इलेक्ट्रॉनिक उपकरणों की सुरक्षा के स्तर के निर्धारण का स्वचालन। आईएसपीडीएन में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा के स्तर को निर्धारित करने का कार्य

स्तर के अंतर्गत प्रारंभिक सुरक्षाव्यक्तिगत डेटा सूचना प्रणाली (पीडीआईएस) को आईएसपीडी की तकनीकी और परिचालन विशेषताओं के आधार पर एक सामान्यीकृत संकेतक के रूप में समझा जाता है, अर्थात्:

• प्रादेशिक नियुक्ति;
• नेटवर्क कनेक्शन की उपलब्धता सामान्य उपयोग;
• व्यक्तिगत डेटाबेस रिकॉर्ड के साथ अंतर्निहित (कानूनी) संचालन;
• व्यक्तिगत डेटा तक पहुंच पर प्रतिबंध;
• अन्य आईएसपीडी के अन्य व्यक्तिगत डेटा बेस के साथ कनेक्शन की उपस्थिति;
• व्यक्तिगत डेटा के सामान्यीकरण (अनामीकरण) का स्तर;
• व्यक्तिगत डेटा की वह मात्रा जो प्रारंभिक प्रसंस्करण के बिना तृतीय-पक्ष आईएसपीडी उपयोगकर्ताओं को प्रदान की जाती है।

ISPDn (Y₁) की प्रारंभिक सुरक्षा का स्तर निर्धारण पद्धति के अनुसार निर्धारित किया जाता है वर्तमान खतरेसंसाधित होने पर व्यक्तिगत डेटा की सुरक्षा जानकारी के सिस्टम 2008 में रूस के FSTEC द्वारा अनुमोदित व्यक्तिगत डेटा का एएच। ISPD (Y₁) की प्रारंभिक सुरक्षा के स्तर का उपयोग व्यक्तिगत डेटा की सुरक्षा के लिए खतरों को लागू करने की संभावना का आकलन करने के लिए किया जाता है।

रूस के FSTEC ने ISPDn (Y₁) की प्रारंभिक सुरक्षा के 3 (तीन) स्तरों की पहचान की है:

• उच्च;
• औसत;
• छोटा।

आईएसपीडी की प्रारंभिक सुरक्षा का स्तर तालिका 1 के अनुसार निर्धारित किया गया है

तालिका 1. आईएसपीडी सुरक्षा के प्रारंभिक स्तर का संकेतक

	सुरक्षा स्तर
	उच्च	औसत	छोटा
1. प्रादेशिक स्थान के अनुसार:
वितरित आईएसपीडी, जो कई क्षेत्रों, क्षेत्रों, जिलों या पूरे राज्य को कवर करता है;	-	-	+
शहर आईएसपीडीएन, एक से अधिक को कवर नहीं करता समझौता(शहर, कस्बे);	-	-	+
कॉर्पोरेट वितरित आईएसपीडी, एक संगठन के कई प्रभागों को कवर करता है;	-	+	-
स्थानीय (परिसर) आईएसपीडी, आसपास की कई इमारतों में तैनात;	-	+	-
	+	-	-
आईएसपीडीएन, जिसके पास सार्वजनिक नेटवर्क तक मल्टीपॉइंट पहुंच है;	-	-	+
आईएसपीडीएन, जिसकी सार्वजनिक नेटवर्क तक एकल बिंदु पहुंच है;	-	+	-
आईएसपीडीएन, सार्वजनिक नेटवर्क से भौतिक रूप से अलग हो गया है	+	-	-
पढ़ना, खोजना;	+	-	-
रिकार्ड करना, हटाना, छाँटना;	-	+	-
संशोधन, स्थानांतरण	-	-	+
आईएसपीडी, जिस संगठन के कर्मचारी आईएसपीडी के मालिक हैं, या व्यक्तिगत डेटा का विषय है, उसकी पहुंच है;	-	+	-
आईएसपीडी, जिस तक आईएसपीडी के मालिक संगठन के सभी कर्मचारियों की पहुंच है;	-	-	+
आईएसपीडीएन के साथ खुला एक्सेस	-	-	+
5. अन्य आईएसपीडी के अन्य व्यक्तिगत डेटा बेस के साथ कनेक्शन की उपस्थिति के आधार पर:
एकीकृत आईएसपीडी (एक संगठन कई आईएसपीडी व्यक्तिगत डेटाबेस का उपयोग करता है, जबकि संगठन उपयोग किए गए सभी व्यक्तिगत डेटा बेस का मालिक नहीं है);	-	-	+
आईएसपीडी, जो उस संगठन के स्वामित्व वाले एक व्यक्तिगत डेटा बेस का उपयोग करता है जो इस आईएसपीडी का मालिक है	+	-	-
6. व्यक्तिगत डेटा के सामान्यीकरण (अनामीकरण) के स्तर के अनुसार:
आईएसपीडी, जिसमें उपयोगकर्ता को प्रदान किया गया डेटा अज्ञात है (संगठन, उद्योग, क्षेत्र, क्षेत्र, आदि के स्तर पर);	+	-	-
आईएसपीडीएन, जिसमें डेटा को केवल तभी अज्ञात किया जाता है जब इसे अन्य संगठनों में स्थानांतरित किया जाता है और संगठन में किसी उपयोगकर्ता को प्रदान किए जाने पर इसे अज्ञात नहीं किया जाता है;	-	+	-
आईएसपीडीएन, जिसमें उपयोगकर्ता को प्रदान किया गया डेटा अज्ञात नहीं है (यानी ऐसी जानकारी है जो आपको व्यक्तिगत डेटा के विषय की पहचान करने की अनुमति देती है)	-	-	+
7. व्यक्तिगत डेटा की मात्रा के अनुसार जो प्रारंभिक प्रसंस्करण के बिना तीसरे पक्ष के आईएसपीडी उपयोगकर्ताओं को प्रदान किया जाता है:
आईएसपीडीएन, जो संपूर्ण डेटाबेस को व्यक्तिगत डेटा प्रदान करता है;	-	-	+
आईएसपीडीएन, जो व्यक्तिगत डेटा का हिस्सा प्रदान करता है;	-	+	-
आईएसपीडीएन जो कोई जानकारी प्रदान नहीं करता है।	+	-	-

आईएसपीडी सुरक्षा के प्रारंभिक स्तर को निर्धारित करने के नियम

आईएसपीडी सुरक्षा का प्रारंभिक स्तर निम्नानुसार निर्धारित किया जाता है।

1. आईएसपीडीएन के पास है उच्चप्रारंभिक सुरक्षा का स्तर, यदि आईएसपीडी की कम से कम 70% विशेषताएँ "उच्च" स्तर (पहले कॉलम में सकारात्मक निर्णय, उच्च स्तर की सुरक्षा के अनुरूप) के अनुरूप हैं, और बाकी - सुरक्षा के औसत स्तर के अनुरूप हैं (दूसरे कॉलम में सकारात्मक निर्णय)।

तालिका 2. निर्धारण की शर्तें उच्च स्तरप्रारंभिक सुरक्षा

तकनीकी और प्रदर्शन गुणआईएसपीडीएन	सुरक्षा स्तर
	उच्च	औसत	छोटा
	∑ ≥ 70%	∑ ≤ 30%	0%

2. आईएसपीडीएन के पास है औसतप्रारंभिक सुरक्षा का स्तर, यदि पैराग्राफ 1 की शर्तें पूरी नहीं होती हैं और आईएसपीडी की कम से कम 70% विशेषताएं "औसत" से कम नहीं के स्तर के अनुरूप हैं (योग का अनुपात लिया जाता है) सकारात्मक समाधानदूसरे कॉलम के अनुसार, सुरक्षा के औसत स्तर के अनुरूप कुल गणनासमाधान), और बाकी - सुरक्षा के निम्न स्तर तक।

तालिका 3. प्रारंभिक सुरक्षा का औसत स्तर निर्धारित करने की शर्तें

आईएसपीडीएन की तकनीकी और परिचालन विशेषताएं	सुरक्षा स्तर
	उच्च	औसत	छोटा
	∑ < 70%	∑ ≥ 70%	∑ ≤ 30%

3. आईएसपीडीएन के पास है कमप्रारंभिक सुरक्षा की डिग्री, यदि पैराग्राफ 1 और 2 की शर्तें पूरी नहीं होती हैं।

तालिका 4. निर्धारण की शर्तें कम स्तरप्रारंभिक सुरक्षा

आईएसपीडीएन की तकनीकी और परिचालन विशेषताएं	सुरक्षा स्तर
	उच्च	औसत	छोटा
	∑ < 70%	∑ < 70%	∑ > 0%

व्यक्तिगत डेटा की सुरक्षा के लिए मौजूदा खतरों की सूची संकलित करते समय, आईएसपीडी सुरक्षा के प्रारंभिक स्तर की प्रत्येक डिग्री को एक संख्यात्मक गुणांक Y₁ सौंपा गया है, अर्थात्:

• 0-के लिए उच्च डिग्रीप्रारंभिक सुरक्षा;
• 5 - के लिए मध्यम डिग्रीप्रारंभिक सुरक्षा;
• 10 - प्रारंभिक सुरक्षा की निम्न डिग्री के लिए।

प्रारंभिक आईएसपीडी सुरक्षा के स्तर को निर्धारित करने का एक उदाहरण

उपयोगकर्ता के स्वचालित कार्य केंद्र की प्रारंभिक सुरक्षा के स्तर को निर्धारित करना आवश्यक है प्रबंधन कंपनी, जो सार्वजनिक नेटवर्क "इंटरनेट" के माध्यम से जीआईएस आवास और सांप्रदायिक सेवाओं के साथ बातचीत करता है, आईएसपीडी सुरक्षा के प्रारंभिक स्तर (तालिका 2, 3, 4) को निर्धारित करने के नियमों को ध्यान में रखते हुए, हम तालिका 5 में परिणाम दर्ज करेंगे।

तालिका 5. उपयोगकर्ता के स्वचालित कार्य केंद्र की सुरक्षा की प्रारंभिक डिग्री

आईएसपीडीएन की तकनीकी और परिचालन विशेषताएं	सुरक्षा स्तर
	उच्च	औसत	छोटा
1. प्रादेशिक स्थान के अनुसार:	+
स्थानीय आईएसपीडी को एक इमारत के भीतर तैनात किया गया	+
2. सार्वजनिक नेटवर्क से कनेक्शन द्वारा:		+
सार्वजनिक नेटवर्क तक एकल-बिंदु पहुंच के साथ आईएसपीडीएन		+
3. व्यक्तिगत डेटाबेस के रिकॉर्ड के साथ अंतर्निहित (कानूनी) संचालन के लिए:			+
संशोधन, स्थानांतरण			+
4. व्यक्तिगत डेटा तक पहुंच प्रतिबंधित करने पर:		+
आईएसपीडी, उस संगठन के कर्मचारी जो आईएसपीडी के मालिक हैं, या व्यक्तिगत डेटा का विषय है, के पास कर्मचारियों की सूची तक पहुंच है		+
5. अन्य आईएसपीडी के अन्य व्यक्तिगत डेटा बेस के साथ कनेक्शन की उपस्थिति से			+
एकीकृत आईएसपीडी (एक संगठन कई आईएसपीडी व्यक्तिगत डेटाबेस का उपयोग करता है, जबकि संगठन उपयोग किए गए सभी व्यक्तिगत डेटा बेस का मालिक नहीं है)			+
6. पीडी के सामान्यीकरण (प्रतिरूपण) के स्तर के अनुसार:			+
आईएसपीडी, जिसमें उपयोगकर्ता को प्रदान किया गया डेटा अज्ञात नहीं है (यानी ऐसी जानकारी है जो आपको पीडी के विषय की पहचान करने की अनुमति देती है)			+
7. व्यक्तिगत डेटा की मात्रा के अनुसार जो प्रारंभिक प्रसंस्करण के बिना तीसरे पक्ष के आईएसपीडी उपयोगकर्ताओं को प्रदान किया जाता है:		+
आईएसपीडीएन, पीडीएन का हिस्सा प्रदान करता है		+

इस पोस्ट में मैं ऐसे दस्तावेज़ पर प्रकाश डालना चाहूंगा आईएसपीडी में उनके प्रसंस्करण के दौरान पीडी सुरक्षा के स्तर को निर्धारित करने का कार्य. कहने को तो यह पुनर्जन्म है आईएसपीडी वर्गीकरण अधिनियम. मुख्य बाधा जिसका मुझे सामना करना पड़ा वह यह है कि लिखित रूप में एक विधायी साधन क्या है इसकी पूरी तरह से स्पष्ट तस्वीर नहीं है इस अधिनियम का. तथ्य यह है कि पहले आईएसपीडी के वर्गीकरण का यह अधिनियम रूस के एफएसटीईसी, रूस के एफएसबी, रूस के सूचना और संचार मंत्रालय के दिनांक 13 फरवरी, 2008 संख्या 55/86/20 के आदेश के आधार पर लिखा गया था। "व्यक्तिगत डेटा की सूचना प्रणालियों को वर्गीकृत करने की प्रक्रिया के अनुमोदन पर," जो प्रक्रिया वर्गीकरण को मंजूरी देता है। लेकिन यह आदेश 17 नवंबर 2007 की सरकारी डिक्री संख्या 781 के पैराग्राफ 6 के अनुसार जारी किया गया था, जो 1 नवंबर 2012 की सरकारी डिक्री संख्या 1119 जारी होने के कारण अमान्य हो गया। इस प्रकार, आदेश वैध है, लेकिन उच्चतर दस्तावेज़ नहीं है. बदले में, पीपी 1119 में आईएसपीडी श्रेणी के लिए कोई लिंक नहीं है, हालांकि, व्यक्तिगत डेटा की सुरक्षा के स्तर के लिए एक लिंक है जिसे आईएसपीडी में उनके प्रसंस्करण के दौरान सुनिश्चित किया जाना चाहिए।

इसलिए आपको दस्तावेज़ के शीर्षक से शुरुआत करनी होगी: "व्यक्तिगत डेटा सूचना प्रणाली में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा के स्तर को निर्धारित करने का कार्य "************।" मैंने देखा एंड्री प्रोज़ोरोव से इस पर और इसने मुझे पूरी तरह से संतुष्ट कर दिया। यह ध्यान दिया जाना चाहिए कि एंड्री ने भी कुछ टिप्पणियों के साथ इस कार्य में मदद की, जिसके लिए उन्हें एक विशेष "धन्यवाद!" ("धन्यवाद" कभी भी बहुत अधिक नहीं होता, एंड्री मुस्कुराते हैं;))।

हम आयोग की संरचना का निर्धारण करते हैं। मेरे दस्तावेज़ में इसे एक तालिका के साथ लागू किया गया है, लेकिन इसे पाठ के साथ भी किया जा सकता है। जैसा कि वे कहते हैं, सभी मार्करों का स्वाद और रंग अलग-अलग होते हैं।

फिर हम लिखते हैं कि किस दस्तावेज़ के आधार पर हम यह निर्धारित करते हैं कि हमें किस स्तर की सुरक्षा सुनिश्चित करने की आवश्यकता है। स्वाभाविक रूप से, यह पीपी 1119 है। हालाँकि, एक राय है कि क्योंकि आदेश संख्या 55/86/20 ने अभी तक अपना प्रभाव नहीं खोया है, इसे भी इंगित करना उचित है। नियामक की आदत क्रूर मजाक कर सकती है. मेरे पास निम्नलिखित पाठ है:

"आयोग ने सरकारी संकल्प के अनुसार व्यक्तिगत डेटा सूचना प्रणाली (आईएसपीडी) "********" के प्रारंभिक डेटा पर विचार किया है रूसी संघनंबर 1119 दिनांक 1 नवंबर 2012 "व्यक्तिगत डेटा सूचना प्रणालियों में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा के लिए आवश्यकताओं के अनुमोदन पर" और रूस के एफएसटीईसी, रूस के एफएसबी, सूचना मंत्रालय के आदेश को ध्यान में रखते हुए और रूस के संचार दिनांक 13 फरवरी, 2008 संख्या 55/86/20 "व्यक्तिगत डेटा सूचना प्रणालियों के वर्गीकरण को पूरा करने की प्रक्रिया के अनुमोदन पर", निर्धारित: "

1. सूचना प्रणाली में संसाधित व्यक्तिगत डेटा की श्रेणियाँ. यहां, पीपी 1119 के अनुसार, हमारे पास 4 विकल्प हैं: अन्य, सार्वजनिक, बायोमेट्रिक, विशेष। मैं पाठ में यह वर्णन करने की भी अनुशंसा करता हूं कि व्यक्तिगत डेटा की प्रत्येक श्रेणी का क्या मतलब है।
2. संसाधित व्यक्तिगत डेटा का दायरा. यहां सब कुछ सरल है, या तो 100,000 से कम या 100,000 से अधिक।
3. सूचना प्रणाली से संबंधित खतरे. फिर, पीपी 1119 में खतरों के प्रकारों का वर्णन किया गया है। और हम पाठ में यह भी वर्णन करते हैं कि कौन से खतरे किस प्रकार के हैं। यह बताने की सलाह दी जाती है कि यह विशेष प्रकार का खतरा क्यों है, या खतरे के मॉडल का संदर्भ लें।
4. सूचना प्रणाली में संसाधित व्यक्तिगत डेटा विषयों का प्रकार. यह सरल भी है. ये या तो केवल ऑपरेटर के कर्मचारी हैं या नहीं। यह स्पष्ट करना भी बेहतर होगा कि "ऑपरेटर कर्मचारी" का क्या अर्थ है। यह आपके लिए मुश्किल नहीं है, और नियामक के पकड़े जाने के कम कारण हैं।
5. IPDN का तात्पर्य विशेष या मानक से है. यहां यह बताना भी बेहतर होगा कि वर्गीकरण किन मानदंडों के आधार पर होता है। केवल यह अब पीपी 1119 से नहीं लिया गया है, बल्कि "तीन-सिरों वाले" आदेश संख्या 55/86/20 से लिया गया है।
6. आईएसपीडी संरचना(स्वायत्त, स्थानीय, वितरित)
7. क्या सार्वजनिक नेटवर्क से आईएसपीडी कनेक्शन हैं?
8. आईएसपीडीएन में पीडी प्रोसेसिंग मोड(एकल-उपयोगकर्ता या बहु-उपयोगकर्ता)
9. क्या वहां पहुंच नियंत्रण है?
10. आईएसपीडीएन की भौगोलिक स्थिति(पूरी तरह से रूसी संघ के भीतर या नहीं)

15 मई 2013 को, न्याय मंत्रालय ने अंततः 18 फरवरी 2013 के एफएसटीईसी आदेश संख्या 21 को पंजीकृत किया "व्यक्तिगत डेटा सूचना प्रणालियों में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए संगठनात्मक और तकनीकी उपायों की संरचना और सामग्री के अनुमोदन पर" ।”

"लंबे समय से प्रतीक्षित" क्यों? हां, क्योंकि रूसी संघ संख्या 1119 (1 नवंबर 2012) की सरकार की डिक्री जारी होने के बाद से, व्यक्तिगत डेटा की तकनीकी सुरक्षा से संबंधित कोई भी मुद्दा अनिश्चित स्थिति में है। यह इस तरह निकला: नए डिक्री ने व्यक्तिगत डेटा सूचना प्रणाली (पीडीआईएस) की पुरानी कक्षाओं को समाप्त कर दिया और "व्यक्तिगत डेटा सुरक्षा स्तर" की अवधारणा पेश की, लेकिन प्रत्येक विशिष्ट मामले में खुद को कैसे और किसके साथ सुरक्षित रखना चाहिए, यह बिल्कुल वही था जो उसे करना चाहिए था हमें बताया है नए आदेशएफएसटीईसी, जिसका हम "कुछ" छह महीने से इंतजार कर रहे थे।

नए आदेश के प्रकाशन के तुरंत बाद, इंटरनेट पर नए दस्तावेज़ के बारे में उत्साही समीक्षाओं की लहर दौड़ गई। उनका कहना है कि यह व्यक्तिगत डेटा की सुरक्षा पर कानून के क्षेत्र में एक बड़ा कदम है। कुछ हद तक, यह सच है (यह देखते हुए कि पिछले दस्तावेज़ तुरंत नैतिक रूप से पुराने हो गए थे और आधुनिक सूचना प्रणालियों - मोबाइल प्लेटफ़ॉर्म, वर्चुअलाइजेशन इत्यादि) के कामकाज की कई बारीकियों को ध्यान में नहीं रखा था, लेकिन, व्यक्तिगत रूप से, मेरे पास एक नए दस्तावेज़ के बारे में बहुत सारी शिकायतें.

इस लेख में मैं कोशिश करूंगा सरल भाषा मेंविश्लेषण नया दस्तावेज़रूस के FSTEC, इसके पक्ष और विपक्ष पर विचार करें, और इस प्रश्न का उत्तर देने का भी प्रयास करें कि "व्यक्तिगत डेटा ऑपरेटरों को अब क्या करना चाहिए?"

संपूर्ण दस्तावेज़ क्या है?

कुल मिलाकर, यह वास्तव में व्यक्तिगत डेटा सुरक्षा के क्षेत्र में कानून बनाने की दृष्टि से एक कदम आगे है। अंततः उपायों की सूची में हमने एक उल्लेख देखा मोबाइल उपकरणोंऔर वर्चुअलाइजेशन उपकरण, कुछ ऐसा जिसे कानून निर्माताओं ने पहले सावधानीपूर्वक टालने की कोशिश की थी। अंत में, पिछले आदेश की तरह कोई बाध्यता नहीं है: "यदि आपके पास कक्षा 1 आईएसपीडी है, तो आपको सूचना सुरक्षा उपकरणों पर पैसा खर्च करने की आवश्यकता है, यदि आपके पास कक्षा 2 है, तो एन-एम पैसा, और यदि 3 वर्ग हैं, तो एन-एम-के पैसा।

अब स्थिति यह है: हमारे पास विभिन्न तकनीकी और के 15 समूह हैं संगठनात्मक उपाय, प्रत्येक समूह में 2 से 20 अलग-अलग माप होते हैं, प्रत्येक माप के विपरीत यह नोट किया जाता है कि क्या यह उपाय एक निश्चित स्तर की सुरक्षा के लिए बुनियादी है (मैं उन्हें सशर्त रूप से अनिवार्य कहूंगा) (यदि कोई प्लस है, तो उपाय है) बुनियादी, यदि नहीं, तो यह क्षतिपूर्ति कर रहा है)। यहां यह ध्यान दिया जाना चाहिए कि सूची में कई उपाय शामिल हैं जो केवल प्रतिपूरक हो सकते हैं, यानी, उन्हें सुरक्षा के चार स्तरों में से किसी के लिए प्लस के साथ चिह्नित नहीं किया गया है।

व्यक्तिगत डेटा ऑपरेटर इसके अनुसार कार्य करता है निम्नलिखित एल्गोरिथम के लिए:
- पीपी 1119 के अनुसार अपने आईएसपीडी की सुरक्षा का स्तर निर्धारित करता है;
- चयनित सुरक्षा स्तर के लिए प्लस के साथ चिह्नित सभी उपायों का चयन करता है ( बुनियादी उपाय);
- परिणामी सूची से उन उपायों को हटा देता है जो आईएसपीडी में उपयोग नहीं की जाने वाली प्रौद्योगिकियों से संबंधित हैं (उदाहरण के लिए, यदि वर्चुअलाइजेशन टूल का उपयोग नहीं किया जाता है तो हम वर्चुअल इंफ्रास्ट्रक्चर की सुरक्षा के उपायों को हटा देते हैं);
- उपायों की परिणामी सूची को देखता है और खतरे के मॉडल में मौजूदा खतरों के साथ उनकी तुलना करता है, यदि चयनित उपाय सभी मौजूदा खतरों को बेअसर नहीं करते हैं, तो यह शेष सभी खतरों को बेअसर करने के लिए आवश्यक क्षतिपूर्ति उपायों को सूची में जोड़ता है;
- परिणामी सूची में अन्य विनियमों में परिभाषित उपायों को जोड़ता है (उदाहरण के लिए, पीपी संख्या 1119 में उपायों की एक छोटी संख्या है, और वहां भी हैं) सामान्य आवश्यकताएँसंघीय कानून-152 में), जिसके बाद उसे उन उपायों की अंतिम सूची प्राप्त होती है जिन्हें पूरा करने की आवश्यकता होती है;
- अंतिम सूची से उपाय करता है...

ऐसा लगता है कि सब कुछ सरल है: हम सुरक्षा का स्तर निर्धारित करते हैं, एक खतरे का मॉडल बनाते हैं, नए एफएसटीईसी आदेश से उपायों का चयन करते हैं और स्पष्ट करते हैं, इन उपायों को पूरा करते हैं और मच्छर हमारी नाक को नुकसान नहीं पहुंचाएंगे। लेकिन…

टार का एक चम्मच

दरअसल, यहीं से नए दस्तावेज़ और बाकी क़ानून दोनों की समग्र रूप से आलोचना शुरू होती है।

21 FSTEC ऑर्डरों की समस्याएँ आम तौर पर कई अन्य ऑर्डरों की तरह ही हैं विधायी दस्तावेज़- अस्पष्ट शब्दों का उपयोग, पाठ की दोहरी व्याख्या की संभावना, जहां अत्यंत आवश्यक हो वहां स्पष्टीकरण की कमी।

आप यह समझ सकते हैं कि दस्तावेज़ कितनी सावधानी से तैयार किया गया था और इन छह महीनों में इसे कितनी बार दोबारा पढ़ा और संपादित किया गया था, इस तथ्य से कि क्रम में चौथे बिंदु के बाद तुरंत छठा बिंदु है... ठीक है, ठीक है, ये नहीं हैं -चुनना, लेकिन सार क्या है?

भ्रम की शुरुआत शैली के क्लासिक्स से होती है, जो अनादि काल से चला आ रहा है। दस्तावेज़ के पैराग्राफ 2 में कहा गया है कि व्यक्तिगत डेटा की सुरक्षा के लिए कार्य करना कर सकनाजिन संगठनों के पास लाइसेंस है तकनीकी सुरक्षा गोपनीय जानकारी(टीजेडकेआई)।
यह वाक्यांश लंबे समय से एक दस्तावेज़ से दूसरे FSTEC दस्तावेज़ में भटक रहा है, लेकिन "कर सकते हैं" का क्या अर्थ है इसका अभी भी कोई स्पष्ट उत्तर नहीं है। स्वाभाविक रूप से, चालाक इंटीग्रेटर्स इसकी व्याख्या इस प्रकार करेंगे "यदि उनके पास स्वयं TZKI के लिए लाइसेंस नहीं है तो वे तीसरे पक्ष के संगठनों को आकर्षित कर सकते हैं।" औपचारिक रूप से, वे सही होंगे, क्योंकि यदि आप दूसरों में खोदते हैं नियमों, यह पता चला है कि एंटीवायरस की सामान्य स्थापना भी TZKI के अंतर्गत आती है, और TZKI के संबंध में लाइसेंसिंग नियमों में ऐसा कोई खंड नहीं है जो यह बताता हो कि यदि काम व्यक्तिगत जरूरतों के लिए किया जाता है तो लाइसेंस की आवश्यकता नहीं है। लेकिन ऑपरेटरों को पैसा बर्बाद करना पसंद नहीं है और, दुर्भाग्य से चालाक इंटीग्रेटर्स के लिए, वे सामान्य ज्ञान का उपयोग करते हैं और इस प्रस्ताव की व्याख्या इस प्रकार करते हैं कि "वे आकर्षित कर सकते हैं, या वे इसे स्वयं कर सकते हैं।" यह पहली जगह है जहां तीसरे पक्ष के संगठनों को आकर्षित करने की शर्तों का अधिक विशेष रूप से वर्णन करने में कोई दिक्कत नहीं होगी।

पर चलते हैं। बिंदु 3 हमें बताता है कि उपाय सुनिश्चित करने चाहिए पीडी सुरक्षावर्तमान सुरक्षा खतरों को बेअसर करने का लक्ष्य होना चाहिए। दूसरी ओर, संघीय कानून-152 हमें बताता है कि संगठनात्मक और तकनीकी उपायके लिए उपयोग किया जाता है आवश्यकताओं की पूर्तिपीडी सुरक्षा पर. तो, क्या हमारे पास स्वतंत्रता या कोई अन्य दायित्व है? पुनः, स्पष्टीकरण की आवश्यकता है.

आगे। छठे बिंदु में कहा गया है कि हर 3 साल में एक बार ऑपरेटर को स्वतंत्र रूप से या तीसरे पक्ष की भागीदारी के साथ लागू किए गए उपायों की प्रभावशीलता का आकलन करना चाहिए पीडी सुरक्षा. यहां यह 152-एफजेड में व्यक्तिगत डेटा के विषय को नुकसान के आकलन के साथ निकला। यह पता चला है कि एक मूल्यांकन किए जाने की आवश्यकता है, लेकिन इस तरह के मूल्यांकन के संचालन के लिए कोई पद्धति नहीं है। या शायद प्रदर्शन मूल्यांकन सूचना प्रणाली प्रमाणन का प्रतिस्थापन है? तो फिर ऑपरेटर TZKI लाइसेंस के बिना इसे स्वतंत्र रूप से क्यों कर सकता है?

दस्तावेज़ का दसवां पैराग्राफ पहली नज़र में बहुत आशाजनक है, यह कहता है " यदि असंभव है तकनीकी कार्यान्वयनव्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए व्यक्तिगत रूप से चयनित उपाय, साथ ही उपायों के बुनियादी सेट को अपनाने के चरणों में आर्थिक व्यवहार्यता को ध्यान में रखते हुए और (या) उपायों के अनुकूलित बुनियादी सेट को स्पष्ट करते हुए, अन्य (प्रतिपूरक) उपायों को विकसित किया जा सकता है व्यक्तिगत डेटा की सुरक्षा के लिए मौजूदा खतरों को बेअसर करना".

ऐसा प्रतीत होता है कि यही वह है - हम संदर्भित करते हैं आर्थिक अक्षमताऔर हम कोई नहीं खरीदते प्रमाणित उत्पादसुरक्षा। खैर, निम्नलिखित पैराग्राफ हमें तुरंत उत्साह की स्थिति से बाहर लाता है: "इस मामले में, व्यक्तिगत डेटा सुरक्षा प्रणाली के विकास के दौरान, व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए क्षतिपूर्ति उपायों के उपयोग का औचित्य पूरा किया जाना चाहिए।".

यानी, यहां बताया गया है कि, इंस्पेक्टर को केवल यह बताने से कि "लोगों और मैंने इसका पता लगाया और निर्णय लिया कि प्रमाणित सुरक्षा जानकारी लागू करना बहुत महंगा है और एक मुफ्त चीनी एंटीवायरस स्थापित करना" काम नहीं करेगा। बुनियादी उपायों के अलावा अन्य उपायों के उपयोग को उचित ठहराने वाले कागज के कुछ टुकड़े दिखाना आवश्यक है। कैसे उचित ठहराया जाए? अब तक मेरे दिमाग में केवल एक ही बात आती है कि आईएसओ 27001 के अनुसार एक जोखिम विश्लेषण प्रक्रिया अपनाई जाए, जो इन उद्देश्यों के लिए काम पर रखने के मामले में हो। तृतीय पक्ष संगठन, अपने आप में काफी पैसा खर्च हो सकता है। इसके अलावा, यह अभी तक सच नहीं है कि जोखिम विश्लेषण से पता चलेगा कि प्रमाणित सूचना सुरक्षा प्रणालियों को लागू करना आर्थिक रूप से संभव नहीं है...

दरअसल, यहां हम दस्तावेज़ के मुख्य भाग तक पहुंचे - उपायों की सूची वाला एक परिशिष्ट। यहाँ भी, सब कुछ उतना सरल नहीं है जितना हम चाहेंगे। ऐसा लगता है कि उपायों को समूहों में विभाजित किया गया है और आसानी से क्रमांकित किया गया है, और ऐसा लगता है कि प्लस चिह्न वाले सुविधाजनक कॉलम इंगित करते हैं कि हमारे मामले में यह या वह उपाय सशर्त रूप से अनिवार्य है या नहीं। परन्तु फिर भी माप सहित तालिका का अध्ययन करने पर अनिश्चितता का भाव बना रहता है। उदाहरण के लिए, ऐसा लगता है कि आदेश के मुख्य पाठ का पैराग्राफ चार अब केवल प्रमाणित सूचना सुरक्षा प्रणालियों का उपयोग करने के लिए बाध्य नहीं है। यह अच्छा है। लेकिन यही अनुच्छेद सीधे तौर पर यह नहीं कहता है कि अप्रमाणित सूचना सुरक्षा उपकरण का उपयोग करना संभव है या सूचना सुरक्षा जानकारी का बिल्कुल भी उपयोग नहीं करना संभव है। यहाँ यह शब्दशः जैसा लगता है:
व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के उपाय लागू किए जा रहे हैं शामिलपरीक्षण की गई सूचना प्रणाली में सूचना सुरक्षा उपकरणों के उपयोग के माध्यम से निर्धारित तरीके सेअनुरूपता मूल्यांकन प्रक्रिया, ऐसे मामलों में जहांव्यक्तिगत डेटा की सुरक्षा के लिए मौजूदा खतरों को बेअसर करने के लिए ऐसे उपकरणों का उपयोग आवश्यक है।

साथ ही, सुरक्षा के सभी स्तरों के लिए सशर्त रूप से अनिवार्य पहला उपाय इस तरह लगता है: "उन उपयोगकर्ताओं की पहचान और प्रमाणीकरण जो ऑपरेटर के कर्मचारी हैं।"यह स्पष्ट है कि इस उपाय को किसी भी ओएस के मानक साधनों का उपयोग करके लागू किया जा सकता है। और ऐसा लगता है कि चौथा बिंदु उसी सीक्रेट नेट या डलास लॉक के उपयोग के लिए बाध्य नहीं करता है, लेकिन इसकी क्या गारंटी है कि कोई इंस्पेक्टर आकर नहीं कहेगा "आपने सब कुछ गलत समझा है, एक प्रमाणित सुरक्षा सूचना प्रणाली होनी चाहिए, यहाँ आपका आदेश है"? यह कौन और कैसे निर्धारित करता है कि किसी विशिष्ट खतरे को बेअसर करने के लिए प्रमाणित सुरक्षा सूचना प्रणाली आवश्यक है या इसके बिना यह किया जा सकता है? यह सादे पाठ में क्यों नहीं लिखा जा सकता कि प्रमाणित सूचना सुरक्षा उपकरण का उपयोग अनिवार्य नहीं है, या कुछ विशिष्ट मामलों में अनिवार्य नहीं है?

खैर, उपायों का सूत्रीकरण स्वयं कभी-कभी बहुत दिलचस्प होता है। उदाहरण के लिए, तीसरे और उच्चतर सुरक्षा स्तरों के लिए वर्चुअलाइजेशन वातावरण की सुरक्षा के लिए एक सशर्त अनिवार्य उपाय यहां दिया गया है:
"किसी व्यक्तिगत उपयोगकर्ता और/या उपयोगकर्ताओं के समूह द्वारा व्यक्तिगत डेटा को संसाधित करने के लिए वर्चुअल बुनियादी ढांचे को खंडों में विभाजित करना।"

हमें किस सिद्धांत से खंडित करना चाहिए? और ये क्यों जरूरी है? बेशक, उपायों के एक सेट को स्पष्ट या अनुकूलित करते समय, हम इस उपाय को सूची से हटा सकते हैं, लेकिन फिर, क्या होगा यदि निरीक्षक कहता है "आपने यह सब गलत किया है..."?

मुझे सचमुच उम्मीद है कि किसी दिन FSTEC प्रतिनिधि विवादास्पद मुद्दों पर आधिकारिक स्पष्टीकरण देंगे।

बायोडाटा के बजाय

सामान्य तौर पर, FSTEC द्वारा देने का प्रयास किया जाता है हेव्यक्तिगत डेटा की सुरक्षा के लिए रणनीति चुनते समय ऑपरेटरों के लिए कार्रवाई की अधिक स्वतंत्रता, लेकिन शब्दों में अस्पष्टता और अनिश्चितता, नियामक की अस्पष्ट स्थिति के साथ मिलकर विवादास्पद मामले, आपको सावधान करें।

अब ऑपरेटरों को क्या करना चाहिए?

उन लोगों के लिए जिन्होंने पहले से ही अपने आईएसपीडी को "पुरानी शैली" के अनुसार सुरक्षित कर लिया है, अपने दस्तावेज़ को थोड़ा संपादित करें, इसे अनुपालन में लाएं मौजूदा कानून. किसी भी मामले में, सबसे अधिक संभावना आपकी सुरक्षा प्रणाली है तकनीकी तौर परनए दस्तावेज़ का भी अनुपालन करेगा, क्योंकि पहले आवश्यकताएँ सख्त थीं।

बाकियों को अपने आईएसपीडी को वर्गीकृत करना चाहिए, एक खतरा मॉडल बनाना चाहिए, उपायों की एक सूची संकलित करनी चाहिए और जहां तक ​​संभव हो, उन्हें लागू करना चाहिए। इस क्षेत्र में नियामक स्पष्टीकरण, निरीक्षण प्रथाओं, विशेषज्ञ राय और कानून के विकास में सामान्य प्रवृत्ति के संबंध में सभी प्रकार की खबरों पर नज़र रखें।

1 नवंबर, 2012 की सरकारी डिक्री संख्या 1119 "व्यक्तिगत डेटा सूचना प्रणालियों में प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा के लिए आवश्यकताएं" व्यक्तिगत डेटा सुरक्षा के 4 स्तर स्थापित करती हैं, जो सूचना प्रणाली के प्रकार, वर्तमान खतरों के प्रकार से निर्धारित होती हैं। और संख्या व्यक्तिगत डेटा के विषयसूचना प्रणाली में संसाधित (तालिका 1 देखें)।

तालिका नंबर एक

आईएसपीडी के प्रकार	आईएसपीडी सुरक्षा स्तर
टाइप 1 खतरे	टाइप 2 खतरे	टाइप 3 खतरे
आईएसपीडीएन-एस		2 < 100000 > 1	3 < 100000 > 2
आईएसपीडीएन-बी		आईएसपीडीएन प्रकार
आईएसपीडीएन-ओ		3 < 100000 > 2
आईएसपीडीएन-I		3 < 100000 > 2	4 < 100000 > 3

आईएसपीडी के प्रकार

आईएसपीडीएन-एस - आईएसपीडीएन नस्ल, राष्ट्रीयता से संबंधित व्यक्तिगत डेटा की विशेष श्रेणियों का प्रसंस्करण करता है। राजनीतिक दृष्टिकोण, धार्मिक और दार्शनिक मान्यताएँ, स्वास्थ्य स्थिति, अंतरंग जीवनविषय.

आईएसपीडीएन-बी - आईएसपीडीएन बायोमेट्रिक जानकारी को संसाधित करता है जो किसी व्यक्ति की शारीरिक और जैविक विशेषताओं को दर्शाता है, जिसके आधार पर उसकी पहचान स्थापित की जा सकती है और जिसका उपयोग ऑपरेटर द्वारा व्यक्तिगत डेटा और संबंधित जानकारी के विषय की पहचान स्थापित करने के लिए किया जाता है। को विशेष श्रेणियांव्यक्तिगत डेटा।

आईएसपीडीएन-ओ - आईएसपीडीएन सार्वजनिक रूप से उपलब्ध डेटा का प्रसंस्करण करता है।

आईएसपीडीएन-I - आईएसपीडीएन पीडी की अन्य श्रेणियों का प्रसंस्करण करता है

वही संकल्प व्यक्तिगत डेटा के लिए तीन प्रकार के खतरों को स्थापित करता है:

प्रथम प्रकार (सिस्टम स्तर) के खतरे किसी सूचना प्रणाली के लिए प्रासंगिक होते हैं, यदि अन्य बातों के अलावा, सूचना प्रणाली में उपयोग किए जाने वाले सिस्टम सॉफ़्टवेयर में अघोषित (अघोषित) क्षमताओं की उपस्थिति से जुड़े खतरे इसके लिए प्रासंगिक होते हैं।

दूसरे प्रकार (एप्लिकेशन स्तर) के खतरे एक सूचना प्रणाली के लिए प्रासंगिक हैं, यदि अन्य बातों के अलावा, सूचना प्रणाली में उपयोग किए जाने वाले एप्लिकेशन सॉफ़्टवेयर में अघोषित (अघोषित) क्षमताओं की उपस्थिति से जुड़े खतरे इसके लिए प्रासंगिक हैं।

टाइप 3 खतरे (उपयोगकर्ता स्तर) एक सूचना प्रणाली के लिए प्रासंगिक हैं यदि ऐसे खतरे जो सिस्टम में अघोषित (अघोषित) क्षमताओं की उपस्थिति से संबंधित नहीं हैं और सूचना प्रणाली में उपयोग किए जाने वाले एप्लिकेशन सॉफ़्टवेयर इसके लिए प्रासंगिक हैं।

सूचना प्रणाली के लिए प्रासंगिक सुरक्षा खतरों के प्रकार का निर्धारण पीडी ऑपरेटर द्वारा मूल्यांकन को ध्यान में रखते हुए किया जाता है संभावित नुकसानजो व्यक्तिगत डेटा विषयों के कारण हो सकता है। आईएसपीडी सुरक्षा का आवश्यक स्तर न केवल खतरे के प्रकार पर निर्भर करेगा, बल्कि इसकी सुरक्षा के लिए उपयोग की जाने वाली सूचना सुरक्षा प्रणालियों की श्रेणी और सबसे ऊपर, पर भी निर्भर करेगा। अनिवार्य मार्गअघोषित क्षमताओं की अनुपस्थिति की निगरानी के लिए सूचना सुरक्षा प्रणाली (एनडीसी)।

जिससे हमारा तात्पर्य अतिरिक्त से है एफएसटीईसी आवश्यकताएँरूस जानबूझकर या अन्य अघोषित क्षमताओं की अनुपस्थिति के लिए सूचना सुरक्षा कार्यों को लागू करने वाले सॉफ़्टवेयर और हार्डवेयर-सॉफ़्टवेयर उत्पादों की जाँच करेगा। व्यवहार में, यह "सॉफ़्टवेयर बुकमार्क", "ट्रोजन हॉर्स" और अन्य दुर्भावनापूर्ण कोड की अनुपस्थिति का निर्धारण करने के लिए कार्यक्रमों के स्रोत कोड की एक परीक्षा है। हाल तक, ये आवश्यकताएँ केवल सुरक्षा प्रणालियों में उपयोग की जाने वाली सूचना सुरक्षा प्रणालियों पर लगाई गई थीं स्वचालित प्रणाली, प्रसंस्करण राज्य रहस्य. व्यक्तिगत डेटा की सुरक्षा पर FSTEC दस्तावेज़ जारी होने के साथ निर्दिष्ट आवश्यकताएँसुरक्षा के स्तर 1 और 2 के आईएसपीडी में उपयोग की जाने वाली सूचना सुरक्षा प्रणालियों पर भी लागू होता है। मार्गदर्शन दस्तावेज़"सूचना तक अनधिकृत पहुंच के खिलाफ सुरक्षा। भाग 1। सूचना सुरक्षा उपकरणों के लिए सॉफ्टवेयर। अघोषित क्षमताओं की अनुपस्थिति पर नियंत्रण के स्तर के अनुसार वर्गीकरण" (आरडी एनडीवी) अघोषित क्षमताओं की अनुपस्थिति पर नियंत्रण के चार स्तर स्थापित करता है। प्रत्येक स्तर को आवश्यकताओं के एक निश्चित न्यूनतम सेट की विशेषता होती है। राज्य रहस्यों के रूप में वर्गीकृत जानकारी की सुरक्षा के लिए उपयोग किए जाने वाले सॉफ़्टवेयर के लिए, कम से कम तीसरे का नियंत्रण स्तर सुनिश्चित किया जाना चाहिए। व्यक्तिगत डेटा और राज्य सूचना प्रणालियों की सुरक्षा के लिए जो राज्य रहस्यों को संसाधित नहीं करते हैं, नियंत्रण का चौथा स्तर पर्याप्त है।

इससे पहले एफएसटीईसी दस्तावेज़सख्ती से निर्धारित किया गया है कि प्रथम श्रेणी (K1) के आईएसपीडीएन के लिए सूचना सुरक्षा दस्तावेज जो पारित हो चुके हैं एनडीवी नियंत्रण. वर्तमान आवश्यकताओं में, ऑपरेटर को स्वयं खतरों के प्रकार को निर्धारित करने और तदनुसार निर्धारित करने का अधिकार है कि एनडीवी का खतरा है या नहीं।

यह मान लेना उचित है कि पहले प्रकार के खतरे केवल उन सूचना सुरक्षा प्रणालियों के लिए प्रासंगिक हो सकते हैं जो किसी न किसी तरह से खुफिया एजेंसियों के लिए रुचि रखते हैं: संघीय स्तर की व्यक्तिगत जानकारी डेटा, शीर्ष सरकारी अधिकारियों का डेटा, आदि। एक तर्क दिया जा सकता है यह धारणा कि लगभग सभी सिस्टम सॉफ़्टवेयर के डेवलपर कई प्रसिद्ध पश्चिमी निगम हैं, उनकी प्रतिष्ठा को महत्व देते हैं। लेकिन यह संभव है कि वे उन राज्यों की खुफिया सेवाओं के साथ सहयोग कर रहे हों, जहां के वे निवासी हैं। इन विक्रेताओं की "डिज़ाइन किए गए बुकमार्क" को बदनाम करने की प्रेरणा की कल्पना करना मुश्किल है, जिससे उनके व्यवसाय को भारी जोखिम का सामना करना पड़ता है।

दूसरे प्रकार के खतरों के साथ भी स्थिति समान है, लेकिन इसकी अपनी विशिष्टता है। अक्सर "घर-लिखित" या कस्टम-निर्मित का उपयोग लागू के रूप में किया जाता है सॉफ़्टवेयर. और यहां आकस्मिक या जानबूझकर "बुकमार्क" की संभावना, अजीब तरह से, अधिक हो सकती है। अक्सर गैर-दस्तावेजी विशेषताएं केवल "अच्छे" इरादों के साथ पेश की जाती हैं, उदाहरण के लिए। दूरदराज का उपयोगउपयोगकर्ता की समस्याओं को हल करने के लिए उसके कंप्यूटर पर।

रूसी संघ का आपराधिक संहिता

दस्तावेज़ का विश्लेषण 1 प्रश्न में किया गया था।