Uchaguzi wa njia za ulinzi wa data binafsi. Mazoezi ya ulinzi wa data ya kibinafsi

Seti ya hatua za asili tofauti, zinazofanywa ili kukabiliana kikamilifu na upatikanaji usioidhinishwa wa data ya kibinafsi, inayojumuisha hatua za usimamizi, ulinzi wa vifaa vya ufanisi, huunda msingi wa Mfumo wa Ulinzi wa Data ya Kibinafsi (PDPS) unaofanya kazi kwa ufanisi.

Lengo la kuanzisha seti ya hatua zinazofanya kazi kwa uhakika ni:

Kuzingatia kabisa mahitaji ya mdhibiti kwa kufuata masharti ya Sheria ya Shirikisho "Juu ya Ulinzi wa Takwimu za Kibinafsi", masharti ya sheria ndogo zilizoidhinishwa zinazohakikisha kiwango sahihi cha usalama kwa data ya kibinafsi inayotumiwa;

Maendeleo ya maagizo yanayoelezea utekelezaji wa sheria fulani wakati wa kubadilisha data ya kibinafsi iliyotumiwa, kuhakikisha ulinzi wao.

Matatizo ya kutatuliwa
Vifaa vilivyotumika
Maeneo ya maombi

Ukuzaji na utekelezaji wa mfumo wa ulinzi wa data ya kibinafsi (PDS) ni mfululizo wa hatua za kiufundi na usimamizi zinazolenga kuhakikisha ulinzi wa kina wa habari unaotambuliwa na Sheria ya Shirikisho ya tarehe 27 Julai. 2006 N 152-FZ data ya kibinafsi.

Opereta, ambayo ni mashirika ya serikali na makampuni ya biashara ambayo hufanya shughuli na data ya kibinafsi, wanavutiwa na usindikaji wao salama, na hivyo kutambua haja ya kutekeleza mfumo wa ulinzi.

Kwa kuzingatia uzoefu uliokusanywa wakati wa utekelezaji wa miradi ya kuunda SPDn, inaonekana inawezekana kuamua idadi ya faida muhimu kutoka kwa utekelezaji wa mfumo:

Kwanza kabisa, kuna upunguzaji mkubwa wa hatari za kisheria na sifa zinazotokana na kutofuata sheria za sasa kuhusu usalama wa data ya kibinafsi.

Jambo la pili muhimu ni ukweli kwamba ujenzi wa kisayansi wa mfumo wa ulinzi hukuruhusu kusindika data ya kibinafsi ya wafanyikazi na wateja bila hofu kwa usalama wao. Hii inaweza kuwa faida kubwa ya ushindani unapofanya kazi na taarifa za siri za watu binafsi na taarifa zinazokusudiwa matumizi rasmi (ya ndani). Mfumo wa ulinzi wa usalama uliojengwa vizuri hukabiliana kwa urahisi na vitisho vya kawaida - huzuia athari za programu hasidi, huzuia wizi wa hifadhidata za mteja, ambao mara nyingi hufanywa na wafanyikazi waliofukuzwa kazi.

Sababu ya tatu inayohamasisha utekelezaji wa PPSD yenye ufanisi ni kuundwa kwa picha ya kampuni ya mshirika anayeaminika ambaye anaweza kuaminiwa ili kuhakikisha usiri wa data ya kibinafsi.

Kama wachambuzi wanavyosema, kashfa za mara kwa mara zinazohusiana na uvujaji wa habari za siri hulazimisha mtu kuzingatia mfumo wa usalama wakati wa kuchagua mwenza. Makubaliano ya ushirikiano au masharti ya zabuni tayari yanazidi kuwa ya kawaida, yakihitaji ufuasi wa kumbukumbu wa SPD na kanuni za sasa.

Hatupaswi kusahau kwamba PPSD yenye ufanisi inahakikisha uendelevu wa michakato yote ya biashara katika kampuni yenyewe, inaondoa uwezekano wa malalamiko ya wateja, malalamiko ya haki kutoka kwa wafanyakazi, na maagizo ya vitisho kutoka kwa mamlaka ya usimamizi.

Hatua za kazi kuleta kufuata 152-FZ

1. Mali, uchambuzi kamili wa hali ya miundo ya habari inayohusika katika usindikaji wa data ya kibinafsi.

Ukaguzi kama huo wa kabla ya mradi hutoa habari ya kusudi juu ya michakato inayohusika katika usindikaji wa data ya kibinafsi katika kampuni na hatua za kuzilinda. Wataalamu wa Open Vision wanatakiwa kuangalia nyaraka zote rasmi, mara kwa mara ya shughuli zinazofanyika, iliyoundwa ili kuzingatia mahitaji ya mfumo wa kisheria kuhusu usalama wa data vikwazo vya upatikanaji kutumika katika kazi zao.

2. Kuunda dhana ya mfumo wa usalama unaotumiwa kulinda data ya kibinafsi, kumpa mteja mapendekezo ya sauti kwa ajili ya kuboresha usindikaji wa data ya kibinafsi na kuhakikisha usalama wa taarifa za siri.

Katika hatua hii ya kazi, wataalam waliohitimu hutathmini chaguzi zinazowezekana za kutekeleza mradi huo, kuamua maeneo ya kuanzia kwa utekelezaji wake, na kuweka vizuizi fulani kwa kiwango cha mradi unaotekelezwa. Shida kuu zinatambuliwa na mantiki ya suluhisho zilizopendekezwa huundwa. Wateja hupokea orodha ya vipengele vya programu na vifaa vya mfumo wa usalama wa habari unaotengenezwa, na dalili ya lazima ya gharama kwa kila kitu.

3. Ufafanuzi wa kiwango halisi cha usalama wa PD

Katika mchakato wa kazi, aina inayowezekana ya vitisho kwa data ya kibinafsi iliyolindwa imedhamiriwa, kwa kuzingatia mfumo maalum wa habari, muundo unaotarajiwa wa data ya kibinafsi, na idadi inayowezekana ya masomo imebainishwa. Kwa kuzingatia kiasi kizima cha habari iliyopokelewa, hali halisi ya mfumo wa usalama wa data ya kibinafsi imedhamiriwa.

4. Maendeleo ya mfano wa vitisho vinavyowezekana kwa mfumo wa usalama wa data binafsi, kuundwa kwa mfano wa mshambuliaji

Hati iliyotolewa kwa mteja ni orodha ya kimfumo ya vitisho vinavyowezekana kwa usalama wa data ya kibinafsi wakati wa kufanya kazi nao katika mifumo ya habari ya data ya kibinafsi (PDIS). Vitisho kwa usalama wa data ya kibinafsi (PDS) vinaweza kutokea kama matokeo ya vitendo vibaya au vya bahati mbaya vya watu binafsi, shughuli za huduma za kijasusi za kigeni au mashirika maalum ya ujasusi, vikundi maalum vya uhalifu vinavyotayarisha utapeli wa usalama wa PD ambao utaathiri haki na haki. uhuru wa jamii na serikali au raia.

5. Maendeleo ya Masharti ya Rejea kwa ajili ya ujenzi wa SZPDn

Uainishaji maalum wa kiufundi kwa ajili ya ujenzi wa muundo maalum wa habari wa mfumo wa ulinzi wa data huamua madhumuni yake, malengo yanayofuatwa, mahitaji ya msaada wa kiufundi na shirika, mpango wa maendeleo na uundaji wa moja kwa moja wa mfumo wa ulinzi wa data.

6. Kuundwa kwa mradi wa SZPDn

Nyaraka za mradi zilizoundwa katika hatua hii ya utekelezaji wa SPDn hutoa kazi ambayo inazingatia viwango vya usalama wa data na upatikanaji mdogo uliowekwa na kanuni.

7. Maendeleo ya nyaraka za shirika na utawala

Seti ya hati zinazoelezea sheria za usindikaji na kulinda data ya kibinafsi ina kanuni kadhaa za shirika na kiutawala ambazo ni muhimu kuleta michakato yote ya kazi na usalama wa data ya kibinafsi kwa kufuata viwango vya sheria ya sasa.

8. Ugavi wa programu na zana za usalama wa habari za maunzi

Mteja hutolewa na vipengele vya programu na vifaa kwa ajili ya utekelezaji wa SPDn, ambazo zimejaribiwa na kuzingatia mahitaji ya sheria za Shirikisho la Urusi kuhusu hatua za usalama wa habari.

9. Ufungaji, usanidi wa teknolojia ya habari na habari

Katika hatua hii ya utekelezaji wa SZPDn, vifaa vimewekwa, programu imewekwa, na mipangilio inayofaa. Kama matokeo ya kazi iliyofanywa, mteja hupokea seti ya habari ya usalama wa habari ambayo inaambatana na muundo wa habari unaotumika kufanya kazi na data ya kibinafsi.

10. Kutathmini ufanisi wa hatua zilizochukuliwa ili kuunda ulinzi bora wa data ya kibinafsi

Uamuzi wa ufanisi wa hatua za usalama zilizotengenezwa kwa data iliyozuiliwa hufanyika kabla ya uzinduzi wa mfumo wa ulinzi wa data katika uendeshaji. Upimaji wa udhibiti wa mfumo unaofanya kazi katika miundo ya kibiashara unahitajika kufanywa kila baada ya miaka 3.

11. Uthibitishaji wa ISPD iliyotumika kwa kufuata mahitaji ya kisasa ya usalama wa habari

Uidhinishaji wa ISPD unajumuisha seti ya ukaguzi wa shirika na kiufundi (majaribio ya vyeti) unaolenga kuthibitisha utiifu wa mahitaji ya usalama wa habari. Inakusudiwa mashirika ya serikali.

Moja ya sehemu zinazoendelea kwa kasi za soko la ndani la IT ni biashara ya mtandaoni, ambayo ni kutokana na unyenyekevu wa kiufundi wa kutekeleza mradi huu na uwazi wa michakato ya biashara. Biashara ya mtandaoni inatambulika kama aina bora na ya kuahidi ya ujasiriamali.

Masuala ya usalama wa habari kwa biashara kwenye Mtandao haipotezi umuhimu wao; kinyume chake, kuongezeka kwa idadi ya mashambulizi ya wadukuzi kwenye taasisi kuu za kifedha ambazo huwekeza kiasi kikubwa cha fedha katika mifumo ya usalama inahitaji hatua za wakati. Hapa ni jinsi ya kufikia hili, na kwa kiwango cha kukubalika cha gharama.

Wengi, haswa katika hatua ya awali, hawana fursa ya kupora kiasi kikubwa kutoka kwa mauzo kwa kuwekeza katika mifumo ya usalama wa habari. Biashara ni mpya, mitego inayowezekana haijulikani, na maelezo ya biashara kwenye mtandao yanahitaji mabadiliko ya mara kwa mara.

Kama matokeo, mfumo wa usalama unaundwa, lakini unatengenezwa "kupitia marafiki" au agizo linawekwa na mfanyakazi huru, bora studio ya wavuti iliyosajiliwa rasmi. Ununuzi wa suluhisho lililotengenezwa tayari pia hauwezi kuzingatiwa kama kutoa kiwango kikubwa cha usalama, kwani maswali huibuka juu ya kuijumuisha katika miundombinu iliyopo ya IT.

Au labda tunapaswa kufikiria ikiwa mifumo kama hiyo hutoa kiwango sahihi cha usalama? Je, mjasiriamali mwenyewe ana sifa zinazohitajika ili kuamua kiwango cha mafunzo ya "hacks za mtandao"? Je, kazi kama hiyo inaweza kupunguza hatari zinazowezekana? Kwa bahati mbaya, katika hali nyingi, jibu ni hapana.

Ingawa hakuna mahitaji magumu kwa upande wa mtumiaji kuhusu usalama wa data ya kibinafsi ambayo huhamisha kwenye duka la mtandaoni wakati wa kufanya ununuzi, hii haiwezi kutumika kama kiashiria kuu cha kuchagua mbinu za kuandaa usindikaji na uhifadhi wa bidhaa kama hizo. habari za siri. Mnunuzi kwa ujumla hana fursa ya kutathmini jinsi ulinzi wa data yake ya kibinafsi unavyofanya kazi. Ndiyo, kwa wakati huu, hii sio wasiwasi hasa, kwa kuwa bei za kuvutia, maelezo mazuri ya maandishi ya bidhaa, na utoaji wa upendeleo hufikia lengo lao.

Watazamaji wengi wanaonunua hata hawajiulizi ni wapi wanatuma data zao za kibinafsi. Aidha ni mjasiriamali binafsi au mjasiriamali binafsi anayeendeleza biashara yake ya mtandao. Au hii ni mgawanyiko wa wavuti wa muuzaji mkubwa wa umeme wa watumiaji. Kwa kawaida, mtazamo wa usalama wa habari katika mnyororo mkubwa wa rejareja ni kali zaidi kuliko ule wa mjasiriamali, ambaye wakati mwingine anapaswa kutoa bidhaa kwa wateja kwa kujitegemea.

Ni vyema kutambua kwamba, licha ya tishio linaloongezeka la wizi wa taarifa za siri, imani katika biashara ya mtandaoni inaongezeka mara kwa mara. Mnunuzi huingiza habari kuhusu yeye mwenyewe kwa kujaza fomu ya kuagiza, wakati mwingine bila hata kuwa na wasiwasi kuhusu jinsi wafanyakazi wa duka watakavyoshughulikia. Au labda sio hivyo katika mahitaji ya michakato iliyopo ya biashara?

Upungufu unaosababishwa wa data iliyoombwa iko chini ya Sheria ya Shirikisho-152, kwa kuwa kuna tofauti kati ya asili na kiasi cha habari iliyopokelewa na kazi zilizopo za usindikaji wake kwa michakato ya biashara iliyotolewa kwenye duka la mtandaoni.

Kiwango cha kiufundi cha maendeleo ya biashara ya kisasa ya mtandao hufanya iwezekanavyo kudhani matumizi ya mifumo ya CRM, shukrani ambayo inawezekana kuokoa data kuhusu mteja kwa mwingiliano wa baadaye naye na utoaji wa bidhaa mpya. Lakini hii ni muhimu kwa kiwango cha mwingiliano wa baada ya kuuza na mnunuzi?

Kwa mujibu wa Sheria ya Shirikisho 152, taarifa za kibinafsi zinaweza tu kuhifadhiwa kwa muda muhimu kwa usindikaji wake. Baada ya ununuzi kufanywa au kukataa kufanywa, data zote za kibinafsi lazima ziharibiwe, kwani uhifadhi wao haufanani na maalum ya michakato ya biashara inayofanywa. Kuna shaka yoyote kwamba kwa kweli hakuna mtu anayefanya hivi.

Sheria ya Shirikisho ya 152 ina masharti ambayo yanatishia kuwepo kwa biashara ya mtandaoni. Chombo chochote cha ukaguzi kinaweza kuhitaji mmiliki wa duka la mtandaoni kutoa kibali cha maandishi cha raia kutumia data yake ya kibinafsi katika kazi yake. Hakuna mtu anayetoa ruhusa kama hiyo kwa maandishi; hata zaidi, ni dokezo tu kuhusu kufahamiana na sheria za duka.

Kwa kuwa mawasiliano ya moja kwa moja hayatarajiwi katika biashara ya mtandaoni, ukiondoa mkutano wa mnunuzi na mjumbe ili kuwasilisha bidhaa, kufuata Sheria ya Shirikisho Nambari 152 inaweza tu kuhakikishwa kwa kuweka data ya kibinafsi ya mtumiaji, na hii inahitaji marekebisho kwa michakato iliyopo ya biashara.

Hakuna shaka kwamba lango za kampuni zinatambuliwa kwa haki kama zana rahisi ambayo hurahisisha ufikiaji wa huduma mbalimbali za habari za kampuni. Pamoja na mtandao ulioendelezwa wa matawi na ofisi ziko umbali mkubwa kutoka kwa makao makuu, na idadi kubwa ya washirika wa biashara, njia bora za mawasiliano ni uunganisho kupitia njia za VPN ambazo zina kiwango sahihi cha usalama. Kuchagua ufumbuzi huo wa hali ya juu, hata hivyo, ni ghali kabisa na haipatikani kwa kila kampuni. Kwa kutokuwepo kwa fedha za bure kwa uunganisho salama, njia rahisi ya kufanya kazi ni hatua ya kufikia kutoka kwenye mtandao.

Kipengele cha portal ya ushirika, hata kwa kuzingatia kiwango tofauti cha miundombinu, ni uhifadhi wa habari zote za siri za wafanyikazi, wateja wa kampuni na washirika wa biashara wa taasisi ya kisheria, na uwekaji wa habari za kifedha za kampuni yenyewe, ufichuzi ambao unaweza kusababisha uharibifu. Shirika la ufanisi la michakato yote ya kufanya kazi na data ya kibinafsi lazima izingatie kwamba malengo na mbinu za usindikaji wa data kwa kila kikundi cha masomo ni tofauti. Ni mkabala tofauti wa mabadiliko ya data yenye vikwazo vya ufikiaji ambayo inapaswa kujumuishwa katika dhana ya usalama wa shirika.

Hakuna shaka kuwa nafasi ya kifedha ya kampuni inayounda portal ya ushirika inafanya uwezekano wa kuvutia waandaaji wa programu wenye uzoefu kwa kazi hiyo au kununua suluhisho lililotengenezwa tayari na lililojaribiwa mara kwa mara. Hata hivyo, hatupaswi kusahau kwamba usalama wa kanuni sio parameter pekee ambayo inahitaji kuzingatiwa wakati wa kuendeleza mfumo wa usalama wa habari unaofaa. Kwa ujumla, usalama wa habari unapaswa kutambuliwa na usimamizi wa kampuni kama sehemu muhimu ya mfumo wa usalama wa jumla.

Katika miaka michache iliyopita, idadi ya watumiaji wa mitandao maarufu ya kijamii kwenye RuNet imeongezeka kwa kasi isiyokuwa ya kawaida, na kuzidi alama milioni 50. Kiasi kikubwa cha data ya kibinafsi iliyokusanywa kwenye mitandao ya kijamii inahitaji udhibiti unaofaa, ambayo ndiyo kanuni za Sheria ya Shirikisho-152 zinahitaji.

Licha ya maoni ya kwanza kwamba taarifa zinazopatikana kwenye mitandao ya kijamii zinaweza kuchukuliwa kuwa "zinazopatikana hadharani," kila mwaka idadi inayoongezeka ya data inaainishwa na sheria kuwa "data ya siri ya kibinafsi."

Ukweli wa wizi wa akaunti kutoka kwa mitandao ya kijamii sio kawaida nje ya nchi na nchini Urusi. Mamia ya maelfu ya akaunti hupatikana kwa washambuliaji. Idadi ya mashambulizi ya wadukuzi kwenye mitandao ya kijamii haipungui; wataalam wanaona umakini wa mara kwa mara wa uhalifu wa mtandao kwa sehemu hii ya Mtandao.

Miradi ya ulaghai yenye mwelekeo wa kijamii ina uwezo mkubwa, kwa kutumia mashambulizi ya dawa, barua taka na hadaa kwa madhumuni yake. Seti hii yote ya zana za uhalifu wa kisasa wa mtandao inaweza kusababisha wizi wa data ya siri, ambayo inawezeshwa na ushawishi na ukosefu wa uzoefu wa watu. Wasimamizi wa mitandao ya kijamii wanahitaji kufuatilia kila mara, kubainisha matukio na kuondoa matokeo yake.

Huduma ya benki ya mtandao inazidi kuwa maarufu katika tasnia ya benki ya Urusi; taasisi kadhaa za kifedha hutoa huduma kama hiyo kikamilifu. Hii ni kutokana na ukosefu wa jukwaa la ushirikiano wa umoja na kiwango cha kutosha cha automatisering ya taasisi nyingi.

Kama vile programu za kawaida za wavuti, huduma za benki za Mtandao na mifumo ya malipo ya kielektroniki inategemea usanifu wa kawaida wa seva ya mteja. Inatambuliwa kuwa "kiungo dhaifu" cha mwingiliano kama huo ni mtumiaji na vifaa hivyo ambavyo anasimamia akaunti yake mwenyewe.

Kwa bahati mbaya, mtumiaji hana fursa ya kutathmini hatari zote zinazotokea wakati wa kudhibiti akaunti ya benki kwa mbali. Bila kusahau kuchukua tahadhari zinazofaa za usalama. Kwa hiyo, benki lazima kuboresha ujuzi wa wateja juu ya masuala haya.

Ni muhimu kukumbuka kuwa washambuliaji hutilia maanani benki ya mtandao mara nyingi sio kwa kusudi la kuiba pesa, kwani taasisi za kifedha hutoa usalama wa hali ya juu kwa shughuli, lakini ili kupata ufikiaji wa data ya kibinafsi ya mteja. Ni kutokana na hili kwamba mipango ya ulaghai na kadi za benki na mbinu nyingine za wizi wa kifedha zinawezekana. Wataalamu wengi wanaamini kuwa kwenye soko nyeusi, kurekodi tu akaunti za mteja kuna thamani yake mwenyewe.

Takwimu zinaonyesha wazi kwamba uundaji na uendeshaji wa huduma ya benki ya mtandao katika miundo mingi haizingatii kanuni na sheria za sekta. Mara nyingi, kila taasisi ya kifedha iliiendeleza kwa kujitegemea, na viwango vilivyopo vilikuwa vya ushauri tu kwa asili.

Kuingia kwa nguvu kwa Sheria ya Shirikisho 152 imeunda matatizo makubwa kwa benki nyingi, kwani udhibiti wa mdhibiti juu ya usalama wa data ya kibinafsi unaimarishwa, ambayo inahitaji uboreshaji wa mifumo ya usalama iliyopo. Haijalishi jinsi chama cha mabenki kilijaribu kuchelewesha kuanza kwa Sheria ya Shirikisho 152, bado ikawa muhimu kuzingatia masharti yake.

Baada ya kuchapishwa kwa Amri ya Serikali ya Shirikisho la Urusi No. 781 "Kwa idhini ya Kanuni za kuhakikisha usalama wa data ya kibinafsi wakati wa usindikaji wao katika mifumo ya habari ya data ya kibinafsi" ya tarehe 17 Novemba 2007 na utaratibu wa pamoja wa Huduma ya Shirikisho. kwa Udhibiti wa Kiufundi na Usafirishaji, FSB ya Shirikisho la Urusi na Wizara ya Teknolojia ya Habari na Mawasiliano ya Shirikisho la Urusi tarehe 13 Februari 2008 No. 55/86/20 "Kwa idhini ya utaratibu wa kuainisha mifumo ya habari ya data ya kibinafsi" (hapa inajulikana kama "Utaratibu ..."), shida mbili ziliibuka kabla ya huduma za ukuzaji na uendeshaji wa mifumo ya habari (IS) kusindika data ya kibinafsi karibu na swali la Hamlet:

jinsi ya kuainisha IP inayokusudiwa kulinda data ya kibinafsi;
jinsi ya kuchagua zana za usalama wa habari ili kulinda data ya kibinafsi katika mifumo hii.

"Utaratibu ..." inasema kwamba "uainishaji wa mifumo ya habari unafanywa na miili ya serikali, miili ya manispaa, vyombo vya kisheria na watu binafsi ambao hupanga na (au) kufanya usindikaji wa data ya kibinafsi, na pia kuamua madhumuni na maudhui. ya usindikaji wa data ya kibinafsi." Hii inamaanisha kuwa data ya kibinafsi (PD) inaiainisha mmiliki, ambayo ni msaada mkubwa kwa uchaguzi wa lengo la mbinu na njia za kulinda data ya kibinafsi na inajenga msingi wa lengo la mazungumzo na mamlaka ya ukaguzi kuhusu utoshelevu wa hatua zilizochukuliwa na shirika kulinda data ya kibinafsi.

Wakati wa kuainisha IP iliyokusudiwa kuchakata data ya kibinafsi, data ifuatayo ya awali inazingatiwa: ·

kategoria data ya kibinafsi iliyochakatwa katika mfumo wa habari; ·
kiasi kusindika PD (idadi ya masomo ambayo data ya kibinafsi inachakatwa katika IS); ·
sifa za usalama wa data ya kibinafsi iliyosindika katika mfumo wa habari ulioainishwa na mmiliki wa mfumo wa habari; ·
muundo wa mfumo wa habari; ·
upatikanaji wa miunganisho ya IS kwa mitandao ya mawasiliano ya umma na (au) mitandao ya kimataifa ya kubadilishana habari; ·
hali ya usindikaji PD; ·
njia ya kuweka mipaka ya haki za ufikiaji za watumiaji wa mfumo wa habari; ·
eneo la mifumo ya habari ya kiufundi.

Kwanza kabisa, hebu tufafanue ni nini kinachojumuisha data ya kibinafsi. Hii ni habari ya asili tofauti kuhusu watu maalum. Kumbuka kwamba tunazungumza tu juu ya habari katika fomu ya elektroniki iliyoingia, iliyohifadhiwa, kusindika na kupitishwa katika mfumo wa habari. Taarifa hizi zimegawanyika katika makundi makuu manne: ·

kategoria ya 1 - PD inayohusiana na rangi, utaifa, maoni ya kisiasa, imani za kidini na kifalsafa, hali ya afya, maisha ya karibu; ·
kitengo 2 - PD ambayo inakuwezesha kutambua somo la data ya kibinafsi na kupata maelezo ya ziada kuhusu yeye, isipokuwa data ya kibinafsi inayohusiana na kitengo cha 1; ·
kitengo cha 3 - data ya kibinafsi kuruhusu kitambulisho cha somo la data ya kibinafsi; ·
kategoria ya 4 - kutokujulikana na (au) PD inayopatikana kwa umma.

Kwa mfano, jina tofauti ni data ya kitengo cha 4, mchanganyiko wa jina na anwani ni ya tatu, jina, anwani, bima na nambari za kadi ni ya pili, na ikiwa rekodi ya matibabu ya elektroniki imeongezwa kwa data hii, basi matokeo data ya kibinafsi ni ya kitengo cha kwanza pekee.

Kulingana na uainishaji huu, inaweza kusemwa kwamba data yoyote ya matibabu, pamoja na rekodi za wafanyikazi zilizo na safu "utaifa" (na hizi ni karibu dodoso zote zilizopo na karatasi za kibinafsi za rekodi za wafanyikazi zinazotumika sasa), lazima ziainishwe katika kitengo cha kwanza. . Pia ni wazi kuwa vipande vya data ya kibinafsi karibu kila mara vina kategoria ndogo kuliko jumla yao. Hata habari ya kina kuhusu afya ya mtu binafsi inaweza kuwa haina maana ikiwa jina lake la mwisho au data nyingine inayounganisha wazi habari hii na mgonjwa haijulikani.

Kiasi cha PD iliyochakatwa kinaweza kuchukua maadili yafuatayo: ·

- Mfumo wa habari wakati huo huo unashughulikia data ya kibinafsi ya vyombo zaidi ya 100,000 au data ya kibinafsi ya vyombo ndani ya eneo la Shirikisho la Urusi au Shirikisho la Urusi kwa ujumla; ·
- Mfumo wa habari wakati huo huo unashughulikia data ya kibinafsi kutoka kwa masomo 1,000 hadi 100,000 au data ya kibinafsi ya masomo yanayofanya kazi katika sekta ya kiuchumi ya Shirikisho la Urusi, katika shirika la serikali, wanaoishi ndani ya manispaa; ·
- Mfumo wa habari wakati huo huo unashughulikia data ya chini ya masomo 1000 au data ya kibinafsi ya masomo ya shirika fulani.

Kulingana na sifa za usalama za data ya kibinafsi iliyosindika katika mfumo wa habari, mifumo ya habari imegawanywa katika kiwango na maalum. Ya kwanza ni mifumo ya habari ambayo inahitaji msaada tu faragha taarifa binafsi.

Sifa ya "usiri" ina maana kwamba ni mtu tu ambaye imekusudiwa anaweza kushughulikia (kuingia, kuhifadhi, kuchakata na kuhamisha) PD kwa fomu ya kielektroniki. Ili kuhakikisha usiri wakati wa kusambaza data ya kibinafsi kwenye mitandao, ikiwa ni pamoja na mtandao, ni muhimu kutumia usimbaji wa data.

Mifumo maalum ya habari ni mifumo ya habari ambayo, bila kujali hitaji la kuhakikisha usiri wa data ya kibinafsi, inahitajika kuhakikisha angalau moja ya sifa za usalama za data ya kibinafsi isipokuwa usiri (kwa mfano, uadilifu au upatikanaji). Tabia ya "uadilifu" inamaanisha kuwa data ya kibinafsi inapaswa kubadilishwa tu kwa njia iliyodhibitiwa, kwa mfano, daktari aliyeidhinishwa tu ndiye anayeweza kufanya mabadiliko kwenye faili ya rekodi ya matibabu ya elektroniki, na katika hali nyingine yoyote habari katika rekodi ya matibabu haipaswi kubadilishwa. . Inapopitishwa kwenye mitandao, uadilifu huhakikishwa kwa kutumia sahihi ya kielektroniki ya dijiti.

Sifa ya "upatikanaji" inamaanisha kuwa kazi na PD lazima itolewe kwa kiasi fulani cha data na watumiaji kwa kufuata kanuni za wakati zilizowekwa. Kwa maneno mengine, "upatikanaji" ni uundaji mwingine wa uaminifu wa mfumo. Kumbuka pia kwamba kuzungumza juu ya upatikanaji katika mitandao ya wazi ni karibu haina maana - hakuna mtoa huduma mmoja atatoa upatikanaji wa uhakika wa data au upitishaji wake usioingiliwa.

Mifumo maalum ya habari ni pamoja na: ·

IP ambayo data ya kibinafsi inayohusiana na hali ya afya ya masomo inachakatwa; ·
IP ambayo hutoa kupitishwa, kwa kuzingatia tu usindikaji wa kiotomatiki wa data ya kibinafsi, wa maamuzi ambayo hutoa matokeo ya kisheria kuhusiana na mhusika au vinginevyo kuathiri haki na maslahi yake halali.

Kulingana na muundo wao, mifumo ya habari ya usindikaji wa data ya kibinafsi imegawanywa katika:

kwa uhuru (haijaunganishwa na IS nyingine) iliyokusudiwa kusindika data ya kibinafsi (vituo vya kazi vya kiotomatiki); ·
kwa complexes ya vituo vya kazi vya automatiska vilivyounganishwa katika IS moja kwa njia ya mawasiliano bila matumizi ya teknolojia ya upatikanaji wa kijijini (mifumo ya habari ya ndani); ·
kwa miundo ya vituo vya kazi vya kiotomatiki na (au) mifumo ya habari ya ndani, iliyojumuishwa katika mfumo mmoja wa habari kwa njia ya mawasiliano kwa kutumia teknolojia ya ufikiaji wa mbali (mifumo ya habari iliyosambazwa).

Kulingana na uwepo wa viunganisho kwenye mitandao ya mawasiliano ya umma na (au) ubadilishanaji wa habari wa kimataifa, mifumo ya habari imegawanywa katika mifumo ambayo ina viunganisho na ile ambayo haina miunganisho.

Kulingana na ukweli kwamba ni lazima kuhakikisha usiri wa data, tunaweza kutambua vipengele muhimu vya mfumo wa habari kwa usindikaji data ya kibinafsi.

Awali ya yote, mfumo wa habari lazima utambue watumiaji na uweze kuanzisha mamlaka binafsi kwa upatikanaji wa mtumiaji kwa data ya kibinafsi, yaani, kuwa na mifumo ya kitambulisho na uthibitishaji na udhibiti wa upatikanaji.

Pili, ni muhimu kuhakikisha ulinzi wa data ya kibinafsi ambayo inaweza kutengwa na mfumo. Kwa mfano, uhamisho wa habari kwa vyombo vya habari vinavyoweza kuondolewa unapaswa kudhibitiwa. Kuna uwezekano mkubwa kwamba katika baadhi ya matukio ni muhimu kuzingatia uwezekano wa wizi na kupoteza (kupoteza) vifaa vya kompyuta na data binafsi. Katika kesi hii, usimbaji fiche wa PD iliyohifadhiwa kwenye vyombo vya habari vya kompyuta pia ni lazima.

Ikiwa mfumo una viunganisho vya kufungua mitandao au unahusisha ubadilishanaji wa data, ni lazima kutumia usimbaji fiche wa data na saini za kielektroniki za dijiti, na pia kutoa ulinzi dhidi ya mashambulizi kutoka kwa mitandao ya nje, ikiwa ni pamoja na ulinzi wa kupambana na virusi.

Kwa encryption na saini za elektroniki, funguo na vyeti hutumiwa, ambazo huzalishwa na watumiaji wenyewe na kusajiliwa katika kinachojulikana mamlaka ya vyeti.

Jambo muhimu sana ni usajili wa vitendo na PD, ambayo, kwa upande mmoja, inafanya uwezekano wa kutambua wale wanaohusika na uvujaji wao, na kwa upande mwingine, hujenga msukumo wa kisaikolojia kwa kazi sahihi pamoja nao.

Mfumo wa habari wa kuchakata data ya kibinafsi unaweza kupewa mojawapo ya madarasa yafuatayo: ·

darasa la 1 (K1) - IP ambayo ukiukaji wa sifa maalum za usalama za data ya kibinafsi iliyosindika ndani yao inaweza kusababisha matokeo mabaya makubwa kwa masomo ya data ya kibinafsi; ·
darasa la 2 (K2) - IP ambayo ukiukaji wa sifa maalum za usalama wa PD kusindika ndani yao inaweza kusababisha matokeo mabaya kwa masomo ya data ya kibinafsi; ·
darasa la 3 (K3) - IP ambayo ukiukaji wa sifa maalum za usalama za data ya kibinafsi iliyosindika ndani yao inaweza kusababisha matokeo mabaya madogo kwa masomo ya data ya kibinafsi; ·
darasa la 4 (K4) - IP ambayo ukiukaji wa sifa maalum za usalama za data ya kibinafsi iliyosindika ndani yao haiongoi matokeo mabaya kwa masomo ya data ya kibinafsi.

Jedwali 1

Kategoria
Kategoria

Kwanza, kutoka kwa "Agizo ..." hufuata uwepo kategoria taarifa binafsi. Ni mantiki kutekeleza mkusanyiko hifadhidata katika IS iliyo na PD katika sehemu zisizoingiliana zilizo na data ya kategoria tofauti. Pia, IS ya usindikaji PD lazima iwe kugawanywa katika contours, iliyo na data kutoka kwa aina moja tu. Hili linawezekana kabisa kufanya, kwa kuwa watu binafsi wanatambulishwa kipekee kwa nambari ya pasipoti au TIN au nambari ya sera ya bima ya afya, ambayo inaruhusu hifadhidata za matibabu na safu zingine kuorodheshwa bila utata. Kwa hivyo, ni muhimu kufuata kanuni kwamba katika kila mzunguko wa IS kwa usindikaji data ya kibinafsi ni muhimu kutumia bidhaa zilizothibitishwa za darasa moja, na mtaro unapaswa kuwa kutengwa kutoka kwa kila mmoja.

Inaweza kusemwa kuwa mifumo mingi ya habari ya kuchakata data ya kibinafsi (haswa kwa madhumuni ya matibabu) itafanya Maalum, i.e. wanahitaji kuhakikisha sio usiri tu, bali pia uadilifu sifa za lazima na zingine za usalama na kuegemea.

Lini kusambazwa IP kwa usindikaji wa data ya kibinafsi, hata ikiwa ni lazima kuhakikisha tu faragha kwa mujibu wa "Utaratibu..." ni lazima ulinzi wa data ya kibinafsi iliyopitishwa na iliyohifadhiwa. Hii inakubaliana kikamilifu na mahitaji ya sasa ya FSB ya Shirikisho la Urusi kwa mifumo ya habari ya kiotomatiki inayokusudiwa kulinda habari za siri ambazo hazijumuishi siri ya serikali, ambayo ni kifungu kwamba "habari zote za siri zinazopitishwa kupitia njia za mawasiliano lazima zilindwe; taarifa zinazotumwa kupitia njia za mawasiliano lazima zisimbwe kwa njia fiche kwa kutumia zana za ulinzi wa taarifa za siri (CIPF), au njia salama za mawasiliano lazima zitumike kwa usambazaji wake. Taarifa zilizorekodiwa kwenye vyombo vya habari vilivyotengwa lazima zilindwe."

Sharti la mwisho linatumika kwa mifumo iliyotengwa ya data ya kibinafsi ambayo haina chaneli za kusambaza data ya kibinafsi, yaani kwa vituo vya kibinafsi vya kuchakata data ya kibinafsi.

Hii ina maana kwamba ili kusindika data ya kibinafsi, mifumo ya habari inapaswa kuthibitishwa kwa darasa sio chini kuliko AK2 katika uainishaji wa FSB ya Shirikisho la Urusi. Kwa mfano, Windows XP iliyolindwa na kifurushi cha sasisho cha Secure Pack Rus inalingana na darasa hili. Njia za usalama lazima zijumuishe njia za ulinzi wa taarifa za siri (CIPF) za darasa zisizo chini ya KS2.

Kulingana na hili, kwa aina zozote za PD za usindikaji wa habari za mfumo wa PD zilizo juu zaidi ya 4 (ambayo hakika itajumuisha mifumo yote ya usindikaji wa PD ya matibabu), itakuwa muhimu kutekeleza. mahitaji yote ya darasa la AK2 katika uainishaji wa FSB ya Shirikisho la Urusi.

Kutoka kwa usanifu wa PD IS, na idadi kubwa ya kutosha ya PD zilizochakatwa (kiashiria 1 au 2), sehemu ya seva hakika itajitokeza, ambayo pia itahitaji ulinzi. Katika kesi hii, taarifa zote za siri zilizohifadhiwa kwenye vyombo vya habari vya magnetic vya vituo vya kazi na seva lazima zilindwe, ambayo inakidhi mahitaji ya darasa la AK3.

Kwa hivyo, tunaweza kupendekeza mkakati sahihi kabisa wa kulinda data ya kibinafsi, ambayo inajumuisha yafuatayo: Jedwali. 1 imejazwa kama ifuatavyo (tazama Jedwali 2).

meza 2

Kategoria ya IP	Darasa la IP kulingana na kiasi cha data iliyochakatwa
Kategoria ya IP



	Sio chini kuliko AK3	Sio chini kuliko AK3	Sio chini kuliko AK3

Kumbuka. "-" inamaanisha kuwa hakuna mahitaji.

Kwa hivyo, ili kulinda data ya kibinafsi ya kitengo cha kwanza, ambacho kinajumuisha data zote za matibabu, ni muhimu kutumia njia za ulinzi za madarasa sio chini kuliko AK3 na njia za ulinzi wa kriptografia za madarasa sio chini kuliko KS3.

Kwa utayarishaji wa vitendo wa IP na njia za usalama, tunaweza kupendekeza bidhaa ambazo zimebadilishwa mahsusi kwa ulinzi wa data ya kibinafsi na kuwa na vibali muhimu (cheti na hitimisho). Hii kimsingi ni Secure Pack Rus na zana za ulinzi wa kriptografia za familia ya CryptoPro.

Hebu sasa tujaribu kukadiria gharama za kuandaa mahali pa kazi moja kwa ajili ya kuchakata PD. Bila punguzo, bei ya kifurushi cha Secure Pack Rus ni takriban 2,000 rubles, wakati zana za ulinzi wa cryptographic za familia ya CryptoPro tayari zimejumuishwa kwenye mfuko huu. Zaidi ya hayo, ili kulinda taarifa za kibinafsi zilizohifadhiwa kwenye kompyuta yako, inashauriwa kununua mojawapo ya vifurushi vya ulinzi wa data CryptoPro EFS, Secure Pack Explorer au Crypto Explorer. Bei ya kila moja ya bidhaa hizi ni kati ya rubles 600 hadi 1000. Kwa jumla, kulinda mahali pa kazi moja bila kuzingatia usakinishaji na usanidi utagharimu takriban rubles 3,000, na usakinishaji na urekebishaji wa programu kitaongeza 10-15% kwa gharama.

Kwa kawaida, tunaweza kutofautisha "hatua kumi za fumbo kwenye njia" kwa mfumo salama wa kuchakata data ya kibinafsi.

Bainisha vipengele vya IP yako ambavyo vinahitaji kulindwa kwanza. Kwanza, fahamu ni data gani ya kibinafsi inahitaji kulindwa na inakaa wapi kwa sasa kwenye mfumo wako. Kisha angalia ikiwa kila sehemu ya kazi ya kila mfanyakazi inahitaji ulinzi wa data. Labda itakuwa rahisi kutenga kompyuta tofauti kwa kufanya kazi na habari za kibinafsi ambazo zinahitaji kulindwa haswa kwa uhakika? Kumbuka kwamba kompyuta iliyounganishwa kwenye Mtandao sio mahali pazuri pa kuhifadhi data ya kibinafsi!
Tathmini hali ya sasa ya usalama wa habari. Je, ni ya kuridhisha kiasi gani? Ikiwezekana, fanya ukaguzi wa usalama wa nje wa mfumo wako. Panga IP yako kulingana na miongozo iliyo hapo juu. Linganisha matokeo yako na yale ya ukaguzi wa nje.
Amua ni nani anayewajibika kwa sasa kuhakikisha ulinzi wa IP. Je, inawezekana kupunguza mduara wa watu ambao kuegemea kwa ulinzi huu kunategemea? Wakati huo huo, kumbuka - usalama hauwezi kutegemea mtu mmoja! Hakikisha umeteua wakaguzi; kwa mfano, daktari mkuu anaweza kusimamia kazi ya wataalamu katika kujaza na kuhamisha PD.
Kuwa mkosoaji wa matakwa ya wataalamu ikiwa wanasisitiza kusakinisha maunzi ya usalama. Tafadhali kumbuka kuwa kutumia zana za kriptografia ni kazi kubwa sana. Ni muhimu kuelewa: je, kudumisha zana za usimbaji fiche na kutumia sahihi ya dijiti kutaingilia biashara kuu ya kampuni yako? Tafadhali kumbuka kuwa si kila mfanyakazi anaweza au anapaswa kusimba data kwa njia fiche.
Pata usalama wa kliniki yako. Weka utawala ambao utahakikisha kiwango kinachohitajika cha usalama wa habari, lakini usiende mbali sana. Kwa mfano, watu hawapaswi kunyimwa uwezo wa kutumia simu za mkononi. Pia haifai kuwakataza wafanyikazi kufikia barua pepe na Mtandao kwa madhumuni ya kibinafsi. Wakati huo huo, ni vyema kudhibiti utaratibu wa kuleta vyombo vya habari vya flash na kompyuta zako za mkononi kwenye eneo la kampuni, au kutumia kazi inayopatikana katika Secure Pack Rus ili kuzima anatoa za USB ambazo hazijaidhinishwa kutumiwa na msimamizi.
Inahitaji wataalamu wa TEHAMA kutayarisha mpango kazi wazi wa kuunda na kusanidi mfumo wa usalama. Uliza kuhalalisha hitaji la kununua vifaa vya ziada vya usalama. Kusisitiza juu ya dhamana kwamba marekebisho ya usalama hayataathiri uendeshaji wa msingi wa mfumo.
Kufuatilia utekelezaji wa mpango wa kuunda mfumo wa usalama.
Sikiliza maoni ya madaktari na wafanyikazi - je, hatua za usalama zinaingilia kazi zao na shughuli za msingi?
Dumisha na uangalie hali ya usalama wa PD, na pia uimarishe uaminifu wa wafanyikazi wa usalama.
Kuwa na utulivu juu ya uvumbuzi katika uwanja wa usalama - uhifadhi wa afya utakuokoa pesa.

Januari 19, 2009 3:59 pm

Andrey Shcherbakov

Baada ya kuchapishwa kwa Amri ya Serikali ya Shirikisho la Urusi No. 781 "Kwa idhini ya Kanuni za kuhakikisha usalama wa data ya kibinafsi wakati wa usindikaji wao katika mifumo ya habari ya data ya kibinafsi" ya tarehe 17 Novemba 2007 na utaratibu wa pamoja wa Huduma ya Shirikisho. kwa Udhibiti wa Kiufundi na Usafirishaji, FSB ya Shirikisho la Urusi na Wizara ya Teknolojia ya Habari na Mawasiliano ya Shirikisho la Urusi tarehe 13 Februari 2008 No. 55/86/20 "Kwa idhini ya utaratibu wa kuainisha mifumo ya habari ya data ya kibinafsi" (hapa inajulikana kama "Utaratibu ...") shida mbili ziliibuka kabla ya huduma za ukuzaji na uendeshaji wa mifumo ya habari (IS) kusindika data ya kibinafsi karibu na swali la Hamlet:

● jinsi ya kuainisha IP inayokusudiwa kulinda data ya kibinafsi;

● jinsi ya kuchagua zana za usalama wa taarifa ili kulinda data ya kibinafsi katika mifumo hii.

"Utaratibu ..." inasema kwamba "uainishaji wa mifumo ya habari unafanywa na miili ya serikali, miili ya manispaa, vyombo vya kisheria na watu binafsi ambao hupanga na (au) kufanya usindikaji wa data ya kibinafsi, na pia kuamua madhumuni na yaliyomo katika usindikaji wa data ya kibinafsi." Hii inamaanisha kuwa data ya kibinafsi (PD) inaiainisha mmiliki, ambayo ni msaada mkubwa kwa uchaguzi wa lengo la mbinu na njia za kulinda data ya kibinafsi na inajenga msingi wa lengo la mazungumzo na mamlaka ya ukaguzi kuhusu utoshelevu wa hatua zilizochukuliwa na shirika kulinda data ya kibinafsi.

Wakati wa kuainisha IP iliyokusudiwa kusindika data ya kibinafsi, data ifuatayo ya awali inazingatiwa:

● kiasi kusindika PD (idadi ya masomo ambayo data ya kibinafsi inachakatwa katika IS);

● sifa za usalama za data ya kibinafsi iliyochakatwa katika mfumo wa habari uliotajwa na mmiliki wa mfumo wa habari;

● muundo wa mfumo wa habari;

● upatikanaji wa miunganisho ya IS kwa mitandao ya mawasiliano ya umma na (au) mitandao ya kimataifa ya kubadilishana taarifa;

● Hali ya kuchakata PD;

● njia ya kuweka mipaka ya haki za ufikiaji za watumiaji wa mfumo wa habari;

● eneo la rasilimali za taarifa za kiufundi.

Kiasi cha PD iliyochakatwa kinaweza kuchukua maadili yafuatayo:

1 - mfumo wa habari wakati huo huo unashughulikia data ya kibinafsi ya vyombo zaidi ya 100,000 au data ya kibinafsi ya vyombo ndani ya eneo la Shirikisho la Urusi au Shirikisho la Urusi kwa ujumla; ·

2 - mfumo wa habari wakati huo huo unashughulikia data ya kibinafsi kutoka kwa masomo 1,000 hadi 100,000 au data ya kibinafsi ya masomo yanayofanya kazi katika sekta ya kiuchumi ya Shirikisho la Urusi, katika shirika la serikali, wanaoishi ndani ya manispaa;

3 - mfumo wa habari wakati huo huo usindikaji data ya chini ya 1000 masomo au data binafsi ya masomo ya shirika fulani.

Mifumo maalum ya habari ni mifumo ya habari ambayo, bila kujali hitaji la kuhakikisha usiri wa data ya kibinafsi, inahitajika kuhakikisha angalau moja ya sifa za usalama za data ya kibinafsi isipokuwa usiri (kwa mfano, uadilifu au upatikanaji). Tabia ya "uadilifu" inamaanisha kuwa data ya kibinafsi inapaswa kubadilishwa tu kwa njia iliyodhibitiwa, kwa mfano, mabadiliko kwenye faili ya rekodi ya matibabu ya kielektroniki yanaweza tu kufanywa na daktari aliyeidhinishwa, na katika hali nyingine yoyote habari katika rekodi ya matibabu haipaswi. kubadilishwa. Inapopitishwa kwenye mitandao, uadilifu huhakikishwa kwa kutumia sahihi ya kielektroniki ya dijiti.

Mifumo maalum ya habari ni pamoja na: ·

● IP ambamo data ya kibinafsi inayohusiana na hali ya afya ya masomo inachakatwa; ·

● IP ambayo hutoa kupitishwa, kwa kuzingatia tu uchakataji wa kiotomatiki wa data ya kibinafsi, wa maamuzi ambayo hutoa matokeo ya kisheria kuhusiana na mhusika au vinginevyo kuathiri haki na maslahi yake halali.

Kulingana na muundo wao, mifumo ya habari ya usindikaji wa data ya kibinafsi imegawanywa katika:

● kwa uhuru (haijaunganishwa na IS nyingine) inayokusudiwa kuchakata data ya kibinafsi (vituo otomatiki vya kazi); ·

● kwa miundo ya vituo vya kazi vya kiotomatiki, vilivyounganishwa kuwa IS moja kwa njia ya mawasiliano bila kutumia teknolojia ya ufikiaji wa mbali (mifumo ya habari ya ndani); ·

● kwa miundo ya vituo vya kazi vya kiotomatiki na (au) mifumo ya habari ya ndani, iliyounganishwa kuwa mfumo mmoja wa habari kwa njia ya mawasiliano kwa kutumia teknolojia ya ufikiaji wa mbali (mifumo ya taarifa iliyosambazwa).

Kulingana na ukweli kwamba ni lazima kuhakikisha usiri wa data, tunaweza kutambua vipengele muhimu vya mfumo wa habari kwa usindikaji data ya kibinafsi.

Kwa encryption na saini za elektroniki, funguo na vyeti hutumiwa, ambazo huzalishwa na watumiaji wenyewe na kusajiliwa katika kinachojulikana mamlaka ya vyeti.

Mfumo wa habari wa kuchakata data ya kibinafsi unaweza kupewa mojawapo ya madarasa yafuatayo: ·

● darasa la 1 (K1) - IP ambayo ukiukaji wa sifa maalum za usalama za data ya kibinafsi iliyochakatwa ndani yao inaweza kusababisha matokeo mabaya makubwa kwa masomo ya data ya kibinafsi;

● darasa la 2 (K2) - IP ambayo ukiukaji wa sifa maalum za usalama wa PD kusindika ndani yao inaweza kusababisha matokeo mabaya kwa masomo ya data ya kibinafsi;

● darasa la 3 (K3) - IP ambayo ukiukaji wa sifa maalum za usalama za data ya kibinafsi iliyochakatwa ndani yao inaweza kusababisha matokeo mabaya madogo kwa masomo ya data ya kibinafsi;

● darasa la 4 (K4) - IP ambayo ukiukaji wa sifa maalum za usalama za data ya kibinafsi iliyochakatwa ndani yao haileti matokeo mabaya kwa masomo ya data ya kibinafsi.

Jedwali 1.

	Darasa la IP kulingana na kiasi cha data iliyochakatwa

Lini kusambazwa IP kwa usindikaji wa data ya kibinafsi, hata ikiwa ni lazima kuhakikisha tu faragha kwa mujibu wa "Utaratibu ..." utahitajika ulinzi wa data ya kibinafsi iliyopitishwa na iliyohifadhiwa. Hii inakubaliana kikamilifu na mahitaji ya sasa ya FSB ya Shirikisho la Urusi kwa mifumo ya habari ya kiotomatiki inayokusudiwa kulinda habari za siri ambazo hazijumuishi siri ya serikali, ambayo ni kifungu kwamba "habari zote za siri zinazopitishwa kupitia njia za mawasiliano lazima zilindwe; taarifa zinazotumwa kupitia njia za mawasiliano lazima zisimbwe kwa njia fiche kwa kutumia zana za ulinzi wa taarifa za siri (CIPF), au njia salama za mawasiliano lazima zitumike kwa usambazaji wake. Taarifa zilizorekodiwa kwenye vyombo vya habari vilivyotengwa lazima zilindwe."

Sharti la mwisho linatumika kwa mifumo iliyotengwa ya data ya kibinafsi ambayo haina chaneli za kusambaza data ya kibinafsi, yaani kwa vituo vya kibinafsi vya kuchakata data ya kibinafsi.

Kwa hivyo, tunaweza kupendekeza mkakati sahihi kabisa wa kulinda data ya kibinafsi, ambayo inajumuisha yafuatayo: Jedwali. 1 imejazwa kama ifuatavyo (tazama Jedwali 2).

Jedwali 2.

Darasa la IP kulingana na kiasi cha data iliyochakatwa




Sio chini kuliko AK3	Sio chini kuliko AK3	Sio chini kuliko AK3

Kumbuka. "-" inamaanisha kuwa hakuna mahitaji.

Kwa kawaida, tunaweza kutofautisha "hatua kumi za fumbo kwenye njia" kwa mfumo salama wa kuchakata data ya kibinafsi.

1. Tambua vipengele hivyo vya IP yako ambavyo vinahitaji kulindwa kwanza. Kwanza, fahamu ni data gani ya kibinafsi inahitaji kulindwa na inakaa wapi kwa sasa kwenye mfumo wako. Kisha angalia ikiwa kila sehemu ya kazi ya kila mfanyakazi inahitaji ulinzi wa data. Labda itakuwa rahisi kutenga kompyuta tofauti kwa kufanya kazi na habari za kibinafsi ambazo zinahitaji kulindwa haswa kwa uhakika? Kumbuka kwamba kompyuta iliyounganishwa kwenye Mtandao sio mahali pazuri pa kuhifadhi data ya kibinafsi!

2. Tathmini hali ya sasa ya usalama wa habari. Je, ni ya kuridhisha kiasi gani? Ikiwezekana, fanya ukaguzi wa usalama wa nje wa mfumo wako. Panga IP yako kulingana na miongozo iliyo hapo juu. Linganisha matokeo yako na yale ya ukaguzi wa nje.

3. Tambua ni nani anayewajibika kwa sasa kuhakikisha ulinzi wa IP. Je, inawezekana kupunguza mduara wa watu ambao kuegemea kwa ulinzi huu kunategemea? Wakati huo huo, kumbuka - usalama hauwezi kutegemea mtu mmoja! Hakikisha umeteua wakaguzi; kwa mfano, daktari mkuu anaweza kusimamia kazi ya wataalamu katika kujaza na kuhamisha PD.

4. Kuwa mkosoaji wa madai ya mafundi ikiwa wanasisitiza kusakinisha maunzi ya usalama. Tafadhali kumbuka kuwa kutumia zana za kriptografia ni kazi kubwa sana. Ni muhimu kuelewa: je, kudumisha zana za usimbaji fiche na kutumia sahihi ya dijiti kutaingilia biashara kuu ya kampuni yako? Tafadhali kumbuka kuwa si kila mfanyakazi anaweza au anapaswa kusimba data kwa njia fiche.

5. Weka usalama wa kliniki yako kwa mpangilio. Weka utawala ambao utahakikisha kiwango kinachohitajika cha usalama wa habari, lakini usiende mbali sana. Kwa mfano, watu hawapaswi kunyimwa uwezo wa kutumia simu za mkononi. Pia haifai kuwakataza wafanyikazi kufikia barua pepe na Mtandao kwa madhumuni ya kibinafsi. Wakati huo huo, ni vyema kudhibiti utaratibu wa kuleta vyombo vya habari vya flash na kompyuta zako za mkononi kwenye eneo la kampuni, au kutumia kazi inayopatikana katika Secure Pack Rus ili kuzima anatoa za USB ambazo hazijaidhinishwa kutumiwa na msimamizi.

6. Wahitaji wataalamu wa TEHAMA kutayarisha mpango kazi wazi wa kuunda na kusanidi mfumo wa usalama. Uliza kuhalalisha hitaji la kununua vifaa vya ziada vya usalama. Kusisitiza juu ya dhamana kwamba marekebisho ya usalama hayataathiri uendeshaji wa msingi wa mfumo.

7. Kufuatilia utekelezaji wa mpango wa kuunda mfumo wa usalama.

8. Sikiliza maoni ya madaktari na wafanyakazi - je, hatua za usalama zinaingilia kazi zao na shughuli za msingi?

9. Kudumisha na kuangalia hali ya usalama wa PD, na pia kuimarisha uaminifu wa wafanyakazi wanaohusika katika usalama.

10. Kuwa na utulivu juu ya ubunifu katika uwanja wa usalama - uhifadhi wa afya utakuokoa pesa.

Ilipitishwa mnamo Julai 27, 2006 Sheria ya Shirikisho No. 152-FZ "Kwenye Data ya Kibinafsi" kuhakikisha ulinzi wa haki na uhuru wa mtu na raia wakati wa kuchakata data yake ya kibinafsi, pamoja na ulinzi wa haki za faragha, siri za kibinafsi na za familia. Moja ya sababu za kupitishwa kwa sheria hii ilikuwa kesi nyingi za wizi wa hifadhidata za data za kibinafsi katika serikali na miundo ya kibiashara na uuzaji wao ulioenea.

Neno "data ya kibinafsi" linamaanisha nini?

Ufafanuzi wa data ya kibinafsi (PD) pia ulipatikana kabla ya kupitishwa kwa sheria, kwa mfano, katika "Orodha ya Taarifa za Siri" iliyoidhinishwa. Amri ya Rais wa Shirikisho la Urusi No. 188 Tarehe 6 Machi 1997:

Taarifa za siri ni pamoja na: taarifa kuhusu ukweli, matukio na hali ya maisha ya kibinafsi ya raia, kuruhusu utambulisho wake kutambuliwa (data ya kibinafsi), isipokuwa habari ambayo inaweza kuenezwa katika vyombo vya habari katika kesi zilizoanzishwa na sheria za shirikisho.

Hata hivyo, sheria iliiongezea. Sasa, kulingana na FZ-152, data ya kibinafsi - habari yoyote inayohusiana na mtu aliyetambuliwa au kuamuliwa kwa msingi wa habari kama hiyo (somo la data ya kibinafsi), pamoja na jina lake la mwisho, jina la kwanza, jina lake, mwaka, mwezi, tarehe na mahali pa kuzaliwa, anwani, familia, kijamii, nafasi ya mali, elimu, taaluma, mapato, habari nyingine.

Kwa hivyo, data ya kibinafsi ni, kwanza kabisa, data ya pasipoti, habari kuhusu hali ya ndoa, habari kuhusu elimu, nambari ya TIN, cheti cha bima ya bima ya pensheni ya serikali, bima ya afya, habari kuhusu shughuli za kazi, hali ya kijamii na mali, taarifa kuhusu mapato. Karibu kila shirika lina data kama hiyo.

Wakati wa kuomba kazi, hii ni data kutoka kwa idara ya HR ya mwajiri, ambayo mfanyakazi anaonyesha katika kadi yake ya kibinafsi, tawasifu, na hati zingine zilizojazwa wakati wa kuhitimisha mkataba wa ajira.

Wakati mtoto anaingia katika shule ya chekechea, shule, taasisi, au taasisi nyingine za elimu, dodoso nyingi na fomu pia hujazwa, ambayo inaonyesha data ya mtoto (kwa mfano, data ya cheti cha kuzaliwa) na wazazi wake (hadi mahali pa kuzaliwa). kazi, nafasi iliyoshikiliwa).

Wakati wa matibabu katika taasisi za matibabu, ni muhimu kuonyesha sio tu data ya pasipoti, lakini pia habari kuhusu faida, bima ya matibabu, taarifa kuhusu matibabu ya awali, na matokeo ya mtihani. Katika taasisi nyingi za matibabu, rekodi za wagonjwa wa nje/wagonjwa wa ndani zinarudiwa kwa njia ya kielektroniki.

Na data hii yote, kulingana na sheria ya sasa, iko chini ya ulinzi.

Wapi kuanza ulinzi, na ni muhimu wakati wote?

Usiri wa data ya kibinafsi ni hitaji la lazima kwa mendeshaji au mtu mwingine ambaye ana ufikiaji wa data ya kibinafsi kutoruhusu usambazaji wao bila idhini ya mada ya data ya kibinafsi au uwepo wa msingi mwingine wa kisheria ( FZ-152).

Opereta - shirika la serikali, shirika la manispaa, chombo cha kisheria au mtu binafsi ambaye hupanga na/au kufanya usindikaji wa data ya kibinafsi, na pia kuamua madhumuni na maudhui ya usindikaji wa data ya kibinafsi ( FZ-152).

Mfumo wa habari wa data ya kibinafsi (PDIS) ni mfumo wa habari ambao ni seti ya data ya kibinafsi iliyo katika hifadhidata, na vile vile teknolojia ya habari na njia za kiufundi zinazoruhusu usindikaji wa data kama hiyo ya kibinafsi kwa kutumia zana za kiotomatiki au bila matumizi ya zana kama hizo. FZ-152).

Usindikaji wa data ya kibinafsi ni vitendo (operesheni) na data ya kibinafsi, ikiwa ni pamoja na ukusanyaji, utaratibu, kusanyiko, uhifadhi, ufafanuzi (kusasisha, kubadilisha), matumizi, usambazaji (pamoja na uhamisho), ubinafsishaji, kuzuia, uharibifu wa data ya kibinafsi. FZ-152).

Wakati wa kusindika data ya kibinafsi, mwendeshaji lazima achukue hatua zote muhimu za shirika na kiufundi ili kulinda data ya kibinafsi kutoka kwa ufikiaji usioidhinishwa au kwa bahati mbaya, uharibifu, urekebishaji, kuzuia, kunakili, usambazaji wa data ya kibinafsi, na pia kutoka kwa vitendo vingine visivyo halali.

Ni nini kinachohitajika kufanywa ili kulinda data ya kibinafsi?

Kwanza kabisa, inahitajika kuamua ni mifumo gani ya habari ya kibinafsi iliyopo na ni aina gani ya data ya kibinafsi inachakatwa ndani yao.

Uainishaji wa mfumo wa habari wa data ya kibinafsi

Ili kuelewa jinsi tatizo la ulinzi wa PD lilivyo muhimu, na pia kuchagua mbinu na mbinu muhimu za kulinda PD, opereta anahitaji kuainisha ISPD. Agizo la uainishaji limedhamiriwa kwa amri ya FSTEC ya Urusi, FSB ya Urusi na Wizara ya Habari na Mawasiliano ya Urusi No. 55/86/20 ya tarehe 13 Februari 2008.

Kwa hivyo, operator huunda tume (kwa amri ya mkuu wa shirika), ambayo, baada ya kuchambua data ya awali, hufanya uamuzi juu ya kuwapa ISPD darasa linalofaa. Wakati wa uainishaji, zifuatazo zinajulikana:

kitengo cha data ya kibinafsi iliyochakatwa;
kiasi cha data binafsi kusindika;
aina ya mfumo wa habari;
muundo wa mfumo wa habari na eneo la njia zake za kiufundi;
njia za usindikaji wa data ya kibinafsi;
njia za kuweka mipaka ya haki za ufikiaji wa mtumiaji;
upatikanaji wa miunganisho kwa mitandao ya umma na (au) mitandao ya kubadilishana habari ya kimataifa.

Kulingana na agizo No. 55/86/20, mifumo yote ya habari (IS) imegawanywa katika kiwango na maalum.

Mifumo ya kawaida ya habari ni mifumo ya habari inayohitaji tu kuhakikisha usiri wa data ya kibinafsi.

Mifumo maalum ya habari ni mifumo ya habari ambayo, bila kujali hitaji la kuhakikisha usiri wa data ya kibinafsi, ni muhimu kuhakikisha angalau moja ya sifa za usalama za data ya kibinafsi isipokuwa usiri (ulinzi kutoka kwa uharibifu, urekebishaji, kuzuia, na vile vile. kama vitendo vingine visivyoidhinishwa).

Kwa mazoezi, zinageuka kuwa hakuna mifumo ya kawaida ya habari, kwani katika hali nyingi, pamoja na usiri, ni muhimu pia kuhakikisha uadilifu na upatikanaji wa habari. Kwa kuongeza, mifumo maalum inapaswa kujumuisha:

mifumo ya habari ambayo data ya kibinafsi inayohusiana na hali ya afya ya masomo ya data ya kibinafsi inachakatwa;
mifumo ya habari ambayo hutoa kupitishwa, kwa msingi wa usindikaji wa kiotomatiki wa data ya kibinafsi, ya maamuzi ambayo hutoa matokeo ya kisheria kuhusiana na mada ya data ya kibinafsi au vinginevyo kuathiri haki na masilahi yake halali.

Kwa hivyo, kulingana na matokeo ya uchambuzi wa data ya awali, tume inapeana darasa linalolingana na mfumo wa data ya kibinafsi:

darasa la 1 (K1) - mifumo ya habari ambayo ukiukaji wa sifa maalum za usalama wa data ya kibinafsi iliyosindika ndani yao inaweza kusababisha matokeo mabaya makubwa kwa masomo ya data ya kibinafsi;

darasa la 2 (K2) - mifumo ya habari ambayo ukiukaji wa sifa maalum za usalama wa data ya kibinafsi iliyosindika ndani yao inaweza kusababisha matokeo mabaya kwa masomo ya data ya kibinafsi;

darasa la 3 (K3) - mifumo ya habari ambayo ukiukaji wa sifa maalum za usalama wa data ya kibinafsi iliyosindika ndani yao inaweza kusababisha matokeo mabaya madogo kwa masomo ya data ya kibinafsi;

darasa la 4 (K4) - mifumo ya habari ambayo ukiukaji wa sifa maalum za usalama wa data ya kibinafsi iliyosindika ndani yao haileti matokeo mabaya kwa masomo ya data ya kibinafsi.

Matokeo ya uainishaji yameandikwa katika Sheria ya Uainishaji wa ISPD, ambayo inaonyesha aina ya ISPD (ya kawaida, maalum), darasa lililopewa ISPD na masharti ambayo uamuzi ulifanywa.

Kama ilivyoelezwa tayari, uainishaji ni muhimu kwa uteuzi zaidi wa mbinu na njia za kulinda data ya kibinafsi iliyosindika katika ISPD, kwani nyaraka za FSTEC na FSB zinaanzisha kila darasa na mahitaji yake ya kulinda ISPD, ambayo tutazungumzia baadaye kidogo.

Idhini ya PD inategemea kuchakatwa

Ifuatayo, unahitaji kuendelea na usindikaji wa data hii, lakini kabla ya usindikaji wao ni halali, ni muhimu kupata idhini ya somo la data ya kibinafsi kwa usindikaji (sheria kwa hivyo inazuia ukusanyaji haramu na matumizi ya data ya kibinafsi):

Kifungu cha 6 cha Sheria ya Shirikisho-152:

Usindikaji wa data ya kibinafsi unaweza kufanywa na opereta kwa idhini ya masomo ya data ya kibinafsi, isipokuwa kwa kesi zifuatazo:

1) usindikaji wa data ya kibinafsi unafanywa kwa misingi ya sheria ya shirikisho inayoanzisha madhumuni yake, masharti ya kupata data ya kibinafsi na aina mbalimbali za masomo ambayo data ya kibinafsi inakabiliwa na usindikaji, pamoja na kufafanua mamlaka ya operator;

2) usindikaji wa data ya kibinafsi unafanywa kwa madhumuni ya kutimiza mkataba, moja ya vyama ambayo ni somo la data ya kibinafsi;

3) usindikaji wa data ya kibinafsi unafanywa kwa madhumuni ya takwimu au mengine ya kisayansi, chini ya kutokujulikana kwa lazima kwa data ya kibinafsi;

4) usindikaji wa data ya kibinafsi ni muhimu ili kulinda maisha, afya au maslahi mengine muhimu ya somo la data ya kibinafsi, ikiwa kupata idhini ya somo la data ya kibinafsi haiwezekani;

5) usindikaji wa data ya kibinafsi ni muhimu kwa utoaji wa vitu vya posta na mashirika ya posta, kwa waendeshaji wa mawasiliano ya simu kufanya malipo kwa watumiaji wa huduma za mawasiliano kwa huduma zinazotolewa, na pia kwa kuzingatia madai ya watumiaji wa huduma za mawasiliano;

6) usindikaji wa data ya kibinafsi unafanywa kwa madhumuni ya shughuli za kitaaluma za mwandishi wa habari au kwa madhumuni ya shughuli za kisayansi, fasihi au nyingine za ubunifu, mradi haki na uhuru wa somo la data binafsi hazivunjwa;

7) data ya kibinafsi chini ya kuchapishwa kwa mujibu wa sheria za shirikisho huchakatwa, ikiwa ni pamoja na data ya kibinafsi ya watu wanaoshikilia nyadhifa za serikali, nafasi katika utumishi wa umma wa serikali, data ya kibinafsi ya wagombea wa nafasi zilizochaguliwa za serikali au manispaa.

Kwa hivyo, ikiwa kesi yetu ya usindikaji wa data ya kibinafsi imetolewa katika Sehemu ya 2 ya Kifungu cha 6 cha Sheria ya Shirikisho Na. 152, basi kupata kibali sio lazima.

Inahitajika pia kuongozwa Kanuni ya Kazi, Sura ya 14. Kwa mfano, mwajiri ana haki ya kupokea na kuchakata data kuhusu maisha ya kibinafsi ya mfanyakazi tu kwa idhini yake iliyoandikwa ( Kifungu cha 86 sehemu ya 4 ya Kanuni ya Kazi).

Kulingana na Kifungu cha 9 cha Sheria ya Shirikisho-152 Inahitajika kupata idhini ya somo la data ya kibinafsi kwa usindikaji wa data yake ya kibinafsi kwa maandishi. Idhini iliyoandikwa ya somo la data ya kibinafsi lazima ijumuishe:

Jina la mwisho, jina la kwanza, patronymic, anwani ya somo la data ya kibinafsi, nambari ya hati kuu ya kuthibitisha utambulisho wake, taarifa kuhusu tarehe ya suala la hati maalum na mamlaka ya kutoa;

Jina (jina la mwisho, jina la kwanza, patronymic) na anwani ya operator kupokea kibali cha somo la data binafsi;

Kusudi la usindikaji wa data ya kibinafsi;

Orodha ya data ya kibinafsi kwa usindikaji ambayo idhini ya somo la data ya kibinafsi hutolewa;

Orodha ya vitendo na data ya kibinafsi ambayo idhini imepewa, maelezo ya jumla ya njia zinazotumiwa na operator kwa usindikaji data ya kibinafsi;

Kipindi ambacho idhini ni halali, pamoja na utaratibu wa uondoaji wake.

Kanuni za udhibiti wa utaratibu wa usindikaji na kulinda data ya kibinafsi

Kwa hivyo, opereta amepokea (ikiwa ni lazima) idhini ya usindikaji wa data ya kibinafsi - data ya kibinafsi inaweza kusindika. Lakini, kulingana na Kanuni ya Kazi Na FZ-152 ni muhimu kuendeleza (ikiwa ipo, kukamilisha kwa mujibu wa Sheria ya Shirikisho) kanuni inayosimamia utaratibu wa kuhifadhi, usindikaji na kulinda data ya kibinafsi. Wacha tuiite Udhibiti wa Kuhakikisha Usalama wa Takwimu za Kibinafsi. Udhibiti wa kuhakikisha usalama wa data ya kibinafsi ni hati ya ndani (ya ndani) ya shirika. Hakuna fomu kali kwa hati hii, lakini lazima ikidhi mahitaji TK Na FZ-152, na, kwa hivyo, inapaswa kuonyesha:

Udhibiti wa kuhakikisha usalama wa data ya kibinafsi imeidhinishwa na mkuu wa shirika au mtu aliyeidhinishwa naye na kutekelezwa kwa amri ya mkuu. Mwajiri analazimika kumjulisha mfanyakazi na Kanuni dhidi ya saini.

Orodha ya watu wanaoruhusiwa kuchakata data ya kibinafsi

Kwa kuongeza, ni muhimu kuteka orodha ya watu wanaoruhusiwa kusindika data ya kibinafsi, i.e. orodha ya wale (kwa nafasi) wanaohitaji ufikiaji wa data ya kibinafsi kutekeleza majukumu yao rasmi. Awali ya yote, hawa ni wafanyakazi wa huduma ya wafanyakazi, kwa vile wanakusanya na kuzalisha data kuhusu mfanyakazi, pamoja na wafanyakazi wa uhasibu. Kwa kuongezea, wakuu wa vitengo vya kimuundo (kwa mfano, wakuu wa idara) wanaweza kupata habari hii - na hii pia inahitaji kuonyeshwa kwenye orodha. Walakini, wote wana haki ya kuomba sio data yoyote, lakini ni zile tu ambazo ni muhimu kufanya kazi maalum za kazi (kwa mfano, kuhesabu faida za ushuru, idara ya uhasibu haitapokea habari zote kuhusu mfanyakazi, lakini data tu juu yake. idadi ya wategemezi wake). Kwa hiyo, ni vyema kuandika orodha ya rasilimali za habari ambazo watumiaji wanaruhusiwa.

Orodha ya watu walioidhinishwa kusindika data ya kibinafsi inaweza kutayarishwa kama kiambatisho kwa Kanuni za kuhakikisha usalama wa data ya kibinafsi au kama hati tofauti iliyoidhinishwa na meneja.

Arifa ya Roskomnadzor

Zaidi kwa mujibu wa Kifungu cha 22 FZ-152 Opereta, kabla ya kuanza usindikaji wa data ya kibinafsi, analazimika kuarifu mwili ulioidhinishwa kwa ulinzi wa haki za masomo ya data ya kibinafsi (leo hii ni Huduma ya Shirikisho ya Usimamizi wa Mawasiliano, Teknolojia ya Habari na Mawasiliano ya Misa (Roskomnadzor)) nia yake ya kuchakata data ya kibinafsi, isipokuwa kwa kesi zinazotolewa Sehemu ya 2 ya Kifungu cha 22 cha Sheria ya Shirikisho-152:

Opereta ana haki ya kuchakata data ya kibinafsi bila kuarifu shirika lililoidhinishwa kwa ulinzi wa haki za masomo ya data ya kibinafsi:

1) inayohusiana na masomo ya data ya kibinafsi ambao wana uhusiano wa ajira na operator;

2) iliyopokelewa na opereta kuhusiana na hitimisho la makubaliano ambayo mada ya data ya kibinafsi ni mhusika, ikiwa data ya kibinafsi haijasambazwa au kutolewa kwa watu wengine bila idhini ya mada ya data ya kibinafsi na inatumiwa na operator tu kwa ajili ya utekelezaji wa makubaliano maalum na hitimisho la mikataba na mada ya data binafsi;

3) inayohusiana na wanachama (washiriki) wa chama cha umma au shirika la kidini na kusindika na chama husika cha umma au shirika la kidini linalofanya kazi kwa mujibu wa sheria ya Shirikisho la Urusi, kufikia madhumuni halali yaliyotolewa na hati zao za kati, mradi tu data ya kibinafsi haitasambazwa bila idhini iliyoandikwa ya masomo ya data ya kibinafsi;

4) ambazo zinapatikana kwa umma data ya kibinafsi;

5) ikiwa ni pamoja na majina ya mwisho tu, majina ya kwanza na patronymics ya masomo ya data binafsi;

6) muhimu kwa madhumuni ya kuingia mara moja kwa mada ya data ya kibinafsi kwenye eneo ambalo operator iko, au kwa madhumuni mengine sawa;

7) iliyojumuishwa katika mifumo ya habari ya kibinafsi ambayo, kwa mujibu wa sheria za shirikisho, ina hadhi ya mifumo ya habari ya kiotomatiki ya shirikisho, na vile vile katika mifumo ya habari ya data ya kibinafsi iliyoundwa kulinda usalama wa serikali na utaratibu wa umma;

8) kusindika bila kutumia zana za otomatiki kwa mujibu wa sheria za shirikisho au vitendo vingine vya kisheria vya Shirikisho la Urusi ambavyo vinaweka mahitaji ya kuhakikisha usalama wa data ya kibinafsi wakati wa usindikaji wao na kwa kuheshimu haki za masomo ya data ya kibinafsi.

Mahitaji ya arifa yamebainishwa katika Sehemu ya 3 Kifungu cha 22 FZ-152. Fomu ya arifa ya usindikaji (ya nia ya kusindika) data ya kibinafsi inaweza kujazwa kielektroniki kwenye tovuti ya Roskomnadzor: http://rsoc.ru/personal-data/p181/

Sasa unaweza kuanza usindikaji wa data ya kibinafsi, wakati huo huo kutatua suala gumu zaidi na la shida - kuhakikisha usalama wa data ya kibinafsi wakati wa usindikaji wao.

Kuhakikisha usalama wa data ya kibinafsi wakati wa usindikaji wao

Hatua za kulinda taarifa ni za nguvu kazi na zinaweza kusababisha gharama kubwa za kifedha, kutokana na hitaji la:

Pata (ikiwa ni lazima) leseni ya shughuli zinazohusiana na ulinzi wa kiufundi wa taarifa za siri kutoka FSTEC ya Urusi;

Shirikisha mwenye leseni ya FSTEC ya Urusi kutekeleza hatua za kuunda mfumo wa ulinzi wa ISPD na/au uthibitishaji wake kulingana na mahitaji ya usalama wa habari;

Kutuma wafanyikazi kuwajibika kwa kuhakikisha usalama wa habari kwa kozi za mafunzo ya hali ya juu kuhusu maswala ya usalama wa habari na/au kuajiri wataalamu wa usalama wa habari;

Sakinisha njia za ulinzi wa taarifa (IPI) zilizoidhinishwa kulingana na mahitaji ya FSTEC, njia za ulinzi wa taarifa za siri (CIPF) zilizoidhinishwa na FSB, kulingana na darasa la ISPDn.

Baadhi ya mambo unaweza kufanya mwenyewe, lakini kwa wengine ni bora kuwaamini wataalam. Lakini ni muhimu kulinda data ya kibinafsi, kwa njia moja au nyingine.

Kifungu cha 19, Sheria ya Shirikisho-152:

Wakati wa kusindika data ya kibinafsi, mendeshaji analazimika kuchukua hatua muhimu za shirika na kiufundi kulinda data ya kibinafsi kutoka kwa ufikiaji usioidhinishwa au kwa bahati mbaya, uharibifu, urekebishaji, kuzuia, kunakili, usambazaji wa data ya kibinafsi, na pia kutoka kwa vitendo vingine visivyo halali.

"Kanuni za kuhakikisha usalama wa data ya kibinafsi wakati wa usindikaji wao katika mifumo ya habari ya kibinafsi" iliidhinishwa na Amri ya Serikali ya Shirikisho la Urusi No. 781 ya Novemba 17, 2007.
"Kanuni za upekee wa usindikaji wa data ya kibinafsi uliofanywa bila kutumia zana za automatisering" iliidhinishwa na Amri ya Serikali ya Shirikisho la Urusi No. 687 ya Septemba 15, 2008.
"Mahitaji ya vyombo vya habari vya nyenzo za data ya kibinafsi ya biometriska na teknolojia ya kuhifadhi data kama hiyo nje ya mifumo ya habari ya kibinafsi" iliidhinishwa na Amri ya Serikali ya Shirikisho la Urusi Nambari 512 ya Julai 6, 2008.
Mahitaji maalum na mapendekezo ya ulinzi wa kiufundi wa taarifa za siri (STR-K), iliyoidhinishwa na amri ya Tume ya Ufundi ya Jimbo la Urusi No. 282 ya Agosti 30, 2002 (DSP)
Mfano wa kimsingi wa vitisho kwa usalama wa data ya kibinafsi wakati wa usindikaji wao katika mifumo ya habari ya kibinafsi ya Februari 15, 2008 (Dondoo, wakati wa kuzingatia vitisho vya uvujaji wa habari kupitia njia za mionzi ya uwongo ya umeme na kuingiliwa (PEMIN), ni muhimu kutumia. toleo kamili la hati hii - DSP)
Mbinu ya kuamua matishio ya sasa kwa usalama wa data ya kibinafsi wakati wa usindikaji wao katika mifumo ya habari ya kibinafsi ya Februari 15, 2008 (Alama "kwa matumizi rasmi" iliondolewa na Uamuzi wa FSTEC wa Novemba 16, 2009)
Mapendekezo ya kuhakikisha usalama wa data ya kibinafsi wakati wa kuchakata katika mifumo ya taarifa ya data ya kibinafsi ya tarehe 15 Februari 2008 (Alama "kwa matumizi rasmi" iliondolewa na Uamuzi wa FSTEC wa Novemba 11, 2009)
Hatua kuu za kupanga na kuhakikisha usalama wa data ya kibinafsi iliyochakatwa katika mifumo ya taarifa ya data ya kibinafsi ya tarehe 15 Februari 2008 (Alama "kwa matumizi rasmi" iliondolewa na Uamuzi wa FSTEC wa Novemba 11, 2009)
Mapendekezo ya kimbinu ya kuhakikisha usalama wa data ya kibinafsi kwa kutumia zana za kriptografia wakati wa kuzichakata katika mifumo ya data ya kibinafsi kwa kutumia zana za otomatiki. FSB, Februari 21, 2008
Mahitaji ya kawaida ya kupanga na kuhakikisha utendakazi wa usimbaji fiche (cryptographic) inamaanisha iliyoundwa kulinda habari ambayo haina habari inayounda siri ya serikali katika kesi ya matumizi yao ili kuhakikisha usalama wa data ya kibinafsi wakati wa usindikaji wao katika mifumo ya habari ya kibinafsi. FSB, Februari 21, 2008

Hatutazingatia kwa undani mahitaji yote ambayo lazima yatimizwe ili kuhakikisha usalama wa data ya kibinafsi inapochakatwa katika ISPD - kuna mengi yao, na yanategemea sana ISPD maalum. Wacha tukae juu ya mambo kuu ambayo mara nyingi husababisha shida kwa waendeshaji.

Leseni - kupata au kutopata?

Sheria, pamoja na hati za FSTEC, zinatuambia yafuatayo:

Kifungu cha 16, sehemu ya 6 ya Sheria ya Shirikisho-149"Kuhusu habari, teknolojia ya habari na ulinzi wa habari" ya tarehe 27 Julai 2006:

Sheria za Shirikisho zinaweza kuweka vikwazo juu ya matumizi ya zana fulani za usalama wa habari na utekelezaji wa aina fulani za shughuli katika uwanja wa usalama wa habari.

Kifungu cha 17, sehemu ya 1, kifungu cha 11 cha Sheria ya Shirikisho-128"Katika utoaji wa leseni za aina fulani za shughuli" ya tarehe 8 Agosti 2001:

Kwa mujibu wa Sheria hii ya Shirikisho, aina zifuatazo za shughuli zinakabiliwa na leseni: shughuli za ulinzi wa kiufundi wa taarifa za siri.

Amri ya Serikali ya Shirikisho la Urusi No. 504"Katika shughuli za utoaji leseni kwa ulinzi wa kiufundi wa taarifa za siri" ya tarehe 15 Agosti 2006.

Ulinzi wa kiufundi wa habari ya siri inaeleweka kama seti ya hatua na (au) huduma za kuilinda dhidi ya ufikiaji usioidhinishwa, ikijumuisha kupitia njia za kiufundi, na pia kutokana na ushawishi maalum wa habari kama hiyo kwa madhumuni ya uharibifu wake, upotoshaji au kuzuia ufikiaji wa habari hiyo. ni.

Matukio kuu ya FSTEC

Kifungu cha 3.14

Kwa mujibu wa masharti ya Sheria ya Shirikisho Na. 128 "Juu ya leseni ya aina fulani za shughuli" na mahitaji ya Amri ya Serikali Na. 504 "Katika shughuli za utoaji leseni kwa ulinzi wa kiufundi wa taarifa za siri", waendeshaji wa ISPDn wakati wa kufanya hatua za kuhakikisha. usalama wa data ya kibinafsi (maelezo ya siri) wakati wa usindikaji wao katika madarasa ya ISPDn 1, 2 na 3 (mifumo iliyosambazwa) lazima ipate leseni ya kufanya shughuli za ulinzi wa kiufundi wa habari za siri kwa namna iliyowekwa.

Pia, mkuu wa idara ya FSTEC ya Urusi, Igor Grigorievich NAZAROV, alijibu swali kuhusu hitaji la leseni kwenye meza ya pande zote iliyoshikiliwa na jarida "Unganisha! Ulimwengu wa Mawasiliano" (http://www.connect.ru/article.asp?id=9406):

Swali: Je, waendeshaji wanaochakata data ya kibinafsi katika ISPD wanahitaji kupata leseni kwa ajili ya ulinzi wa kiufundi wa taarifa za siri?

Igor Nazarov: Kwa mujibu wa hati za FSTEC, leseni inahitajika kwa waendeshaji wa data ya kibinafsi ambao hufanya shughuli kama hizo kwa uhuru kwenye darasa la 1, mifumo ya habari ya darasa la 2 na mifumo ya usambazaji wa kijiografia ya darasa la 3, kama sheria, hizi ni mifumo mikubwa ya habari ya serikali. Wakati huo huo, kwa kliniki, kindergartens, maduka ya dawa, nk, na ISPD ya darasa la 3 na 4, kupata leseni hizo hazihitajiki.

Kwa mujibu wa Amri ya Serikali ya Shirikisho la Urusi ya tarehe 17 Novemba 2007 No. 781, ikiwa operator wa ISPDn anaingia katika makubaliano ya kufanya hatua zinazofaa kwa mujibu wa ulinzi wa habari (PD) na mtu aliyeidhinishwa - mwenye leseni ya FSTEC ya Urusi, hatakiwi kuwa na leseni.

Kwa hivyo, kwa mashirika madogo, badala ya kupata leseni ya FSTEC TZKI kutekeleza hatua za kuhakikisha usalama wa data ya kibinafsi (uundaji wa mfumo wa ulinzi wa ISPD, udhibitisho), itakuwa na gharama nafuu zaidi kuvutia leseni ya FSTEC, ambaye kutekeleza kazi zote muhimu.

Kwa mashirika makubwa (kama vile waendeshaji wa simu, benki kubwa, nk) ni faida zaidi kupata leseni mwenyewe na kufanya kazi zote muhimu.

Utaratibu wa kutoa leseni ya kufanya shughuli za ulinzi wa kiufundi wa habari za siri imedhamiriwa "Kanuni za shughuli za utoaji leseni kwa ulinzi wa kiufundi wa habari za siri"(iliyoidhinishwa na Amri ya Serikali ya Shirikisho la Urusi la Agosti 15, 2006 No. 504). Mahitaji ya kupata leseni:

a) uwepo wa wafanyikazi wa mwombaji leseni (mwenye leseni) wa wataalam ambao wana elimu ya juu ya taaluma katika uwanja wa usalama wa habari ya kiufundi au elimu ya juu au ya sekondari ya ufundi (kiufundi) na wamepitia mafunzo tena au mafunzo ya hali ya juu katika maswala ya usalama wa habari za kiufundi. ;

b) uwepo wa majengo ya mwombaji leseni (mwenye leseni) kwa ajili ya kufanya shughuli za leseni zinazozingatia viwango vya kiufundi na mahitaji ya ulinzi wa kiufundi wa habari iliyoanzishwa na vitendo vya kisheria vya Shirikisho la Urusi, na inayomilikiwa na yeye kwa haki ya umiliki au msingi mwingine wa kisheria;

c) uwepo, kwa msingi wowote wa kisheria, wa vifaa vya uzalishaji, upimaji na udhibiti ambao umepata uthibitisho wa metrological (calibration), kuashiria na uthibitisho kwa mujibu wa sheria ya Shirikisho la Urusi;

d) matumizi ya mifumo ya kiotomatiki ambayo inashughulikia habari za siri, na pia njia za kulinda habari ambayo imepitisha utaratibu wa tathmini ya ulinganifu (iliyothibitishwa na (au) kuthibitishwa kulingana na mahitaji ya usalama wa habari) kwa mujibu wa sheria ya Shirikisho la Urusi;

e) matumizi ya programu za kompyuta za kielektroniki na hifadhidata zinazokusudiwa kutekeleza shughuli zilizoidhinishwa kwa msingi wa makubaliano na mwenye hakimiliki;

f) upatikanaji wa vitendo vya kisheria vya udhibiti, nyaraka za udhibiti, mbinu na mbinu juu ya masuala ya ulinzi wa habari za kiufundi kwa mujibu wa orodha iliyoanzishwa na Huduma ya Shirikisho kwa Udhibiti wa Kiufundi na Nje.

Hatua za kuunda SZPDn

Kulingana na Matukio kuu kwa shirika na usaidizi wa kiufundi wa usalama wa data ya kibinafsi iliyochakatwa katika mifumo ya habari ya kibinafsi iliyotolewa na FSTEC, uundaji wa mfumo wa ulinzi wa data ya kibinafsi (PDPS) una hatua zifuatazo:

1 Hatua ya kabla ya mradi

1.1 ukaguzi wa kitu cha taarifa:

kuanzisha hitaji la kusindika PD katika ISPD;
uamuzi wa orodha ya data ya kibinafsi chini ya ulinzi;
kuamua hali ya eneo la ISPD kuhusiana na mipaka ya eneo lililodhibitiwa (CA);
uamuzi wa usanidi na topolojia ya ISPD kwa ujumla na vipengele vyake vya kibinafsi; miunganisho ya kimwili, kiutendaji na kiteknolojia ndani ya ISPD na mifumo mingine ya viwango na madhumuni mbalimbali;
uamuzi wa njia za kiufundi na mifumo inayotumiwa katika ISPD iliyolindwa, masharti ya eneo lao;
kitambulisho cha mfumo mzima, maalum na programu ya matumizi inayotumika katika ISPD iliyolindwa;
uamuzi wa hali ya usindikaji wa habari katika ISPD kwa ujumla na katika vipengele vya mtu binafsi;
kutekeleza uainishaji wa ISPD;
kuamua kiwango cha ushiriki wa wafanyikazi katika usindikaji (majadiliano, usafirishaji, uhifadhi) wa habari, asili ya mwingiliano wao na kila mmoja;
utambulisho na mkusanyiko wa orodha ya udhaifu na vitisho kwa usalama wa habari, tathmini ya umuhimu wa vitisho kwa usalama wa habari;
maendeleo ya mtindo wa tishio la kibinafsi.

1.2 maendeleo ya vipimo vya kiufundi kwa ajili ya kuundwa kwa SZPD, ambayo inapaswa kuwa na:

uthibitisho wa hitaji la kukuza SPDn;
data chanzo cha ISPD katika kiufundi, programu, habari na nyanja za shirika;
darasa la ISPDn;
kiungo kwa nyaraka za udhibiti, kwa kuzingatia ambayo SPPD itatengenezwa na ISPD kukubaliwa kufanya kazi;
maelezo ya shughuli na mahitaji ya SPDn;
orodha ya zana za usalama wa habari zilizothibitishwa zilizokusudiwa kutumika;
kuhalalisha uundaji wa zana zetu za usalama wa habari ikiwa haiwezekani au haiwezekani kutumia zana za usalama wa habari zilizoidhinishwa zinazopatikana kwenye soko;
muundo, yaliyomo na muda wa kazi katika hatua za maendeleo na utekelezaji wa SPDn.

2. Hatua ya kubuni na utekelezaji wa SZPDn

2.1 maendeleo ya mradi wa kuundwa kwa SZPDn;

2.2 maendeleo ya hatua za shirika na kiufundi ili kulinda habari kulingana na mahitaji;

2.3 ununuzi wa zana za usalama wa habari zilizoidhinishwa;

2.4 uundaji na utekelezaji wa mfumo wa vibali vya ufikiaji wa watumiaji na wafanyikazi kwa habari iliyochakatwa katika ISPD;

2.5 ufungaji na usanidi wa vifaa vya habari na habari;

2.6 kitambulisho cha idara na watu wanaohusika na uendeshaji wa njia za usalama wa habari, mafunzo ya watu walioteuliwa katika maalum ya kazi ili kulinda data ya kibinafsi;

2.7 maendeleo ya nyaraka za uendeshaji kwa ISPD na zana za usalama wa habari, pamoja na nyaraka za shirika na utawala kwa usalama wa habari (kanuni, amri, maelekezo na nyaraka zingine);

2.8 utekelezaji wa hatua nyingine zinazolenga kulinda taarifa.

3. Hatua ya kuanzisha SZPDn

3.1 Uendeshaji wa majaribio wa zana za usalama wa habari pamoja na maunzi na programu zingine ili kujaribu utendakazi wao kama sehemu ya ISPD;

3.2 vipimo vya kukubalika vya vifaa vya usalama wa habari kulingana na matokeo ya uendeshaji wa majaribio na utekelezaji wa cheti cha kukubalika;

3.3 tathmini ya kufuata kwa ISPD na mahitaji ya usalama wa habari - uthibitishaji (tamko) kulingana na mahitaji ya usalama wa habari.

4. Matengenezo na usaidizi wa mfumo wa usalama wa habari

Nyaraka za shirika na za kiutawala kwa ulinzi wa data ya kibinafsi

Kwa kuongezea suluhisho za kiufundi za mfumo wa ulinzi wa data ya kibinafsi unaoundwa, mwendeshaji lazima ahakikishe maendeleo ya hati za shirika na za kiutawala ambazo zitasimamia maswala yote yanayoibuka yanayohusiana na kuhakikisha usalama wa data ya kibinafsi wakati wa usindikaji wao katika ISPD na uendeshaji wa data ya kibinafsi. chama cha SPPD. Kuna hati nyingi kama hizi, kuu ni:

1. Kanuni za kuhakikisha usalama wa data binafsi - mwanzoni mwa makala sisi tayari kuguswa juu ya madhumuni na muundo wa hati hii. Ikiwezekana, tunarudia - inapaswa kuonyesha:

Malengo na madhumuni katika uwanja wa ulinzi wa data ya kibinafsi;

Dhana na muundo wa data ya kibinafsi;

Katika vitengo gani vya kimuundo na kwenye media gani (karatasi, elektroniki) data hii imekusanywa na kuhifadhiwa;

Jinsi data ya kibinafsi inakusanywa na kuhifadhiwa;

Jinsi zinavyochakatwa na kutumiwa;

Nani (kwa nafasi) ndani ya kampuni anaweza kuzifikia;

Kanuni za ulinzi wa data binafsi, ikiwa ni pamoja na kutoka kwa ufikiaji usioidhinishwa;

Haki za wafanyikazi kuhakikisha ulinzi wa data zao za kibinafsi;

Wajibu wa kufichua habari za siri zinazohusiana na data ya kibinafsi ya wafanyikazi.

2. Kupanga mfumo wa uandikishaji na usajili wa watu walioidhinishwa kufanya kazi na PD katika ISPD, - Orodha ya watu walioidhinishwa kushughulikia PD (orodha kwa nafasi ya wale wanaohitaji kupata PD kutekeleza majukumu rasmi) na Matrix ya Upataji. (inapaswa kutafakari mamlaka ya watumiaji kufanya vitendo maalum kuhusiana na rasilimali maalum za habari za ISPD - kusoma, kuandika, kurekebisha, kufuta). Hati zote mbili zimeidhinishwa na meneja.

3. Mfano wa tishio la kibinafsi (ikiwa kuna ISDN kadhaa, basi mfano wa tishio hutengenezwa kwa kila mmoja wao) - hutengenezwa kulingana na matokeo ya uchunguzi wa awali. FSTEC ya Urusi inatoa Mfano wa msingi vitisho kwa usalama wa data ya kibinafsi wakati wa usindikaji wao katika mifumo ya habari ya kibinafsi, kulingana na ambayo wakati wa kuunda mfano wa kibinafsi yafuatayo inapaswa kuzingatiwa:

Vitisho vya uvujaji wa habari kupitia njia za kiufundi;

Vitisho vya ufikiaji usioidhinishwa vinavyohusishwa na vitendo vya wakiukaji ambao wanaweza kufikia ISPD na kutekeleza vitisho moja kwa moja katika ISPD. Katika kesi hii, ni muhimu kuzingatia watumiaji wa kisheria wa ISPD kama wakiukaji wanaowezekana;

Vitisho vya ufikiaji usioidhinishwa vinavyohusishwa na vitendo vya wakiukaji ambao hawana ufikiaji wa ISPD, kutekeleza vitisho kutoka kwa mitandao ya nje ya mawasiliano ya umma na (au) mitandao ya kimataifa ya kubadilishana habari.

Mfano wa tishio uliotengenezwa unaidhinishwa na meneja.

4. Kulingana na mtindo wa tishio wa ISPD ulioidhinishwa, ni muhimu kuendeleza mahitaji ili kuhakikisha usalama wa data ya kibinafsi inapochakatwa katika ISPD. Mahitaji, kama modeli ya tishio, ni hati huru ambayo lazima iidhinishwe na mkuu wa shirika.

Ili kuunda mfano wa vitisho na mahitaji, ni vyema kwa opereta kuhusisha wataalamu kutoka kwa mashirika yenye leseni ya FSTEC.

5. Maagizo kuhusu kuhakikisha usalama wa data ya kibinafsi wakati wa usindikaji wao katika ISPD.

Kwa kuongeza, kabla ya kutekeleza hatua zote za kulinda data ya kibinafsi, operator lazima ateue afisa au (ikiwa mfumo wa habari ni wa kutosha) kitengo cha kimuundo kinachohusika na kuhakikisha usalama wa data ya kibinafsi. Uamuzi juu ya uteuzi ni rasmi kwa amri ya mkuu. Kazi, kazi na mamlaka ya afisa (kitengo) anayehusika na kuhakikisha usalama wa PD hutambuliwa na hati za ndani za shirika na utawala (maelezo ya kazi, kanuni).

Ni nini kinachohitajika kuthibitishwa na ni nini sio?

Mara nyingi kuna maoni potofu kwamba programu zote zinazotumiwa lazima zidhibitishwe, na uthibitishaji ni wa gharama kubwa na unatumia wakati.

Hata hivyo, hakuna hati yoyote inayodhibiti masuala ya ulinzi wa data ya kibinafsi inasema kwamba programu zote lazima zidhibitishwe. Vyombo vya usalama wa habari lazima vidhibitishwe kulingana na mahitaji ya FSTEC ya Urusi, lakini sio mfumo, programu au programu maalum ambayo haihusiki katika ulinzi wa ISPD.

Igor Nazarov:...uidhinishaji wa kufuatilia kukosekana kwa kutotii maelezo ya kutofuata unahusu utendakazi wa usalama, haswa hatua za usalama, na sio programu zote zinazotumika katika mfumo wa habari (http://www.connect.ru/article.asp ?id=9406).

Leo, hati za FSTEC, ambazo zinaweza kutazamwa kwenye tovuti ya Huduma ya Shirikisho kwa Udhibiti wa Kiufundi na Usafirishaji, tuambie yafuatayo juu ya suala hili:

ISPD lazima itumie njia za kiufundi na mifumo ya ulinzi pekee iliyoidhinishwa kulingana na mahitaji ya usalama wa habari.

Matukio kuu…

Kifungu cha 4.2:...ISPD lazima ifuatilie uwepo wa uwezo ambao haujatangazwa katika programu na maunzi na kuchanganua usalama wa mfumo na programu za programu.

Kifungu cha 4.3: Kwa programu inayotumiwa kulinda taarifa katika ISPD (zana za usalama wa habari, ikiwa ni pamoja na zile zilizojumuishwa katika mfumo mzima na programu ya utumaji), kiwango kinachofaa cha udhibiti wa kutokuwepo kwa data ya kutotii ndani yake lazima ihakikishwe.

Kwa hivyo, hakuna haja ya kuthibitisha mfumo na programu ya maombi ikiwa haihusiki katika mchakato wa usalama wa habari - hii inaweza kufanyika kwa ombi la operator.

Mazoezi ya kuunda mifumo ya ulinzi wa data ya kibinafsi inaonyesha kuwa ni muhimu kutumia programu iliyoidhinishwa (mfumo, programu na programu maalum) na usalama wa habari ulioidhinishwa na zana za ulinzi dhidi ya virusi (hii inaweza kuwa habari ya usalama wa habari kutoka kwa data ya kibinafsi, bidhaa za antivirus. , ngome, zana za kugundua uvamizi, zana za uchambuzi wa usalama , zinazolingana na darasa maalum). Ikiwa zana za usalama wa habari za cryptographic (CIPF) zimewekwa katika ISPD, basi lazima pia zidhibitishwe kulingana na mahitaji ya FSB ya Urusi.

Ikumbukwe kwamba mwenye leseni ya FSTEC pekee ndiye ana haki ya kusakinisha taarifa za usalama wa taarifa zilizoidhinishwa, na mwenye leseni ya FSB ana haki ya kusakinisha CIPF.

Uthibitisho

Hatua ya mwisho ya kuunda mfumo wa ulinzi wa ISPD inapaswa kuwa cheti (tamko la kufuata) - seti ya hatua za shirika na kiufundi, kama matokeo ambayo, kupitia hati maalum - Cheti cha Kuzingatia (Hitimisho), inathibitishwa kuwa ISPD inakidhi mahitaji ya viwango au hati zingine za udhibiti na mbinu juu ya usalama wa habari. Kuwa na Cheti halali cha Makubaliano kunatoa haki ya kuchakata taarifa kwa kiwango kinachofaa cha usiri kwa muda uliowekwa katika Cheti cha Makubaliano.

Swali: Ni nani anayeweza kuthibitisha mahali pa kazi kwa kufuata mahitaji ya sheria na hati za udhibiti katika uwanja wa data ya kibinafsi?

Igor Nazarov: Wamiliki wa leseni wa FSTEC ambao wana leseni ya kufanya kazi katika ulinzi wa kiufundi wa taarifa za siri wana haki ya kuidhinisha ISPDn kwa kufuata mahitaji ya usalama wa habari (http://www.connect.ru/article.asp?id=9406).

Uthibitisho hutoa ukaguzi wa kina (vipimo vya uthibitisho) wa chanzo cha data ya habari chini ya hali halisi ya uendeshaji ili kutathmini kufuata kwa seti iliyopitishwa ya hatua za ulinzi na kiwango kinachohitajika cha usalama wa data ya kibinafsi.

Kwa ujumla, udhibitisho wa ISPD kulingana na mahitaji ya usalama wa habari ni pamoja na hatua zifuatazo:

Uchambuzi wa data ya awali kwenye ISPD iliyoidhinishwa;

Kufanya uchunguzi wa mtaalam wa mifumo ya habari na uchambuzi wa nyaraka zilizotengenezwa ili kuhakikisha usalama wa data ya kibinafsi kwa kufuata mahitaji ya nyaraka za udhibiti na mbinu;

Kufanya majaribio ya kina ya udhibitisho wa ISPD katika hali halisi ya uendeshaji kwa kutumia vifaa maalum vya ufuatiliaji na programu kwa ajili ya ufuatiliaji wa usalama dhidi ya ufikiaji usioidhinishwa;

Uchambuzi wa matokeo ya majaribio changamano ya uthibitishaji, utayarishaji na uidhinishaji wa Hitimisho na Cheti cha Makubaliano kulingana na matokeo ya uidhinishaji.

Jambo muhimu ni kwamba katika tukio la mabadiliko katika hali na teknolojia ya usindikaji PD, operator analazimika kujulisha shirika la leseni ambalo lilifanya uthibitisho wa PD. Baada ya hapo shirika la mwenye leseni huamua juu ya haja ya kufanya uthibitishaji wa ziada wa ufanisi wa mfumo wa ulinzi wa ISPD.

Wajibu na hatari kwa kushindwa kuzingatia mahitaji ya kisheria

Ikiwa mahitaji ya kuhakikisha usalama wa data ya kibinafsi haipatikani, operator anaweza kukabiliana na hatari ya madai ya kiraia kutoka kwa wateja au wafanyakazi.

Ambayo, kwa upande wake, inaweza kuathiri sifa ya kampuni, na pia kusababisha kusimamishwa kwa lazima (kusitishwa) kwa usindikaji wa PD, kuleta kampuni na (au) meneja wake kwa usimamizi au aina zingine za dhima, na, chini ya hali fulani, kusimamishwa au kufutwa kwa leseni. Kwa kuongezea, kulingana na Sheria ya Shirikisho, watu walio na hatia ya kukiuka mahitaji wanabeba dhima ya kiraia, jinai, kiutawala, kinidhamu na dhima zingine zinazotolewa na sheria ya Shirikisho la Urusi ( Kifungu cha 24 FZ-152):

Nidhamu (Kanuni ya Kazi ya Shirikisho la Urusi, vifungu 81, 90, 195, 237, 391);

Utawala (Kanuni ya Shirikisho la Urusi juu ya Makosa ya Utawala, vifungu 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);

Jinai (Kanuni ya Jinai ya Shirikisho la Urusi, vifungu 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).

Juni 9, 2011 saa 05:20

Mazoezi ya ulinzi wa data ya kibinafsi

Usalama wa Habari

Mfumo wa usalama wa habari wa ndani NSD

SZI NSD ni kifupi cha njia ya kulinda habari kutoka kwa ufikiaji usioidhinishwa. Inatumika kuzuia vitendo visivyoidhinishwa na watumiaji ambao wanaweza kufikia vituo vya kazi vya ISPD. Ni pamoja na njia kama vile udhibiti wa upakiaji kutoka kwa media inayoweza kutolewa (viendeshi vya CD/DVD, viendeshi vya flash), udhibiti wa kifaa (ili usiweze kuunganisha kiendeshi cha kushoto na habari inayovuja), utekelezaji wa udhibiti wa lazima wa ufikiaji (hauhitajiki kwa ISPD). Nitatoa tu zana hizo ambazo nimefanya kazi nazo kibinafsi:
1) Wavu wa Siri. Inaweza kutolewa na au bila bodi ya kudhibiti mzigo. Inafanya kazi kupitia secpol.msc, kwa hivyo huenda isifanye kazi kwenye matoleo ya Nyumbani (Nyumbani hakika haifanyi kazi kwenye Windows XP, na bado sijajaribu Vista na Windows 7). Rahisi kutumia, ina utaratibu bora wa kudhibiti kifaa ambao nimewahi kuona. Kuna toleo la mtandao lililoundwa kwa ajili ya kuunganishwa katika muundo wa kikoa.
2) Mlezi NT. Utaratibu bora wa udhibiti wa ufikiaji wa lazima. Ni vigumu zaidi kufanya kazi (kutokana na ukweli kwamba baadhi ya taratibu za ulinzi haziwezi kuzimwa). Hakuna toleo la mtandaoni.
3) Dallas Lock. Inapoteza katika vigezo vyote vilivyojadiliwa hapo awali, isipokuwa kwa uwezekano wa kupelekwa kwa kawaida kwa chaguo la mtandao katika mtandao usio na kikoa.
Kama jina linamaanisha, zana hizi hutumiwa kwenye mashine za ndani. Hakuna cha kuongeza hapa.

Firewalls

Kusudi, nadhani, ni wazi. Kwa kuongeza, ikiwa ISPD moja imegawanywa katika sehemu mbili na firewall, basi wanaweza kuitwa ISPD mbili tofauti. Kwa ajili ya nini? Ikiwa utaanguka katika darasa la kwanza kwa usahihi na idadi ya masomo ya data ya kibinafsi iliyochakatwa, basi kwa kugawanya ISPD katika sehemu mbili, utapunguza idadi ya masomo yaliyochakatwa katika kila ISPD na hautapata tena K1, lakini K2. Hivi sasa kuna firewalls kadhaa zilizoidhinishwa kwenye soko:
1) VipNet Binafsi Firewall. Firewall ya kibinafsi tu, bila frills yoyote maalum. Inadhibitiwa ndani ya nchi pekee. Hakuna utaratibu wa udhibiti wa kati. Ili kuianzisha inahitaji nenosiri, ikiwa huiingizii, haitaanza.
2) Firewall ya Ofisi ya VipNet. Kitu kimoja, lakini inasaidia kadi kadhaa za mtandao, ambayo inaruhusu kuwekwa kwenye lango na kutumika kwa sehemu ya ISPD.
3) SSPT-2. Programu na tata ya vifaa huendesha FreeBSD, lakini hakuna mtu atakayekuwezesha kufikia OS yenyewe. Inafanya kazi haraka na inasaidia kuchuja kwa vigezo vingi. Ina kipengele kisichofurahi - sheria zinatumika katika orodha kutoka juu hadi chini, na sheria ziko juu zina kipaumbele cha juu. Hii haijaonyeshwa kwenye hati; iligunduliwa kwa majaribio. Inadhibitiwa kutoka kwa kiweko cha ndani na kupitia kiolesura cha wavuti.
4) APKSh "Bara". Kwa ujumla, hii sio firewall, lakini router ya crypto, lakini kwa kazi za firewall. Usanifu sawa na SSPT-2, lakini hakuna udhibiti kutoka kwa console ya ndani - tu kupitia console maalum ya msimamizi. Kwa kuongeza, wakati wa usanidi wa awali lazima ueleze kiolesura ambacho kompyuta ya msimamizi itaunganishwa.
Kwa kuongezea, Msimbo wa Usalama ulitoa bidhaa mbili zaidi - ITU+ HIPS "Ulinzi wa Mwisho wa Studio ya Usalama" na Ufikiaji wa Uaminifu, mfumo wa ngome uliosambazwa ambao unachanganya uwekaji moto na kugawanya kwa kutumia uthibitishaji wa Kerberos. Kwa kuwa sijalazimika kufanya kazi na bidhaa hizi, nitatoa tu viungo vya maelezo yao:
TrustAccess
SEP
Kwa kuongezea, utengenezaji wa bidhaa nyingine ulithibitishwa - Stonegate Firewall/VPN. Bidhaa ya kampuni ya Kifini Stonesoft. Pia inakuja na moduli ya usimbaji ya CryptoPRO iliyoambatishwa kwayo, ambayo hukuruhusu kuitumia kama suluhisho la VPN lililoidhinishwa.

CIPF

Pia ni njia za ulinzi wa siri. Kwa kuongezea Stonegate Firewall/VPN iliyotajwa tayari, kuna suluhisho mbili zaidi za VPN:
1) VipNet Desturi. Ni tata ya Msimamizi wa VipNet - programu ya usimamizi, Mratibu wa VipNet - seva ya VPN yenye kazi za ngome, na Mteja wa VipNet - mteja wa VPN na ngome. Programu ya usimamizi inatumika tu kutengeneza funguo na vyeti; kudhibiti mipangilio ya ngome inawezekana tu ndani ya nchi. RDP iliyojengewa ndani pekee ndiyo inaweza kusaidia katika usimamizi. Hii ni pamoja na mjumbe wa ndani na barua pepe ya ndani. Faida pekee ni kwamba ni suluhisho la programu tu ambalo linaweza kuunganishwa kwa urahisi katika miundombinu iliyopo.
2) APKSh "Bara". Kimsingi, tayari nimesema juu yake. Nitaongeza tu kwamba toleo la hivi punde la mteja (Bara-AP) lina kazi za ngome, na hata kuna mteja wa Linux. Lango la crypto wenyewe linasimamiwa tu kutoka kwa koni ya msimamizi, lakini kwa mbali. Inafaa pia kutaja kuwa usanidi wa awali (yaani, kuhamisha usanidi wa mtandao na funguo kwenye lango la crypto) hufanyika ndani ya nchi, kwa kulisha gari la flash na habari zote muhimu. Ikiwa ulifanya makosa wakati wa kuunda usanidi na tayari umetuma lango la crypto kwa sehemu ya mbali, basi hautaweza kuunganishwa nayo kwa mbali na kurekebisha chochote; itabidi utengeneze usanidi tena na kwa njia fulani uhamishe kwa sehemu ya mbali.

Kimsingi, hapa kuna maelezo mafupi ya bidhaa zote za ulinzi zilizoidhinishwa ambazo najua. Natumai habari hii itakuwa muhimu kwa jamii.