Thực đơn
trang chủĐiện thoại

Các phương pháp bảo vệ dữ liệu cá nhân của người dùng. Chọn công cụ bảo vệ dữ liệu cá nhân

Một tập hợp các biện pháp có tính chất khác nhau, được thực hiện để chủ động chống lại khả năng truy cập trái phép vào dữ liệu cá nhân, bao gồm các biện pháp quản lý, bảo vệ phần cứng hiệu quả, tạo thành nền tảng cho Hệ thống bảo vệ dữ liệu cá nhân (PDPS) hoạt động hiệu quả.

Mục tiêu của việc giới thiệu một bộ biện pháp hoạt động đáng tin cậy là:

Tuân thủ chính xác các yêu cầu của cơ quan quản lý về việc tuân thủ các quy định của Luật Liên bang “Về bảo vệ dữ liệu cá nhân”, các quy định của luật pháp đã được phê duyệt nhằm đảm bảo mức độ bảo mật phù hợp cho dữ liệu cá nhân được sử dụng;

Xây dựng hướng dẫn quy định việc thực hiện các quy tắc nhất định khi chuyển đổi dữ liệu cá nhân đã sử dụng, đảm bảo sự bảo vệ của chúng.

  • Những vấn đề cần giải quyết
  • Thiết bị sử dụng
  • Lĩnh vực ứng dụng

Việc phát triển và triển khai hệ thống bảo vệ dữ liệu cá nhân (PDSDS) là một chuỗi các hoạt động quản lý và kỹ thuật nhằm đảm bảo bảo vệ toàn diện thông tin được công nhận Luật liên bang từ ngày 27/07. Dữ liệu cá nhân 2006 N 152-FZ.

Nhà điều hành, là các cơ quan chính phủ và doanh nghiệp thương mại thực hiện các hoạt động với dữ liệu cá nhân, quan tâm đến việc xử lý an toàn, từ đó nhận ra sự cần thiết phải triển khai hệ thống bảo vệ.

Có tính đến kinh nghiệm tích lũy trong quá trình thực hiện các dự án tạo SZPDn, có thể xác định được một số lợi thế quan trọng từ việc triển khai hệ thống:

Trước hết là giảm thiểu triệt để rủi ro pháp lý và uy tín phát sinh từ việc không tuân thủ. pháp luật hiện hành liên quan đến sự an toàn của dữ liệu cá nhân.

Điểm quan trọng thứ hai là việc xây dựng hệ thống bảo vệ dựa trên cơ sở khoa học cho phép bạn xử lý dữ liệu cá nhân của nhân viên và khách hàng mà không lo sợ cho sự an toàn của họ. Điều này có thể trở thành lợi thế cạnh tranh mạnh mẽ khi làm việc với thông tin bí mật của cá nhân và thông tin chỉ dành cho mục đích sử dụng chính thức (nội bộ). Một hệ thống bảo vệ an ninh được xây dựng tốt sẽ dễ dàng đối phó với các mối đe dọa phổ biến nhất - nó ngăn chặn tác động của phần mềm độc hại, ngăn chặn hành vi trộm cắp cơ sở dữ liệu khách hàng, điều thường được các nhân viên bị sa thải thực hiện.

Yếu tố thứ ba thúc đẩy việc triển khai PPSD hiệu quả là việc tạo ra hình ảnh của công ty về một đối tác đáng tin cậy, người có thể tin cậy để đảm bảo tính bảo mật của dữ liệu cá nhân.

Như các nhà phân tích chỉ ra, những vụ bê bối thường xuyên liên quan đến rò rỉ thông tin bí mật, buộc bạn phải chú ý đến hệ thống bảo mật khi lựa chọn đối tác đối tác. Các thỏa thuận hợp tác hoặc điều kiện đấu thầu đã trở nên phổ biến, đòi hỏi SPD phải tuân thủ các quy định hiện hành bằng văn bản.

Chúng ta không nên quên rằng một PPSD hiệu quả sẽ đảm bảo tính liên tục của tất cả các quy trình kinh doanh trong chính công ty, loại bỏ khả năng xảy ra khiếu nại của khách hàng, khiếu nại chính đáng của nhân viên và mệnh lệnh đe dọa từ các cơ quan giám sát theo quy định.

Các giai đoạn công việc để tuân thủ 152-FZ

1. Kiểm kê, phân tích đầy đủ về trạng thái cấu trúc thông tin liên quan đến việc xử lý dữ liệu cá nhân.

Việc kiểm tra trước dự án như vậy cung cấp thông tin khách quan về các quy trình liên quan đến việc xử lý dữ liệu cá nhân trong công ty và các biện pháp bảo vệ chúng. Các chuyên gia về Tầm nhìn Mở ở bắt buộc tất cả các tài liệu chính thức đều được kiểm tra, tính thường xuyên của các hoạt động được phát triển để tuân thủ các yêu cầu của khung pháp lý liên quan đến bảo mật dữ liệu được sử dụng trong công việc truy cập hạn chế.

2. Tạo ra khái niệm về hệ thống bảo mật được sử dụng để bảo vệ dữ liệu cá nhân, cung cấp cho khách hàng những khuyến nghị hợp lý để tối ưu hóa việc xử lý dữ liệu cá nhân và đảm bảo an toàn cho thông tin bí mật.

Ở giai đoạn làm việc này, các chuyên gia có trình độ sẽ đánh giá những lựa chọn khả thi thực hiện dự án, xác định điểm khởi đầu cho việc thực hiện dự án, thiết lập hạn chế nhất định theo quy mô dự án đang triển khai. Các vấn đề chính được xác định và cơ sở lý luận cho các giải pháp đề xuất được tạo ra. Khách hàng nhận được danh sách các thành phần phần mềm và phần cứng của hệ thống an toàn thông tin đang được phát triển, kèm theo thông tin bắt buộc về chi phí cho từng hạng mục.

3. Làm rõ mức độ thực sự bảo mật PD

Trong quá trình làm việc được xác định loại có thể các mối đe dọa đối với dữ liệu cá nhân được bảo vệ, có tham chiếu đến một hệ thống thông tin cụ thể, thành phần dự kiến ​​của dữ liệu cá nhân và số lượng đối tượng có thể có sẽ được chỉ định. Có tính đến toàn bộ khối lượng thông tin nhận được, trạng thái thực của hệ thống bảo mật dữ liệu cá nhân sẽ được xác định.

4. Phát triển mô hình mối đe dọa có thể cho hệ thống bảo mật PD, tạo mô hình kẻ tấn công

Tài liệu được cung cấp cho khách hàng là danh sách có hệ thống các mối đe dọa có thể xảy ra đối với tính bảo mật của dữ liệu cá nhân khi làm việc với họ trong hệ thông thông tinà dữ liệu cá nhân (ISPDn). Các mối đe dọa đối với tính bảo mật của dữ liệu cá nhân (PDS) có thể phát sinh do hành động cố ý hoặc vô tình của các cá nhân, hoạt động của các cơ quan tình báo nước ngoài hoặc các tổ chức chuyên gián điệp, các nhóm tội phạm chuyên biệt chuẩn bị tấn công bảo mật PD sẽ ảnh hưởng đến các quyền và quyền tự do của cả xã hội và nhà nước hoặc công dân.

5. Xây dựng Điều khoản tham chiếu cho việc xây dựng SZPDn

Thông số kỹ thuật cụ thể để xây dựng cấu trúc thông tin cụ thể của hệ thống bảo vệ dữ liệu xác định mục đích của nó, các mục tiêu theo đuổi, các yêu cầu hỗ trợ kỹ thuật và tổ chức, kế hoạch phát triển và tạo trực tiếp hệ thống bảo vệ dữ liệu.

6. Tạo dự án SZPDn

Tài liệu dự án được tạo ở giai đoạn triển khai SPDn này cung cấp cho công việc có tính đến các tiêu chuẩn về bảo mật dữ liệu với quyền truy cập hạn chế theo quy định.

7. Xây dựng tài liệu tổ chức và hành chính

Bộ tài liệu quy định các quy tắc xử lý và bảo vệ dữ liệu cá nhân bao gồm hàng chục quy định hành chính và tổ chức cần thiết để đảm bảo tất cả các quy trình làm việc và an toàn dữ liệu cá nhân tuân thủ các tiêu chuẩn của pháp luật hiện hành.

8. Cung cấp công cụ bảo mật thông tin phần mềm và phần cứng

Khách hàng được cung cấp các phần mềm và phần cứng để triển khai SPDn, đã được kiểm tra và tuân thủ các yêu cầu của pháp luật Liên bang Nga về các biện pháp bảo mật thông tin.

9. Lắp đặt, cấu hình thiết bị bảo vệ thông tin

TRÊN ở giai đoạn này thực hiện lắp đặt thiết bị SZPDn phần mềm, với các cài đặt thích hợp. Kết quả của công việc được thực hiện là khách hàng sẽ nhận được một bộ hệ thống bảo vệ thông tin tương thích với hệ thống đã sử dụng cấu trúc thông tinđể làm việc với PD.

10. Đánh giá hiệu quả của các biện pháp được thực hiện để tạo bảo vệ hiệu quả dữ liệu cá nhân

Việc xác định tính hiệu quả của các biện pháp bảo mật đã phát triển đối với dữ liệu bị hạn chế được thực hiện trước khi đưa hệ thống bảo vệ dữ liệu vào hoạt động. Việc kiểm tra kiểm soát hệ thống vận hành trong các công trình thương mại phải được thực hiện 3 năm một lần.

11. Chứng nhận ISPD đã qua sử dụng tuân thủ yêu cầu an toàn thông tin hiện đại

Chứng nhận ISPD bao gồm một bộ kiểm tra tổ chức và kỹ thuật (kiểm tra chứng nhận) nhằm xác nhận việc tuân thủ các yêu cầu bảo mật thông tin. Dành cho các tổ chức chính phủ.

Một trong những phân khúc đang phát triển nhanh chóng của thị trường CNTT trong nước là thương mại trực tuyến, nhờ tính dễ thực hiện về mặt kỹ thuật. của dự án này, minh bạch các quy trình kinh doanh. Thương mại điện tửđược công nhận là một loại hình kinh doanh hiệu quả và đầy hứa hẹn.


Vấn đề bảo mật thông tin cho doanh nghiệp trên Internet không hề mất đi tính phù hợp mà trái lại, ngày càng có nhiều tin tặc tấn công về các tổ chức tài chính lớn nhất, việc đầu tư số tiền khổng lồ vào hệ thống bảo mật đòi hỏi phải có hành động kịp thời. Đây là cách để đạt được điều này và ở mức chi phí có thể chấp nhận được.


Nhiều người, đặc biệt là ở giai đoạn đầu, không có cơ hội thu được số tiền đáng kể từ doanh thu bằng cách đầu tư vào hệ thống bảo mật thông tin. Kinh doanh mới, có thể " đá dưới nước» chưa được biết đến và các đặc điểm cụ thể của hoạt động kinh doanh trên Internet đòi hỏi phải thay đổi liên tục.


Kết quả là, một hệ thống bảo mật được tạo ra, nhưng nó được phát triển “thông qua người quen” hoặc đặt hàng cho một người làm nghề tự do, trong kịch bản hay nhất studio web đã đăng ký chính thức. Đã mua lại rồi giải pháp làm sẵn nó cũng không thể được coi là cung cấp mức độ bảo mật nghiêm túc vì có nhiều câu hỏi về việc tích hợp nó vào cơ sở hạ tầng CNTT hiện có.


Hoặc có lẽ chúng ta nên suy nghĩ xem liệu hệ thống tương tự cung cấp mức độ bảo mật thích hợp? Bản thân doanh nhân có đủ trình độ chuyên môn cần thiết để xác định trình độ đào tạo của “hacker Internet” không? Công việc như vậy có thể giảm thiểu rủi ro có thể xảy ra? Thật không may, trong hầu hết các trường hợp, câu trả lời là không.


Mặc dù không có yêu cầu đặc biệt nghiêm ngặt nào từ phía người tiêu dùng về sự an toàn của dữ liệu cá nhân mà họ chuyển đến cửa hàng trực tuyến khi mua hàng, nhưng đây không thể là chỉ số chính để lựa chọn phương pháp tổ chức xử lý và lưu trữ dữ liệu đó. thông tin bí mật. Người mua thường không có cơ hội đánh giá hiệu quả hoạt động của việc bảo vệ dữ liệu cá nhân của mình. Có, hiện tại, đây không phải là điều đáng lo ngại, vì giá cả hấp dẫn, mô tả sản phẩm đẹp mắt và giao hàng ưu đãi đã đạt được mục tiêu của họ.


Hầu hết khán giả mua hàng thậm chí không thắc mắc họ gửi dữ liệu cá nhân của mình đi đâu. Đó có thể là một doanh nhân cá nhân hoặc một doanh nhân tư nhân đang phát triển hoạt động kinh doanh Internet của riêng mình. Hay đó là bộ phận web của một nhà bán lẻ lớn? điện tử dân dụng. Đương nhiên, thái độ đối với an ninh thông tin nói chung mạng lưới giao dịch chặt chẽ hơn so với một doanh nhân, đôi khi phải độc lập giao hàng cho khách hàng.


Đáng chú ý là, bất chấp mối đe dọa đánh cắp thông tin bí mật ngày càng gia tăng, niềm tin vào thương mại trực tuyến vẫn không ngừng tăng lên. Người mua nhập thông tin về bản thân bằng cách điền vào mẫu đơn đặt hàng, đôi khi không cần lo lắng về việc nhân viên cửa hàng sẽ xử lý việc đó như thế nào. Hoặc có thể nhu cầu đối với các quy trình kinh doanh hiện tại không quá lớn?


Việc dư thừa dữ liệu được yêu cầu phải tuân theo Luật Liên bang-152, vì có sự khác biệt giữa tính chất và khối lượng thông tin nhận được với các nhiệm vụ xử lý hiện tại đối với các quy trình kinh doanh được cung cấp trong cửa hàng trực tuyến.


Trình độ phát triển kỹ thuật internet hiện đại Trade cho phép giả định việc sử dụng hệ thống CRM, nhờ đó có thể lưu dữ liệu về khách hàng để tương tác sau này với họ và cung cấp sản phẩm mới. Nhưng điều này có cần thiết đối với mức độ tương tác sau bán hàng với người mua không?


Theo Luật Liên bang 152, thông tin cá nhân chỉ có thể được lưu trữ trong khoảng thời gian cần thiết để xử lý. Sau khi thực hiện mua hàng hoặc từ chối, tất cả dữ liệu cá nhân phải bị hủy vì việc lưu trữ chúng không tương ứng với các đặc điểm cụ thể của quy trình kinh doanh đang được thực hiện. Có nghi ngờ gì rằng thực tế không có ai làm việc này.


Luật Liên bang 152 có các điều khoản đe dọa đến sự tồn tại của thương mại trực tuyến. Bất kỳ cơ quan thanh tra nào cũng có thể yêu cầu chủ sở hữu cửa hàng trực tuyến cung cấp văn bản cho phép công dân sử dụng dữ liệu cá nhân của mình trong công việc. Không có ai cho phép tương tự trong viết không cung cấp, nhiều nhất họ chỉ giới hạn ở một lưu ý về việc làm quen với các quy định của cửa hàng.


Vì không cần phải tiếp xúc trực tiếp trong giao dịch trực tuyến, ngoại trừ cuộc gặp của người mua với người chuyển phát nhanh để giao hàng, nên việc tuân thủ Luật Liên bang số 152 chỉ có thể được đảm bảo bằng cách cá nhân hóa dữ liệu cá nhân của người tiêu dùng và điều này đòi hỏi phải điều chỉnh các quy trình kinh doanh hiện có.

chắc chắn công cụ tiện lợi, đơn giản hóa việc truy cập vào nhiều dịch vụ thông tin các công ty, cổng thông tin doanh nghiệp được công nhận một cách chính đáng. Với mạng lưới chi nhánh, văn phòng phát triển đặt tại trụ sở chính tại khoảng cách xaĐối với một số lượng đáng kể các đối tác kinh doanh, phương tiện liên lạc tối ưu là kết nối qua các kênh VPN có mức độ bảo mật phù hợp. Tuy nhiên, việc lựa chọn một giải pháp công nghệ cao như vậy khá tốn kém và không phải công ty nào cũng có được. Trong trường hợp không có tiền miễn phí cho kết nối an toàn, nhiều hơn nữa một cách đơn giản công việc là một điểm truy cập từ Internet.


Một tính năng đặc biệt của cổng thông tin công ty, thậm chí có tính đến cấp độ khác nhau cơ sở hạ tầng, là nơi lưu trữ thông tin bí mật của nhân viên, khách hàng của công ty và đối tác kinh doanh thực thể pháp lý, cũng như việc bố trí thông tin tài chính của chính công ty, việc tiết lộ thông tin này có thể gây ra thiệt hại. Việc tổ chức hiệu quả tất cả các quy trình xử lý dữ liệu cá nhân phải tính đến việc các mục tiêu và phương pháp xử lý dữ liệu cho từng nhóm đối tượng là khác nhau. Đó là một cách tiếp cận khác biệt để chuyển đổi dữ liệu truy cập bị hạn chế cần được đưa vào khái niệm bảo mật doanh nghiệp.


Không còn nghi ngờ gì nữa rằng tình hình tài chính của công ty đang tạo ra cổng thông tin doanh nghiệp, giúp bạn có thể thuê các lập trình viên có kinh nghiệm hoặc mua một giải pháp làm sẵn đã được thử nghiệm nhiều lần. Tuy nhiên, không nên quên rằng bảo mật mã không phải là tham số duy nhất cần được tính đến khi phát triển hệ thống hiệu quả bảo mật thông tin. Qua nhìn chung, bảo mật thông tin phải được ban lãnh đạo công ty nhìn nhận là một phần không thể thiếu hệ thống chung bảo vệ.

Trong vài năm qua, số lượng người dùng mạng xã hội phổ biến trên RuNet đã tăng với tốc độ chưa từng thấy, vượt mốc 50 triệu. Lượng dữ liệu cá nhân khổng lồ được tích lũy trên mạng xã hội đòi hỏi phải có sự kiểm soát thích hợp, đó là điều mà các quy định của Luật Liên bang-152 yêu cầu.


Bất chấp ấn tượng đầu tiên rằng thông tin có sẵn trên mạng xã hội có thể được coi là “có sẵn công khai”, mỗi năm, lượng dữ liệu ngày càng tăng được pháp luật phân loại là “dữ liệu cá nhân bí mật”.


Việc trộm tài khoản mạng xã hội không phải là hiếm ở nước ngoài và ở Nga. Hàng trăm ngàn tài khoản có sẵn cho những kẻ tấn công. Số vụ tấn công của hacker trên mỗi truyền thông xã hội không giảm, các chuyên gia lưu ý rằng tội phạm mạng thường xuyên chú ý đến phần này của Internet.


Các âm mưu lừa đảo theo định hướng xã hội có tiềm năng lớn, sử dụng các cuộc tấn công lừa đảo, gửi thư rác và lừa đảo cho mục đích của chúng. Toàn bộ bộ công cụ tội phạm mạng hiện đại này có thể dẫn đến đánh cắp dữ liệu bảo mật, điều này được tạo điều kiện thuận lợi bởi sự cả tin và thiếu kinh nghiệm của con người. Quản trị viên phương tiện truyền thông xã hội cần tiến hành giám sát liên tục, xác định sự cố và loại bỏ hậu quả của chúng.

Dịch vụ ngân hàng trực tuyến ngày càng trở nên phổ biến ở Nga khu vực ngân hàng, hàng chục tổ chức tài chính cung cấp đầy đủ dịch vụ như vậy. Điều này là do thiếu một nền tảng tích hợp thống nhất và không đủ trình độ tự động hóa của nhiều tổ chức.


Giống như các ứng dụng web thông thường, các dịch vụ ngân hàng trực tuyến và hệ thống thanh toán điện tử đều dựa trên một kiến trúc client-server. Người ta nhận thấy rằng “liên kết yếu” của sự tương tác như vậy chính xác là người dùng và những thiết bị mà người đó quản lý tài khoản của chính mình sử dụng.


Thật không may, người tiêu dùng không có cơ hội đánh giá khách quan tất cả những rủi ro chắc chắn phát sinh khi quản lý tài khoản ngân hàng từ xa. Chưa kể thực hiện các biện pháp phòng ngừa an toàn thích hợp. Vì vậy, các ngân hàng phải nâng cao kiến ​​thức của khách hàng về những vấn đề này.


Đáng chú ý là những kẻ tấn công chú ý đến ngân hàng Internet thường không nhằm mục đích đánh cắp tiền, vì các tổ chức tài chính cung cấp bảo mật tối đa cho các giao dịch mà để có được quyền truy cập vào dữ liệu cá nhân của khách hàng. Chính nhờ điều này mà các âm mưu lừa đảo với thẻ ngân hàng, các phương thức trộm cắp tài chính khác. Nhiều chuyên gia chắc chắn rằng trên thị trường “đen” mục nhập đơn giản về tài khoản khách hàng có giá trị riêng của nó.


Thống kê cho thấy rõ ràng rằng việc tạo ra và vận hành dịch vụ ngân hàng Internet ở nhiều cơ cấu không tuân thủ các quy tắc và quy tắc của ngành. Thông thường, mỗi tổ chức tài chính đã phát triển nó một cách độc lập và các tiêu chuẩn hiện tại chỉ mang tính chất tư vấn.


Việc Luật Liên bang 152 có hiệu lực đã tạo ra những vấn đề đáng kể cho nhiều ngân hàng, vì việc kiểm soát của cơ quan quản lý đối với sự an toàn của dữ liệu cá nhân đang được thắt chặt, điều này đòi hỏi phải cải thiện. hệ thống hiện có bảo vệ. Cho dù hiệp hội các ngân hàng có cố gắng trì hoãn việc bắt đầu áp dụng Luật Liên bang 152 như thế nào thì việc tuân thủ các quy định của nó vẫn trở nên cần thiết.

Ngày 9 tháng 6 năm 2011 lúc 05:20

Thực hành bảo vệ dữ liệu cá nhân

  • Bảo mật thông tin

Hệ thống bảo mật thông tin cục bộ NSD

SZI NSD là tên viết tắt của phương tiện bảo vệ thông tin khỏi bị truy cập trái phép. Được sử dụng để ngăn chặn các hành động trái phép của người dùng có quyền truy cập vào máy trạm ISPD. Bao gồm các cơ chế như kiểm soát tải từ phương tiện di động(ổ CD/DVD, ổ flash), điều khiển thiết bị (để không thể kết nối ổ flash bên trái và thông tin rò rỉ), thực hiện kiểm soát truy cập bắt buộc (không bắt buộc đối với ISPD). Tôi sẽ chỉ cung cấp những công cụ mà cá nhân tôi đã làm việc cùng:
1) Mạng bí mật. Nó có thể được cung cấp có hoặc không có bảng điều khiển tải. Nó hoạt động thông qua secpol.msc nên có thể không hoạt động trên các phiên bản Home (Home chắc chắn không hoạt động trên Windows XP và tôi chưa thử nghiệm Vista và Windows 7). Khá dễ sử dụng, có cơ chế điều khiển thiết bị tốt nhất mà tôi từng thấy. Có một phiên bản mạng được thiết kế để tích hợp vào cấu trúc miền.
2) Người giám hộ NT. Cơ chế tốt nhất kiểm soát truy cập bắt buộc. Việc vận hành khó khăn hơn (do thực tế là không thể vô hiệu hóa một số cơ chế bảo vệ). Phiên bản mạng KHÔNG.
3) Khóa Dallas. Nó mất tất cả các tham số đã thảo luận trước đó, ngoại trừ khả năng triển khai bình thường tùy chọn mạng trong mạng không miền.
Đúng như tên gọi, những công cụ này được sử dụng trên các máy cục bộ. Không có gì để thêm ở đây.

Tường lửa

Mục đích, tôi nghĩ, là rõ ràng. Ngoài ra, nếu một ISPD được tường lửa chia thành hai phần thì chúng có thể được gọi chính xác là hai ISPD khác nhau. Để làm gì? Nếu bạn rơi vào loại đầu tiên theo số lượng đối tượng dữ liệu cá nhân được xử lý, thì bằng cách chia ISPD thành hai phần, bạn sẽ giảm số lượng đối tượng được xử lý trong mỗi ISPD và sẽ không còn nhận được K1 nữa mà là K2. Hiện tại có một số tường lửa được chứng nhận trên thị trường:
1) Tường lửa cá nhân VipNet. Chỉ là một tường lửa cá nhân, không có bất kỳ kiểu cách đặc biệt nào. Chỉ quản lý cục bộ. Cơ chế quản lý tập trung KHÔNG. Để bắt đầu, nó yêu cầu mật khẩu, nếu bạn không nhập nó, nó sẽ không khởi động.
2) Tường lửa văn phòng VipNet. Điều tương tự, nhưng hỗ trợ nhiều card mạng, cho phép bạn cài đặt nó trên một cổng và sử dụng nó để phân đoạn ISPD.
3) SSPT-2. Tổ hợp phần mềm và phần cứng chạy trên FreeBSD, nhưng không ai cho phép bạn truy cập vào hệ điều hành đó. Nó hoạt động nhanh chóng và hỗ trợ lọc theo nhiều tham số. Nó có tính năng khó chịu- các quy tắc được áp dụng trong danh sách từ trên xuống dưới và các quy tắc nằm ở trên cùng có mức độ ưu tiên cao hơn. Điều này không được phản ánh trong tài liệu; nó được phát hiện bằng thực nghiệm. Được quản lý cả từ bảng điều khiển cục bộ và thông qua giao diện web.
4) APKSh "Lục địa". Nói chung, đây không phải là tường lửa mà là một bộ định tuyến mật mã nhưng có chức năng tường lửa. Về mặt kiến ​​trúc tương tự như SSPT-2, nhưng không có quyền kiểm soát từ bảng điều khiển cục bộ - chỉ thông qua bảng điều khiển dành cho quản trị viên đặc biệt. Tại cái gì, tại thiết lập ban đầu bạn phải chỉ định giao diện mà máy tính của quản trị viên sẽ được kết nối.
Ngoài ra, Security Code còn phát hành thêm hai sản phẩm - ITU+ HIPS "Security Studio Endpoint Protection" và Trust Access, một hệ thống tường lửa phân tán kết hợp tường lửa và phân đoạn bằng xác thực Kerberos. Vì tôi chưa phải làm việc với những sản phẩm này nên tôi sẽ chỉ cung cấp liên kết đến mô tả của chúng:
Tin cậyTruy cập
SSEP
Ngoài ra, việc sản xuất một sản phẩm khác đã được chứng nhận - Stonegate Tường lửa/VPN. Sản phẩm của công ty Phần Lan Stonesoft. Nó cũng đi kèm với một mô-đun mã hóa CryptoPRO được đính kèm, cho phép bạn sử dụng nó như một giải pháp VPN được chứng nhận.

CIPF

Chúng là phương tiện bảo vệ mật mã. Ngoài Tường lửa/VPN Stonegate đã được đề cập, còn có hai giải pháp VPN khác:
1) Tùy chỉnh VipNet. Nó là tổ hợp của VipNet Administrator - chương trình quản lý, VipNet Coorder - máy chủ VPN có chức năng tường lửa và VipNet Client - máy khách VPN và tường lửa. Chương trình quản lý chỉ được sử dụng để tạo khóa và chứng chỉ; quản lý cài đặt tường lửa chỉ có thể thực hiện cục bộ. Chỉ RDP tích hợp mới có thể trợ giúp quản trị. Điều này bao gồm tin nhắn nội bộ và thư nội bộ. Ưu điểm duy nhất là sạch sẽ giải phap băng phân mêm, có thể dễ dàng tích hợp vào cơ sở hạ tầng hiện có.
2) APKSh "Lục địa". Về nguyên tắc, tôi đã nói về anh ấy rồi. Tôi sẽ chỉ thêm nó vào phiên bản mới nhất chức năng client (“Continent-AP”) đã xuất hiện bức tường lửa và thậm chí còn có một ứng dụng khách dành cho Linux. Bản thân các cổng tiền điện tử chỉ được quản lý từ bảng điều khiển dành cho quản trị viên nhưng từ xa. Các tính năng cũng bao gồm thực tế là bắt đầu thiết lập(nghĩa là chuyển cấu hình mạng và khóa sang cổng mật mã) được thực hiện cục bộ bằng cách cấp cho nó một ổ đĩa flash từ tất cả các cổng. thông tin cần thiết. Nếu bạn mắc lỗi khi tạo cấu hình và đã gửi cổng mật mã tới điểm từ xa- khi đó bạn sẽ không thể kết nối với nó từ xa và sửa chữa bất cứ điều gì; bạn sẽ phải tạo lại cấu hình và bằng cách nào đó chuyển nó đến một điểm từ xa.

Về cơ bản thì nó là thế này Mô tả ngắn tất cả các thiết bị bảo vệ được chứng nhận mà tôi biết. Mong, thông tin này sẽ có ích cho cộng đồng.

Hệ thống bảo mật thông tin cục bộ NSD

SZI NSD là tên viết tắt của phương tiện bảo vệ thông tin khỏi bị truy cập trái phép. Được sử dụng để ngăn chặn các hành động trái phép của người dùng có quyền truy cập vào máy trạm ISPD. Chúng bao gồm các cơ chế như kiểm soát tải từ phương tiện di động (ổ CD/DVD, ổ flash), kiểm soát thiết bị (để bạn không thể kết nối ổ flash bên trái và thông tin rò rỉ), thực hiện kiểm soát truy cập bắt buộc (không bắt buộc đối với ISPD). Tôi sẽ chỉ cung cấp những công cụ mà cá nhân tôi đã làm việc cùng:
1) Mạng bí mật. Nó có thể được cung cấp có hoặc không có bảng điều khiển tải. Nó hoạt động thông qua secpol.msc nên có thể không hoạt động trên các phiên bản Home (Home chắc chắn không hoạt động trên Windows XP và tôi chưa thử nghiệm Vista và Windows 7). Khá dễ sử dụng, có cơ chế điều khiển thiết bị tốt nhất mà tôi từng thấy. Có một phiên bản mạng được thiết kế để tích hợp vào cấu trúc miền.
2) Người giám hộ NT. Cơ chế tốt nhất để kiểm soát truy cập bắt buộc. Việc vận hành khó khăn hơn (do thực tế là không thể vô hiệu hóa một số cơ chế bảo vệ). Không có phiên bản trực tuyến.
3) Khóa Dallas. Nó mất tất cả các tham số đã thảo luận trước đó, ngoại trừ khả năng triển khai bình thường tùy chọn mạng trong mạng không miền.
Đúng như tên gọi, những công cụ này được sử dụng trên các máy cục bộ. Không có gì để thêm ở đây.

Tường lửa

Mục đích, tôi nghĩ, là rõ ràng. Ngoài ra, nếu một ISPD được tường lửa chia thành hai phần thì chúng có thể được gọi chính xác là hai ISPD khác nhau. Để làm gì? Nếu bạn rơi vào loại đầu tiên theo số lượng đối tượng dữ liệu cá nhân được xử lý, thì bằng cách chia ISPD thành hai phần, bạn sẽ giảm số lượng đối tượng được xử lý trong mỗi ISPD và sẽ không còn nhận được K1 nữa mà là K2. Hiện tại có một số tường lửa được chứng nhận trên thị trường:
1) Tường lửa cá nhân VipNet. Chỉ là một tường lửa cá nhân, không có bất kỳ kiểu cách đặc biệt nào. Chỉ quản lý cục bộ. Không có cơ chế kiểm soát tập trung. Để bắt đầu, nó yêu cầu mật khẩu, nếu bạn không nhập nó, nó sẽ không khởi động.
2) Tường lửa văn phòng VipNet. Điều tương tự, nhưng nó hỗ trợ một số card mạng, cho phép nó được cài đặt trên một cổng và được sử dụng để phân đoạn ISPD.
3) SSPT-2. Tổ hợp phần mềm và phần cứng chạy trên FreeBSD, nhưng không ai cho phép bạn truy cập vào hệ điều hành đó. Nó hoạt động nhanh chóng và hỗ trợ lọc theo nhiều tham số. Nó có một tính năng khó chịu - các quy tắc được áp dụng trong danh sách từ trên xuống dưới và các quy tắc nằm ở trên cùng có mức độ ưu tiên cao hơn. Điều này không được phản ánh trong tài liệu; nó được phát hiện bằng thực nghiệm. Được quản lý cả từ bảng điều khiển cục bộ và thông qua giao diện web.
4) APKSh "Lục địa". Nói chung, đây không phải là tường lửa mà là một bộ định tuyến mật mã nhưng có chức năng tường lửa. Về mặt kiến ​​trúc tương tự như SSPT-2, nhưng không có quyền kiểm soát từ bảng điều khiển cục bộ - chỉ thông qua bảng điều khiển dành cho quản trị viên đặc biệt. Hơn nữa, trong quá trình thiết lập ban đầu, bạn phải chỉ định giao diện mà máy tính của quản trị viên sẽ được kết nối.
Ngoài ra, Security Code còn phát hành thêm hai sản phẩm - ITU+ HIPS "Security Studio Endpoint Protection" và Trust Access, một hệ thống tường lửa phân tán kết hợp tường lửa và phân đoạn bằng xác thực Kerberos. Vì tôi chưa phải làm việc với những sản phẩm này nên tôi sẽ chỉ cung cấp liên kết đến mô tả của chúng:
Tin cậyTruy cập
SSEP
Ngoài ra, việc sản xuất một sản phẩm khác đã được chứng nhận - Stonegate Tường lửa/VPN. Sản phẩm của công ty Phần Lan Stonesoft. Nó cũng đi kèm với một mô-đun mã hóa CryptoPRO được đính kèm, cho phép bạn sử dụng nó như một giải pháp VPN được chứng nhận.

CIPF

Chúng cũng là phương tiện bảo vệ bằng mật mã. Ngoài Tường lửa/VPN Stonegate đã được đề cập, còn có hai giải pháp VPN khác:
1) Tùy chỉnh VipNet. Nó là tổ hợp của VipNet Administrator - chương trình quản lý, VipNet Coorder - máy chủ VPN có chức năng tường lửa và VipNet Client - máy khách VPN và tường lửa. Chương trình quản lý chỉ được sử dụng để tạo khóa và chứng chỉ; quản lý cài đặt tường lửa chỉ có thể thực hiện cục bộ. Chỉ RDP tích hợp mới có thể trợ giúp quản trị. Điều này bao gồm tin nhắn nội bộ và thư nội bộ. Ưu điểm duy nhất là đây là một giải pháp phần mềm thuần túy có thể dễ dàng tích hợp vào cơ sở hạ tầng hiện có.
2) APKSh "Lục địa". Về nguyên tắc, tôi đã nói về anh ấy rồi. Tôi sẽ chỉ nói thêm rằng phiên bản mới nhất của máy khách (Continent-AP) có chức năng tường lửa và thậm chí còn có máy khách dành cho Linux. Bản thân các cổng tiền điện tử chỉ được quản lý từ bảng điều khiển dành cho quản trị viên nhưng từ xa. Điều đáng nói là quá trình thiết lập ban đầu (nghĩa là chuyển cấu hình mạng và khóa sang cổng tiền điện tử) được thực hiện cục bộ, bằng cách cung cấp cho nó một ổ đĩa flash với tất cả thông tin cần thiết. Nếu bạn mắc lỗi khi tạo cấu hình và đã gửi cổng mật mã đến một điểm từ xa thì bạn sẽ không thể kết nối với nó từ xa và sửa bất cứ điều gì; bạn sẽ phải tạo lại cấu hình và bằng cách nào đó chuyển nó sang điểm từ xa.

Về cơ bản, đây là mô tả ngắn gọn về tất cả các sản phẩm bảo vệ được chứng nhận mà tôi biết. Tôi hy vọng thông tin này sẽ hữu ích cho cộng đồng.

Ngày 19 tháng 1 năm 2009 3:59 chiều

Andrey Shcherbkov

Sau khi ban hành Nghị định của Chính phủ Liên bang Nga số 781 “Về việc phê duyệt Quy định đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin dữ liệu cá nhân” ngày 17 tháng 11 năm 2007 và một lệnh chung Dịch vụ liên bang về kỹ thuật và kiểm soát xuất khẩu, FSB của Liên bang Nga và các Bộ công nghệ thông tin và Truyền thông Liên bang Nga ngày 13 tháng 2 năm 2008 số 55/86/20 “Về việc phê duyệt quy trình phân loại hệ thống thông tin dữ liệu cá nhân” (sau đây gọi là “Thủ tục…”) có hai vấn đề nảy sinh trước khi dịch vụ phát triển và vận hành hệ thống thông tin (IS) xử lý dữ liệu cá nhân gần như câu hỏi của Hamlet:

● cách phân loại IP nhằm bảo vệ dữ liệu cá nhân;

● cách chọn công cụ bảo mật thông tin để bảo vệ dữ liệu cá nhân trong các hệ thống này.

“Lệnh…” nêu rõ “việc phân loại hệ thống thông tin được thực hiện cơ quan chính phủ, chính quyền thành phố, pháp nhân và cá nhân tổ chức và (hoặc) thực hiện việc xử lý dữ liệu cá nhân, cũng như xác định mục đích và nội dung của việc xử lý dữ liệu cá nhân.” Điều này có nghĩa là dữ liệu cá nhân (PD) sẽ phân loại nó người sở hữu, đây là sự trợ giúp nghiêm túc cho việc lựa chọn khách quan các phương pháp và phương tiện bảo vệ dữ liệu cá nhân, đồng thời tạo cơ sở khách quan để đối thoại với các cơ quan kiểm tra về tính đầy đủ của các biện pháp mà tổ chức thực hiện để bảo vệ dữ liệu cá nhân.

Khi phân loại IP dùng để xử lý dữ liệu cá nhân, dữ liệu ban đầu sau đây sẽ được tính đến:

âm lượng PD đã xử lý (số lượng đối tượng có dữ liệu cá nhân được xử lý trong IS);

● đặc điểm bảo mật của dữ liệu cá nhân được xử lý trong hệ thống thông tin do chủ sở hữu hệ thống thông tin chỉ định;

● cấu trúc của hệ thống thông tin;

● sự sẵn có của các kết nối IS tới các mạng truyền thông công cộng và (hoặc) mạng trao đổi thông tin quốc tế;

● Chế độ xử lý PD;

● phương thức phân định quyền truy cập của người sử dụng hệ thống thông tin;

● vị trí phương tiện kỹ thuật LÀ.

Trước hết, hãy xác định những gì cấu thành dữ liệu cá nhân. Đây là thông tin có tính chất khác nhau về các cá nhân cụ thể. Lưu ý rằng chúng ta chỉ đang nói về thông tin trong Dạng điện tử, được nhập, lưu trữ, xử lý và truyền đi trong hệ thống thông tin. Thông tin này được chia thành bốn loại chính:

Ví dụ: họ riêng là dữ liệu thuộc loại thứ 4, sự kết hợp giữa họ và địa chỉ là thứ ba, họ, địa chỉ, số bảo hiểm và số thẻ là dữ liệu thứ hai và nếu hồ sơ y tế điện tử được thêm vào dữ liệu này thì kết quả là dữ liệu cá nhân chỉ thuộc về loại đầu tiên.

Dựa trên sự phân loại này, có thể khẳng định rằng bất kỳ dữ liệu y tế nào, cũng như hồ sơ nhân sự có cột “quốc tịch” (và đây hầu như là tất cả các bảng câu hỏi và bảng thông tin cá nhân hiện có cho hồ sơ nhân sự hiện đang được sử dụng), phải được phân loại vào loại đầu tiên . Cũng rõ ràng là các phần dữ liệu cá nhân hầu như luôn có một danh mục nhỏ hơn tổng thể của chúng. Thậm chí chi tiết thông tin về sức khỏe của một cá nhân có thể vô nghĩa nếu không biết họ của người đó hoặc dữ liệu khác liên kết rõ ràng thông tin này với bệnh nhân.

Khối lượng PD được xử lý có thể nhận các giá trị sau:

1 - hệ thống thông tin xử lý đồng thời dữ liệu cá nhân của hơn 100.000 đơn vị hoặc dữ liệu cá nhân của các đơn vị trong khu vực Liên bang Nga hoặc Liên Bang Nga nói chung là; ·

2 - hệ thống thông tin xử lý đồng thời dữ liệu cá nhân từ 1.000 đến 100.000 đối tượng hoặc dữ liệu cá nhân của các đối tượng làm việc trong khu vực kinh tế của Liên bang Nga, trong cơ quan chính phủ, cư trú trong đô thị;

3 - hệ thống thông tin xử lý đồng thời dữ liệu của dưới 1000 đối tượng hoặc dữ liệu cá nhân của các đối tượng của một tổ chức cụ thể.

Theo đặc điểm bảo mật của dữ liệu cá nhân được xử lý trong hệ thống thông tin, hệ thống thông tin được chia thành tiêu chuẩn và đặc biệt. Đầu tiên là các hệ thống thông tin chỉ yêu cầu hỗ trợ sự riêng tư dữ liệu cá nhân.

Đặc tính “bảo mật” có nghĩa là chỉ người được dự định mới có thể xử lý (nhập, lưu trữ, xử lý và chuyển giao) PD ở dạng điện tử. Để đảm bảo tính bảo mật khi truyền dữ liệu cá nhân qua mạng, trong đó có Internet, cần sử dụng mã hóa dữ liệu.

Hệ thống thông tin đặc biệt là những hệ thống thông tin trong đó, bất kể nhu cầu đảm bảo tính bảo mật của dữ liệu cá nhân, cần phải đảm bảo ít nhất một trong các đặc điểm bảo mật của dữ liệu cá nhân ngoài tính bảo mật (ví dụ: tính toàn vẹn hoặc tính sẵn có). Đặc tính “toàn vẹn” có nghĩa là dữ liệu cá nhân chỉ được thay đổi theo cách được quy định, ví dụ, việc thay đổi hồ sơ bệnh án điện tử chỉ có thể được thực hiện bởi bác sĩ được ủy quyền và trong mọi trường hợp khác, thông tin trong hồ sơ bệnh án không được phép bị thay đổi. Khi truyền qua mạng, tính toàn vẹn được đảm bảo bằng việc sử dụng chữ ký số.

Đặc tính “sẵn sàng” có nghĩa là công việc với PD phải được cung cấp cho một lượng dữ liệu và người dùng nhất định tuân thủ các quy định về thời gian đã thiết lập. Nói cách khác, “tính sẵn sàng” là một công thức khác của độ tin cậy của hệ thống. Cũng lưu ý rằng việc nói về khả năng truy cập trong các mạng mở là gần như vô nghĩa - không một nhà cung cấp nào sẽ cung cấp quyền truy cập được đảm bảo vào dữ liệu hoặc việc truyền dữ liệu không bị gián đoạn.

Hệ thống thông tin đặc biệt bao gồm: ·

● IP trong đó dữ liệu cá nhân liên quan đến tình trạng sức khỏe của đối tượng được xử lý; ·

● IP quy định việc áp dụng, chỉ dựa trên việc xử lý tự động dữ liệu cá nhân, các quyết định làm phát sinh hậu quả pháp lý liên quan đến đối tượng hoặc ảnh hưởng đến quyền và lợi ích hợp pháp của đối tượng đó.

Theo cấu trúc của chúng, hệ thống thông tin xử lý dữ liệu cá nhân được chia thành: ·

● để tự trị (không kết nối với IS khác) dùng để xử lý dữ liệu cá nhân (máy trạm tự động); ·

● dành cho các tổ hợp máy trạm tự động, được hợp nhất thành một IS duy nhất bằng phương tiện liên lạc mà không sử dụng công nghệ Truy cập từ xa(hệ thống thông tin địa phương); ·

● đến các tổ hợp máy trạm tự động và (hoặc) hệ thống thông tin cục bộ, được kết hợp thành một hệ thống thông tin duy nhất bằng phương tiện liên lạc sử dụng công nghệ truy cập từ xa (hệ thống thông tin phân tán).

Dựa trên sự hiện diện của kết nối với mạng truyền thông công cộng và (hoặc) trao đổi thông tin quốc tế, hệ thống thông tin được chia thành hệ thống có kết nối và hệ thống không có kết nối.

Dựa trên thực tế là bắt buộc phải đảm bảo tính bảo mật dữ liệu, chúng tôi có thể xác định các yếu tố cần thiết của hệ thống thông tin để xử lý dữ liệu cá nhân.

Trước hết, hệ thống thông tin phải xác định người dùng và có thể thiết lập các cơ quan có thẩm quyền riêng để người dùng truy cập vào dữ liệu cá nhân, tức là có hệ thống nhận dạng, xác thực và kiểm soát truy cập.

Thứ hai, cần đảm bảo việc bảo vệ dữ liệu cá nhân có thể bị xa lánh khỏi hệ thống. Ví dụ, việc truyền thông tin sang phương tiện di động cần được kiểm soát. Rất có thể trong một số trường hợp cần phải tính đến khả năng bị trộm cắp, mất mát (mất mát) Thiết bị máy tính với dữ liệu cá nhân. Trong trường hợp này, việc mã hóa PD được lưu trữ trên phương tiện máy tính cũng là bắt buộc.

Nếu hệ thống có kết nối tới mạng mở hoặc liên quan đến trao đổi dữ liệu, bắt buộc phải sử dụng mã hóa dữ liệu và chữ ký số điện tử, cũng như cung cấp sự bảo vệ chống lại các cuộc tấn công từ mạng bên ngoài, bao gồm cả tính năng bảo vệ chống vi-rút.

Để mã hóa và Chữ ký điện tử các khóa và chứng chỉ được sử dụng do chính người dùng tạo ra và đăng ký với cái gọi là cơ quan chứng nhận.

Rất tâm điểm- đăng ký các hành động với dữ liệu cá nhân, một mặt giúp xác định những người chịu trách nhiệm về việc rò rỉ dữ liệu của họ, mặt khác, tạo ra động lực tâm lý cho hoạt động chính xác với họ.

Hệ thống thông tin xử lý dữ liệu cá nhân có thể được gán một trong các lớp sau: ·

● lớp 1 (K1) - IP vi phạm đặc điểm nhất định tính bảo mật của dữ liệu cá nhân được xử lý trong đó có thể dẫn đến hậu quả tiêu cực đáng kể cho chủ thể của dữ liệu cá nhân;

● loại 2 (K2) - IP vi phạm các đặc điểm bảo mật cụ thể của PD được xử lý trong đó có thể dẫn đến hậu quả tiêu cực cho chủ thể của dữ liệu cá nhân;

● loại 3 (K3) - IP vi phạm các đặc điểm bảo mật cụ thể của dữ liệu cá nhân được xử lý trong đó có thể dẫn đến hậu quả tiêu cực nhỏ cho chủ thể của dữ liệu cá nhân;

● loại 4 (K4) - IP vi phạm các đặc điểm bảo mật được chỉ định của dữ liệu cá nhân được xử lý trong đó không dẫn đến hậu quả tiêu cực cho chủ thể của dữ liệu cá nhân.

Bảng 1.

Lớp IP tùy thuộc vào khối lượng dữ liệu được xử lý

Thứ nhất, từ “Trật tự…” kéo theo sự tồn tại Thể loại dữ liệu cá nhân. Thật hợp lý để thực hiện sự tổng hợp cơ sở dữ liệu trong IS chứa PD thành các phần không chồng chéo chứa dữ liệu thuộc các danh mục khác nhau. Ngoài ra, IS để xử lý PD phải là chia thành các đường nét, chỉ chứa dữ liệu từ một danh mục. Điều này hoàn toàn có thể thực hiện được vì các cá nhân được xác định duy nhất bằng số hộ chiếu hoặc TIN hoặc số chính sách bảo hiểm y tế, cho phép cơ sở dữ liệu y tế và các mảng khác được lập chỉ mục một cách rõ ràng. Vì vậy, cần phải tuân theo nguyên tắc rằng trong mỗi mạch IS để xử lý dữ liệu cá nhân cần phải sử dụng sản phẩm được chứng nhận của một lớp, và các đường viền phải là bị cô lập từ nhau.

Có thể nói rằng hầu hết các hệ thống thông tin xử lý dữ liệu cá nhân (đặc biệt là cho mục đích y tế) sẽ đặc biệt, tức là họ cần đảm bảo không chỉ tính bảo mật mà còn cả chính trực các đặc tính an toàn và độ tin cậy khác là bắt buộc.

Khi phân phối IP để xử lý dữ liệu cá nhân, ngay cả khi cần đảm bảo chỉ sự riêng tư theo “Thủ tục…” sẽ được yêu cầu bảo vệ dữ liệu cá nhân được truyền và lưu trữ. Điều này hoàn toàn tuân thủ các yêu cầu hiện tại của FSB Liên bang Nga đối với các hệ thống thông tin tự động nhằm bảo vệ thông tin bí mật không cấu thành bí mật nhà nước, cụ thể là quy định “tất cả thông tin bí mật truyền qua các kênh liên lạc phải được bảo vệ; thông tin truyền qua các kênh liên lạc phải được mã hóa bằng công cụ bảo vệ thông tin mật mã (CIPF) hoặc sử dụng các kênh liên lạc an toàn để truyền tải. Thông tin được ghi lại trên các phương tiện truyền thông xa lạ phải được bảo vệ.”

Yêu cầu cuối cùng chắc chắn có thể áp dụng cho các hệ thống thông tin dữ liệu cá nhân biệt lập không có kênh truyền dữ liệu cá nhân, tức là cho các máy trạm riêng lẻ xử lý dữ liệu cá nhân.

Điều này có nghĩa là để xử lý dữ liệu cá nhân, hệ thống thông tin phải được chứng nhận ở cấp độ không thấp hơn AK2 trong phân loại của FSB của Liên bang Nga. Ví dụ: Windows XP được bảo vệ bằng gói cập nhật Secure Pack Rus tương ứng với lớp này. Các phương tiện bảo mật phải bao gồm các phương tiện bảo vệ thông tin mật mã (CIPF) thuộc loại không thấp hơn KS2.

Dựa trên điều này, đối với bất kỳ hệ thống thông tin PD nào xử lý các danh mục PD cao hơn loại thứ 4 (chắc chắn sẽ bao gồm tất cả các hệ thống xử lý PD y tế), sẽ cần phải thực hiện tất cả các yêu cầu của lớp AK2 trong phân loại của FSB của Liên bang Nga.

Từ kiến ​​trúc của IP PD có đủ số lượng lớn PD đã xử lý (chỉ báo 1 hoặc 2) chắc chắn sẽ có thành phần máy chủ, thành phần này cũng cần được bảo vệ. Trong trường hợp này, tất cả thông tin bí mật được lưu trữ trên phương tiện từ tính của máy trạm và máy chủ phải được bảo vệ, đáp ứng các yêu cầu của loại AK3.

Vì vậy, chúng tôi có thể đề xuất một chiến lược hoàn toàn hợp lý để bảo vệ dữ liệu cá nhân, bao gồm các chiến lược sau: Bảng. 1 được điền như sau (xem Bảng 2).

Ban 2.

Lớp IP tùy thuộc vào khối lượng dữ liệu được xử lý

Không thấp hơn AK3

Không thấp hơn AK3

Không thấp hơn AK3

Ghi chú. “-” có nghĩa là không có yêu cầu nào cả.

Vì vậy, để bảo vệ dữ liệu cá nhân thuộc loại đầu tiên, bao gồm tất cả dữ liệu y tế, cần sử dụng các phương tiện bảo vệ thuộc loại không thấp hơn AK3 và các phương tiện bảo vệ bằng mật mã thuộc loại không thấp hơn KS3.

Để trang bị thực tế cho IP các phương tiện bảo mật, chúng tôi có thể đề xuất các sản phẩm được điều chỉnh đặc biệt để bảo vệ dữ liệu cá nhân và có các giấy phép cần thiết (chứng chỉ và kết luận). Đây chủ yếu là Secure Pack Rus và các công cụ bảo vệ mật mã thuộc dòng CryptoPro.

Bây giờ chúng ta hãy thử ước tính chi phí trang bị cho một nơi làm việc để xử lý PD. Nếu không giảm giá, giá của gói Secure Pack Rus là khoảng 2.000 rúp, trong khi các công cụ bảo vệ mật mã của dòng CryptoPro đã được bao gồm trong gói này. Hơn nữa, để bảo vệ thông tin cá nhân được lưu trữ trên máy tính của bạn, bạn nên mua một trong các gói bảo vệ dữ liệu CryptoPro EFS, Secure Pack Explorer hoặc Crypto Explorer. Giá của mỗi sản phẩm này dao động từ 600 đến 1000 rúp. Tổng cộng, việc bảo vệ một nơi làm việc mà không tính đến việc cài đặt và cấu hình sẽ tiêu tốn khoảng 3.000 rúp, và việc cài đặt và điều chỉnh các chương trình theo truyền thống sẽ tăng thêm 10-15% chi phí.

Thông thường, chúng ta có thể phân biệt “mười bước thần bí trên con đường” dẫn đến một hệ thống xử lý dữ liệu cá nhân an toàn.

1. Xác định những thành phần IP cần được bảo vệ trước tiên. Trước tiên, hãy tìm hiểu chính xác dữ liệu cá nhân nào cần được bảo vệ và dữ liệu đó hiện nằm ở đâu trong hệ thống của bạn. Sau đó kiểm tra xem nơi làm việc của mỗi nhân viên có thực sự cần bảo vệ dữ liệu hay không. Có thể dễ dàng hơn để làm nổi bật máy tính cá nhân làm việc với thông tin cá nhân, cái gì cần được bảo vệ đặc biệt đáng tin cậy? Hãy nhớ rằng máy tính kết nối Internet không phải là nơi tốt nhất để lưu trữ dữ liệu cá nhân!

2. Đánh giá hiện trạng an toàn thông tin. Mức độ thỏa đáng là bao nhiêu? Nếu có thể, hãy tiến hành kiểm tra bảo mật bên ngoài hệ thống của bạn. Phân loại IP của bạn theo hướng dẫn ở trên. So sánh những phát hiện của bạn với những phát hiện của kiểm toán bên ngoài.

3. Xác định ai đang ở thời gian nhất định chịu trách nhiệm đảm bảo việc bảo vệ quyền sở hữu trí tuệ. Có thể thu hẹp vòng tròn những người mà độ tin cậy của sự bảo vệ này phụ thuộc vào không? Đồng thời, hãy nhớ rằng - sự an toàn không thể phụ thuộc vào một người! Hãy chắc chắn chỉ định kiểm toán viên, ví dụ, bác sĩ trưởng có thể giám sát công việc của các chuyên gia trong việc điền và di chuyển PD.

4. Hãy chỉ trích các yêu cầu của kỹ thuật viên nếu họ nhất quyết đòi cài đặt phần cứng bảo mật. Cũng xin lưu ý rằng việc sử dụng các công cụ mật mã là một công việc khá nghiêm túc. Điều quan trọng là phải hiểu: việc duy trì các công cụ mã hóa và sử dụng chữ ký số có ảnh hưởng đến hoạt động kinh doanh cốt lõi của công ty bạn không? Cũng xin lưu ý rằng không phải mọi nhân viên đều có thể hoặc nên mã hóa dữ liệu.

5. Đảm bảo trật tự an ninh cho phòng khám của bạn. Đặt chế độ đảm bảo mức độ bảo mật thông tin cần thiết nhưng không đi quá xa. Ví dụ: bạn không thể tước đi cơ hội sử dụng của mọi người điện thoại di động. Việc cấm nhân viên liên lạc cũng không phù hợp. e-mail và Internet cho mục đích cá nhân. Đồng thời, nên quy định quy trình mang phương tiện flash và máy tính xách tay của riêng bạn vào lãnh thổ của công ty hoặc sử dụng phương tiện có sẵn trong Gói bảo mật. chức năng Rus vô hiệu hóa các ổ USB không được quản trị viên cho phép sử dụng

6. Yêu cầu chuyên gia CNTT lập kế hoạch làm việc rõ ràng cho việc tạo và cấu hình hệ thống bảo mật. Yêu cầu biện minh cho nhu cầu mua hàng quỹ bổ sungđảm bảo an ninh. Nhấn mạnh vào việc đảm bảo rằng các điều chỉnh bảo mật sẽ không ảnh hưởng đến hoạt động cơ bản của hệ thống.

7. Giám sát việc thực hiện kế hoạch tạo lập hệ thống an ninh.

8. Lắng nghe ý kiến ​​của bác sĩ và nhân viên - các biện pháp an toàn có ảnh hưởng đến công việc và hoạt động cốt lõi của họ không?

9. Duy trì và kiểm tra trạng thái bảo mật PD, đồng thời củng cố lòng trung thành của nhân viên tham gia bảo mật.

10. Hãy bình tĩnh trước những đổi mới trong lĩnh vực an ninh - chủ nghĩa bảo thủ lành mạnh sẽ giúp bạn tiết kiệm tiền.

Sau khi ban hành Nghị định của Chính phủ Liên bang Nga số 781 “Về việc phê duyệt Quy định đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin dữ liệu cá nhân” ngày 17 tháng 11 năm 2007 và lệnh chung của Dịch vụ Liên bang về Kiểm soát Kỹ thuật và Xuất khẩu, FSB Liên bang Nga và Bộ Công nghệ Thông tin và Truyền thông Liên bang Nga ngày 13 tháng 2 năm 2008 số 55/86/20 “Về phê duyệt quy trình phân loại hệ thống thông tin dữ liệu cá nhân” (sau đây gọi tắt là “Quy trình…”), có hai vấn đề phát sinh trước khi dịch vụ phát triển và vận hành hệ thống thông tin (IS) xử lý dữ liệu cá nhân gần như câu hỏi của Hamlet:

  • cách phân loại IP nhằm bảo vệ dữ liệu cá nhân;
  • cách chọn công cụ bảo mật thông tin để bảo vệ dữ liệu cá nhân trong các hệ thống này.

“Thủ tục…” nêu rõ rằng “việc phân loại hệ thống thông tin được thực hiện bởi các cơ quan nhà nước, cơ quan thành phố, pháp nhân và cá nhân tổ chức và (hoặc) thực hiện việc xử lý dữ liệu cá nhân, cũng như xác định mục đích và nội dung về việc xử lý dữ liệu cá nhân.” Điều này có nghĩa là dữ liệu cá nhân (PD) sẽ phân loại nó người sở hữu, đây là sự trợ giúp nghiêm túc cho việc lựa chọn khách quan các phương pháp và phương tiện bảo vệ dữ liệu cá nhân, đồng thời tạo cơ sở khách quan để đối thoại với các cơ quan kiểm tra về tính đầy đủ của các biện pháp mà tổ chức thực hiện để bảo vệ dữ liệu cá nhân.

Khi phân loại IP dùng để xử lý dữ liệu cá nhân, dữ liệu ban đầu sau đây sẽ được tính đến: ·

  • loại dữ liệu cá nhân được xử lý trong hệ thống thông tin; ·
  • âm lượng PD đã xử lý (số lượng đối tượng có dữ liệu cá nhân được xử lý trong IS); ·
  • đặc điểm bảo mật của dữ liệu cá nhân được xử lý trong hệ thống thông tin do chủ sở hữu hệ thống thông tin quy định; ·
  • cấu trúc hệ thống thông tin; ·
  • sự sẵn có của các kết nối IS tới các mạng truyền thông công cộng và (hoặc) các mạng trao đổi thông tin quốc tế; ·
  • chế độ xử lý PD; ·
  • phương thức phân định quyền truy cập của người sử dụng hệ thống thông tin; ·
  • vị trí của hệ thống thông tin kỹ thuật.

Trước hết, hãy xác định những gì cấu thành dữ liệu cá nhân. Đây là thông tin có tính chất khác nhau về các cá nhân cụ thể. Lưu ý rằng chúng ta chỉ đang nói về thông tin ở dạng điện tử được nhập, lưu trữ, xử lý và truyền đi trong hệ thống thông tin. Thông tin này được chia thành bốn loại chính: ·

  • loại 1 - PD liên quan đến chủng tộc, quốc tịch, quan điểm chính trị, niềm tin tôn giáo và triết học, tình trạng sức khỏe, đời sống tình cảm; ·
  • loại 2 - PD cho phép bạn xác định đối tượng của dữ liệu cá nhân và lấy thông tin bổ sung về đối tượng đó, ngoại trừ dữ liệu cá nhân liên quan đến loại 1; ·
  • loại 3 - dữ liệu cá nhân cho phép xác định chủ thể của dữ liệu cá nhân; ·
  • loại 4 - PD ẩn danh và (hoặc) công khai.

Ví dụ: họ riêng là dữ liệu thuộc loại thứ 4, sự kết hợp giữa họ và địa chỉ là thứ ba, họ, địa chỉ, số bảo hiểm và số thẻ là dữ liệu thứ hai và nếu hồ sơ y tế điện tử được thêm vào dữ liệu này thì kết quả là dữ liệu cá nhân chỉ thuộc về loại đầu tiên.

Dựa trên sự phân loại này, có thể khẳng định rằng bất kỳ dữ liệu y tế nào, cũng như hồ sơ nhân sự có cột “quốc tịch” (và đây hầu như là tất cả các bảng câu hỏi và bảng thông tin cá nhân hiện có cho hồ sơ nhân sự hiện đang được sử dụng), phải được phân loại vào loại đầu tiên . Cũng rõ ràng là các phần dữ liệu cá nhân hầu như luôn có một danh mục nhỏ hơn tổng thể của chúng. Ngay cả thông tin chi tiết về sức khỏe của một cá nhân cũng có thể vô nghĩa nếu không biết họ của người đó hoặc dữ liệu khác liên kết rõ ràng thông tin này với bệnh nhân.

Khối lượng PD được xử lý có thể lấy các giá trị sau: ·

  1. - hệ thống thông tin xử lý đồng thời dữ liệu cá nhân của hơn 100.000 đơn vị hoặc dữ liệu cá nhân của các đơn vị trong khu vực Liên bang Nga hoặc toàn Liên bang Nga; ·
  2. - hệ thống thông tin xử lý đồng thời dữ liệu cá nhân từ 1.000 đến 100.000 đối tượng hoặc dữ liệu cá nhân của các đối tượng làm việc trong khu vực kinh tế của Liên bang Nga, trong cơ quan chính phủ, sống trên địa bàn đô thị; ·
  3. - hệ thống thông tin xử lý đồng thời dữ liệu của dưới 1000 đối tượng hoặc dữ liệu cá nhân của các đối tượng của một tổ chức cụ thể.

Theo đặc điểm bảo mật của dữ liệu cá nhân được xử lý trong hệ thống thông tin, hệ thống thông tin được chia thành tiêu chuẩn và đặc biệt. Đầu tiên là các hệ thống thông tin chỉ yêu cầu hỗ trợ sự riêng tư dữ liệu cá nhân.

Đặc tính “bảo mật” có nghĩa là chỉ người được dự định mới có thể xử lý (nhập, lưu trữ, xử lý và chuyển giao) PD ở dạng điện tử. Để đảm bảo tính bảo mật khi truyền dữ liệu cá nhân qua mạng, trong đó có Internet, cần sử dụng mã hóa dữ liệu.

Hệ thống thông tin đặc biệt là những hệ thống thông tin trong đó, bất kể nhu cầu đảm bảo tính bảo mật của dữ liệu cá nhân, cần phải đảm bảo ít nhất một trong các đặc điểm bảo mật của dữ liệu cá nhân ngoài tính bảo mật (ví dụ: tính toàn vẹn hoặc tính sẵn có). Đặc tính “toàn vẹn” có nghĩa là dữ liệu cá nhân chỉ được thay đổi theo cách được quy định, ví dụ: chỉ bác sĩ được ủy quyền mới có thể thay đổi hồ sơ bệnh án điện tử và trong mọi trường hợp khác, thông tin trong hồ sơ bệnh án không được thay đổi . Khi truyền qua mạng, tính toàn vẹn được đảm bảo bằng việc sử dụng chữ ký số điện tử.

Đặc tính “sẵn sàng” có nghĩa là công việc với PD phải được cung cấp cho một lượng dữ liệu và người dùng nhất định tuân thủ các quy định về thời gian đã thiết lập. Nói cách khác, “tính sẵn sàng” là một công thức khác của độ tin cậy của hệ thống. Cũng lưu ý rằng việc nói về khả năng truy cập trong các mạng mở là gần như vô nghĩa - không một nhà cung cấp nào sẽ cung cấp quyền truy cập được đảm bảo vào dữ liệu hoặc việc truyền dữ liệu không bị gián đoạn.

Hệ thống thông tin đặc biệt bao gồm: ·

  • IP nơi xử lý dữ liệu cá nhân liên quan đến tình trạng sức khỏe của đối tượng; ·
  • IP cung cấp sự chấp nhận chỉ dựa trên xử lý tự động các quyết định về dữ liệu cá nhân làm phát sinh hậu quả pháp lý liên quan đến chủ thể hoặc ảnh hưởng đến quyền và lợi ích hợp pháp của chủ thể đó.

Theo cấu trúc của chúng, hệ thống thông tin xử lý dữ liệu cá nhân được chia thành: ·

  • đến tự trị (không được kết nối với IS khác) dùng để xử lý dữ liệu cá nhân (máy trạm tự động); ·
  • đến các tổ hợp máy trạm tự động được kết hợp thành một IS duy nhất bằng phương tiện liên lạc mà không sử dụng công nghệ truy cập từ xa (hệ thống thông tin cục bộ); ·
  • đến các tổ hợp máy trạm tự động và (hoặc) hệ thống thông tin cục bộ, được tích hợp vào một hệ thống thông tin duy nhất bằng phương tiện liên lạc sử dụng công nghệ truy cập từ xa (hệ thống thông tin phân tán).

Dựa trên sự hiện diện của kết nối với mạng truyền thông công cộng và (hoặc) trao đổi thông tin quốc tế, hệ thống thông tin được chia thành hệ thống có kết nối và hệ thống không có kết nối.

Dựa trên thực tế là bắt buộc phải đảm bảo tính bảo mật dữ liệu, chúng tôi có thể xác định các yếu tố cần thiết của hệ thống thông tin để xử lý dữ liệu cá nhân.

Trước hết, hệ thống thông tin phải xác định người dùng và có thể thiết lập các cơ quan có thẩm quyền riêng để người dùng truy cập vào dữ liệu cá nhân, tức là có hệ thống nhận dạng, xác thực và kiểm soát truy cập.

Thứ hai, cần đảm bảo việc bảo vệ dữ liệu cá nhân có thể bị xa lánh khỏi hệ thống. Ví dụ, việc chuyển thông tin tới phương tiện di động. Rất có thể trong một số trường hợp cần phải tính đến khả năng bị trộm và mất (mất) thiết bị máy tính có dữ liệu cá nhân. Trong trường hợp này, việc mã hóa PD được lưu trữ trên phương tiện máy tính cũng là bắt buộc.

Nếu hệ thống có kết nối với các mạng mở hoặc liên quan đến trao đổi dữ liệu, thì bắt buộc phải sử dụng mã hóa dữ liệu và chữ ký số điện tử, cũng như cung cấp biện pháp bảo vệ chống lại các cuộc tấn công từ mạng bên ngoài, bao gồm cả tính năng bảo vệ chống vi-rút.

Để mã hóa và chữ ký điện tử, các khóa và chứng chỉ do chính người dùng tạo ra và đăng ký với cái gọi là cơ quan chứng nhận sẽ được sử dụng.

Một điểm rất quan trọng là việc đăng ký hành động với PD, một mặt giúp xác định những người chịu trách nhiệm về việc rò rỉ của họ, mặt khác, tạo động lực tâm lý để làm việc đúng đắn với họ.

Hệ thống thông tin xử lý dữ liệu cá nhân có thể được gán một trong các lớp sau: ·

  • loại 1 (K1) - IP vi phạm các đặc điểm bảo mật cụ thể của dữ liệu cá nhân được xử lý trong đó có thể dẫn đến hậu quả tiêu cực đáng kể cho chủ thể của dữ liệu cá nhân; ·
  • loại 2 (K2) - IP mà việc vi phạm các đặc điểm bảo mật được chỉ định của PD được xử lý trong đó có thể dẫn đến hậu quả tiêu cực cho chủ thể của dữ liệu cá nhân; ·
  • loại 3 (K3) - IP vi phạm các đặc điểm bảo mật cụ thể của dữ liệu cá nhân được xử lý trong đó có thể dẫn đến hậu quả tiêu cực nhỏ cho chủ thể của dữ liệu cá nhân; ·
  • loại 4 (K4) - IP vi phạm các đặc điểm bảo mật được chỉ định của dữ liệu cá nhân được xử lý trong đó không dẫn đến hậu quả tiêu cực cho chủ thể của dữ liệu cá nhân.

Bảng 1

Loại

Thứ nhất, từ “Trật tự…” kéo theo sự tồn tại Thể loại dữ liệu cá nhân. Thật hợp lý để thực hiện sự tổng hợp cơ sở dữ liệu trong IS chứa PD thành các phần không chồng chéo chứa dữ liệu thuộc các danh mục khác nhau. Ngoài ra, IS để xử lý PD phải là chia thành các đường nét, chỉ chứa dữ liệu từ một danh mục. Điều này hoàn toàn có thể thực hiện được vì các cá nhân được xác định duy nhất bằng số hộ chiếu hoặc TIN hoặc số chính sách bảo hiểm y tế, cho phép cơ sở dữ liệu y tế và các mảng khác được lập chỉ mục một cách rõ ràng. Vì vậy, cần phải tuân theo nguyên tắc rằng trong mỗi mạch IS để xử lý dữ liệu cá nhân cần phải sử dụng sản phẩm được chứng nhận của một lớp, và các đường viền phải là bị cô lập từ nhau.

Có thể nói rằng hầu hết các hệ thống thông tin xử lý dữ liệu cá nhân (đặc biệt là cho mục đích y tế) sẽ đặc biệt, tức là họ cần đảm bảo không chỉ tính bảo mật mà còn cả chính trực bắt buộc và các đặc điểm an toàn và độ tin cậy khác.

Khi phân phối IP để xử lý dữ liệu cá nhân, ngay cả khi cần đảm bảo chỉ sự riêng tư theo "Thủ tục..." bắt buộc phải bảo vệ dữ liệu cá nhân được truyền và lưu trữ. Điều này hoàn toàn tuân thủ các yêu cầu hiện tại của FSB Liên bang Nga đối với các hệ thống thông tin tự động nhằm bảo vệ thông tin bí mật không cấu thành bí mật nhà nước, cụ thể là quy định “tất cả thông tin bí mật truyền qua các kênh liên lạc phải được bảo vệ; thông tin truyền qua các kênh liên lạc phải được mã hóa bằng công cụ bảo vệ thông tin mật mã (CIPF) hoặc sử dụng các kênh liên lạc an toàn để truyền tải. Thông tin được ghi lại trên các phương tiện truyền thông xa lạ phải được bảo vệ.”

Yêu cầu cuối cùng chắc chắn có thể áp dụng cho các hệ thống thông tin dữ liệu cá nhân biệt lập không có kênh truyền dữ liệu cá nhân, tức là cho các máy trạm riêng lẻ xử lý dữ liệu cá nhân.

Điều này có nghĩa là để xử lý dữ liệu cá nhân, hệ thống thông tin phải được chứng nhận ở cấp độ không thấp hơn AK2 trong phân loại của FSB của Liên bang Nga. Ví dụ: Windows XP được bảo vệ bằng gói cập nhật Secure Pack Rus tương ứng với lớp này. Các phương tiện bảo mật phải bao gồm các phương tiện bảo vệ thông tin mật mã (CIPF) thuộc loại không thấp hơn KS2.

Dựa trên điều này, đối với bất kỳ hệ thống thông tin PD nào xử lý các danh mục PD cao hơn loại thứ 4 (chắc chắn sẽ bao gồm tất cả các hệ thống xử lý PD y tế), sẽ cần phải thực hiện tất cả các yêu cầu của lớp AK2 trong phân loại của FSB của Liên bang Nga.

Từ kiến ​​trúc PD IS, với số lượng PD được xử lý đủ lớn (chỉ số 1 hoặc 2), chắc chắn sẽ có một thành phần máy chủ nổi bật, thành phần này cũng sẽ cần được bảo vệ. Trong trường hợp này, tất cả thông tin bí mật được lưu trữ trên phương tiện từ tính của máy trạm và máy chủ phải được bảo vệ, đáp ứng các yêu cầu của loại AK3.

Vì vậy, chúng tôi có thể đề xuất một chiến lược hoàn toàn hợp lý để bảo vệ dữ liệu cá nhân, bao gồm các chiến lược sau: Bảng. 1 được điền như sau (xem Bảng 2).

ban 2

danh mục IPLớp IP tùy thuộc vào khối lượng dữ liệu được xử lý

Không thấp hơn AK3

Không thấp hơn AK3

Không thấp hơn AK3

Ghi chú. “-” có nghĩa là không có yêu cầu nào cả.

Vì vậy, để bảo vệ dữ liệu cá nhân thuộc loại đầu tiên, bao gồm tất cả dữ liệu y tế, cần sử dụng các phương tiện bảo vệ thuộc loại không thấp hơn AK3 và các phương tiện bảo vệ bằng mật mã thuộc loại không thấp hơn KS3.

Để trang bị thực tế cho IP các phương tiện bảo mật, chúng tôi có thể đề xuất các sản phẩm được điều chỉnh đặc biệt để bảo vệ dữ liệu cá nhân và có các giấy phép cần thiết (chứng chỉ và kết luận). Đây chủ yếu là Secure Pack Rus và các công cụ bảo vệ mật mã thuộc dòng CryptoPro.

Bây giờ chúng ta hãy thử ước tính chi phí trang bị cho một nơi làm việc để xử lý PD. Nếu không giảm giá, giá của gói Secure Pack Rus là khoảng 2.000 rúp, trong khi các công cụ bảo vệ mật mã của dòng CryptoPro đã được bao gồm trong gói này. Hơn nữa, để bảo vệ thông tin cá nhân được lưu trữ trên máy tính của bạn, bạn nên mua một trong các gói bảo vệ dữ liệu CryptoPro EFS, Secure Pack Explorer hoặc Crypto Explorer. Giá của mỗi sản phẩm này dao động từ 600 đến 1000 rúp. Tổng cộng, việc bảo vệ một nơi làm việc mà không tính đến việc cài đặt và cấu hình sẽ tiêu tốn khoảng 3.000 rúp, và việc cài đặt và điều chỉnh các chương trình theo truyền thống sẽ tăng thêm 10-15% chi phí.

Thông thường, chúng ta có thể phân biệt “mười bước thần bí trên con đường” dẫn đến một hệ thống xử lý dữ liệu cá nhân an toàn.

  1. Xác định những thành phần IP của bạn cần được bảo vệ trước tiên. Trước tiên, hãy tìm hiểu chính xác dữ liệu cá nhân nào cần được bảo vệ và dữ liệu đó hiện nằm ở đâu trong hệ thống của bạn. Sau đó kiểm tra xem nơi làm việc của mỗi nhân viên có thực sự cần bảo vệ dữ liệu hay không. Có lẽ sẽ dễ dàng hơn nếu phân bổ các máy tính riêng biệt để làm việc với thông tin cá nhân cần được bảo vệ đặc biệt đáng tin cậy? Hãy nhớ rằng máy tính kết nối Internet không phải là nơi tốt nhất để lưu trữ dữ liệu cá nhân!
  2. Đánh giá hiện trạng an toàn thông tin. Mức độ thỏa đáng là bao nhiêu? Nếu có thể, hãy tiến hành kiểm tra bảo mật bên ngoài hệ thống của bạn. Phân loại IP của bạn theo hướng dẫn ở trên. So sánh những phát hiện của bạn với những phát hiện của kiểm toán bên ngoài.
  3. Xác định ai hiện chịu trách nhiệm đảm bảo bảo vệ quyền sở hữu trí tuệ. Có thể thu hẹp vòng tròn những người mà độ tin cậy của sự bảo vệ này phụ thuộc vào không? Đồng thời, hãy nhớ rằng - sự an toàn không thể phụ thuộc vào một người! Hãy chắc chắn chỉ định kiểm toán viên, ví dụ, bác sĩ trưởng có thể giám sát công việc của các chuyên gia trong việc điền và di chuyển PD.
  4. Hãy phê phán các yêu cầu của các chuyên gia nếu họ nhất quyết đòi cài đặt phần cứng bảo mật. Cũng xin lưu ý rằng việc sử dụng các công cụ mật mã là một công việc khá nghiêm túc. Điều quan trọng là phải hiểu: việc duy trì các công cụ mã hóa và sử dụng chữ ký số có ảnh hưởng đến hoạt động kinh doanh cốt lõi của công ty bạn không? Cũng xin lưu ý rằng không phải mọi nhân viên đều có thể hoặc nên mã hóa dữ liệu.
  5. Đảm bảo trật tự an ninh cho phòng khám của bạn. Đặt chế độ đảm bảo mức độ bảo mật thông tin cần thiết nhưng không đi quá xa. Ví dụ, mọi người không nên bị tước đi khả năng sử dụng điện thoại di động. Việc cấm nhân viên truy cập email và Internet vì mục đích cá nhân cũng không phù hợp. Đồng thời, nên quy định quy trình đưa phương tiện flash và máy tính xách tay của bạn vào lãnh thổ của công ty hoặc sử dụng chức năng có sẵn trong Secure Pack Rus để vô hiệu hóa các ổ USB không được quản trị viên cho phép sử dụng
  6. Yêu cầu các chuyên gia CNTT lập kế hoạch làm việc rõ ràng để tạo và cấu hình hệ thống bảo mật. Yêu cầu biện minh cho sự cần thiết phải mua thêm thiết bị an ninh. Nhấn mạnh vào việc đảm bảo rằng các điều chỉnh bảo mật sẽ không ảnh hưởng đến hoạt động cơ bản của hệ thống.
  7. Giám sát việc thực hiện kế hoạch tạo ra một hệ thống an ninh.
  8. Lắng nghe ý kiến ​​của bác sĩ và nhân viên - các biện pháp an toàn có ảnh hưởng đến công việc và hoạt động cốt lõi của họ không?
  9. Duy trì và kiểm tra trạng thái bảo mật PD, đồng thời củng cố lòng trung thành của nhân viên an ninh.
  10. Hãy bình tĩnh trước những đổi mới trong lĩnh vực an ninh - chủ nghĩa bảo thủ lành mạnh sẽ giúp bạn tiết kiệm tiền.