakan ialah fail dbf. Tetapi mereka tidak sesuai untuk sistem automatik yang kompleks hari ini kerana dua sebab utama: bilangan rekod yang terhad dalam satu jadual dan kebolehpercayaan yang tidak mencukupi.

Pangkalan data moden dibina berdasarkan teknologi pelanggan - pelayan. Terdapat pelbagai sistem pengurusan pangkalan data yang mempunyai kelebihan dan kekurangan yang tersendiri. Setiap daripada mereka digunakan dalam sekurang-kurangnya satu sistem yang direka untuk mengautomasikan perkhidmatan perumahan dan komunal. Yang paling biasa ialah MS SQL 2000. Memandangkan ia direka untuk sistem pengendalian popular komputer peribadi - Windows. Seterusnya dalam populariti ialah Interbase. Terdapat juga pelaksanaan pangkalan data perumahan dan perkhidmatan komunal yang menjalankan Oracle, salah satu sistem pengurusan pangkalan data yang paling maju, tetapi mahal dan menyusahkan.

Perlu diperhatikan juga kecenderungan pembekal sistem pengurusan pangkalan data yang bertujuan untuk mengedarkan produk perisian mereka - menawarkan versi percuma dengan sekatan tertentu, yang tidak sesuai dengan pengguna yang besar dan tidak kaya, yang termasuk pejabat perumahan dan titik penerimaan pembayaran. Contoh sistem tersebut ialah MSDE 2000, MSDE 2005 daripada Microsoft.

Topologi pangkalan data yang paling mudah ialah lokasi semua maklumat pada satu pelayan. Pelanggan berhubung melalui talian jauh dan menyelesaikan masalah semasa mereka.

Pilihan pelaksanaan lain ialah pangkalan data yang diedarkan untuk semua atau sebahagian daripada peserta perumahan dan perkhidmatan komunal. Kelemahannya ialah keperluan untuk menyegerakkan data.

Penyegerakan data dijalankan dalam pelbagai cara. Yang paling biasa ialah eksport/import. Data pada media storan atau melalui e-mel bergerak antara peserta dalam sektor perumahan dan perkhidmatan komunal. Faktor manusia mempunyai kesan yang signifikan terhadap prestasi sistem - semuanya mesti dilakukan tepat pada masanya dan sangat berhati-hati.

Tahap kedua penyegerakan ialah pertukaran data antara modul sistem melalui komunikasi dengan pelayan jauh. Pertukaran ini dipanggil sama ada dengan arahan pengguna atau dengan jadual yang ditentukan. Ia terdiri daripada fakta bahawa prosedur tertentu pada salah satu pelayan yang berkaitan "membaca sendiri" atau "menulis kepadanya" data yang diperlukan untuk penyegerakan.

Dan akhirnya, tahap tertinggi ialah penyegerakan pangkalan data melalui replikasi. Alat ini membolehkan anda menukar data pada satu sisi talian komunikasi dan di sebelah yang lain. Mengikut jadual yang diberikan atau atas arahan pengguna, pelayan menyambung dan menyegerakkan pangkalan data.

Perlindungan data peribadi hanya boleh dipastikan dalam sistem maklumat di mana penyerang tidak boleh mengganggu operasi elemen asasnya - peranti rangkaian, sistem pengendalian, aplikasi dan DBMS.

Ancaman utama kepada keselamatan data peribadi, iaitu pemusnahan, pengubahsuaian, penyekatan, penyalinan, pengedaran data peribadi, serta tindakan tidak dibenarkan lain semasa pemprosesannya dalam sistem maklumat. Kebocoran maklumat boleh disebabkan oleh virus, perisian hasad atau serangan rangkaian. Untuk perlindungan, antivirus, tembok api dan sistem pencegahan pencerobohan (IPS) digunakan (Ia berfungsi untuk mengenal pasti tanda-tanda serangan dalam lalu lintas yang lalu dan menyekat serangan paling popular yang dikesan. Tidak seperti antivirus gerbang, IPS menganalisis bukan sahaja kandungan paket IP , tetapi juga protokol yang digunakan dan ketepatan penggunaannya.), pengimbas kerentanan (Mereka menyemak sistem maklumat untuk kehadiran pelbagai "jurang" dalam sistem pengendalian dan perisian. Sebagai peraturan, ini adalah program atau peranti berasingan yang menguji sistem dengan menghantar permintaan khas yang mensimulasikan serangan setiap protokol atau aplikasi). Set alat untuk melindungi data sulit daripada kebocoran terdiri daripada tiga produk: sistem kawalan untuk peranti persisian, sistem untuk melindungi daripada kebocoran (Pencegahan Kebocoran Data, DLP) dan penyulitan untuk keselamatan yang lengkap, adalah wajar untuk menggabungkan ketiga-tiga jenis produk. Dengan bantuan alat ini, perumahan dan perkhidmatan komunal dan syarikat pengurusan lain boleh memenuhi keperluan FSTEC untuk perlindungan data peribadi.

Kawalan ke atas peranti. Kebocoran data sering berlaku melalui media storan boleh tanggal dan saluran komunikasi yang tidak dibenarkan: memori denyar, pemacu USB, Bluetooth atau Wi-Fi, jadi memantau penggunaan port USB dan peralatan persisian lain juga merupakan salah satu cara untuk mengawal kebocoran.

DLP. Sistem perlindungan kebocoran membolehkan, menggunakan algoritma khas, untuk mengasingkan data sulit daripada aliran data dan menyekat penghantarannya yang tidak dibenarkan. Sistem DLP menyediakan mekanisme untuk memantau pelbagai saluran penghantaran maklumat: e-mel, mesej segera, mel Web, mencetak pada pencetak, menyimpan pada cakera boleh tanggal, dll. Selain itu, modul DLP menyekat kebocoran hanya data sulit, kerana ia mempunyai mekanisme terbina dalam untuk menentukan sama ada betapa rahsianya maklumat ini atau itu.

Penyulitan. Melindungi data daripada kebocoran dalam satu cara atau yang lain menggunakan mekanisme penyulitan, dan industri ini sentiasa dikawal oleh FSB, dan semua keperluan untuk pensijilan sistem penyulitan diterbitkan dan disahkan oleh agensi ini. Perlu diingatkan bahawa perlu untuk menyulitkan bukan sahaja pangkalan data data peribadi itu sendiri, tetapi juga penghantarannya melalui rangkaian, serta sandaran pangkalan data. Penyulitan juga digunakan apabila menghantar data peribadi melalui rangkaian dalam sistem yang diedarkan. Untuk tujuan ini, anda boleh menggunakan produk kelas VPN yang ditawarkan oleh pelbagai pembangun, yang, sebagai peraturan, adalah berdasarkan penyulitan, tetapi sistem sedemikian mesti diperakui dan disepadukan rapat dengan pangkalan data di mana data peribadi disimpan.

Perlu diingatkan bahawa undang-undang kecil FSTEC membezakan antara pangkalan data kecil, sederhana dan teragih, keperluan perlindungan yang sangat berbeza. Oleh itu, untuk melindungi pangkalan data yang diedarkan, sebagai peraturan, alat keselamatan tambahan diperlukan, yang boleh difahami - pangkalan data yang diedarkan mesti mempunyai saluran komunikasi antara bahagiannya, yang juga perlu dilindungi

Dalam sistem maklumat perumahan dan perkhidmatan komunal, masalah utama pengurus ialah organisasi yang betul bagi akses pekerja kepada pelbagai sumber - keselamatan data sulit selalunya bergantung pada penetapan hak akses yang betul, oleh itu sistem pengurusan hak akses mesti disertakan. dalam sistem keselamatan sistem maklumat yang besar. Sistem menyekat percubaan untuk menukar hak akses tanpa kebenaran pengendali keselamatan, yang memberikan perlindungan daripada pengendali tempatan.

Sistem keselamatan yang besar boleh menjana banyak mesej tentang kemungkinan serangan yang hanya berpotensi membawa kepada pelaksanaan ancaman tertentu. Selalunya mesej ini hanyalah amaran, tetapi pengendali keselamatan sistem yang besar mesti mempunyai alat yang membolehkan mereka mengetahui perkara yang sedang berlaku. Alat analisis sedemikian boleh menjadi sistem korelasi peristiwa, yang membolehkan anda memautkan beberapa mesej daripada peranti perlindungan ke dalam satu rantaian peristiwa dan menilai secara komprehensif bahaya keseluruhan rantaian. Ini membantu menarik perhatian pengendali keselamatan kepada peristiwa yang paling berbahaya.

Sistem pengurusan berpusat untuk mekanisme keselamatan membolehkan anda mengawal sepenuhnya semua acara yang berkaitan dengan keselamatan sistem maklumat. Produk pada tahap ini boleh mengesan, mengurus dan melaporkan mekanisme keselamatan yang dipasang dalam perusahaan. Produk yang sama ini boleh mengautomasikan penyelesaian kepada masalah mudah atau membantu pentadbir memahami dengan cepat serangan kompleks.

Ketiga-tiga produk di atas tidak wajib untuk melindungi sistem maklumat yang besar, tetapi ia membenarkan anda mengautomasikan kebanyakan tugas yang dilakukan oleh pengendali keselamatan dan meminimumkan bilangan pekerja yang diperlukan untuk melindungi sistem yang besar, seperti maklumat perumahan dan perkhidmatan komunal sistem.

Tanggungjawab untuk pelanggaran keperluan perlindungan data peribadi

Orang yang bersalah kerana melanggar keperluan Undang-undang mengenai Data Peribadi menanggung liabiliti yang diperuntukkan oleh perundangan Persekutuan Rusia (contohnya, sivil, jenayah, pentadbiran, tatatertib). Ini ditunjukkan oleh perenggan 1 Perkara 24 Undang-undang Data Peribadi.

Pada masa ini, liabiliti pentadbiran untuk pengendali (kecuali orang yang pemprosesan data peribadi adalah aktiviti profesional dan tertakluk kepada pelesenan) disediakan untuk:

· untuk keengganan yang menyalahi undang-undang untuk memberikan maklumat kepada warganegara dan (atau) organisasi, yang peruntukannya diperuntukkan oleh undang-undang persekutuan, peruntukan yang tidak tepat pada masanya, atau penyediaan maklumat palsu yang disedari (Perkara 5.39 Kod Kesalahan Pentadbiran Rusia). Persekutuan). Pengecualian kepada peraturan ini ialah kes-kes yang diperuntukkan dalam Perkara 7.23.1 Kod Kesalahan Pentadbiran Persekutuan Rusia;

· untuk pelanggaran keperluan undang-undang mengenai pendedahan maklumat oleh organisasi yang beroperasi dalam bidang pengurusan bangunan pangsapuri (Perkara 7.23.1 Kod Kesalahan Pentadbiran Persekutuan Rusia);

· untuk pelanggaran prosedur yang ditetapkan oleh undang-undang untuk pengumpulan, penyimpanan, penggunaan atau pengedaran data peribadi (Perkara 13.11 Kod Kesalahan Pentadbiran Persekutuan Rusia);

· untuk pendedahan maklumat, akses kepada yang dihadkan oleh undang-undang persekutuan (kecuali untuk kes-kes di mana pendedahannya melibatkan liabiliti jenayah), oleh seseorang yang mendapat akses kepadanya berkaitan dengan pelaksanaan tugas rasmi atau profesional (Perkara 13.14 daripada Kod Kesalahan Pentadbiran Persekutuan Rusia).

Jenayah yang melibatkan liabiliti jenayah adalah:

· pengumpulan atau penyebaran maklumat yang menyalahi undang-undang tentang kehidupan peribadi seseorang, yang membentuk rahsia peribadi atau keluarganya, tanpa persetujuannya, atau penyebaran maklumat ini dalam ucapan awam, karya yang dipaparkan secara terbuka atau media (Perkara 137 Kanun Jenayah Persekutuan Rusia);

· penolakan yang menyalahi undang-undang oleh pegawai untuk menyediakan dokumen dan bahan yang dikumpul mengikut cara yang ditetapkan yang secara langsung menjejaskan hak dan kebebasan warganegara, atau memberikan warganegara maklumat yang tidak lengkap atau sengaja palsu, jika tindakan ini menyebabkan kemudaratan kepada hak dan kepentingan sah warganegara (Perkara 140 Kanun Jenayah Persekutuan Rusia);

· akses yang menyalahi undang-undang kepada maklumat komputer yang dilindungi undang-undang, jika perbuatan ini melibatkan pemusnahan, penyekatan, pengubahsuaian atau penyalinan maklumat (Perkara 272 Kanun Jenayah Persekutuan Rusia)

Selepas penerbitan Dekri Kerajaan Persekutuan Rusia No. 781 "Mengenai kelulusan Peraturan mengenai memastikan keselamatan data peribadi semasa pemprosesannya dalam sistem maklumat data peribadi" bertarikh 17 November 2007 dan perintah bersama Perkhidmatan Persekutuan untuk Kawalan Teknikal dan Eksport, FSB Persekutuan Rusia dan Kementerian Teknologi Maklumat dan Komunikasi Persekutuan Rusia bertarikh 13 Februari 2008 No. 55/86/20 "Mengenai kelulusan prosedur untuk mengklasifikasikan sistem maklumat data peribadi" (selepas ini dirujuk sebagai "Prosedur ..."), dua masalah timbul sebelum perkhidmatan untuk pembangunan dan pengendalian sistem maklumat (IS) memproses data peribadi hampir soalan Hamlet:

• cara mengklasifikasikan IP bertujuan untuk melindungi data peribadi;
• bagaimana untuk memilih alat keselamatan maklumat untuk melindungi data peribadi dalam sistem ini.

“Prosedur...” menyatakan bahawa “pengkelasan sistem maklumat dijalankan oleh badan negeri, badan perbandaran, entiti undang-undang dan individu yang mengatur dan (atau) menjalankan pemprosesan data peribadi, serta menentukan tujuan dan kandungan pemprosesan data peribadi.” Ini bermakna data peribadi (PD) mengklasifikasikannya pemilik, yang merupakan bantuan serius untuk pilihan objektif kaedah dan cara melindungi data peribadi dan mewujudkan asas objektif untuk dialog dengan pihak berkuasa pemeriksaan tentang kecukupan langkah yang diambil oleh organisasi untuk melindungi data peribadi.

Apabila mengklasifikasikan IP yang dimaksudkan untuk memproses data peribadi, data awal berikut diambil kira: ·

• kategori data peribadi yang diproses dalam sistem maklumat; ·
• isipadu PD yang diproses (bilangan subjek yang data peribadinya diproses dalam IS); ·
• ciri keselamatan data peribadi yang diproses dalam sistem maklumat yang ditentukan oleh pemilik sistem maklumat; ·
• struktur sistem maklumat; ·
• ketersediaan sambungan IS ke rangkaian komunikasi awam dan (atau) rangkaian pertukaran maklumat antarabangsa; ·
• Mod pemprosesan PD; ·
• cara mengehadkan hak akses pengguna sistem maklumat; ·
• lokasi sistem maklumat teknikal.

Pertama sekali, mari kita tentukan apa yang membentuk data peribadi. Ini adalah maklumat yang berbeza tentang individu tertentu. Ambil perhatian bahawa kita hanya bercakap tentang maklumat dalam bentuk elektronik yang dimasukkan, disimpan, diproses dan dihantar dalam sistem maklumat. Maklumat ini dibahagikan kepada empat kategori utama: ·

• kategori 1 - PD yang berkaitan dengan kaum, kewarganegaraan, pandangan politik, kepercayaan agama dan falsafah, status kesihatan, kehidupan intim; ·
• kategori 2 - PD yang membolehkan anda mengenal pasti subjek data peribadi dan mendapatkan maklumat tambahan tentangnya, kecuali data peribadi yang berkaitan dengan kategori 1; ·
• kategori 3 - data peribadi yang membenarkan pengenalpastian subjek data peribadi; ·
• kategori 4 - tanpa nama dan (atau) PD tersedia secara umum.

Sebagai contoh, nama keluarga yang berasingan ialah data kategori ke-4, gabungan nama keluarga dan alamat adalah yang ketiga, nama keluarga, alamat, insurans dan nombor kad adalah yang kedua, dan jika rekod perubatan elektronik ditambahkan pada data ini, maka yang terhasil data peribadi tergolong dalam kategori pertama secara eksklusif.

Berdasarkan klasifikasi ini, boleh dinyatakan bahawa sebarang data perubatan, serta rekod kakitangan yang mengandungi lajur "kewarganegaraan" (dan ini hampir semua soal selidik dan helaian peribadi sedia ada untuk rekod kakitangan yang digunakan pada masa ini), mesti diklasifikasikan dalam kategori pertama. . Ia juga jelas bahawa kepingan data peribadi hampir selalu mempunyai kategori yang lebih kecil daripada keseluruhannya. Malah maklumat terperinci tentang kesihatan seseorang individu mungkin tidak bermakna jika nama keluarga atau data lain yang jelas menghubungkan maklumat ini kepada pesakit tidak diketahui.

Jumlah PD yang diproses boleh mengambil nilai berikut: ·

1. - sistem maklumat secara serentak memproses data peribadi lebih daripada 100,000 entiti atau data peribadi entiti dalam wilayah Persekutuan Rusia atau Persekutuan Rusia secara keseluruhan; ·
2. - sistem maklumat pada masa yang sama memproses data peribadi daripada 1,000 hingga 100,000 subjek atau data peribadi subjek yang bekerja di sektor ekonomi Persekutuan Rusia, dalam badan kerajaan, yang tinggal dalam perbandaran; ·
3. - sistem maklumat secara serentak memproses data kurang daripada 1000 subjek atau data peribadi subjek organisasi tertentu.

Mengikut ciri keselamatan data peribadi yang diproses dalam sistem maklumat, sistem maklumat dibahagikan kepada standard dan khas. Yang pertama ialah sistem maklumat yang hanya memerlukan sokongan privasi data peribadi.

Ciri "kerahsiaan" bermaksud bahawa hanya orang yang dituju boleh mengendalikan (memasuki, menyimpan, memproses dan memindahkan) PD dalam bentuk elektronik. Untuk memastikan kerahsiaan apabila menghantar data peribadi melalui rangkaian, termasuk Internet, adalah perlu untuk menggunakan penyulitan data.

Sistem maklumat khas ialah sistem maklumat di mana, tanpa mengira keperluan untuk memastikan kerahsiaan data peribadi, ia diperlukan untuk memastikan sekurang-kurangnya satu daripada ciri keselamatan data peribadi selain daripada kerahsiaan (contohnya, integriti atau ketersediaan). Ciri "integriti" bermaksud bahawa data peribadi harus diubah hanya dengan cara yang terkawal, contohnya, hanya doktor yang diberi kuasa boleh membuat perubahan pada fail rekod perubatan elektronik, dan dalam mana-mana kes lain maklumat dalam rekod perubatan tidak boleh diubah. . Apabila dihantar melalui rangkaian, integriti dipastikan dengan penggunaan tandatangan digital elektronik.

Ciri "ketersediaan" bermakna kerja dengan PD mesti disediakan untuk jumlah data dan pengguna tertentu yang mematuhi peraturan masa yang ditetapkan. Dengan kata lain, "ketersediaan" adalah satu lagi formulasi kebolehpercayaan sistem. Perhatikan juga bahawa bercakap tentang kebolehcapaian dalam rangkaian terbuka hampir tidak berguna - tidak ada satu pembekal yang akan memberikan akses terjamin kepada data atau penghantaran tanpa gangguannya.

Sistem maklumat khas termasuk: ·

• IP di mana data peribadi yang berkaitan dengan status kesihatan subjek diproses; ·
• IP yang memperuntukkan penerimaan, berdasarkan pemprosesan automatik data peribadi, keputusan yang menimbulkan akibat undang-undang berhubung dengan subjek atau sebaliknya menjejaskan hak dan kepentingan sahnya.

Mengikut strukturnya, sistem maklumat untuk memproses data peribadi dibahagikan kepada: ·

• kepada autonomi (tidak disambungkan kepada IS lain) yang bertujuan untuk memproses data peribadi (stesen kerja automatik); ·
• ke kompleks stesen kerja automatik yang digabungkan menjadi satu IS melalui komunikasi tanpa menggunakan teknologi capaian jauh (sistem maklumat tempatan); ·
• ke kompleks stesen kerja automatik dan (atau) sistem maklumat tempatan, disepadukan ke dalam sistem maklumat tunggal melalui komunikasi menggunakan teknologi capaian jauh (sistem maklumat teragih).

Berdasarkan kehadiran sambungan ke rangkaian komunikasi awam dan (atau) pertukaran maklumat antarabangsa, sistem maklumat dibahagikan kepada sistem yang mempunyai sambungan dan yang tidak mempunyai sambungan.

Berdasarkan fakta bahawa adalah wajib untuk memastikan kerahsiaan data, kami boleh mengenal pasti elemen yang diperlukan dalam sistem maklumat untuk memproses data peribadi.

Pertama sekali, sistem maklumat mesti mengenal pasti pengguna dan dapat mewujudkan pihak berkuasa individu untuk akses pengguna kepada data peribadi, iaitu, mempunyai sistem untuk pengenalan, pengesahan dan kawalan akses.

Kedua, adalah perlu untuk memastikan perlindungan data peribadi yang mungkin diasingkan daripada sistem. Sebagai contoh, pemindahan maklumat kepada media boleh alih hendaklah dikawal. Kemungkinan besar dalam beberapa kes adalah perlu untuk mengambil kira kemungkinan kecurian dan kehilangan (kehilangan) peralatan komputer dengan data peribadi. Dalam kes ini, penyulitan PD yang disimpan pada media komputer juga wajib.

Jika sistem mempunyai sambungan untuk membuka rangkaian atau melibatkan pertukaran data, adalah wajib untuk menggunakan penyulitan data dan tandatangan digital elektronik, serta memberikan perlindungan terhadap serangan daripada rangkaian luaran, termasuk perlindungan anti-virus.

Untuk penyulitan dan tandatangan elektronik, kunci dan sijil digunakan, yang dihasilkan oleh pengguna sendiri dan didaftarkan dalam apa yang dipanggil pihak berkuasa pensijilan.

Perkara yang sangat penting ialah pendaftaran tindakan dengan PD, yang, di satu pihak, memungkinkan untuk mengenal pasti mereka yang bertanggungjawab untuk kebocoran mereka, dan di pihak yang lain, mewujudkan motivasi psikologi untuk kerja yang betul dengan mereka.

Sistem maklumat untuk memproses data peribadi boleh diberikan salah satu daripada kelas berikut: ·

• kelas 1 (K1) - IP yang mana pelanggaran ciri keselamatan tertentu data peribadi yang diproses di dalamnya boleh membawa kepada akibat negatif yang ketara bagi subjek data peribadi; ·
• kelas 2 (K2) - IP yang mana pelanggaran ciri keselamatan tertentu PD yang diproses di dalamnya boleh membawa kepada akibat negatif untuk subjek data peribadi; ·
• kelas 3 (K3) - IP yang mana pelanggaran ciri keselamatan tertentu data peribadi yang diproses di dalamnya boleh membawa kepada akibat negatif kecil untuk subjek data peribadi; ·
• kelas 4 (K4) - IP yang mana pelanggaran ciri keselamatan tertentu data peribadi yang diproses di dalamnya tidak membawa kepada akibat negatif untuk subjek data peribadi.

Jadual 1

kategori

Pertama, daripada “Pesanan...” mengikuti kewujudan kategori data peribadi. Ia logik untuk dilaksanakan pengagregatan pangkalan data dalam IS yang mengandungi PD ke bahagian tidak bertindih yang mengandungi data kategori berbeza. Juga, IS untuk memproses PD mestilah dibahagikan kepada kontur, mengandungi data daripada satu kategori sahaja. Ini agak mustahil untuk dilakukan, kerana individu dikenal pasti secara unik melalui nombor pasport atau TIN atau nombor polisi insurans kesihatan, yang membolehkan pangkalan data perubatan dan tatasusunan lain diindeks dengan jelas. Oleh itu, adalah perlu untuk mengikuti prinsip bahawa dalam setiap litar IS untuk memproses data peribadi adalah perlu untuk digunakan produk yang diperakui satu kelas, dan kontur sepatutnya terpencil antara satu sama lain.

Boleh dinyatakan bahawa kebanyakan sistem maklumat untuk memproses data peribadi (terutama untuk tujuan perubatan) akan istimewa, iaitu mereka perlu memastikan bukan sahaja kerahsiaan, tetapi juga integriti mandatori dan ciri keselamatan dan kebolehpercayaan yang lain.

Bila diedarkan IP untuk pemprosesan data peribadi, walaupun perlu untuk memastikan sahaja privasi mengikut "Prosedur..." adalah wajib untuk perlindungan data peribadi yang dihantar dan disimpan. Ini mematuhi sepenuhnya keperluan semasa FSB Persekutuan Rusia untuk sistem maklumat automatik yang bertujuan untuk melindungi maklumat sulit yang tidak menjadi rahsia negara, iaitu peruntukan bahawa "semua maklumat sulit yang dihantar melalui saluran komunikasi mesti dilindungi; maklumat yang dihantar melalui saluran komunikasi mesti disulitkan menggunakan alat perlindungan maklumat kriptografi (CIPF), atau saluran komunikasi selamat mesti digunakan untuk penghantarannya. Maklumat yang dirakam pada media asing mesti dilindungi.”

Keperluan terakhir pastinya terpakai untuk sistem maklumat data peribadi terpencil yang tidak mempunyai saluran untuk menghantar data peribadi, iaitu untuk stesen kerja individu yang memproses data peribadi.

Ini bermakna untuk memproses data peribadi, sistem maklumat mesti diperakui kepada kelas yang tidak lebih rendah daripada AK2 dalam klasifikasi FSB Persekutuan Rusia. Contohnya, Windows XP yang dilindungi dengan pakej kemas kini Secure Pack Rus sepadan dengan kelas ini. Cara keselamatan mesti termasuk cara perlindungan maklumat kriptografi (CIPF) kelas tidak lebih rendah daripada KS2.

Berdasarkan ini, untuk mana-mana sistem maklumat PD memproses kategori PD yang lebih tinggi daripada yang ke-4 (yang pastinya akan merangkumi semua sistem untuk memproses PD perubatan), adalah perlu untuk melaksanakan semua keperluan kelas AK2 dalam klasifikasi FSB Persekutuan Rusia.

Daripada seni bina PD IS, dengan bilangan PD yang diproses yang cukup besar (penunjuk 1 atau 2), komponen pelayan pasti akan menonjol, yang juga memerlukan perlindungan. Dalam kes ini, semua maklumat sulit yang disimpan pada media magnet stesen kerja dan pelayan mesti dilindungi, yang memenuhi keperluan kelas AK3.

Oleh itu, kami boleh mencadangkan strategi yang dibenarkan sepenuhnya untuk melindungi data peribadi, yang terdiri daripada yang berikut: Jadual. 1 diisi seperti berikut (lihat Jadual 2).

jadual 2

kategori IP	Kelas IP bergantung pada jumlah data yang diproses
	Tidak lebih rendah daripada AK3	Tidak lebih rendah daripada AK3	Tidak lebih rendah daripada AK3

Catatan. “-” bermakna tiada keperluan.

Oleh itu, untuk melindungi data peribadi kategori pertama, yang merangkumi semua data perubatan, adalah perlu untuk menggunakan cara perlindungan kelas tidak lebih rendah daripada AK3 dan cara perlindungan kriptografi kelas tidak lebih rendah daripada KS3.

Untuk melengkapkan IP praktikal dengan cara keselamatan, kami boleh mengesyorkan produk yang disesuaikan khas untuk perlindungan data peribadi dan mempunyai permit yang diperlukan (sijil dan kesimpulan). Ini terutamanya Secure Pack Rus dan alat perlindungan kriptografi keluarga CryptoPro.

Sekarang mari kita cuba menganggarkan kos melengkapkan satu tempat kerja untuk memproses PD. Tanpa diskaun, harga pakej Secure Pack Rus adalah kira-kira 2,000 rubel, manakala alat perlindungan kriptografi keluarga CryptoPro sudah disertakan dalam pakej ini. Selanjutnya, untuk melindungi maklumat peribadi yang disimpan pada komputer anda, adalah dinasihatkan untuk membeli salah satu daripada pakej perlindungan data CryptoPro EFS, Secure Pack Explorer atau Crypto Explorer. Harga setiap produk ini berkisar antara 600 hingga 1000 rubel. Secara keseluruhan, melindungi satu tempat kerja tanpa mengambil kira pemasangan dan konfigurasi akan menelan kos kira-kira 3,000 rubel, dan pemasangan dan penyesuaian program secara tradisinya akan menambah 10-15% kepada kos

Secara konvensional, kita boleh membezakan "sepuluh langkah mistik di laluan" kepada sistem selamat untuk memproses data peribadi.

1. Tentukan elemen IP anda yang perlu dilindungi terlebih dahulu. Mula-mula, ketahui dengan tepat apa data peribadi yang perlu dilindungi dan tempat ia berada dalam sistem anda pada masa ini. Kemudian semak sama ada setiap tempat kerja dan setiap pekerja benar-benar memerlukan perlindungan data. Mungkin lebih mudah untuk memperuntukkan komputer berasingan untuk bekerja dengan maklumat peribadi yang perlu dilindungi terutamanya dengan pasti? Ingat bahawa komputer yang disambungkan ke Internet bukanlah tempat terbaik untuk menyimpan data peribadi!
2. Menilai keadaan semasa keselamatan maklumat. Seberapa memuaskan? Jika boleh, jalankan audit keselamatan luaran sistem anda. Kelaskan IP anda mengikut garis panduan di atas. Bandingkan penemuan anda dengan hasil audit luaran.
3. Tentukan siapa yang bertanggungjawab pada masa ini untuk memastikan perlindungan IP. Adakah mungkin untuk mengecilkan bulatan orang yang bergantung kepada kebolehpercayaan perlindungan ini? Pada masa yang sama, ingat - keselamatan tidak boleh bergantung pada satu orang! Pastikan anda melantik juruaudit; sebagai contoh, ketua doktor boleh menyelia kerja pakar dalam mengisi dan memindahkan PD.
4. Bersikap kritis terhadap permintaan pakar jika mereka berkeras untuk memasang perkakasan keselamatan. Sila ambil perhatian juga bahawa menggunakan alat kriptografi adalah kerja yang agak serius. Adalah penting untuk memahami: adakah mengekalkan alat penyulitan dan menggunakan tandatangan digital akan mengganggu perniagaan teras syarikat anda? Sila ambil perhatian juga bahawa tidak setiap pekerja boleh atau harus menyulitkan data.
5. Pastikan keselamatan klinik anda teratur. Tetapkan rejim yang akan memastikan tahap keselamatan maklumat yang diperlukan, tetapi jangan pergi terlalu jauh. Sebagai contoh, orang tidak sepatutnya kehilangan keupayaan untuk menggunakan telefon bimbit. Ia juga tidak wajar untuk melarang pekerja daripada mengakses e-mel dan Internet untuk tujuan peribadi. Pada masa yang sama, adalah dinasihatkan untuk mengawal selia prosedur untuk membawa media kilat dan komputer riba anda sendiri ke dalam wilayah syarikat, atau menggunakan fungsi yang tersedia dalam Secure Pack Rus untuk melumpuhkan pemacu USB yang tidak dibenarkan untuk digunakan oleh pentadbir.
6. Memerlukan pakar IT untuk merangka pelan kerja yang jelas untuk mencipta dan mengkonfigurasi sistem keselamatan. Minta untuk mewajarkan keperluan untuk membeli peralatan keselamatan tambahan. Bertegas pada jaminan bahawa pelarasan keselamatan tidak akan menjejaskan operasi asas sistem.
7. Memantau pelaksanaan rancangan untuk mewujudkan sistem keselamatan.
8. Dengar pendapat doktor dan pekerja - adakah langkah keselamatan mengganggu kerja dan aktiviti teras mereka?
9. Menjaga dan memeriksa keadaan keselamatan PD, dan juga mengukuhkan kesetiaan pekerja keselamatan.
10. Bertenang tentang inovasi dalam bidang keselamatan - konservatisme yang sihat akan menjimatkan wang anda.

19 Januari 2009 3:59 petang

Andrey Shcherbakov

Selepas penerbitan Dekri Kerajaan Persekutuan Rusia No. 781 "Mengenai kelulusan Peraturan mengenai memastikan keselamatan data peribadi semasa pemprosesannya dalam sistem maklumat data peribadi" bertarikh 17 November 2007 dan perintah bersama Perkhidmatan Persekutuan untuk Kawalan Teknikal dan Eksport, FSB Persekutuan Rusia dan Kementerian Teknologi Maklumat dan Komunikasi Persekutuan Rusia bertarikh 13 Februari 2008 No. 55/86/20 "Mengenai kelulusan prosedur untuk mengklasifikasikan sistem maklumat data peribadi" (selepas ini dirujuk sebagai "Prosedur ...") dua masalah timbul sebelum perkhidmatan untuk pembangunan dan pengendalian sistem maklumat (IS) memproses data peribadi hampir soalan Hamlet:

● cara mengklasifikasikan IP bertujuan untuk melindungi data peribadi;

● cara memilih alatan keselamatan maklumat untuk melindungi data peribadi dalam sistem ini.

“Prosedur...” menyatakan bahawa “pengkelasan sistem maklumat dijalankan oleh badan negeri, badan perbandaran, entiti undang-undang dan individu yang mengatur dan (atau) menjalankan pemprosesan data peribadi, serta menentukan tujuan dan kandungan pemprosesan data peribadi.” Ini bermakna data peribadi (PD) mengklasifikasikannya pemilik, yang merupakan bantuan serius untuk pilihan objektif kaedah dan cara melindungi data peribadi dan mewujudkan asas objektif untuk dialog dengan pihak berkuasa pemeriksaan tentang kecukupan langkah yang diambil oleh organisasi untuk melindungi data peribadi.

Apabila mengklasifikasikan IP yang dimaksudkan untuk memproses data peribadi, data awal berikut diambil kira:

● isipadu PD yang diproses (bilangan subjek yang data peribadinya diproses dalam IS);

● ciri keselamatan data peribadi yang diproses dalam sistem maklumat yang ditentukan oleh pemilik sistem maklumat;

● struktur sistem maklumat;

● ketersediaan sambungan IS ke rangkaian komunikasi awam dan (atau) rangkaian pertukaran maklumat antarabangsa;

● Mod pemprosesan PD;

● cara mengehadkan hak akses pengguna sistem maklumat;

● lokasi sumber maklumat teknikal.

Pertama sekali, mari kita tentukan apa yang membentuk data peribadi. Ini adalah maklumat yang berbeza tentang individu tertentu. Ambil perhatian bahawa kita hanya bercakap tentang maklumat dalam bentuk elektronik yang dimasukkan, disimpan, diproses dan dihantar dalam sistem maklumat. Maklumat ini dibahagikan kepada empat kategori utama:

Sebagai contoh, nama keluarga yang berasingan ialah data kategori ke-4, gabungan nama keluarga dan alamat adalah yang ketiga, nama keluarga, alamat, insurans dan nombor kad adalah yang kedua, dan jika rekod perubatan elektronik ditambahkan pada data ini, maka yang terhasil data peribadi tergolong dalam kategori pertama secara eksklusif.

Berdasarkan klasifikasi ini, boleh dinyatakan bahawa sebarang data perubatan, serta rekod kakitangan yang mengandungi lajur "kewarganegaraan" (dan ini hampir semua soal selidik dan helaian peribadi sedia ada untuk rekod kakitangan yang digunakan pada masa ini), mesti diklasifikasikan dalam kategori pertama. . Ia juga jelas bahawa kepingan data peribadi hampir selalu mempunyai kategori yang lebih kecil daripada keseluruhannya. Malah maklumat terperinci tentang kesihatan seseorang individu mungkin tidak bermakna jika nama keluarga atau data lain yang jelas menghubungkan maklumat ini kepada pesakit tidak diketahui.

Jumlah PD yang diproses boleh mengambil nilai berikut:

1 - sistem maklumat secara serentak memproses data peribadi lebih daripada 100,000 entiti atau data peribadi entiti dalam wilayah Persekutuan Rusia atau Persekutuan Rusia secara keseluruhan; ·

2 - sistem maklumat secara serentak memproses data peribadi dari 1,000 hingga 100,000 subjek atau data peribadi subjek yang bekerja di sektor ekonomi Persekutuan Rusia, dalam badan kerajaan, yang tinggal di dalam perbandaran;

3 - sistem maklumat secara serentak memproses data kurang daripada 1000 subjek atau data peribadi subjek organisasi tertentu.

Mengikut ciri keselamatan data peribadi yang diproses dalam sistem maklumat, sistem maklumat dibahagikan kepada standard dan khas. Yang pertama ialah sistem maklumat yang hanya memerlukan sokongan privasi data peribadi.

Ciri "kerahsiaan" bermaksud bahawa hanya orang yang dituju boleh mengendalikan (memasuki, menyimpan, memproses dan memindahkan) PD dalam bentuk elektronik. Untuk memastikan kerahsiaan apabila menghantar data peribadi melalui rangkaian, termasuk Internet, adalah perlu untuk menggunakan penyulitan data.

Sistem maklumat khas ialah sistem maklumat di mana, tanpa mengira keperluan untuk memastikan kerahsiaan data peribadi, ia diperlukan untuk memastikan sekurang-kurangnya satu daripada ciri keselamatan data peribadi selain daripada kerahsiaan (contohnya, integriti atau ketersediaan). Ciri "integriti" bermaksud bahawa data peribadi harus diubah hanya dengan cara yang terkawal, sebagai contoh, perubahan pada fail rekod perubatan elektronik hanya boleh dibuat oleh doktor yang diberi kuasa, dan dalam mana-mana kes lain maklumat dalam rekod perubatan tidak sepatutnya diubah. Apabila dihantar melalui rangkaian, integriti dipastikan dengan penggunaan tandatangan digital elektronik.

Ciri "ketersediaan" bermakna kerja dengan PD mesti disediakan untuk jumlah data dan pengguna tertentu yang mematuhi peraturan masa yang ditetapkan. Dengan kata lain, "ketersediaan" adalah satu lagi formulasi kebolehpercayaan sistem. Perhatikan juga bahawa bercakap tentang kebolehcapaian dalam rangkaian terbuka hampir tidak berguna - tidak ada satu pembekal yang akan memberikan akses terjamin kepada data atau penghantaran tanpa gangguannya.

Sistem maklumat khas termasuk: ·

● IP di mana data peribadi yang berkaitan dengan status kesihatan subjek diproses; ·

● IP yang memperuntukkan penerimaan, berdasarkan pemprosesan automatik data peribadi, keputusan yang menimbulkan akibat undang-undang berhubung dengan subjek atau sebaliknya menjejaskan hak dan kepentingan sahnya.

Mengikut strukturnya, sistem maklumat untuk memproses data peribadi dibahagikan kepada: ·

● kepada autonomi (tidak disambungkan kepada IS lain) yang bertujuan untuk memproses data peribadi (stesen kerja automatik); ·

● untuk kompleks stesen kerja automatik, disatukan menjadi satu IS melalui komunikasi tanpa menggunakan teknologi capaian jauh (sistem maklumat tempatan); ·

● ke kompleks stesen kerja automatik dan (atau) sistem maklumat tempatan, digabungkan menjadi satu sistem maklumat melalui komunikasi menggunakan teknologi capaian jauh (sistem maklumat teragih).

Berdasarkan kehadiran sambungan ke rangkaian komunikasi awam dan (atau) pertukaran maklumat antarabangsa, sistem maklumat dibahagikan kepada sistem yang mempunyai sambungan dan yang tidak mempunyai sambungan.

Berdasarkan fakta bahawa adalah wajib untuk memastikan kerahsiaan data, kami boleh mengenal pasti elemen yang diperlukan dalam sistem maklumat untuk memproses data peribadi.

Pertama sekali, sistem maklumat mesti mengenal pasti pengguna dan dapat mewujudkan pihak berkuasa individu untuk akses pengguna kepada data peribadi, iaitu, mempunyai sistem untuk pengenalan, pengesahan dan kawalan akses.

Kedua, adalah perlu untuk memastikan perlindungan data peribadi yang mungkin diasingkan daripada sistem. Sebagai contoh, pemindahan maklumat kepada media boleh alih hendaklah dikawal. Kemungkinan besar dalam beberapa kes adalah perlu untuk mengambil kira kemungkinan kecurian dan kehilangan (kehilangan) peralatan komputer dengan data peribadi. Dalam kes ini, penyulitan PD yang disimpan pada media komputer juga wajib.

Jika sistem mempunyai sambungan untuk membuka rangkaian atau melibatkan pertukaran data, adalah wajib untuk menggunakan penyulitan data dan tandatangan digital elektronik, serta memberikan perlindungan terhadap serangan daripada rangkaian luaran, termasuk perlindungan anti-virus.

Untuk penyulitan dan tandatangan elektronik, kunci dan sijil digunakan, yang dihasilkan oleh pengguna sendiri dan didaftarkan dalam apa yang dipanggil pihak berkuasa pensijilan.

Perkara yang sangat penting ialah pendaftaran tindakan dengan PD, yang, di satu pihak, memungkinkan untuk mengenal pasti mereka yang bertanggungjawab untuk kebocoran mereka, dan di pihak yang lain, mewujudkan motivasi psikologi untuk kerja yang betul dengan mereka.

Sistem maklumat untuk memproses data peribadi boleh diberikan salah satu daripada kelas berikut: ·

● kelas 1 (K1) - IP yang mana pelanggaran ciri keselamatan tertentu bagi data peribadi yang diproses di dalamnya boleh membawa kepada akibat negatif yang ketara bagi subjek data peribadi;

● kelas 2 (K2) - IP yang mana pelanggaran ciri keselamatan tertentu PD yang diproses di dalamnya boleh membawa kepada akibat negatif untuk subjek data peribadi;

● kelas 3 (K3) - IP yang pelanggaran ciri keselamatan tertentu bagi data peribadi yang diproses di dalamnya boleh membawa kepada akibat negatif kecil bagi subjek data peribadi;

● kelas 4 (K4) - IP yang pelanggaran ciri keselamatan tertentu data peribadi yang diproses di dalamnya tidak membawa kepada akibat negatif untuk subjek data peribadi.

Jadual 1.

	Kelas IP bergantung pada jumlah data yang diproses

Pertama, daripada “Pesanan...” mengikuti kewujudan kategori data peribadi. Ia logik untuk dilaksanakan pengagregatan pangkalan data dalam IS yang mengandungi PD ke bahagian tidak bertindih yang mengandungi data kategori berbeza. Juga, IS untuk memproses PD mestilah dibahagikan kepada kontur, mengandungi data daripada satu kategori sahaja. Ini agak mustahil untuk dilakukan, kerana individu dikenal pasti secara unik melalui nombor pasport atau TIN atau nombor polisi insurans kesihatan, yang membolehkan pangkalan data perubatan dan tatasusunan lain diindeks dengan jelas. Oleh itu, adalah perlu untuk mengikuti prinsip bahawa dalam setiap litar IS untuk memproses data peribadi adalah perlu untuk digunakan produk yang diperakui satu kelas, dan kontur sepatutnya terpencil antara satu sama lain.

Boleh dinyatakan bahawa kebanyakan sistem maklumat untuk memproses data peribadi (terutama untuk tujuan perubatan) akan istimewa, iaitu mereka perlu memastikan bukan sahaja kerahsiaan, tetapi juga integriti ciri keselamatan dan kebolehpercayaan lain adalah wajib.

Bila diedarkan IP untuk pemprosesan data peribadi, walaupun perlu untuk memastikan sahaja privasi mengikut “Prosedur...” akan diperlukan perlindungan data peribadi yang dihantar dan disimpan. Ini mematuhi sepenuhnya keperluan semasa FSB Persekutuan Rusia untuk sistem maklumat automatik yang bertujuan untuk melindungi maklumat sulit yang tidak menjadi rahsia negara, iaitu peruntukan bahawa "semua maklumat sulit yang dihantar melalui saluran komunikasi mesti dilindungi; maklumat yang dihantar melalui saluran komunikasi mesti disulitkan menggunakan alat perlindungan maklumat kriptografi (CIPF), atau saluran komunikasi selamat mesti digunakan untuk penghantarannya. Maklumat yang dirakam pada media asing mesti dilindungi.”

Keperluan terakhir pastinya terpakai untuk sistem maklumat data peribadi terpencil yang tidak mempunyai saluran untuk menghantar data peribadi, iaitu untuk stesen kerja individu yang memproses data peribadi.

Ini bermakna untuk memproses data peribadi, sistem maklumat mesti diperakui kepada kelas yang tidak lebih rendah daripada AK2 dalam klasifikasi FSB Persekutuan Rusia. Contohnya, Windows XP yang dilindungi dengan pakej kemas kini Secure Pack Rus sepadan dengan kelas ini. Cara keselamatan mesti termasuk cara perlindungan maklumat kriptografi (CIPF) kelas tidak lebih rendah daripada KS2.

Berdasarkan ini, untuk mana-mana sistem maklumat PD memproses kategori PD yang lebih tinggi daripada yang ke-4 (yang pastinya akan merangkumi semua sistem untuk memproses PD perubatan), adalah perlu untuk melaksanakan semua keperluan kelas AK2 dalam klasifikasi FSB Persekutuan Rusia.

Daripada seni bina PD IS, dengan bilangan PD yang diproses yang cukup besar (penunjuk 1 atau 2), komponen pelayan pasti akan menonjol, yang juga memerlukan perlindungan. Dalam kes ini, semua maklumat sulit yang disimpan pada media magnet stesen kerja dan pelayan mesti dilindungi, yang memenuhi keperluan kelas AK3.

Oleh itu, kami boleh mencadangkan strategi yang dibenarkan sepenuhnya untuk melindungi data peribadi, yang terdiri daripada yang berikut: Jadual. 1 diisi seperti berikut (lihat Jadual 2).

Jadual 2.

	Kelas IP bergantung pada jumlah data yang diproses
	Tidak lebih rendah daripada AK3	Tidak lebih rendah daripada AK3	Tidak lebih rendah daripada AK3

Catatan. “-” bermakna tiada keperluan.

Oleh itu, untuk melindungi data peribadi kategori pertama, yang merangkumi semua data perubatan, adalah perlu untuk menggunakan cara perlindungan kelas tidak lebih rendah daripada AK3 dan cara perlindungan kriptografi kelas tidak lebih rendah daripada KS3.

Untuk melengkapkan IP praktikal dengan cara keselamatan, kami boleh mengesyorkan produk yang disesuaikan khas untuk perlindungan data peribadi dan mempunyai permit yang diperlukan (sijil dan kesimpulan). Ini terutamanya Secure Pack Rus dan alat perlindungan kriptografi keluarga CryptoPro.

Sekarang mari kita cuba menganggarkan kos melengkapkan satu tempat kerja untuk memproses PD. Tanpa diskaun, harga pakej Secure Pack Rus adalah kira-kira 2,000 rubel, manakala alat perlindungan kriptografi keluarga CryptoPro sudah disertakan dalam pakej ini. Selanjutnya, untuk melindungi maklumat peribadi yang disimpan pada komputer anda, adalah dinasihatkan untuk membeli salah satu daripada pakej perlindungan data CryptoPro EFS, Secure Pack Explorer atau Crypto Explorer. Harga setiap produk ini berkisar antara 600 hingga 1000 rubel. Secara keseluruhan, melindungi satu tempat kerja tanpa mengambil kira pemasangan dan konfigurasi akan menelan kos kira-kira 3,000 rubel, dan pemasangan dan penyesuaian program secara tradisinya akan menambah 10-15% kepada kos

Secara konvensional, kita boleh membezakan "sepuluh langkah mistik di laluan" kepada sistem selamat untuk memproses data peribadi.

1. Kenal pasti elemen IP anda yang perlu dilindungi terlebih dahulu. Mula-mula, ketahui dengan tepat apa data peribadi yang perlu dilindungi dan tempat ia berada dalam sistem anda pada masa ini. Kemudian semak sama ada setiap tempat kerja dan setiap pekerja benar-benar memerlukan perlindungan data. Mungkin lebih mudah untuk memperuntukkan komputer berasingan untuk bekerja dengan maklumat peribadi yang perlu dilindungi terutamanya dengan pasti? Ingat bahawa komputer yang disambungkan ke Internet bukanlah tempat terbaik untuk menyimpan data peribadi!

2. Menilai keadaan semasa keselamatan maklumat. Seberapa memuaskan? Jika boleh, jalankan audit keselamatan luaran sistem anda. Kelaskan IP anda mengikut garis panduan di atas. Bandingkan penemuan anda dengan hasil audit luaran.

3. Tentukan siapa yang bertanggungjawab pada masa ini untuk memastikan perlindungan IP. Adakah mungkin untuk mengecilkan bulatan orang yang bergantung kepada kebolehpercayaan perlindungan ini? Pada masa yang sama, ingat - keselamatan tidak boleh bergantung pada satu orang! Pastikan anda melantik juruaudit; sebagai contoh, ketua doktor boleh menyelia kerja pakar dalam mengisi dan memindahkan PD.

4. Bersikap kritis terhadap permintaan juruteknik jika mereka berkeras untuk memasang perkakasan keselamatan. Sila ambil perhatian juga bahawa menggunakan alat kriptografi adalah kerja yang agak serius. Adalah penting untuk memahami: adakah mengekalkan alat penyulitan dan menggunakan tandatangan digital akan mengganggu perniagaan teras syarikat anda? Sila ambil perhatian juga bahawa tidak setiap pekerja boleh atau harus menyulitkan data.

5. Dapatkan keselamatan klinik anda dengan teratur. Tetapkan rejim yang akan memastikan tahap keselamatan maklumat yang diperlukan, tetapi jangan pergi terlalu jauh. Sebagai contoh, orang tidak sepatutnya kehilangan keupayaan untuk menggunakan telefon bimbit. Ia juga tidak wajar untuk melarang pekerja daripada mengakses e-mel dan Internet untuk tujuan peribadi. Pada masa yang sama, adalah dinasihatkan untuk mengawal selia prosedur untuk membawa media kilat dan komputer riba anda sendiri ke dalam wilayah syarikat, atau menggunakan fungsi yang tersedia dalam Secure Pack Rus untuk melumpuhkan pemacu USB yang tidak dibenarkan untuk digunakan oleh pentadbir.

6. Memerlukan pakar IT untuk merangka pelan kerja yang jelas untuk mencipta dan mengkonfigurasi sistem keselamatan. Minta untuk mewajarkan keperluan untuk membeli peralatan keselamatan tambahan. Bertegas pada jaminan bahawa pelarasan keselamatan tidak akan menjejaskan operasi asas sistem.

7. Memantau pelaksanaan rancangan untuk mewujudkan sistem keselamatan.

8. Dengar pendapat doktor dan pekerja - adakah langkah keselamatan mengganggu kerja dan aktiviti teras mereka?

9. Menjaga dan memeriksa keadaan keselamatan PD, dan juga mengukuhkan kesetiaan pekerja yang terlibat dalam keselamatan.

10. Bertenang tentang inovasi dalam bidang keselamatan - konservatisme yang sihat akan menjimatkan wang anda.

Sistem keselamatan maklumat tempatan NSD

SZI NSD ialah singkatan untuk cara melindungi maklumat daripada capaian yang tidak dibenarkan. Digunakan untuk menghalang tindakan yang tidak dibenarkan oleh pengguna yang mempunyai akses kepada stesen kerja ISPD. Ia termasuk mekanisme seperti kawalan pemuatan daripada media boleh tanggal (pemacu CD/DVD, pemacu kilat), kawalan peranti (supaya anda tidak boleh menyambungkan pemacu kilat kiri dan maklumat kebocoran), pelaksanaan kawalan capaian mandatori (tidak diperlukan untuk ISPD). Saya hanya akan memberikan alat yang saya telah bekerja secara peribadi:
1) Jaring Rahsia. Ia boleh dibekalkan dengan atau tanpa papan kawalan beban. Ia berfungsi melalui secpol.msc, jadi ia mungkin tidak berfungsi pada versi Home (Home pastinya tidak berfungsi pada Windows XP, dan saya belum menguji Vista dan Windows 7 lagi). Agak mudah untuk digunakan, mempunyai mekanisme kawalan peranti terbaik yang pernah saya lihat. Terdapat versi rangkaian yang direka untuk penyepaduan ke dalam struktur domain.
2) Penjaga NT. Mekanisme terbaik untuk kawalan akses mandatori. Ia lebih sukar untuk dikendalikan (kerana fakta bahawa beberapa mekanisme perlindungan tidak boleh dilumpuhkan). Tiada versi dalam talian.
3) Kunci Dallas. Ia kehilangan semua parameter yang dibincangkan sebelum ini, kecuali kemungkinan penggunaan biasa pilihan rangkaian dalam rangkaian tanpa domain.
Seperti namanya, alat ini digunakan pada mesin tempatan. Tiada apa yang perlu ditambah di sini.

Tembok api

Tujuannya, saya fikir, jelas. Di samping itu, jika satu ISPD dibahagikan kepada dua bahagian oleh tembok api, maka ia boleh dipanggil dua ISPD yang berbeza. Untuk apa? Jika anda termasuk dalam kelas pertama dengan tepat dengan bilangan subjek data peribadi yang diproses, maka dengan membahagikan ISPD kepada dua bahagian, anda akan mengurangkan bilangan subjek yang diproses dalam setiap ISPD dan tidak lagi akan mendapat K1, tetapi K2. Pada masa ini terdapat beberapa tembok api yang diperakui di pasaran:
1) Tembok Api Peribadi VipNet. Hanya tembok api peribadi, tanpa sebarang tambahan istimewa. Diuruskan secara tempatan sahaja. Tiada mekanisme kawalan berpusat. Untuk memulakannya memerlukan kata laluan, jika anda tidak memasukkannya, ia tidak akan bermula.
2) Firewall Pejabat VipNet. Perkara yang sama, tetapi ia menyokong beberapa kad rangkaian, yang membolehkan ia dipasang pada pintu masuk dan digunakan untuk pembahagian ISPD.
3) SSPT-2. Kompleks perisian dan perkakasan berjalan pada FreeBSD, tetapi tiada siapa yang akan membenarkan anda mendapatkan OS itu sendiri. Ia berfungsi dengan cepat dan menyokong penapisan dengan banyak parameter. Ia mempunyai ciri yang tidak menyenangkan - peraturan digunakan dalam senarai dari atas ke bawah, dan peraturan yang terletak di bahagian atas mempunyai keutamaan yang lebih tinggi. Ini tidak ditunjukkan dalam dokumentasi; ia ditemui secara eksperimen. Diuruskan dari konsol tempatan dan melalui antara muka web.
4) APKSh "Benua". Secara umum, ini bukan tembok api, tetapi penghala kripto, tetapi dengan fungsi tembok api. Seni bina serupa dengan SSPT-2, tetapi tiada kawalan daripada konsol tempatan - hanya melalui konsol pentadbir khas. Selain itu, semasa persediaan awal anda mesti menentukan antara muka yang komputer pentadbir akan disambungkan.
Selain itu, Kod Keselamatan mengeluarkan dua lagi produk - ITU+ HIPS "Security Studio Endpoint Protection" dan Trust Access, sistem tembok api teragih yang menggabungkan firewall dan segmentasi menggunakan pengesahan Kerberos. Memandangkan saya tidak perlu bekerja dengan produk ini, saya hanya akan memberikan pautan kepada penerangan mereka:
TrustAccess
SSEP
Selain itu, pengeluaran produk lain telah diperakui - Stonegate Firewall/VPN. Produk syarikat Finland Stonesoft. Ia juga dilengkapi dengan modul penyulitan CryptoPRO yang dilampirkan padanya, yang membolehkan anda menggunakannya sebagai penyelesaian VPN yang diperakui.

CIPF

Mereka juga merupakan cara perlindungan kriptografi. Sebagai tambahan kepada Stonegate Firewall/VPN yang telah disebutkan, terdapat dua lagi penyelesaian VPN:
1) VipNet Custom. Ia adalah kompleks Pentadbir VipNet - program pengurusan, Penyelaras VipNet - pelayan VPN dengan fungsi tembok api, dan Pelanggan VipNet - klien dan tembok api VPN. Program pengurusan hanya digunakan untuk menjana kunci dan sijil; mengurus tetapan tembok api hanya boleh dilakukan secara tempatan. Hanya RDP terbina dalam boleh membantu dengan pentadbiran. Ini termasuk messenger dalaman dan mel dalaman. Satu-satunya kelebihan ialah ia adalah penyelesaian perisian semata-mata yang boleh disepadukan dengan mudah ke dalam infrastruktur sedia ada.
2) APKSh "Benua". Pada dasarnya, saya telah bercakap tentang dia. Saya hanya akan menambah bahawa versi terkini pelanggan (Continent-AP) mempunyai fungsi firewall, malah terdapat pelanggan untuk Linux. Gerbang crypto itu sendiri diuruskan hanya dari konsol pentadbir, tetapi dari jauh. Perlu juga disebut bahawa persediaan awal (iaitu, memindahkan konfigurasi rangkaian dan kunci ke gerbang kripto) dilakukan secara tempatan, dengan memberinya pemacu kilat dengan semua maklumat yang diperlukan. Jika anda membuat kesilapan semasa membuat konfigurasi dan telah menghantar gerbang kripto ke titik terpencil, maka anda tidak akan dapat menyambung kepadanya dari jauh dan membetulkan apa-apa; anda perlu menjana konfigurasi semula dan entah bagaimana memindahkannya ke titik terpencil.

Pada asasnya, berikut ialah penerangan ringkas tentang semua produk perlindungan yang diperakui yang saya ketahui. Saya berharap maklumat ini berguna kepada masyarakat.