Mahitaji maalum na mapendekezo ya ulinzi wa kiufundi wa habari za siri. Vipengele kuu vya hati: mahitaji maalum na mapendekezo ya ulinzi wa kiufundi wa habari za siri (STR-K)

TUME YA UFUNDI YA SERIKALI CHINI YA RAIS WA URUSI

SHIRIKISHO

HABARI YA SIRI

(STR-K)

1. Masharti, ufafanuzi na vifupisho

2. Masharti ya jumla

3. Shirika la kazi juu ya ulinzi wa habari

4.1. Masharti ya jumla

4.3. Ulinzi wa habari zinazozunguka katika mifumo ya kuimarisha sauti na wimbo wa sauti sinema

4.4. Ulinzi wa habari wakati wa kurekodi sauti.

4.5. Ulinzi wa taarifa za sauti wakati wa upitishaji wake kwenye njia za mawasiliano

teknolojia ya kompyuta

5.4. Utaratibu wa kuhakikisha ulinzi habari za siri wakati wa operesheni ya mzungumzaji

5.5. Ulinzi wa taarifa za siri katika vituo vya kazi vya kiotomatiki kulingana na Kompyuta zinazojiendesha

5.6. Kulinda habari wakati wa matumizi anatoa zinazoweza kutolewa uwezo mkubwa kwa vituo vya kazi vya kiotomatiki kulingana na Kompyuta zinazojiendesha

5.7. Ulinzi wa habari katika mitandao ya ndani ya kompyuta

5.8. Ulinzi wa habari wakati wa kufanya kazi kwenye mtandao

5.9. Kulinda habari wakati wa kufanya kazi na mifumo ya usimamizi wa hifadhidata 6. Mapendekezo ya kuhakikisha ulinzi wa taarifa zilizomo katika rasilimali za habari zisizo za serikali wakati wasajili wanaingiliana nao. mitandao ya habari ya umma

6.1. Masharti ya jumla

6.2. Masharti ya kuunganisha waliojisajili kwenye Mtandao

6.3. Utaratibu wa kuunganisha na kuingiliana pointi za mteja na Mtandao, mahitaji na mapendekezo ya kuhakikisha usalama wa habari 7, Maombi:

1 . Sheria ya uainishaji wa mfumo wa usindikaji wa habari otomatiki

2. Hati ya kufuata mfumo wa automatiska na mahitaji ya usalama

3. Hati ya kufuata kwa majengo yaliyohifadhiwa na mahitaji ya usalama habari

4. Fomu ya pasipoti ya kiufundi kwa ajili ya majengo yaliyohifadhiwa

5. Fomu ya pasipoti ya kiufundi kwa mfumo wa automatiska

6. Mfano wa kuandika orodha ya taarifa za siri tabia

7. Madarasa ya usalama dhidi ya ufikiaji usioidhinishwa wa habari

8. Vitendo vya msingi vya udhibiti wa kisheria na nyaraka za mbinu juu ya ulinzi

1. MASHARTI, UFAFANUZI NA UFUPISHO

Maneno ya msingi, ufafanuzi na vifupisho vifuatavyo vinatumika katika hati hii:

1.1. Mteja wa Mtandao (tazama pia kifungu cha 1.14) ni mtu ambaye ni mfanyakazi wa taasisi (biashara) ambaye ana kibali kilichotolewa ipasavyo na uwezo wa kiufundi wa kuunganisha na kuingiliana na Mitandao.

1.2. Sehemu ya mteja (AP) - vifaa vya kompyuta vya taasisi (biashara) iliyounganishwa na Mitandao kwa kutumia vifaa vya mawasiliano. AP inaweza kuwa katika mfumo wa kompyuta binafsi ya kielektroniki ya uhuru (PC) yenye modemu na isiwe nayo njia za kimwili mawasiliano na vifaa vingine vya kompyuta (CT) ya biashara, na vile vile kwa njia ya mtandao mmoja au zaidi wa eneo uliojumuishwa (LAN) na vituo vya kazi na seva zilizounganishwa kwenye Mitandao kupitia vifaa vya mawasiliano (modemu, madaraja, lango, ruta, viboreshaji vingi. , seva za mawasiliano, nk).

1.3. Mfumo wa otomatiki (AS) - mfumo unaojumuisha wafanyikazi na seti ya zana za otomatiki kwa shughuli zao, kutekeleza teknolojia ya habari kufanya kazi zilizowekwa.

1.4. Msimamizi wa AS - mtu anayehusika na utendaji wa mfumo wa kiotomatiki katika mfumo ulioanzishwa hali ya kawaida kazi.

1.5. Msimamizi wa ulinzi wa habari (usalama) ni mtu anayehusika na kulinda mfumo wa kiotomatiki kutoka kwa ufikiaji usioidhinishwa wa habari.

1.6. Usalama wa habari ni hali ya usalama wa habari, inayoonyeshwa na uwezo wa wafanyikazi njia za kiufundi na teknolojia za habari ili kuhakikisha usiri (yaani, kufichwa kutoka kwa watu ambao hawana mamlaka ya kuifahamu), uadilifu na ufikiaji wa habari inapochakatwa kwa njia za kiufundi.

1.7. Njia na mifumo ya kiufundi (ATSS) - njia za kiufundi na mifumo isiyokusudiwa kwa usambazaji, usindikaji na uhifadhi wa habari za siri, zilizowekwa pamoja na njia kuu za kiufundi na mifumo au katika majengo yaliyolindwa. Hizi ni pamoja na:

aina mbalimbali vifaa vya simu na mifumo;

Njia na mifumo ya usambazaji wa data katika mfumo wa mawasiliano ya redio;

Usalama na mifumo ya kengele ya moto na vifaa;

Njia na mifumo ya onyo na kengele;

Vifaa vya kudhibiti na kupima;

Bidhaa na mifumo ya hali ya hewa;

Zana na mifumo ya mitandao ya utangazaji wa redio yenye waya na mapokezi ya programu za redio na televisheni (vipaza sauti vya mteja, mifumo ya utangazaji wa redio, televisheni na redio, nk);

Vifaa vya ofisi ya elektroniki;

Vifaa vya saa ya umeme na mifumo;

Njia zingine za kiufundi na mifumo.

1.8. Upatikanaji wa habari (ufikiaji) - kufahamiana na habari, usindikaji wake, haswa, kunakili, kurekebisha au uharibifu wa habari.

1.9. Upatikanaji (upatikanaji ulioidhinishwa) wa habari ni hali ya habari inayoonyeshwa na uwezo wa njia za kiufundi na teknolojia ya habari kutoa ufikiaji usiozuiliwa wa habari kwa masomo ambayo yana mamlaka ya kufanya hivyo.

1.10. Ulinzi wa habari kutoka kwa ufikiaji usioidhinishwa (ulinzi kutoka kwa ufikiaji usioidhinishwa) au ushawishi - shughuli zinazolenga kuzuia mhusika kupata habari (au kushawishi habari) kwa ukiukaji. haki zilizowekwa au kanuni.

1.11. Maalum ishara ya kinga(SPZ) - kuthibitishwa na kusajiliwa katika kwa utaratibu uliowekwa bidhaa iliyoundwa kudhibiti ufikiaji usioidhinishwa wa vitu vilivyolindwa kwa kuamua uhalisi na uadilifu wa eneo la ulinzi wa usafi, kwa kulinganisha ishara yenyewe au muundo "eneo la ulinzi la satelaiti - substrate" kulingana na vigezo vya kufuata. sifa za tabia njia za kuona, za ala na zingine.

1.12. Majengo yaliyolindwa (SP) - majengo (ofisi, vyumba vya kusanyiko, vyumba vya mikutano, nk) maalum iliyoundwa kwa ajili ya kufanya matukio ya siri (mikutano, majadiliano, mikutano, mazungumzo, nk).

1.13. Ishara ya taarifa - ishara za umeme, acoustic, sumakuumeme na maeneo mengine ya kimwili, vigezo ambavyo vinaweza kufichua taarifa za siri zinazopitishwa, kuhifadhiwa au kusindika kwa njia za msingi za kiufundi na mifumo na kujadiliwa katika PO.

1.14. Rasilimali za habari - hati za mtu binafsi na safu tofauti za hati, hati na safu za hati ndani mifumo ya habari(maktaba, kumbukumbu, fedha, benki za data, mifumo mingine ya habari).

1.15. Mitandao ya taarifa za umma (ambayo hapo baadaye inajulikana kama Mitandao) ina kompyuta (mitandao ya habari na mawasiliano) iliyo wazi kwa matumizi ya watu binafsi na vyombo vya kisheria, huduma ambazo haziwezi kukataliwa kwa watu hawa.

1.16. Eneo linalodhibitiwa (CA) ni nafasi (eneo, jengo, sehemu ya jengo) ambamo uwepo usiodhibitiwa wa watu ambao hawana ufikiaji wa kudumu au wa wakati mmoja, na wageni wametengwa. Gari. Mpaka wa mzunguko mfupi unaweza kuwa:

Mzunguko wa eneo lililolindwa la taasisi (biashara);

Miundo iliyofungwa ya jengo lililohifadhiwa au sehemu iliyohifadhiwa ya jengo, ikiwa iko katika eneo lisilohifadhiwa.

Katika baadhi ya matukio, kwa kipindi ambacho taarifa za siri zinachakatwa kwa njia za kiufundi, eneo la usalama linaweza kuanzishwa kwa muda kuwa kubwa kuliko eneo lililolindwa la biashara. Katika kesi hii, hatua za shirika, kiutendaji na kiufundi lazima zichukuliwe ambazo hazijumuishi au zinachanganya sana uwezekano wa kuingilia habari katika eneo hili.

1.17. Taarifa za siri - habari iliyoandikwa, ufikiaji ambao umezuiwa na sheria Shirikisho la Urusi.

1.18. Ndani mtandao wa kompyuta- mtandao wa kompyuta unaounga mkono moja au zaidi njia za kasi kubwa uhamisho habari za kidijitali, zinazotolewa kwa vifaa vilivyounganishwa kwa matumizi ya muda mfupi ya kipekee.

1.19. Firewall (FW) ni kifaa cha ndani (kipengele kimoja) au programu inayosambazwa kiutendaji (vifaa na programu) (changamano) ambayo hutekeleza udhibiti wa taarifa zinazoingia kwenye ngome na/au kuondoka kwenye ngome.

1.20. Ufikiaji usioidhinishwa (vitendo visivyoidhinishwa) (NSD) - ufikiaji wa habari au vitendo na habari ambayo inakiuka sheria za udhibiti wa ufikiaji kwa kutumia. fedha za kawaida zinazotolewa na teknolojia ya kompyuta au mifumo ya kiotomatiki.

1.21. Njia za kimsingi za kiufundi na mifumo (OTSS) - njia za kiufundi na mifumo, pamoja na mawasiliano yao, inayotumika kwa usindikaji, kuhifadhi na kusambaza habari za siri. Katika muktadha wa hati hii, hizi ni pamoja na njia za kiufundi na mifumo ya mifumo otomatiki ya viwango na madhumuni mbalimbali kulingana na teknolojia ya kompyuta, njia na mifumo ya mawasiliano na upitishaji data inayotumika kuchakata taarifa za siri.

1.22. Mtoa Huduma wa Mtandao ni shirika lililoidhinishwa ambalo hufanya kazi za mtoa huduma wa Mtandao kwa pointi ya mteja na moja kwa moja kwa wanachama wa Mtandao.

1.23. Mfumo wa ulinzi wa habari kutoka NSD (SZI NSD) - tata hatua za shirika na programu na maunzi (ikiwa ni lazima, kriptografia) njia za ulinzi dhidi ya ufikiaji usioidhinishwa wa habari (vitendo visivyoidhinishwa nayo) katika mfumo wa kiotomatiki.

1.24. Maelezo ya huduma ya SZI NSD - msingi wa habari AS inavyohitajika kwa utendakazi wa mfumo wa usalama wa habari wa NSD (kiwango cha mamlaka ya wafanyikazi wa uendeshaji wa AS, matrix ya ufikiaji, funguo, nywila, n.k.).

1.25. Njia ya kiufundi ya uvujaji wa habari ni mchanganyiko wa kitu cha akili ya kiufundi, mazingira ya kimwili na njia za akili za kiufundi ambazo data ya akili hupatikana.

1.26. Huduma za mtandao - ngumu utendakazi zinazotolewa kwa watumiaji wa mtandao wanaotumia itifaki za maombi(itifaki za barua pepe, FTP - Itifaki ya Uhawilishaji Faili - mapokezi/uhamishaji wa faili, HTTP - Itifaki ya Uhawilishaji Maandishi ya Juu - ufikiaji wa seva za Wavuti, IRC - Gumzo la Upeanaji wa Mtandao - mazungumzo ya wakati halisi, Telnet - ufikiaji wa terminal kwenye mtandao, WAIS - Seva za Taarifa za Eneo Wide - mfumo wa kuhifadhi na kurejesha nyaraka kwenye mtandao, nk).

1.27. Uadilifu wa habari ni upinzani wa habari kwa ushawishi usioidhinishwa au wa bahati mbaya juu yake wakati wa usindikaji kwa njia za kiufundi, ambayo inaweza kusababisha uharibifu na upotoshaji wa habari.

1.28. Seva ya wavuti - inapatikana kwa umma kwenye Mtandao seva ya habari, kwa kutumia teknolojia ya hypertext.

2. MASHARTI YA JUMLA

2.1. Hati hii inaweka utaratibu wa kuandaa kazi, mahitaji na mapendekezo ya kuhakikisha ulinzi wa kiufundi wa taarifa za siri kwenye eneo la Shirikisho la Urusi na ni hati kuu ya mwongozo katika

eneo hili kwa mamlaka ya shirikisho nguvu ya serikali, miili ya serikali ya vyombo vya Shirikisho la Urusi na serikali za mitaa, biashara, taasisi na mashirika (hapa inajulikana kama taasisi na makampuni), bila kujali fomu zao za shirika na kisheria na aina ya umiliki, maafisa na raia wa Shirikisho la Urusi ambao wamechukua majukumu au wanalazimika kwa hali kuzingatia mahitaji ya hati za kisheria za Shirikisho la Urusi juu ya ulinzi wa habari.

Habari ya siri - habari yenye ufikiaji mdogo, isipokuwa habari iliyoainishwa kama siri za serikali na data ya kibinafsi iliyomo katika rasilimali za habari za serikali (manispaa), iliyokusanywa kwa gharama ya bajeti ya serikali (manispaa) na kuwa mali ya serikali (hii inaweza ni pamoja na habari ambayo inajumuisha siri rasmi na aina zingine za siri kwa mujibu wa sheria ya Shirikisho la Urusi, pamoja na habari. siri kwa mujibu wa "Orodha ya Taarifa za Siri" iliyoidhinishwa na Amri ya Rais wa Shirikisho la Urusi la Machi 6, 1997 No. 188), ulinzi ambao unafanywa kwa maslahi ya serikali (hapa inajulikana kama siri rasmi). );

Taarifa kuhusu ukweli, matukio na mazingira faragha raia, kumruhusu kutambuliwa (data binafsi) (Kwa mujibu wa Sheria ya Shirikisho "Juu ya Habari, Taarifa na Ulinzi wa Taarifa", utawala wa ulinzi wa data ya kibinafsi lazima uamuliwe na sheria ya shirikisho. Kabla ya utekelezaji wake, hati hii inapaswa kutumika kuanzisha utawala wa ulinzi wa vile habari., isipokuwa habari zinazoweza kusambazwa katika vyombo vya habari kwa mujibu wa sheria za shirikishokesi.)

2.3. Ili kulinda habari za siri zilizomo katika rasilimali za habari zisizo za serikali, serikali ya ulinzi ambayo imedhamiriwa na mmiliki wa rasilimali hizi (kwa mfano, habari inayojumuisha biashara, siri za benki, nk) (baadaye - siri ya biashara), hati hii ni ushauri kwa asili.

2.4. Hati hiyo ilitengenezwa kwa msingi wa sheria za shirikisho "Juu ya habari, uhamasishaji na ulinzi wa habari", "Juu ya ushiriki katika kimataifa. kubadilishana habari", Amri ya Rais wa Shirikisho la Urusi tarehe 03/06/97 No. 188 "Orodha ya taarifa za siri", "Mafundisho ya usalama wa habari wa Shirikisho la Urusi", iliyoidhinishwa na Rais wa Shirikisho la Urusi 09/09/2000 Nambari ya Pr.-1895, "Kanuni za utaratibu wa kushughulikia habari rasmi usambazaji mdogo katika mamlaka ya utendaji ya shirikisho", iliyoidhinishwa na Amri ya Serikali ya Shirikisho la Urusi tarehe 3 Novemba 1994 No. 1233, vitendo vingine vya kisheria vya udhibiti juu ya ulinzi wa habari (Kiambatisho Na. 8), pamoja na uzoefu katika kutekeleza hatua za ulinzi wa habari katika wizara. na idara, taasisi na biashara 2.5 Hati inafafanua masuala makuu yafuatayo ya usalama wa habari:

Shirika la kazi juu ya ulinzi wa habari, ikiwa ni pamoja na maendeleo na kisasa ya vitu vya habari na mifumo yao ya ulinzi wa habari;

Muundo na yaliyomo kuu ya shirika, kiutawala, muundo, uendeshaji na nyaraka zingine juu ya ulinzi wa habari;

mazungumzo, ikiwa ni pamoja na kutumia njia za kiufundi;

Utaratibu wa kuhakikisha ulinzi wa habari wakati wa uendeshaji wa vitu vya habari;

Makala ya usalama wa habari wakati wa maendeleo na uendeshaji wa mifumo ya automatiska kwa kutumia aina mbalimbali za vifaa vya kompyuta na teknolojia ya habari;

Utaratibu wa kuhakikisha ulinzi wa habari wakati watumiaji wanaingiliana na mitandao ya habari ya umma.

Utaratibu wa maendeleo, uzalishaji, uuzaji na matumizi ya fedha ulinzi wa kriptografia habari imedhamiriwa na "Kanuni za utaratibu wa ukuzaji, uzalishaji (utengenezaji), uuzaji, ununuzi na utumiaji wa njia za ulinzi wa habari wa siri na ufikiaji mdogo ambao hauna habari inayounda siri ya serikali" (Kanuni PKZ-99) , na pia kwa “Maelekezo ya kupanga na kuhakikisha usalama wa uhifadhi, usindikaji na usambazaji njia za kiufundi mawasiliano ya habari za siri katika Shirikisho la Urusi kwa kutumia FAPSI iliyoidhinishwa njia za kriptografia".

2.6. Ulinzi wa habari iliyochakatwa kwa kutumia njia za kiufundi ni sehemu muhimu inafanya kazi katika uundaji na uendeshaji wa vitu vya habari kwa madhumuni mbalimbali na lazima itekelezwe kwa njia iliyowekwa na hati hii kwa namna ya mfumo wa ulinzi wa habari (mfumo mdogo) kwa kushirikiana na hatua zingine za ulinzi wa habari.

2.7. Habari iko chini ya ulinzi, hotuba na kusindika kwa njia za kiufundi, na pia kuwasilishwa kwa njia ya taarifa ishara za umeme, nyanja halisi, midia kwenye karatasi, sumaku, macho na besi zingine, katika mfumo wa safu za taarifa na hifadhidata katika AS. Vitu vilivyolindwa vya uarifu ni:

Zana na mifumo ya teknolojia ya habari (teknolojia ya kompyuta,

mifumo ya kiotomatiki ya viwango na madhumuni anuwai kulingana na teknolojia ya kompyuta, pamoja na vifaa vya habari na kompyuta, mitandao na mifumo, njia na mifumo ya mawasiliano na upitishaji data, njia za kiufundi za kupokea, kusambaza na kusindika habari (simu, kurekodi sauti, ukuzaji wa sauti, sauti. utayarishaji, vyumba vya mikutano na vifaa vya televisheni, njia za kutengeneza, kunakili hati na njia zingine za kiufundi za usindikaji wa hotuba, picha, video na habari ya alphanumeric), programu (mifumo ya uendeshaji, mifumo ya usimamizi wa hifadhidata, programu nyingine ya mfumo mzima na ya maombi) inayotumika kuchakata. habari za siri;

Njia za kiufundi na mifumo ambayo haishughulikii moja kwa moja habari za siri, lakini ziko katika majengo ambayo huchakatwa (zinasambazwa);

Majengo yaliyolindwa.

2.8. Ulinzi wa habari unapaswa kufanywa kupitia utekelezaji wa seti ya hatua na matumizi (ikiwa ni lazima) ya hatua za usalama wa habari ili kuzuia

kuvuja kwa habari au athari juu yake kupitia njia za kiufundi, kwa sababu ya ufikiaji usioidhinishwa, kuzuia ushawishi wa makusudi wa programu na vifaa kwa lengo la kukiuka uadilifu (uharibifu, upotoshaji) wa habari wakati wa usindikaji, usafirishaji na uhifadhi wake, na kuvuruga upatikanaji wake. na utendakazi wa njia za kiufundi.

2.9. Wakati wa kufanya mazungumzo na kutumia njia za kiufundi kwa usindikaji na kusambaza habari, inawezekana njia zifuatazo Uvujaji na vyanzo vya vitisho vya usalama wa habari:

Mionzi ya acoustic ya ishara ya hotuba ya habari;

Ishara za umeme zinazotokana na ubadilishaji wa ishara ya taarifa kutoka kwa acoustic hadi umeme kutokana na athari ya kipaza sauti na kueneza kwa waya na mistari inayoenea zaidi ya mzunguko mfupi;

Ishara za vibroacoustic zinazotokana na mabadiliko

ishara ya akustisk yenye taarifa inapofunuliwa ujenzi wa jengo na mawasiliano ya uhandisi na kiufundi ya majengo yaliyohifadhiwa;

Ufikiaji usioidhinishwa na vitendo visivyoidhinishwa kuhusiana na habari katika mifumo ya kiotomatiki, pamoja na kutumia mitandao ya habari ya umma;

Athari kwa vifaa au programu ya mifumo ya habari ili kukiuka usiri, uadilifu na upatikanaji wa habari, utendaji wa njia za kiufundi na njia za usalama wa habari kupitia kutekelezwa maalum. programu;

Madhara mionzi ya sumakuumeme ishara ya habari kutoka kwa njia za kiufundi usindikaji habari za siri na njia za upitishaji wa habari hii;

Uingizaji wa ishara ya taarifa, iliyosindika kwa njia za kiufundi, kwenye nyaya za usambazaji wa nguvu na mistari ya mawasiliano ambayo huenda zaidi ya mzunguko mfupi;

Utoaji wa redio au ishara za umeme kutoka kwa vifaa maalum vya elektroniki vya kukatiza habari za hotuba "alamisho" iliyoingia katika njia za kiufundi na majengo yaliyolindwa, yanayorekebishwa na ishara ya habari;

Utoaji wa redio au mawimbi ya umeme kutoka kwa vifaa vya kielektroniki vya kukatiza habari vilivyounganishwa na njia za mawasiliano au njia za kiufundi za usindikaji wa habari;

Kusikiliza mazungumzo ya simu na redio yanayoendelea;

Kuangalia habari kutoka kwa skrini za maonyesho na njia zingine za kuionyesha, karatasi na media zingine, pamoja na kutumia njia za macho;

Wizi wa vifaa vya kiufundi na habari iliyohifadhiwa ndani yao au mtu binafsi

wabebaji wa habari.

2.10. Kuingilia habari au ushawishi juu yake kwa kutumia kiufundi
fedha zinaweza kudumishwa:

Kutoka nje ya nchi, mzunguko mfupi kutoka kwa majengo ya karibu na magari;

Kutoka kwa majengo ya karibu ya taasisi nyingine (biashara) na iko katika jengo moja na kitu kilichohifadhiwa;

Wakati wa kutembelea taasisi (biashara) na watu wasioidhinishwa;

Kwa sababu ya ufikiaji usioidhinishwa (vitendo visivyoidhinishwa) kwa

habari inayozunguka katika AS, kwa msaada wa njia za kiufundi za AS, na kupitia mitandao ya habari matumizi ya kawaida.

2.11. Vifaa vinavyobebeka, kubebeka na kuvaliwa vilivyowekwa karibu na kitu kilicholindwa au kuunganishwa kwa njia za mawasiliano au njia za kiufundi za usindikaji wa habari vinaweza kutumika kama kifaa cha kunasa au kushawishi habari na njia za kiufundi, na vile vile vifaa vya elektroniki unyanyasaji wa habari "alamisho" iliyowekwa ndani au nje ya majengo yaliyohifadhiwa.

2.12. Mbali na udukuzi wa taarifa kwa njia za kiufundi, inawezekana kwamba taarifa zilizolindwa zinaweza kuwafikia watu ambao hawaruhusiwi kuzipata, lakini walio ndani ya eneo la usalama. Hii inawezekana, kwa mfano, kutokana na:

Kusikiliza bila kukusudia bila kutumia njia za kiufundi za mazungumzo ya siri kutokana na insulation ya sauti ya kutosha ya miundo iliyofungwa ya majengo yaliyohifadhiwa na mifumo yao ya uhandisi na kiufundi;

Kusikiliza bila mpangilio mazungumzo ya simu wakati wa kufanya kazi ya kuzuia katika mitandao ya simu;

Vitendo visivyo na uwezo au vibaya vya watumiaji na wasimamizi wa AS wakati wa uendeshaji wa mitandao ya kompyuta;

Kuangalia habari kutoka kwa skrini za kuonyesha na njia zingine za kuionyesha.

2.13. Utambulisho na kuzingatia mambo yanayoathiri au uwezo wa kuathiri habari iliyolindwa (tishio kwa usalama wa habari) katika hali maalum, kwa mujibu wa GOST R 51275-99, hufanya msingi wa kupanga na kutekeleza hatua zinazolenga kulinda habari katika kituo cha taarifa.

Orodha ya hatua muhimu za ulinzi wa habari imedhamiriwa kulingana na matokeo ya uchunguzi wa kitu cha habari, kwa kuzingatia uwiano wa gharama za ulinzi wa habari na uharibifu unaowezekana kutoka kwa ufunuo wake, upotezaji, uharibifu, upotoshaji, ukiukaji wa upatikanaji ulioidhinishwa. ya habari na utendakazi wa njia za kiufundi usindikaji habari hii, pamoja na kuzingatia fursa za kweli kuingilia kwake na kufichua yaliyomo.

2.14. Tahadhari kuu inapaswa kulipwa kwa ulinzi wa habari kuhusiana na ambayo vitisho vya usalama wa habari vinatekelezwa bila kutumia njia ngumu za kiufundi za kukatiza habari:

Taarifa za sauti zinazozunguka katika majengo yaliyohifadhiwa;

Habari iliyochakatwa na teknolojia ya kompyuta kutoka kwa ufikiaji usioidhinishwa na vitendo visivyoidhinishwa;

Taarifa iliyoonyeshwa kwenye skrini za kufuatilia video;

Taarifa zinazopitishwa kupitia njia za mawasiliano ambazo huenda zaidi ya mzunguko mfupi.

2.15. Ukuzaji wa hatua na kuhakikisha ulinzi wa habari unafanywa na vitengo vya ulinzi wa habari (huduma za usalama) au wataalam wa kibinafsi walioteuliwa na usimamizi wa biashara (taasisi) kufanya kazi kama hiyo. Uendelezaji wa hatua za usalama wa habari pia unaweza kufanywa na makampuni ya tatu ambayo yana leseni zinazofaa kutoka Tume ya Kiufundi ya Jimbo la Urusi na/au FAPSI kwa haki ya kutoa huduma katika uwanja wa usalama wa habari.

2.16. Ili kulinda habari, inashauriwa kutumia njia za kiufundi za usindikaji na kusambaza habari, vifaa na zana za programu kwa usalama wa habari uliothibitishwa kulingana na mahitaji ya usalama wa habari. Wakati wa kusindika habari za siri zilizoandikwa katika vituo vya habari katika miili ya serikali ya Shirikisho la Urusi na miili ya serikali ya vyombo vya Shirikisho la Urusi, wengine. mashirika ya serikali, makampuni ya biashara na taasisi, njia za kulinda mifumo ya habari zinakabiliwa na uthibitisho wa lazima.

2.17. Vipengee vya uarifu lazima viidhinishwe kwa kufuata mahitaji ya ulinzi wa habari (Hapa, uthibitisho unamaanisha tumekukubalika kwa kitu cha habari na biashara na ushiriki wa lazima wa mtaalam wa usalama wa habari.)

2.18. Wajibu wa kuhakikisha mahitaji ya ulinzi wa kiufundi wa taarifa za siri ni wakuu wa taasisi na makampuni ya uendeshaji wa vifaa vya habari.

Toleo kamili la hati linaweza kupakuliwa kutoka.

GOST R 53113.2-2009

Kikundi T00

KIWANGO CHA TAIFA CHA SHIRIKISHO LA URUSI

Teknolojia ya habari

ULINZI WA TEKNOLOJIA YA HABARI NA MIFUMO OTOMATIKI KUTOKANA NA VITISHO VYA USALAMA WA HABARI KWA KUTUMIA MICHUZI YA HABARI.

Teknolojia ya habari. Ulinzi wa teknolojia ya habari na mifumo ya kiotomatiki dhidi ya vitisho vya usalama vinavyoletwa na matumizi ya njia za siri. Sehemu ya 2. Mapendekezo ya kulinda taarifa, teknolojia ya habari na mifumo ya kiotomatiki dhidi ya mashambulizi ya njia ya siri.

SAWA 35.040

Tarehe ya kuanzishwa 2009-12-01

Dibaji

1 IMEANDALIWA na Kampuni ya Dhima ndogo "Cryptocom"

2 IMETAMBULISHWA na Shirika la Shirikisho kwa udhibiti wa kiufundi na metrology

3 IMETHIBITISHWA NA KUINGIA KUFANIKIWA na Agizo la Wakala wa Shirikisho wa Udhibiti wa Kiufundi na Metrolojia la tarehe 15 Desemba 2009 N 841-st.

4 IMETAMBULISHWA KWA MARA YA KWANZA

5 JAMHURI. Oktoba 2018

Sheria za utumiaji wa kiwango hiki zimewekwa ndani Kifungu cha 26 cha Sheria ya Shirikisho ya Juni 29, 2015 N 162-FZ "Juu ya Udhibiti katika Shirikisho la Urusi". Taarifa kuhusu mabadiliko ya kiwango hiki huchapishwa katika ripoti ya kila mwaka (tangu Januari 1 ya mwaka huu) ya habari "Viwango vya Taifa", na maandishi rasmi ya mabadiliko na marekebisho yanachapishwa katika ripoti ya kila mwezi ya habari "Viwango vya Taifa". Katika kesi ya marekebisho (uingizwaji) au kughairi kiwango hiki, ilani inayolingana itachapishwa katika toleo linalofuata la ripoti ya kila mwezi ya "Viwango vya Kitaifa". Habari inayofaa, arifa na maandishi pia yamewekwa kwenye mfumo wa habari wa umma - kwenye wavuti rasmi ya Wakala wa Shirikisho wa Udhibiti wa Kiufundi na Metrology kwenye Mtandao (www.gost.ru)

Utangulizi

Kiwango hiki kinaweka mapendekezo ya kuandaa ulinzi wa habari (IP), teknolojia ya habari na mifumo ya kiotomatiki dhidi ya mashambulizi kwa kutumia. njia zilizofichwa(SK).

SC hutumiwa kwa mwingiliano wa kimfumo programu hasidi(virusi vya kompyuta) na kikiuka sheria wakati wa kuandaa shambulio kwenye mfumo wa kiotomatiki (AS), ambao hautambuliki na zana za udhibiti na ulinzi.

Kiwango hiki kilitengenezwa kwa kuzingatia mahitaji ya GOST R ISO/IEC 15408-3 na GOST R ISO/IEC 27002, ambayo hutoa utekelezaji wa hatua za kukabiliana na vitisho kwa usalama wa shirika linalotekelezwa kwa kutumia SC. Katika viwango hivi, hatua za kukabiliana na vitisho vya usalama wa habari kwa kutumia mfumo wa usalama zinawasilishwa mtazamo wa jumla, na maelezo yao yanawasilishwa katika kiwango hiki.

Kwa kuongezea, kuna idadi ya teknolojia za kuhakikisha usalama wa habari na hati za udhibiti (ND) za mamlaka kuu ya shirikisho ( FSTEC ya Urusi, ambayo hujadili vipengele fulani vya tatizo hili).

Kwa hivyo GOST R 51188 huanzisha kanuni za jumla kuandaa na kufanya vipimo vya programu na vipengele vyake ili kuchunguza na kuondokana na virusi vya kompyuta ndani yao. Kiwango hiki pia kinasimamia utaratibu wa kuangalia kompyuta kwa uwepo wa virusi vya kompyuta na kuziondoa. Jaribio kama hilo linaweza kutambua wakala wa mkiukaji wa usalama anayetumiwa naye kupanga chaneli ya siri, lakini tu ikiwa wakala sio sehemu muhimu ya mfumo wa uendeshaji au jukwaa la maunzi la kompyuta inayojaribiwa. Kwa sababu ya hundi ya antivirus hawana uwezo wa kutambua mawakala wote wanaowezekana, kuna haja ya kukabiliana na IC ambazo mawakala kama hao "wasioonekana" wanaweza kutumia kuingiliana na mkiukaji wa usalama.

NTD FSTEC ya Urusi imeanzisha uainishaji programu(uzalishaji wa ndani na nje) kwa zana za teknolojia ya habari, pamoja na zile zilizojengwa katika mfumo mzima na programu ya utumizi (programu), kulingana na kiwango cha udhibiti juu ya kutokuwepo kwa uwezo ambao haujatangazwa ndani yake. Wakati wa uthibitishaji kama huo, uwezo ambao haujatangazwa, unaotambuliwa kuwa sio hatari, unaweza kuwa hatari zaidi wakati wa utendakazi wa programu kama matokeo ya mwingiliano kupitia CS na mhalifu wa nje wa usalama.

NTD FSTEC ya Urusi huanzisha uainishaji wa ukuta wa moto kulingana na kiwango cha usalama dhidi ya ufikiaji usioidhinishwa wa habari kwa kuchagua viashiria sahihi vya usalama. Viashiria hivi vina mahitaji ya zana za usalama wa habari, zinazotekelezwa kwa njia ya ngome, kuhakikisha mwingiliano salama wa mitandao ya kompyuta ya AS kwa kudhibiti mtiririko wa habari kati ya mtandao. Firewall hutumia kazi za kizuizi mitandao, pamoja na mahitaji ya sera ya usalama ya habari iliyopitishwa ya shirika. Mwingiliano kwa kutumia CS unafanywa ndani ya mipaka ya vikwazo vilivyowekwa na firewall, hivyo CS inaweza kufanya kazi hata wakati wa kutumia firewall iliyopangwa vizuri ambayo ina kiwango cha kutosha cha usalama.

Kiwango hiki pia huweka utaratibu wa kawaida wa kuandaa makabiliano na IC, ambayo yanaweza kubainishwa kwa kuzingatia masharti na vipengele vya matumizi ya teknolojia ya habari katika mitambo ya nyuklia. Kwa kuongeza, hatua za ziada za ulinzi zinaweza kuendelezwa na kutumika.

Shirika la ulinzi wa IT na AS dhidi ya mashambulizi kwa kutumia CS hujumuisha taratibu za kuwatambua na kuwakandamiza. Seti ya mbinu zinazotumiwa kutambua na/au kukandamiza IC inapaswa kubainishwa kulingana na muundo wa tishio la usalama wa shirika.

Hatua za kulinda dhidi ya mashambulizi kwa kutumia CS lazima zijumuishwe katika mfumo wa usalama wa taarifa wa shirika.

Kiwango hiki kinatumika kwa kushirikiana na GOST R 53113.1.

1 eneo la matumizi

Kiwango hiki kimekusudiwa kwa wateja, watengenezaji na watumiaji wa teknolojia ya habari katika mchakato wa kukuza mahitaji ya ulinzi wa habari katika hatua za ukuzaji, upatikanaji na utumiaji wa bidhaa, teknolojia ya habari na mifumo ya kiotomatiki kulingana na mahitaji ya hati za kisheria za kisheria. mamlaka kuu ya shirikisho (FSTEC ya Urusi), au mahitaji yaliyowekwa na habari ya mmiliki.

Kiwango hiki kimekusudiwa kwa mashirika ya uthibitisho, pamoja na maabara za upimaji, wakati wa kudhibitisha kufuata kwa teknolojia ya habari na mifumo ya kiotomatiki na mahitaji ya kuhakikisha usalama wa habari inayozunguka katika mifumo hii, vitengo vya uchambuzi na huduma za usalama.

2 Marejeleo ya kawaida

Kiwango hiki kinatumia marejeleo ya kawaida kwa viwango vifuatavyo:

GOST R ISO/IEC 7498-1-99 Teknolojia ya habari. Uunganisho wa mifumo wazi. Mfano wa msingi wa kumbukumbu. Sehemu ya 1. Mfano wa msingi

GOST R ISO/IEC 15408-3 Teknolojia ya habari. Mbinu na njia za kuhakikisha usalama. Vigezo vya kutathmini usalama wa teknolojia ya habari. Sehemu ya 3: Vipengele vya Dhamana ya Usalama

GOST R ISO/IEC 27002 Teknolojia ya habari. Mbinu na njia za kuhakikisha usalama. Seti ya kanuni na sheria za usimamizi

GOST R 51188 Ulinzi wa habari. Programu ya kupima virusi vya kompyuta. Mwongozo wa mfano

GOST R 51901.1 Usimamizi wa hatari. Uchambuzi wa hatari ya mifumo ya kiteknolojia

GOST R 53113.1-2008 Teknolojia ya habari. Ulinzi wa teknolojia za habari na mifumo ya kiotomatiki dhidi ya vitisho vya usalama wa habari vinavyotekelezwa kwa kutumia njia za siri. Sehemu ya 1. Masharti ya jumla

Kumbuka - Unapotumia kiwango hiki, inashauriwa kuangalia uhalali wa viwango vya kumbukumbu katika mfumo wa habari wa umma - kwenye tovuti rasmi ya Shirika la Shirikisho la Udhibiti wa Kiufundi na Metrology kwenye mtandao au kutumia ripoti ya kila mwaka ya habari "Viwango vya Taifa" , ambayo ilichapishwa mnamo Januari 1 ya mwaka huu, na juu ya maswala ya faharisi ya habari ya kila mwezi "Viwango vya Kitaifa" kwa mwaka huu. Iwapo kiwango cha marejeleo ambacho rejeleo lisilo na tarehe kimetolewa kinabadilishwa, inashauriwa kutumia toleo la sasa kiwango hiki, kwa kuzingatia mabadiliko yote yaliyofanywa toleo hili mabadiliko. Ikiwa kiwango cha marejeleo cha tarehe kitabadilishwa, inashauriwa kutumia toleo la kiwango hicho pamoja na mwaka wa idhini (kuasili) ulioonyeshwa hapo juu. Iwapo, baada ya kuidhinishwa kwa kiwango hiki, mabadiliko yatafanywa kwa kiwango kilichorejelewa ambapo marejeleo ya tarehe yanafanywa yanayoathiri utoaji uliorejelewa, inashauriwa kwamba kifungu hicho kitumike bila kuzingatia mabadiliko haya. Ikiwa kiwango cha marejeleo kimeghairiwa bila uingizwaji, basi kifungu ambacho marejeleo yake yanapendekezwa kutumika katika sehemu ambayo haiathiri rejeleo hili.

3 Masharti na ufafanuzi

Kiwango hiki kinatumia maneno kulingana na GOST R 53113.1.

4 Alama na vifupisho

Alama na vifupisho vifuatavyo vinatumika katika kiwango hiki:

ABS - mfumo wa benki otomatiki;

VOS - uunganisho wa mifumo ya wazi;

IS - usalama wa habari;

IT - teknolojia ya habari;

NSD - ufikiaji usioidhinishwa;

DBMS - mfumo wa usimamizi wa hifadhidata;

HTTP - (hypertext itifaki ya uhamisho) - itifaki ya uhamisho wa hypertext;

IP - (itifaki ya mtandao) - itifaki ya mtandao;

VPN - (mtandao wa kibinafsi wa kibinafsi) - mtandao wa kibinafsi wa kibinafsi.

5 Utaratibu wa utendakazi wa chaneli iliyofichwa

5.1 SC hutumiwa kwa mwingiliano wa kimfumo wa programu hasidi (virusi vya kompyuta) na mkiukaji wa usalama wakati wa kuandaa shambulio la AS, ambalo haligunduliwi na zana za udhibiti na ulinzi.

Hatari ya SC inategemea dhana ufikiaji wa kudumu mkiukaji wa usalama rasilimali za habari shirika na kuathiri mfumo wa habari kupitia njia hizi ili kusababisha uharibifu mkubwa kwa shirika.

5.2 Mchoro wa jumla wa utaratibu wa utendakazi wa SC katika AS umewasilishwa katika Mchoro 1.

1 - mkiukaji wa usalama (mshambulizi), ambaye lengo lake ni upatikanaji usioidhinishwa wa habari ufikiaji mdogo au ushawishi usioidhinishwa kwenye mfumo; 2 - habari ya ufikiaji mdogo au muhimu kazi muhimu; 3 - somo na ufikiaji ulioidhinishwa 2 Na 5 ; 3" - wakala wa mkiukaji wa usalama aliye katika kitanzi kilichofungwa na 2 na kuingiliana na 2 kwa niaba ya mhusika 3; 4 - mkaguzi (programu, maunzi na programu, vifaa au mtu) kudhibiti mwingiliano wa habari 3 , kuvuka kitanzi kilichofungwa kinachotenganisha kitu cha taarifa kutoka kwa mazingira ya nje; 5 - somo lililo nje ya kitanzi kilichofungwa ambacho 3 hufanya mwingiliano wa habari ulioidhinishwa

Kielelezo 1 - Mchoro wa jumla wa utaratibu wa utendaji wa SC katika AS

5.3 Mwingiliano kati ya masomo 3 Na 5 imeidhinishwa na inahitajika operesheni sahihi AC. Kazi ya wakala 3" ni kuhakikisha mwingiliano wa mara kwa mara kati ya wakala na mshambuliaji. Wakala lazima apitishe habari iliyozuiliwa 2 kwa mshambuliaji 1 au kwa amri ya mshambuliaji 1 kuathiri kazi muhimu 2 . Usiri wa njia ya mwingiliano kati ya mshambuliaji 1 na wakala 3" ndio mada 3 , mkaguzi 4 na somo 5 usigundue ukweli wa kusambaza habari au amri.

SC huruhusu mshambuliaji kuingiliana mara kwa mara na wakala wake aliyepachikwa kwenye AS.

5.4 Katika AS, mwingiliano kati ya wakala 3 na somo 5 inaweza kuwa mtandao au kutokea ndani ya AS moja (tazama 5.6).

5.5 Uainishaji wa SCs kulingana na vigezo mbalimbali hutolewa katika GOST R 53113.1.

5.6 Mifano ya SC, inayoelezea utaratibu wa utendaji wao, imewasilishwa hapa chini.

Mfano 1 - Mkiukaji wa usalama (mshambulizi), anayeshirikiana na shirika shindani, alisakinisha wakala wa programu katika ABS wakati wa mchakato wa utekelezaji (kutuma). Kuingiliana na ABS kama mteja wa benki hii, mshambuliaji hutuma amri kwa wakala wa programu iliyosimbwa katika mlolongo wa vitendo vyake, ambayo kila moja haitoi shaka (kuangalia hali ya akaunti, usimamizi wa akaunti, vipindi vya muda kati ya shughuli, nk. ) Kwa kujibu amri zilizopokelewa kupitia IC, wakala, kwa kutumia IC hiyo hiyo, anarudi kwa mshambulizi habari kuhusu benki iliyoshambuliwa ambayo inavutia mshindani (habari kuhusu akaunti za wateja wengine, kiasi cha mali ya benki, habari nyingine yoyote ya ndani. ambayo wakala anaweza kufikia) au anafanya mabadiliko kwenye hifadhidata kuhusu akaunti za mteja au taarifa nyingine yoyote ambayo anaweza kufikia. Utambuzi wa uwepo wa wakala kama huo unaweza kutokea tu kupitia ishara zisizo za moja kwa moja ambazo zinaweza kutokea kama matokeo ya mabadiliko katika hifadhidata. Uvujaji uliofichwa wa habari kutoka kwa hifadhidata unaotokea kupitia IC kama hiyo hautatambuliwa. Katika kesi hii, kwa mujibu wa mchoro katika Mchoro 1: 3 "- wakala wa programu, 3 - ABS, 2 - hifadhidata, 4 - huduma ya usalama ya benki, 1 - mshambuliaji anayefanya kazi kwa maslahi ya mshindani, 5 - mteja wa benki.

Mfano wa 2 - Mshambulizi ambaye lengo lake ni kupata taarifa za umiliki kutoka kwa kompyuta ya mfanyakazi anaweza kutenda kulingana na hali ifuatayo. Hebu PC iliyolindwa na firewall iambukizwe na Trojan. Programu ya Trojan hupokea amri kutoka kwa mshambuliaji na kujibu na habari kuhusu Kompyuta iliyoambukizwa na habari iliyozuiliwa ya ufikiaji iliyohifadhiwa juu yake, ikificha kubadilishana kama. Itifaki ya HTTP kuruhusiwa na firewall. Katika kesi hii, kwa mujibu wa mchoro katika Mchoro 1: 3 "- Farasi wa Trojan, 3 - programu ambayo imeidhinisha upatikanaji wa mtandao, 2 - hati ya usambazaji mdogo, 4 - firewall, 5 - nodi ya mtandao, 1 - nodi ya kati mtandao unaodhibitiwa na mshambuliaji.

Mfano 3 - Unapotumia VPN, inawezekana pia kutengeneza IC kwa mwingiliano kati ya wakala na mshambulizi. Acha mtumiaji atumie yake mahali pa kazi kama terminal ufikiaji wa mbali kwa seva ya AS, i.e. habari kuhusu kila kibonye hutumwa na terminal kwa seva. Mshambulizi alisakinisha kibodi iliyo na wakala kwenye kituo cha kazi cha mtumiaji cha mfumo ulioshambuliwa. Wakala hukatiza vibonye vya vitufe na kisha kuzisambaza baada ya muda, na kuchelewesha kuwezesha baadhi ya funguo kulingana na mpango unaojulikana na mshambuliaji. Mshambulizi, akiangalia mtiririko wa pakiti kati ya terminal na seva, hutoa kutoka humo maelezo yanayotumwa na wakala kupitia IC. Kutengwa kwa habari iliyofichwa kunawezekana hata ikiwa chaneli iliyo salama ya siri inatumiwa kati ya terminal na seva, kwani kwa utendakazi wa IC sio yaliyomo kwenye pakiti ambazo terminal na seva hubadilishana na kila mmoja, ambayo ni muhimu. lakini muda wa vipindi kati ya pakiti zilizo karibu.

KATIKA kwa kesi hii kwa mujibu wa mchoro kwenye Mchoro 1: 3" - wakala wa maunzi, 3 - kibodi, 2 - habari iliyoingizwa kutoka kwa kibodi (kwa mfano, nenosiri), 4 - njia yoyote ya kutoa usalama wa AS ambao hautambui mifumo katika mtiririko. pakiti za mtandao; 5 - seva ya terminal, 1 - mshambuliaji.

Mfano 4 - Uzalishaji wa kushindwa kwa bandia na vikwazo vya upatikanaji vinaweza kufanywa kwa kutumia CS. Kwa mfano, wakala aliyepachikwa katika moja ya vipengele muhimu AS inasubiri kupokea ishara ya masharti kutoka kwa mshambuliaji. Baada ya kupokea ishara hii, wakala huharibu utendakazi wa sehemu ya AS ambamo iko. Matokeo yake, kupoteza kwa muda kwa utendaji wa mfumo au kudhoofisha ulinzi wake hutokea (ikiwa wakala ameingizwa kwenye chombo cha usalama wa habari). Kwa mfano, ishara ya masharti ya kuwezesha wakala kwenye rasilimali ya mtandao wa umma inaweza kuwa jaribio la uthibitishaji na baadhi ya watu. jina maalum mtumiaji na nenosiri. Mfumo wa udhibiti wa ufikiaji rasilimali ya mtandao 4 haitagundua shambulio hili kwa sababu kujaribu kuthibitisha ni kitendo kinachoruhusiwa. Katika kesi hii, kwa mujibu wa mchoro katika Mchoro 1: 2 - kazi muhimu inayofanywa na sehemu ya AC (3), ambayo wakala 3 hujengwa; 1 - mshambuliaji akimpa wakala ishara ya masharti, ambayo, kutoka kwa mtazamo wa 4, si hatari , na kwa hiyo haijazuiliwa, 5 - AC.

Mfano wa 5 - Kwa mujibu wa mchoro katika Mchoro 1: mfumo wa uendeshaji 4 hutoa kutengwa kwa programu ya 3, ambayo ina upatikanaji wa taarifa za siri 2, kutoka kwa programu ya 1, inayoendesha sawa. mfumo wa uendeshaji, lakini hana ufikiaji kama huo. Ili kuhamisha taarifa 1 ya ufikiaji iliyozuiliwa, wakala wa mvamizi 3" hupanga SC kwa wakati, kupiga simu za uwongo kwa nyenzo 5, kwa mfano, diski kuu. Wakala hurekebisha marudio ya simu na maudhui ya maelezo ya ufikiaji yenye vikwazo ambayo anahitaji. kusambaza. Mpango wa 1, unaofuatilia mzigo mzima wa mfumo kwenye rasilimali hii, hutambua ukubwa wa athari ya wakala kwenye nyenzo hii na inaweza kutoa maelezo yanayotumwa na wakala kutoka kwa asili ya mabadiliko katika ukubwa huu.

6 Sheria za kuunda mtindo wa tishio la usalama kwa kuzingatia kuwepo kwa njia za siri

6.1 Muundo wa tishio la usalama huundwa kwa kuzingatia vitisho vinavyotekelezwa kwa kutumia mfumo wa usalama. Vitisho hivi lazima zizingatiwe wakati wa kutathmini hatari za usalama wa habari.

6.2 Vitisho vya usalama vinavyoweza kutekelezwa kwa kutumia CS ni pamoja na:

- kuanzishwa kwa programu mbaya na data;

- mshambulizi anatoa amri kwa wakala kwa ajili ya utekelezaji;

- kuvuja kwa funguo za cryptographic au nywila;

- kuvuja kwa mtu binafsi vitu vya habari.

6.3 Tishio la kuanzisha programu na data hasidi liko katika ukweli kwamba, akiwa na uwezo wa kuingiliana na AS iliyoshambuliwa, mshambuliaji anaweza kuhamishia ndani yake kupitia programu hasidi za SC ambazo zina utendaji anaohitaji. Utangulizi wa data ya uwongo kwenye mfumo ulioshambuliwa unaweza kutekelezwa moja kwa moja na wakala ambaye mvamizi huingiliana naye kupitia mtandao. Kwa mfano, ikiwa wakala amepachikwa kwenye DBMS ya benki, mshambulizi anaweza kuituma amri ya kubadilisha maelezo ya akaunti ya mteja yaliyohifadhiwa katika hifadhidata au kuchukua nafasi ya utaratibu uliohifadhiwa katika hifadhidata hii inayotumia data ya akaunti kwa njia ya uwongo, hasidi inayofanya kazi. kwa maslahi ya mshambuliaji.

6.4 Tishio la mshambulizi kutuma amri kwa wakala kutekeleza majukumu yake ni kwamba wakala anaweza kuathiri AS ambamo imepachikwa kwa amri ya mshambulizi. Amri hizi zinaweza kuwa rahisi (kwa mfano, kuzuia uendeshaji wa mfumo kwa muda) au ngumu zaidi (kwa mfano, kuhamisha yaliyomo kwenye faili iliyohifadhiwa kwenye mfumo ulioshambuliwa kwa mshambuliaji kupitia mtandao).

6.5 Tishio la kuvuja kwa funguo za kriptografia au manenosiri au vitu vya habari vya mtu binafsi hutokea ikiwa mshambuliaji aliweza kupenyeza wakala wake kwenye AS ili wakala apate ufikiaji wa data muhimu (kwa mfano, funguo za kriptografia, manenosiri), ICs zinaweza kutumika kwa uhamisho usioidhinishwa wa taarifa kama hizo kwa mshambulizi. Kwa kuwa funguo zina kiasi kidogo, hata chaneli ya chini-bandwidth inaweza kuvuja.

7 Utaratibu wa kuandaa ulinzi wa habari, teknolojia ya habari na mifumo ya kiotomatiki kutokana na shambulio linalofanywa kwa kutumia njia za siri.

7.1 ZI, IT na AS kutokana na mashambulizi yanayotekelezwa kwa kutumia SC ni mchakato wa mzunguko, ambayo inajumuisha hatua zifuatazo, zinazorudiwa kwa kila marudio ya mchakato:

- uchambuzi wa hatari kwa mali ya shirika, ikiwa ni pamoja na kutambua mali muhimu na tathmini matokeo iwezekanavyo utekelezaji wa mashambulizi kwa kutumia CS (tazama sehemu ya 8);

- utambulisho wa SC na tathmini ya hatari yao kwa mali ya shirika (tazama sehemu ya 9);

- utekelezaji wa hatua za ulinzi ili kukabiliana na SK (tazama sehemu ya 10);

- shirika la udhibiti wa kukabiliana na IC (tazama sehemu ya 11).

7.2 Asili ya mzunguko wa mchakato wa ulinzi dhidi ya vitisho vya usalama wa habari unaotekelezwa kwa kutumia mfumo wa usalama imedhamiriwa na kuibuka kwa njia mpya za kuunda mfumo wa usalama, ambao haukujulikana wakati wa marudio ya hapo awali.

8 Uchambuzi wa hatari

8.1 Uchaguzi wa hatua za kukabiliana na vitisho vya usalama wa habari unaotekelezwa kwa kutumia mfumo wa usalama unapaswa kutegemea tathmini ya kiufundi na kiuchumi au mbinu zingine za kutathmini thamani ya habari. Kwa kuongezea, matokeo kama vile kupoteza imani katika shirika au uharibifu wa sifa ya biashara ya shirika na kiongozi wake lazima izingatiwe.

8.2 Ni muhimu kutambua ni kipengee kipi kati ya taarifa zinazolindwa ambacho kinaweza kumvutia mshambulizi ambaye ana uwezo wa:

- unganisha wakala wako kwenye AS wakati wa ukuzaji, upelekaji, utekelezaji au uendeshaji wake;

- tambua uwezekano wa kuathiriwa (au wakala aliyejengewa ndani) katika mfumo wa kiotomatiki ambao unaweza kutumika kupanga mfumo otomatiki na kupata ufikiaji wa mali zinazolindwa.

8.3 Kwa uchambuzi wa hatari, unaweza kutumia mbinu kulingana na GOST R 51901.1.

8.4 Ili kupunguza hatari za habari Hatua za kuandaa usalama dhidi ya mashambulizi kwa kutumia mifumo ya usalama lazima zichaguliwe na kutekelezwa kwa kiwango kinachokubalika.

9.1 Utaratibu wa kutambua MC ni pamoja na:

- tathmini ya usanifu wa AS na njia za mawasiliano zinazopatikana ndani yake;

- kutambua njia zinazowezekana za kubadilishana habari iliyofichwa kati ya mshambuliaji na wakala wake anayedaiwa katika AS;

- tathmini ya hatari ya mifumo ya usalama iliyotambuliwa kwa mali iliyolindwa ya shirika;

- kufanya uamuzi juu ya ushauri wa kukabiliana na kila SCs zilizotambuliwa.

9.2 Kutathmini usanifu wa AS kunamaanisha kutambua njia zote za mawasiliano zinazopatikana ndani yake na kuchanganua mwingiliano wa vijenzi vyake kwa matumizi yao yanayoweza kutayarisha SC. Kama matokeo ya uchanganuzi kama huo, vijenzi vya AS ambavyo SC vinaweza kutumika vinapaswa kutambuliwa.

9.3 Utambulisho wa njia zinazowezekana za kubadilishana habari iliyofichwa kati ya mshambuliaji na wakala wake anayedaiwa katika AS unafanywa kwa misingi. mpango wa jumla utaratibu wa utendaji kazi wa mfumo wa bima (tazama sehemu ya 6). Inapaswa kuwa kwa kila moja ya mali inayolindwa 2 (tazama mchoro katika Kielelezo 1) tambua ni masomo gani 3 kuwapata na wakati huo huo wametengwa na mazingira ya nje, lakini wana fursa ya kuingiliana na masomo ya mtu binafsi kutoka kwa mazingira ya nje. 5 . Katika kesi hii, mwingiliano unadhibitiwa 4 na pia inaweza kuzingatiwa na mshambuliaji anayewezekana 1 . Ikiwa vipengele hivi vipo, ni lazima izingatiwe uwezekano wa kupatikana IC inayowezekana kati ya wakala 3" , iliyojengwa ndani 3 , na masomo katika mazingira ya nje 1 au 5 . Kama mfano wa mfumo kama huu, tunaweza kuzingatia uwezo wa mshambulizi kuchunguza vipindi vya muda vinavyoundwa na kipengele cha AS ambacho kinaweza kuwa na wakala wa mshambuliaji. 1 .

9.4 Kwa mtazamo wa mshambulizi, haifai kutumia mfumo wa usalama kukiuka usalama wa habari katika sehemu hizo za mfumo ambapo anaweza kubadilishana habari na wakala wake kwa kutumia chaneli isiyodhibitiwa na njia za usalama. Katika kesi hiyo, hakuna haja ya kuficha ukweli wa kubadilishana habari, kwa sababu kubadilishana vile vya vifaa vya kinga hazidhibiti.

9.5 Wakati wa kutathmini uwezekano wa mwingiliano kupitia CS, mtu anapaswa kuzingatia "opacity" kwa aina fulani SC ya sehemu za AC za kibinafsi.

9.6 Baada ya kutambua mifumo ya usalama, ni muhimu kutathmini jinsi inavyowezekana na jinsi ilivyo hatari kwa mali zinazolindwa za shirika. Tathmini hii inaamuliwa na kiasi cha mali, uwezo wa kampuni ya bima na muda wa muda ambao mali huhifadhi thamani. Kulingana na tathmini hii, njia ambazo hazina tishio la kweli kwa mali huchukuliwa kuwa sio hatari.

9.7 Kulingana na tathmini ya hatari ya SC, kwa kuzingatia matokeo ya uchambuzi wa hatari, hitimisho hufanywa kuhusu ushauri au kutofaa kwa kukabiliana na njia hizo.

9.8 Kwa mfano, Kielelezo 2 kinaonyesha modeli ya ngazi saba ya mwingiliano wa mifumo iliyo wazi, iliyofafanuliwa katika kifungu kidogo cha 6.1.5 cha GOST R ISO/IEC 7498-1-99.

Kielelezo 2 - Ubadilishanaji wa data kupitia mfumo wazi wa relay

9.9 Kila moja ya viwango vya mtindo huu huingiliana tu na viwango vya chini na vya juu, wakati viwango vya juu mifumo ya wazi imetengwa na ya chini. Kipengele hiki kinaweza kutumika kuficha SC zinazofanya kazi kwa kiwango cha chini kutoka kwa kidhibiti kwa kiwango cha juu.

9.10 Ikiwa njia maalum za kugundua mfumo hazitumiki, uwepo wa mfumo unaweza kutambuliwa na mtumiaji wa mifumo yoyote inayoingiliana kwa kuona mabadiliko katika tabia ya mifumo hii au upotezaji wa utendakazi wao.

9.11 Kizuizi cha mshambulizi anapochagua kiwango cha modeli ya mwingiliano ya mifumo iliyo wazi kama njia ya kupanga uwasilishaji wa siri ni "kutoweka" kwa mifumo ya relay. Mifumo ya relay haina mtumaji asili na mpokeaji wa mwisho wa data, lakini husambaza data kutoka kwa mfumo mmoja hadi mwingine ikiwa haijaunganishwa na njia moja ya kimwili kwa mujibu wa GOST R ISO/IEC 7498-1.

9.12 Wakati wa kusambaza katika mfumo huo, taarifa iliyopokelewa inafasiriwa katika viwango vyote vya mfano, kuanzia ngazi ya chini (ya kimwili) hadi ngazi ambayo relay ya data inafanywa. Kisha, ili kusambaza data zaidi kwenye mtandao, tena "huenda chini" kwenye safu ya kimwili ya mtandao wa mpokeaji. Kama matokeo ya mchakato huu, IC kutoka kwa kumbukumbu (tazama kifungu cha 5.2 cha GOST R 53113.1-2008), kwa kutumia vipengele vya itifaki zinazohusiana na zaidi. viwango vya chini, kuliko ile ambayo relay inafanywa, inaweza kuharibu au kupunguza uwezekano wa maambukizi ya siri ya habari kupitia mfumo huo wa relay.

10 Mapendekezo juu ya mbinu za kutekeleza hatua za ulinzi ili kukabiliana na njia za siri

10.1 Kulingana na matokeo ya kutambua mifumo ya usalama, mpango wa utekelezaji unaundwa ili kukabiliana na vitisho vinavyopatikana kwa matumizi yake. Shughuli hizi zinaweza kujumuisha utekelezaji wa mojawapo ya mbinu ambazo tayari zinajulikana (au uboreshaji wa zilizopo) za kukabiliana na matishio ya usalama wa taarifa zinazotekelezwa kwa kutumia mfumo wa usalama.

10.2 Inashauriwa kutumia zifuatazo kama hatua za kinga:

- kupunguza kipimo data njia ya kusambaza habari;

- ufumbuzi wa usanifu ujenzi wa AS;

- kufuatilia ufanisi wa ulinzi wa NPP.

10.3 Uchaguzi wa mbinu za kukabiliana na vitisho vya usalama wa habari vinavyotekelezwa kwa kutumia mfumo wa usalama na uundaji wa mpango wa utekelezaji wao imedhamiriwa na wataalam, kwa kuzingatia sifa za kibinafsi za mfumo wa ulinzi.

10.4 Mifano ya mbinu za kukabiliana

Mfano 1 - Kukabiliana na vitisho vinavyohusishwa na CS ni, haswa, kuhalalisha trafiki, ambayo inajumuisha kubadilisha maadili ya sehemu za pakiti za mtandao ili kuondoa utata, ambao unaweza kutumika kupanga CS. Katika kesi hiyo, SC zinazotumia utata huo kwa kazi zao zinaharibiwa. Kama matokeo ya urekebishaji wa trafiki, lazima ihakikishe kuwa utendakazi wa itifaki asilia unabaki ili kutekeleza kazi iliyokusudiwa. Urekebishaji wa sehemu za pakiti za habari zinaweza kujumuisha kuleta maadili ya uwanja kwa kufuata vipimo vya itifaki, kuweka maadili maalum katika uwanja wa pakiti, au kuandika maadili kiholela kwenye uwanja.

Mfano 2 - Kutumia mpatanishi (seva ya wakala), i.e. kifaa ambacho kinaweza kufikia mitandao miwili au zaidi, hukubali maombi kutoka kwa programu zinazoendeshwa kwenye seva pangishi kwenye mojawapo ya mitandao inayopatikana kwake hadi kwa programu zinazoendesha seva pangishi kwenye mtandao mwingine, na kisha kutuma majibu kwa maombi haya kwa mwelekeo wa nyuma. Matumizi ya mpatanishi hufanya iwezekanavyo kuzuia matumizi ya upekee wa itifaki zinazohakikisha uendeshaji wa mtandao ili kuandaa mtandao. Maelezo ya utekelezaji wa itifaki hizi (kwa mfano, maadili ya sehemu za huduma za kibinafsi za pakiti za itifaki hizi) wakati wa kutumia mpatanishi hazihamishwi moja kwa moja kutoka kwa mtandao mmoja hadi mwingine, lakini huundwa upya na mpatanishi. Kwa hivyo, SC kutoka kwa kumbukumbu, kwa kutumia kama njia ya upitishaji itifaki za mtandao, haitatoa ubadilishanaji fiche wa taarifa kati ya wasajili waliotenganishwa na mpatanishi. Utendaji wa programu ambazo haziingiliani moja kwa moja, lakini "kupitia" (kupitia) mpatanishi, hazitasumbuliwa, kwani mpatanishi anazingatia vipengele vya uendeshaji vya programu hizi. Hii inaruhusu, bila kuchukua hatua za ziada, kuzuia IC nyingi zinazohusiana na sintaksia na semantiki ya itifaki za mtandao na usafiri. Hata hivyo, haitawezekana kuzuia njia zinazofanya kazi katika ngazi ya maombi kwa njia hii, tangu habari iliyofichwa itapitia mpatanishi bila kubadilika pamoja na data ya programu. Programu ya mpatanishi inayotumiwa lazima izingatie maalum ya maombi yaliyotumiwa na itifaki za usafiri, ili kuhifadhi kikamilifu kazi zao zote na si kusababisha hasara ya utendaji wa mtandao. Kwa upande mwingine, programu zinaweza kuundwa kwa kutumia mpatanishi akilini.

Mfano wa 3 - Ufungaji wa trafiki ya mtandao ("tunnel") - upitishaji wa pakiti kutoka kwa subnet moja hadi nyingine kupitia mtandao wa tatu, ambapo pakiti za awali "zimefungwa" kwenye pakiti za itifaki ya handaki zinazopitishwa kupitia mtandao wa tatu, unaoonyeshwa kwenye Kielelezo. 3.

Kielelezo 3 - Ufungaji wa pakiti za IP

10.5 Wakati wa kutumia encapsulation na usimbaji fiche na uthibitisho wa uadilifu wa pakiti, inawezekana kuingiliana CS katika kumbukumbu kati ya nodes "ndani" kuhusiana na lango (yaani, nodi hizo zinazounda pakiti zinazopita kwenye handaki) na "nje" (Lango la mtandao, ambalo njia ambayo pakiti za itifaki ya handaki hutumwa hupita). IC ya muda (angalia kifungu cha 5.3 cha GOST R 53113.1-2008), kinachofanya kazi na pointi za muda ambazo pakiti hupitishwa, haziwezi kuzuiwa kabisa kwa njia hii. Taarifa zinazohusiana na ukubwa wa pakiti na vipindi vya muda kati ya kuonekana kwao pia huhifadhiwa wakati wa encapsulation na inaweza kutumika kwa uendeshaji wa CS.

11 Mapendekezo ya kupanga udhibiti wa kukabiliana na njia za siri

11.1 Ufuatiliaji wa hatua za kupinga mfumo unajumuisha kutambua ukweli wa matumizi ya mfumo katika mfumo unaolindwa. Utambulisho kama huo unaweza kufanywa kwa kuendelea au baada ya kugundua dalili za uharibifu kutokana na matumizi ya mfumo wa bima. Mbinu za takwimu au sahihi zinaweza kutumika kutambua matumizi ya SC.

11.2 Mbinu ya takwimu ya kutambua ICs inahusisha kukusanya data ya takwimu kuhusu pakiti zinazopitia sehemu iliyolindwa ya mtandao, bila kuzifanyia mabadiliko yoyote. Utambulisho wa IC unaweza kufanywa kwa wakati halisi (ambayo inaruhusu majibu ya haraka kwa matukio) na kwa uhuru, kwa kutumia data iliyokusanywa kwa muda uliopita, ambayo inafanya uwezekano wa kufanya uchambuzi wa kina zaidi.

11.3 Mbinu ya kutambua CS kulingana na uchanganuzi wa sahihi ni sawa na mbinu iliyotumiwa programu za antivirus kutafuta programu hasidi. Ikiwa kuna seti ya utekelezaji unaojulikana wa SC, kwa kila mmoja wao saini huundwa, ambayo ni seti ya ishara zinazoonyesha kwamba hutumiwa. utekelezaji huu SK. Kisha mkaguzi 4 (ona Kielelezo 1) hutafuta saini hizo katika mkondo wa data uliotazamwa kwenye mtandao na kufanya hitimisho kuhusu kuwepo au kutokuwepo kwa IC halali katika utekelezaji fulani. Kwa kazi yenye ufanisi Njia hii inahitaji uppdatering wa mara kwa mara wa hifadhidata ya saini, i.e. kuingizwa kwa saini kwa utekelezaji usiojulikana wa mfumo wa usalama.

11.4 Wakati ishara (ikiwa ni pamoja na zisizo za moja kwa moja) za matumizi ya mfumo wa bima zinatambuliwa au mbinu mpya za kujenga mfumo wa bima zinajitokeza, uchambuzi wa hatari unafanywa tena.

Bibliografia


	Hati ya mwongozo. Tume ya Kiufundi ya Jimbo la Urusi, 1999	Ulinzi dhidi ya ufikiaji usioidhinishwa wa habari. Sehemu ya 1. Programu ya usalama wa habari. Uainishaji kulingana na kiwango cha udhibiti juu ya kutokuwepo kwa uwezo usiojulikana
	Hati ya mwongozo. Tume ya Kiufundi ya Jimbo la Urusi, 1998


UDC 351.864.1:004:006.354

Maneno muhimu: njia za siri, uchambuzi wa njia za siri, utaratibu wa shirika la usalama wa habari

Nakala ya hati ya elektroniki
iliyoandaliwa na Kodeks JSC na kuthibitishwa dhidi ya:
uchapishaji rasmi
M.: Standardinform, 2018

TANGAZO

KUHUSU MASUALA YA ULINZI WA HABARI NA KUHAKIKISHA USALAMA WA DATA YA BINAFSI WAKATI WA UCHUMBAJI WAO KATIKA MIFUMO YA HABARI KUHUSIANA NA UTANGAZAJI WA AGIZO LA FSTEC YA URUSI YA FEBRUARI 11, 2013 N 17 MAHUSIANO YA KUHUSIANA, KUHUSIANA NA TAARIFA. ET ILIYOMO KATIKA MIFUMO YA TAARIFA YA SERIKALI" NA AGIZO LA FSTEC YA URUSI TAREHE 18 FEBRUARI, 2013 N 21 "KWA IDHINI YA UTUNGAJI NA YALIYOMO YA HATUA ZA SHIRIKA NA KITAALAM ILI KUHAKIKISHA UHAKIKA WA USALAMA WA UTARATIBU WA UTARATIBU. ”

tarehe 15 Julai 2013 N 240/22/2637

Kwa mujibu wa sheria ya Shirikisho la Urusi juu ya habari, teknolojia ya habari na juu ya ulinzi wa habari na sheria ya data ya kibinafsi Huduma ya Shirikisho kwa Udhibiti wa Kiufundi na Uuzaji wa Nje (FSTEC ya Urusi), ndani ya mipaka ya mamlaka yake, iliidhinisha Mahitaji ya ulinzi wa habari ambayo haijumuishi siri ya serikali iliyomo katika mifumo ya habari ya serikali (Amri ya FSTEC ya Urusi ya Februari 11, 2013). N 17, iliyosajiliwa na Wizara ya Sheria ya Urusi mnamo Mei 31, 2013. , Reg. N 28608) na Muundo na maudhui ya shirika na hatua za kiufundi juu ya kuhakikisha usalama wa data ya kibinafsi wakati wa usindikaji wao katika mifumo ya taarifa za data binafsi (amri ya FSTEC ya Urusi tarehe 18 Februari 2013 N 21, iliyosajiliwa na Wizara ya Sheria ya Urusi Mei 14, 2013, reg. N 28375).

Kuhusiana na uchapishaji wa vitendo hivi vya kisheria vya udhibiti, FSTEC ya Urusi inapokea maombi ya ufafanuzi wa vifungu fulani vya Mahitaji yaliyoidhinishwa na Amri ya FSTEC ya Urusi ya Februari 11, 2013 N 17, na Muundo na yaliyomo ya hatua zilizoidhinishwa na. Agizo la FSTEC la Urusi la tarehe 18 Februari 2013 N 21. Swali hili kujadiliwa na wataalamu katika nyanja ya usalama wa habari katika vikao mbalimbali na majukwaa ya kielektroniki kwenye mtandao.

Kwa kuzingatia hali ya masuala yanayojadiliwa mara kwa mara na ili kufafanua masharti fulani ya maagizo haya ya FSTEC ya Urusi, tunaona kuwa inafaa kuripoti zifuatazo.

1. Juu ya suala la kuanza kutumika kwa Mahitaji yaliyoidhinishwa na Amri ya FSTEC ya Urusi ya Februari 11, 2013 N 17, na Muundo na maudhui ya hatua zilizoidhinishwa na Amri ya FSTEC ya Urusi ya Februari 18, 2013. N 21, pamoja na haja ya kuthibitisha upya ( tathmini ya ufanisi ) mifumo ya habari iliyothibitishwa (ilipitisha tathmini ya ufanisi) kabla ya kuanza kutumika kwa amri maalum za FSTEC ya Urusi.

Kwa mujibu wa aya ya 12 ya Amri ya Rais wa Shirikisho la Urusi la Mei 23, 1996 N 763 "Katika utaratibu wa kuchapishwa na kuanza kutumika kwa vitendo vya Rais wa Shirikisho la Urusi, Serikali ya Shirikisho la Urusi na sheria za kawaida. vitendo vya miili ya watendaji wa shirikisho," vitendo vya kisheria vya kawaida vya mashirika ya utendaji ya shirikisho huanza kutumika wakati huo huo katika eneo lote la Shirikisho la Urusi siku kumi baada ya kuchapishwa kwao rasmi, isipokuwa vitendo vyenyewe vinaweka utaratibu tofauti wa kuanza kutumika.

Hivyo, muundo na maudhui ya hatua zilizoidhinishwa na amri ya FSTEC ya Urusi ya Februari 18, 2013 N 21 ilianza kutumika mnamo Juni 2, 2013. Mahitaji yaliyoidhinishwa na amri ya FSTEC ya Urusi ya Februari 11, 2013 N 17. kuanza kutumika tarehe 1 Septemba 2013

Kwa kuzingatia kanuni za jumla za kanuni za sheria za kuchukua hatua kwa wakati, vitendo vya kisheria vya kawaida vilivyotolewa kwa njia iliyoamriwa havina nguvu ya kurudi nyuma na vinatumika kwa uhusiano ulioibuka baada ya vitendo kuanza kutumika (isipokuwa imeanzishwa vinginevyo na sheria za shirikisho).

Kwa kuzingatia hapo juu, mifumo ya habari iliyothibitishwa (kupitisha tathmini ya utendaji) kulingana na mahitaji ya usalama wa habari kabla ya kuanza kutumika kwa Mahitaji yaliyoidhinishwa na Agizo la FSTEC la Urusi la Februari 11, 2013 N 17, na Muundo na yaliyomo katika hatua. iliyoidhinishwa na Amri ya FSTEC ya Urusi tarehe 18 Februari 2013. N 21, sio chini ya uthibitisho tena (tathmini ya ufanisi) kuhusiana na uchapishaji wa vitendo hivi vya kisheria vya udhibiti.

2. Juu ya suala la mahitaji ambayo yanapaswa kufuatiwa ili kuhakikisha usalama wa data binafsi wakati wa usindikaji wao katika mifumo ya habari ya serikali, na pia kuamua darasa la usalama la mfumo wa habari wa serikali ambayo data ya kibinafsi inasindika.

Kwa mujibu wa aya ya 7 ya Muundo na maudhui ya hatua zilizoidhinishwa na Amri ya FSTEC ya Urusi ya Februari 18, 2013 N 21, hatua za kuhakikisha usalama wa data ya kibinafsi wakati wa usindikaji wao katika mifumo ya habari ya serikali inachukuliwa kwa mujibu wa mahitaji ya ulinzi wa habari iliyomo katika mifumo ya habari ya serikali, iliyoanzishwa na FSTEC ya Urusi ndani ya mipaka ya mamlaka yake kwa mujibu wa Sehemu ya 5 ya Kifungu cha 6 cha Sheria ya Shirikisho ya Julai 27, 2006 N 149-FZ "Katika Habari, Habari. Teknolojia na Ulinzi wa Habari”. Mahitaji haya yaliidhinishwa na amri ya FSTEC ya Urusi ya Februari 11, 2013 No. 17.

Kwa kuzingatia kwamba hatua za kuhakikisha usalama wa data ya kibinafsi na utaratibu wa uteuzi wao, iliyoanzishwa na muundo na yaliyomo katika hatua zilizoidhinishwa na Amri ya FSTEC ya Urusi ya Februari 18, 2013 N 21, ni sawa na hatua za ulinzi wa habari na utaratibu wa uteuzi wao ulioanzishwa na Mahitaji yaliyoidhinishwa na Amri ya FSTEC ya Urusi ya Februari 11. , 2013 N 17, ili kuhakikisha usalama wa data ya kibinafsi iliyosindika katika mifumo ya habari ya serikali, inatosha kuongozwa tu na Mahitaji yaliyoidhinishwa na Amri ya FSTEC ya Urusi ya Februari 11, 2013 No.

Wakati huo huo, kwa mujibu wa aya ya 5 ya Mahitaji yaliyoidhinishwa na Amri ya FSTEC ya Urusi ya Februari 11, 2013 N 17, wakati wa usindikaji wa habari zilizo na data ya kibinafsi katika mfumo wa habari wa serikali, mahitaji ya ulinzi wa habari ambayo haina. Siri ya serikali katika mifumo ya habari ya serikali inatumika pamoja na Mahitaji ya ulinzi wa data ya kibinafsi wakati wa usindikaji wao katika mifumo ya habari ya kibinafsi, iliyoidhinishwa na Amri ya Serikali ya Shirikisho la Urusi la Novemba 1, 2012 N 1119.

Kwa hivyo, ili kuhakikisha usalama wa data ya kibinafsi wakati wa usindikaji wao katika mifumo ya habari ya serikali, pamoja na Mahitaji yaliyoidhinishwa na Amri ya FSTEC ya Urusi ya Februari 11, 2013 N 17, ni muhimu kuongozwa na mahitaji (ikiwa ni pamoja na katika masharti ya kuamua kiwango cha usalama wa data binafsi) imara Amri ya Serikali ya Shirikisho la Urusi tarehe 1 Novemba 2012 N 1119. Wakati huo huo, kwa mujibu wa aya ya 27 ya Mahitaji yaliyoidhinishwa na Amri ya FSTEC ya Urusi tarehe Februari 11, 2013 N 17, uwiano unaofaa wa darasa la usalama wa mfumo wa habari wa serikali na kiwango cha usalama wa data ya kibinafsi lazima ihakikishwe. Ikiwa kiwango cha usalama wa data ya kibinafsi iliyoamuliwa kwa njia iliyoanzishwa ni ya juu kuliko darasa la usalama lililowekwa la mfumo wa habari wa serikali, basi darasa la usalama linaongezeka hadi thamani ambayo inahakikisha kufuata kifungu cha 27 cha Mahitaji yaliyoidhinishwa na Agizo la FSTEC. ya Urusi ya tarehe 11 Februari 2013 No. 17.

3. Juu ya suala la fomu ya kutathmini ufanisi wa hatua zilizochukuliwa ili kuhakikisha usalama wa data ya kibinafsi, fomu na maudhui ya nyenzo za kutathmini ufanisi, pamoja na uwezekano wa kufanya tathmini ya ufanisi wakati wa udhibitisho wa mfumo wa habari. .

Kwa mujibu wa aya ya 4 ya sehemu ya 2 ya Kifungu cha 19 cha Sheria ya Shirikisho ya Julai 27, 2006 N 152-FZ "Kwenye Data ya Kibinafsi", kuhakikisha usalama wa data ya kibinafsi unapatikana hasa kwa kutathmini ufanisi wa hatua zilizochukuliwa ili kuhakikisha usalama wa data ya kibinafsi. usalama wa data ya kibinafsi kabla ya kuanzisha mfumo wa habari wa data ya kibinafsi.

Kwa mujibu wa aya ya 6 ya Muundo na maudhui ya hatua zilizoidhinishwa na Agizo la FSTEC la Urusi la Februari 18, 2013 N 21, tathmini ya ufanisi wa hatua zinazotekelezwa ndani ya mfumo wa ulinzi wa data ya kibinafsi ili kuhakikisha usalama wa data ya kibinafsi. inafanywa na operator kwa kujitegemea au kwa ushiriki wa vyombo vya kisheria na wajasiriamali binafsi waliopewa leseni ya kufanya shughuli za ulinzi wa kiufundi wa taarifa za siri. Wakati huo huo, muundo na yaliyomo ya hatua zilizoidhinishwa na Agizo la FSTEC la Urusi la Februari 18, 2013 N 21, hazianzilishi aina ya tathmini ya utendaji, pamoja na fomu na yaliyomo kwenye hati zilizotengenezwa kwa msingi wa matokeo (katika mchakato) wa tathmini.

Kwa hivyo, uamuzi juu ya fomu ya tathmini ya utendaji na hati zilizotengenezwa kwa msingi wa matokeo (katika mchakato) wa tathmini ya utendaji hufanywa na mwendeshaji kwa kujitegemea na (au) kwa makubaliano na mtu anayehusika kutathmini ufanisi wa hatua zinazotekelezwa. kuhakikisha usalama wa data binafsi.

Tathmini ya ufanisi wa hatua zilizotekelezwa zinaweza kufanywa kama sehemu ya udhibitisho wa mfumo wa habari wa kibinafsi kulingana na kiwango cha kitaifa GOST RO 0043-003-2012 "Ulinzi wa Habari. Uthibitishaji wa vitu vya taarifa. Masharti ya jumla."

Kwa upande wa mifumo ya habari ya serikali ambayo data ya kibinafsi inachakatwa, tathmini ya ufanisi wa hatua zilizochukuliwa ili kuhakikisha usalama wa data ya kibinafsi unafanywa kama sehemu ya udhibitisho wa lazima wa mfumo wa habari wa serikali kwa mahitaji ya usalama wa habari kulingana na Mahitaji yaliyoidhinishwa na Agizo la Huduma ya Shirikisho kwa Udhibiti wa Kiufundi na Usafirishaji wa Urusi wa Februari 11, 2013 N 17, viwango vya kitaifa GOST RO 0043-003-2012 na GOST RO 0043-004-2013 "Ulinzi wa habari. Uthibitishaji wa vitu vya taarifa. Mpango na mbinu za majaribio ya vyeti."

4. Juu ya suala la matumizi ya Mahitaji yaliyoidhinishwa na Amri ya FSTEC ya Urusi tarehe 11 Februari 2013 N 17, kuhusiana na mifumo ya habari ya manispaa.

Kwa mujibu wa Sehemu ya 4 ya Kifungu cha 13 cha Sheria ya Shirikisho ya Julai 27, 2006 N 149-FZ "Kwenye Habari, Teknolojia ya Habari na Ulinzi wa Habari," mahitaji ya mifumo ya habari ya serikali iliyoanzishwa na Sheria ya Shirikisho iliyotajwa inatumika kwa mifumo ya habari ya manispaa, isipokuwa imetolewa vinginevyo na sheria ya Shirikisho la Urusi juu ya serikali za mitaa.

Kwa hivyo, Mahitaji yaliyoidhinishwa na Agizo la FSTEC la Urusi la Februari 11, 2013 N 17 linatumika kwa mifumo ya habari ya manispaa, isipokuwa vinginevyo imetolewa na sheria ya Shirikisho la Urusi juu ya serikali ya ndani (haswa, Sheria ya Shirikisho ya Oktoba 6, 2013). 2003 N 131-FZ "Kuhusu kanuni za jumla serikali ya ndani katika Shirikisho la Urusi" na vitendo vingine vya kisheria vya Shirikisho la Urusi vilivyopitishwa kwa mujibu wake).

5. Juu ya suala la kutumia "Mahitaji maalum na mapendekezo ya ulinzi wa kiufundi wa habari za siri", kwa kuzingatia uchapishaji wa Amri ya 17 ya FSTEC ya Urusi tarehe 11 Februari 2013 .

Kuchapishwa kwa Agizo la 17 la FSTEC la Urusi la Februari 11, 2013 halifuta uhalali wa hati za mbinu "Mahitaji maalum na mapendekezo ya ulinzi wa kiufundi wa habari za siri" (hapa inajulikana kama STR-K) na " Mifumo ya kiotomatiki. Ulinzi dhidi ya ufikiaji usioidhinishwa wa habari. Uainishaji wa mifumo otomatiki na mahitaji ya ulinzi wa habari” (hapa inajulikana kama RD AS).

STR-K inatumika kama hati ya kimbinu katika utekelezaji wa hatua za kulinda njia za kiufundi za mifumo ya habari ya serikali (ZTS.1), iliyochaguliwa kwa mujibu wa aya ya 21 na Kiambatisho Na. 2 kwa Mahitaji yaliyoidhinishwa na amri ya FSTEC ya Urusi tarehe 11 Februari 2013 No. 17, ili neutralize vitisho usalama wa habari zinazohusiana na ulinzi wa habari iliyotolewa kwa namna ya taarifa ishara ya umeme na mashamba ya kimwili (ulinzi dhidi ya kuvuja kupitia njia za kiufundi).

Masharti mengine ya STR-K (sehemu ya 3 "Shirika la kazi kulinda habari za siri", kifungu cha 5 "Mahitaji na mapendekezo ya ulinzi wa habari za siri zinazochakatwa katika mifumo ya kiotomatiki") zinaweza kutumika kwa uamuzi wa wamiliki wa habari, wateja na waendeshaji. mifumo ya habari ya serikali kwa mujibu wa, bila kupingana na Mahitaji yaliyoidhinishwa na Amri ya FSTEC ya Urusi ya Februari 11, 2013 No. 17.

Kwa kuongezea, vifungu vya STR-K na RD AS vinatumika kwa uamuzi wa mmiliki wa habari (wateja, waendeshaji wa mfumo wa habari) kulinda habari iliyo na habari za siri (Amri ya Rais wa Shirikisho la Urusi la Machi 6, 1997 N 188). "Kwa idhini ya orodha ya habari za siri"), iliyochakatwa katika mifumo ya habari ambayo, kwa mujibu wa Sheria ya Shirikisho ya tarehe.
Julai 27, 2006 N 149-FZ "Kwenye habari, teknolojia ya habari na ulinzi wa habari" haijaainishwa kama mifumo ya habari ya serikali.

6. Kuhusu matumizi ya dhana "mfumo wa habari" na " mfumo wa kiotomatiki».

Mahitaji yaliyoidhinishwa na Agizo la FSTEC la Urusi la Februari 11, 2013 N 17, na Muundo na yaliyomo ya hatua zilizoidhinishwa na Agizo la FSTEC la Urusi la Februari 18, 2013 N 21, hutumia wazo la "mfumo wa habari" ulioanzishwa. na Sheria ya Shirikisho ya Julai 27, 2006 N 149-FZ "Juu ya habari, teknolojia ya habari na ulinzi wa habari". Wakati huo huo, dhana ya "mfumo wa habari wa serikali", malengo na utaratibu wa kuundwa kwake, pamoja na utaratibu wa uendeshaji huanzishwa na Kifungu cha 13 na 14 cha Sheria ya Shirikisho iliyotajwa.

Nyaraka zingine za mbinu na viwango vya kitaifa katika uwanja wa usalama wa habari hutumia dhana ya "mfumo otomatiki", iliyofafanuliwa na kiwango cha kitaifa GOST 34.003-90 "Teknolojia ya habari. Seti ya viwango vya mifumo ya kiotomatiki. Mifumo ya kiotomatiki. Masharti na Ufafanuzi".

Kwa kuzingatia kwamba Mahitaji yaliyoidhinishwa na Amri ya FSTEC ya Urusi ya Februari 11, 2013 N 17, na Muundo na maudhui ya hatua zilizoidhinishwa na Amri ya FSTEC ya Urusi ya Februari 18, 2013 N 21, ilitengenezwa kwa kufuata sheria za shirikisho. ya Julai 27, 2006 N 149 -FZ "Kwenye habari, teknolojia ya habari na ulinzi wa habari" na tarehe 27 Julai 2006 N 152-FZ "Kwenye data ya kibinafsi", mtawaliwa, ambayo hutumia dhana ya "mfumo wa habari", katika vitendo vya kisheria vya udhibiti wa FSTEC ya Urusi dhana maalum hutumiwa pia.

Kulingana na ufafanuzi unaohusiana wa dhana ya "mfumo wa habari" ulioanzishwa na Sheria ya Shirikisho ya Julai 27, 2006 N 149-FZ "Kwenye habari, teknolojia ya habari na ulinzi wa habari", na dhana ya "mfumo otomatiki" iliyoanzishwa na kiwango cha kitaifa cha GOST. 34.003-90, na pia kutoka kwa yaliyomo kwenye Mahitaji yaliyoidhinishwa na Agizo la FSTEC la Urusi la Februari 11, 2013 N 17, na Muundo na yaliyomo ya hatua zilizoidhinishwa na Agizo la FSTEC la Urusi la Februari 18, 2013 N. 21, matumizi ya dhana "mfumo wa habari" katika vitendo vya kisheria vya udhibiti wa FSTEC ya Urusi haiathiri lengo la mwisho la ulinzi wa habari.

7. Juu ya suala la kutafakari katika vyeti vya kufuata kwa usalama wa habari ina maana matokeo ya uthibitishaji wao kwa kukosekana kwa uwezo usiojulikana, pamoja na kutafakari katika nyaraka za kubuni na uendeshaji uwezekano wa kutumia njia za usalama wa habari katika mifumo ya habari ya serikali na ya kibinafsi. mifumo ya habari ya data.

Kwa mujibu wa Mahitaji yaliyoidhinishwa na Amri ya FSTEC ya Urusi ya Februari 11, 2013 N 17, na Muundo na maudhui ya hatua zilizoidhinishwa na Amri ya FSTEC ya Urusi ya Februari 18, 2013 N 21, katika mifumo ya habari ya serikali ya 1. na madarasa 2 ya usalama, na vile vile kwa kuhakikisha kiwango cha 1, 2 cha usalama na kiwango cha 3 cha usalama wa data ya kibinafsi katika mifumo ya habari ambayo vitisho vya aina ya 2 vimeainishwa kama vya sasa, zana za usalama wa habari hutumiwa, programu ambayo imejaribiwa angalau katika kiwango cha 4 ili kudhibiti kutokuwepo kwa uwezo ambao haujatangazwa. Wakati huo huo, uteuzi wa madarasa ya ulinzi wa zana za usalama wa habari zilizoidhinishwa, kulingana na darasa la usalama la mifumo ya habari ya serikali na kiwango cha usalama wa data ya kibinafsi, hufanywa kwa mujibu wa aya ya 26 ya Mahitaji yaliyoidhinishwa na Amri ya FSTEC ya Urusi tarehe 11 Februari 2013 N 17, na aya ya 12 ya Muundo na Maudhui ya Hatua , iliyoidhinishwa na amri ya FSTEC ya Urusi ya Februari 18, 2013 N 21, kwa mtiririko huo.

Tunakumbuka kuwa mahitaji ya usalama wa habari kwa zana za usalama wa habari, iliyoidhinishwa na FSTEC ya Urusi ndani ya mipaka ya mamlaka yake tangu Desemba 2011, ni pamoja na mahitaji ya kiwango sahihi cha udhibiti juu ya kutokuwepo kwa uwezo usiojulikana kwa madarasa ya usalama ya zana hizi.

Hasa, mifumo ya kugundua kuingilia na zana ulinzi wa antivirus, kuthibitishwa kwa kufuata Mahitaji ya mifumo ya kugundua intrusion, iliyoidhinishwa na amri ya FSTEC ya Urusi ya tarehe 6 Desemba 2011 N 638, na Mahitaji ya bidhaa za ulinzi wa kupambana na virusi, iliyoidhinishwa na amri ya FSTEC ya Urusi ya Machi 20, 2012 N 28, kwa darasa la 4 la ulinzi linahusiana na udhibiti wa kiwango cha 4 juu ya kutokuwepo kwa uwezo usiojulikana.

Inapotumika katika mifumo ya habari ya serikali ya darasa linalofaa la usalama na kuhakikisha ngazi iliyoanzishwa usalama wa data ya kibinafsi ya zana za usalama wa habari zilizothibitishwa kwa kufuata mahitaji ya usalama wa habari iliyoanzishwa hali ya kiufundi(kazi za usalama) na (au) nyaraka zingine za udhibiti wa FSTEC ya Urusi, kufuata kiwango cha udhibiti juu ya kutokuwepo kwa uwezo usiojulikana huonyeshwa katika vyeti vya kufuata mahitaji ya usalama wa habari kwa zana hizi za usalama wa habari.

Uwezo wa kutumia zana za usalama wa habari zilizoidhinishwa kwa kufuata mahitaji ya usalama wa habari yaliyowekwa katika hali ya kiufundi (maelezo ya usalama) katika mifumo ya habari ya serikali na kuhakikisha kiwango cha ulinzi wa data ya kibinafsi kinaonyeshwa na mwombaji (msanidi programu, mtengenezaji) katika uendeshaji. na nyaraka za kubuni kwa fedha hizi (fomu na hali ya kiufundi).

8. Juu ya suala la kutumia hatua za ulinzi wa maelezo ya ziada yenye lengo la kugeuza vitisho vya sasa usalama wa data ya kibinafsi ya aina 1 na 2.

Kwa mujibu wa aya ya 11 ya Muundo na maudhui ya hatua zilizoidhinishwa na Amri ya FSTEC ya Urusi ya Februari 18, 2013 N 21, ili kupunguza uwezekano wa vitisho kwa usalama wa data ya kibinafsi ya aina 1 na 2, hatua za ziada. inayohusiana na kupima mfumo wa taarifa inaweza kutumika wakati wa kupenya na kutumia katika mfumo wa taarifa wa mfumo na (au) programu ya utumaji iliyotengenezwa kwa kutumia mbinu salama za utayarishaji.

Hatua hizi zinatumika ili kuhakikisha usalama wa data ya kibinafsi kwa hiari ya operator. Wakati huo huo, kabla ya FSTEC ya Urusi kuendeleza na kuidhinisha nyaraka za mbinu kwa ajili ya utekelezaji wa hatua hizi, utaratibu wa maombi yao, pamoja na fomu na maudhui ya nyaraka, imedhamiriwa na operator kwa kujitegemea.

9. Kuhusu suala la kuendeleza nyaraka za mbinu za FSTEC ya Urusi ili kutekeleza Mahitaji yaliyoidhinishwa na Amri ya FSTEC ya Urusi ya Februari 11, 2013 No.

Amri ya FSTEC ya Urusi ya Februari 18, 2013 No. 21 ilitolewa kwa kufuata Sehemu ya 4 ya Kifungu cha 19 cha Sheria ya Shirikisho ya Julai 27, 2006 No. 152-FZ "Katika Data ya Kibinafsi". Sheria maalum ya Shirikisho haitoi uundaji wa hati zingine na FSTEC ya Urusi ili kuhakikisha usalama wa data ya kibinafsi, pamoja na vitisho vya mfano kwa usalama wa data ya kibinafsi. Uamuzi wa aina za vitisho kwa usalama wa data ya kibinafsi hufanywa na opereta kulingana na aya ya 7 ya Mahitaji ya ulinzi wa data ya kibinafsi wakati wa usindikaji wao katika mifumo ya habari ya kibinafsi, iliyoidhinishwa na Amri ya Serikali ya Shirikisho la Urusi. Shirikisho la Urusi la Novemba 1, 2012 N 1119.

Wakati huo huo, ndani ya mfumo wa mamlaka ya mwongozo wa mbinu katika uwanja wa usalama wa habari za kiufundi, na pia kutekeleza vifungu 14.3 na 21 vya Mahitaji yaliyoidhinishwa na Amri ya FSTEC ya Urusi ya Februari 11, 2013 N. 17, FSTEC ya Urusi kwa sasa inakamilisha uundaji wa hati za mbinu za kuelezea hatua za yaliyomo kulinda habari katika mifumo ya habari na utaratibu wa kuiga vitisho kwa usalama wa habari katika mifumo ya habari. Tarehe ya kukadiriwa ya kuidhinishwa kwa hati ni robo ya nne ya 2013.

Aidha, imepangwa kuendeleza nyaraka za kimbinu zinazofafanua utaratibu wa kusasisha programu katika mifumo ya habari iliyoidhinishwa, utaratibu wa kutambua na kuondoa udhaifu katika mifumo ya habari, utaratibu wa kukabiliana na matukio ambayo yanaweza kusababisha kushindwa au kuvuruga kwa utendaji wa mifumo ya habari. mfumo wa habari na (au) kuibuka kwa taarifa za vitisho vya usalama, pamoja na idadi ya nyaraka nyingine za mbinu zinazolenga kutekeleza Mahitaji yaliyoidhinishwa na Amri ya FSTEC ya Urusi ya Februari 11, 2013 No.

Wakati huo huo, tunakujulisha kwamba FSTEC ya Urusi haijaidhinishwa kufafanua Mahitaji ya ulinzi wa data ya kibinafsi wakati wa usindikaji wao katika mifumo ya habari ya kibinafsi iliyoidhinishwa na Amri ya Serikali ya Shirikisho la Urusi la Novemba 1, 2012 N. 1119, pamoja na katika suala la kuamua aina za vitisho kwa data ya kibinafsi na utaratibu wa kuamua viwango vya ulinzi wa data ya kibinafsi.

Mkuu wa Idara ya 2

FSTEC ya Urusi

TANGAZO

tarehe 15 Julai 2013 N 240/22/2637

Kwa mujibu wa sheria ya Shirikisho la Urusi juu ya habari, teknolojia ya habari na ulinzi wa habari na sheria juu ya data ya kibinafsi, Huduma ya Shirikisho ya Udhibiti wa Kiufundi na Nje (FSTEC ya Urusi), ndani ya mipaka ya mamlaka yake, imeidhinisha Mahitaji. kwa ulinzi wa habari ambayo haijumuishi siri ya serikali iliyo katika mifumo ya habari ya serikali (amri ya FSTEC ya Urusi ya Februari 11, 2013 N 17, iliyosajiliwa na Wizara ya Sheria ya Urusi mnamo Mei 31, 2013, reg. N 28608 ) na muundo na maudhui ya hatua za shirika na kiufundi ili kuhakikisha usalama wa data ya kibinafsi wakati wa usindikaji wao katika mifumo ya habari ya data ya kibinafsi ( Amri ya FSTEC ya Urusi tarehe 18 Februari 2013 No. 21, iliyosajiliwa na Wizara ya Sheria ya Urusi mnamo Mei 14, 2013, usajili No. 28375).

Kuhusiana na uchapishaji wa vitendo hivi vya kisheria vya udhibiti, FSTEC ya Urusi inapokea maombi ya ufafanuzi wa vifungu fulani vya Mahitaji yaliyoidhinishwa na Amri ya FSTEC ya Urusi ya Februari 11, 2013 N 17, na Muundo na yaliyomo ya hatua zilizoidhinishwa na. Amri ya FSTEC ya Urusi tarehe 18 Februari 2013 N 21. Suala hili linajadiliwa na wataalam katika uwanja wa usalama wa habari kwenye vikao mbalimbali na majukwaa ya elektroniki kwenye mtandao.

Kwa kuzingatia hali ya masuala yanayojadiliwa mara kwa mara na ili kufafanua masharti fulani ya maagizo haya ya FSTEC ya Urusi, tunaona kuwa inafaa kuripoti zifuatazo.

Kwa kuzingatia kwamba hatua za kuhakikisha usalama wa data ya kibinafsi na utaratibu wa uteuzi wao, ulioanzishwa na Muundo na maudhui ya hatua zilizoidhinishwa na Amri ya FSTEC ya Urusi ya Februari 18, 2013 N 21, ni sawa na hatua za ulinzi wa habari. na utaratibu wa uteuzi wao ulioanzishwa na Mahitaji yaliyoidhinishwa na Agizo la FSTEC la Urusi la Februari 11, 2013 N 17, ili kuhakikisha usalama wa data ya kibinafsi iliyosindika katika mifumo ya habari ya serikali, inatosha kuongozwa tu na Mahitaji. iliyoidhinishwa na Agizo la FSTEC la Urusi la Februari 11, 2013 N 17.

Kwa mujibu wa aya ya 6 ya Muundo na maudhui ya hatua zilizoidhinishwa na Amri ya 21 ya FSTEC ya Urusi ya Februari 18, 2013, tathmini ya ufanisi wa hatua zinazotekelezwa ndani ya mfumo wa ulinzi wa data binafsi ili kuhakikisha usalama wa kibinafsi. data inafanywa na operator kwa kujitegemea au kwa ushiriki wa vyombo vya kisheria kwa misingi ya mkataba na wajasiriamali binafsi ambao wana leseni ya kufanya shughuli zinazohusiana na ulinzi wa kiufundi wa habari za siri. Wakati huo huo, muundo na yaliyomo ya hatua zilizoidhinishwa na Agizo la FSTEC la Urusi la Februari 18, 2013 N 21, hazianzilishi aina ya tathmini ya utendaji, pamoja na fomu na yaliyomo kwenye hati zilizotengenezwa kwa msingi wa matokeo (katika mchakato) wa tathmini.

4. Juu ya suala la matumizi ya Mahitaji yaliyoidhinishwa na Amri ya FSTEC ya Urusi tarehe 11 Februari 2013 N 17, kuhusiana na mifumo ya habari ya manispaa.

Kwa hivyo, Mahitaji yaliyoidhinishwa na Agizo la FSTEC la Urusi la Februari 11, 2013 N 17 linatumika kwa mifumo ya habari ya manispaa, isipokuwa vinginevyo imetolewa na sheria ya Shirikisho la Urusi juu ya serikali ya ndani (haswa, Sheria ya Shirikisho ya Oktoba 6, 2013). 2003 N 131-FZ "Kwenye kanuni za jumla za serikali ya ndani katika Shirikisho la Urusi" na vitendo vingine vya kisheria vya Shirikisho la Urusi vilivyopitishwa kwa mujibu wake).

5. Juu ya suala la kutumia "Mahitaji maalum na mapendekezo ya ulinzi wa kiufundi wa habari za siri", kwa kuzingatia uchapishaji wa Amri ya 17 ya FSTEC ya Urusi tarehe 11 Februari 2013 .

6. Juu ya suala la matumizi ya dhana "mfumo wa habari" na "mfumo wa automatiska".

Hasa, mifumo ya ugunduzi wa uingilizi na zana za ulinzi wa kupambana na virusi zilizothibitishwa kwa kufuata Mahitaji ya mifumo ya kugundua intrusion, iliyoidhinishwa na Amri ya FSTEC ya Urusi ya tarehe 6 Desemba 2011 N 638, na Mahitaji ya zana za ulinzi wa kupambana na virusi, iliyoidhinishwa. kwa Agizo la FSTEC la Urusi la Machi 20, 2012. N 28, kulingana na darasa la 4 la ulinzi, zinalingana na kiwango cha 4 cha udhibiti juu ya kutokuwepo kwa uwezo usiojulikana.

Inapotumiwa katika mifumo ya habari ya serikali ya darasa linalofaa la usalama na kuhakikisha kiwango kilichowekwa cha ulinzi wa data ya kibinafsi, zana za usalama wa habari zilizothibitishwa kwa kufuata mahitaji ya usalama wa habari yaliyowekwa katika hali ya kiufundi (maelezo ya usalama) na (au) hati zingine za udhibiti. FSTEC ya Urusi, kufuata kiwango cha udhibiti kutokuwepo kwa uwezo usiojulikana huonyeshwa katika vyeti vya kufuata mahitaji ya usalama wa habari kwa zana hizi za usalama wa habari.

8. Kuhusu suala la kutumia hatua za ulinzi wa maelezo ya ziada zinazolenga kupunguza vitisho vya sasa kwa usalama wa data ya kibinafsi ya aina ya 1 na 2.

9. Kuhusu suala la kuendeleza nyaraka za mbinu za FSTEC ya Urusi ili kutekeleza Mahitaji yaliyoidhinishwa na Amri ya FSTEC ya Urusi ya Februari 11, 2013 No.

Mkuu wa Idara ya 2

FSTEC ya Urusi