정보 시스템의 보안 수준을 결정합니다. 전자 장치의 초기 보안 수준 결정

현재 위치: 보고

그럼 처음부터 시작해 보겠습니다. 다리가 어디에서 "성장"하는지 이해해 봅시다.

2007년 1월 26일, 인간과 인간의 권리와 자유를 보호하기 위해 주체(이하 PD)의 개인 데이터를 보호해야 할 필요성을 결정하는 연방법 No. 152-FZ "개인 데이터에 관한"이 발효되었습니다. 시민. 이 법의 요구 사항을 준수하지 않은 경우 행정 및 형사 책임법인 및 개인(직원 및 조직의 수장) 모두에 대해 Roskomnadzor의 요청에 따라 조직 자체의 활동이 중단될 수 있습니다. 따라서 개인 데이터 정보 시스템(이하 PDIS)의 운영자는 위협으로부터 전송된 PD를 보호할 의무가 있으며, 위협의 구현으로 인해 이 데이터 소유자에게 피해가 발생할 수 있습니다.

그것이 무엇인지 기억하자 개인 데이터. 법률에 따라 정의는 다음과 같습니다. “개인 데이터 – 성, 이름, 부칭, 연도, 월을 포함하여 해당 정보(개인 데이터 주제)를 기반으로 식별되거나 결정된 개인과 관련된 모든 정보 , 생년월일 및 장소, 주소, 가족, 사회, 재산 상태, 교육, 직업, 소득, 기타 정보.” 즉, 반대쪽에서 가면 특정 주제를 식별할 수 있는 일련의 데이터는 개인정보입니다..

1.2. EDMS와 PD: 관계가 있나요?

EDMS는 다음을 보장하는 문제와 관련이 있습니까? PD 보호?

대답은 '예'입니다. EDMS에 기업 직원 및 계약자의 디렉토리가 포함되어 있고 이 데이터가 특정 주제를 식별할 수 있는 방식으로 시스템에 저장되어 있다면 이는 PD가 포함되어 있음을 의미합니다. 또한 EDMS는 다양한 설문지, 특성, 개인 파일, 병력 등을 저장하고 처리할 수도 있습니다. – 그리고 이 문서는 다음과도 관련이 있습니다. 특정 카테고리 PDn. 회사가 개인과의 협력에 초점을 맞추고 EDMS가 서비스 범위에 관여하는 경우 상황은 "더 악화됩니다". 이는 공공 기관에 적용됩니다. 직접 일인구와 함께; 의료 및 교육 기관; 통신회사; 신용 기관 등 – PD 운영자.

법은 운영자가 개인 데이터 보안을 보장하기 위해 어떤 구체적인 수단과 방법을 사용해야 하는지 직접적으로 명시하지 않는다는 점에 유의하십시오. 2011년 7월 1일까지 우리는 RF 정부 규정 번호 781, 512 및 687, 즉 소위 "Order of the Three" 및 FSTEC Order No. 58을 준수했습니다. 그 이후에는 261-FZ 및 "Old" 파트 3의 미술. 19 새로운 법의 여러 부분에 걸쳐 "확산"되어 인식할 수 없을 정도로 변경되었습니다.

3부 예술. 19: " 정부 러시아 연방, 고려 가능한 피해개인 데이터의 주제, 처리되는 개인 데이터의 양과 내용, 개인 데이터가 처리되는 활동 유형, 개인 데이터 보안에 대한 위협의 관련성은 다음을 설정합니다.

● 개인 데이터 정보 시스템에서 처리하는 동안 개인 데이터 보안 수준(해당 데이터의 보안에 대한 위협에 따라 다름)

● 개인 데이터 정보 시스템에서 처리하는 동안 개인 데이터를 보호하기 위한 요구 사항(이를 구현하면 개인 데이터 보안 수준이 확립됨)

● 요구 사항 소재 미디어생체 인식 개인 데이터 및 그러한 데이터를 개인 데이터 정보 시스템 외부에 저장하는 기술.”

“PD 보안 수준”이라는 용어를 처음 접한 것은 이번이 처음입니다. 그것은 무엇이며 무엇과 함께 먹나요?

1.3. PD 보안 수준 결정

개인정보 보호 수준개인 데이터 정보 시스템의 보안에 대한 위협을 무력화하는 요구 사항의 이행을 특성화하는 포괄적인 지표입니다. 보안 수준을 결정하기 위해서는 처리하는 주체(개인)의 개인정보 항목, 주체와 조직의 관계 형태에 따른 처리 유형, 주체의 수, 처리 주체의 수를 정하는 것이 필요합니다. 관련된 위협 유형 정보 시스템.

● 1개 그룹 - 개인 데이터의 특수 범주, 여기에는 주제의 국가 및 인종적 출신, 종교적, 철학적 또는 정치적 신념, 건강 및 친밀한 삶주제;

● 그룹 2 - 생체인식 개인정보, 즉 사진이나 지문과 같이 피험자의 생물학적 또는 생리학적 특성을 특성화하는 데이터입니다.

● 그룹 3 - 공공 PD, 즉, 주제에 대한 정보로, 주제 자신이 제공하는 완전하고 무제한적인 액세스가 가능합니다.

● 그룹 4 - 기타 개인 데이터 범주, 이전 세 그룹에는 표시되지 않습니다.

귀하의 조직과 주체 간의 관계 형태에 따라 처리는 두 가지 유형으로 구분됩니다.

● 직원(귀하의 조직과 노동 관계를 맺고 있는 주체)의 개인 데이터 처리

● 조직의 직원이 아닌 주체의 개인 데이터 처리.

개인 데이터가 처리되는 주체의 수에 따라 규제법에서는 다음 두 가지 범주만 정의합니다.

● 100,000개 미만의 주제;

● 100,000개 이상의 주제;

그리고 마지막으로 종류는 현재 위협:

● 유형 1 위협은 ISPD에서 사용되는 시스템 소프트웨어에 선언되지 않은(문서화되지 않은) 기능이 존재하는 것과 관련이 있습니다.

● 유형 2 위협은 ISPD에서 사용되는 응용 프로그램 소프트웨어에 선언되지 않은 기능이 있는 것과 관련이 있습니다.

● 유형 3 위협은 ISPD에서 사용되는 소프트웨어에 선언되지 않은 기능이 존재하는 것과 관련이 없습니다.

현재 위협의 유형을 판단하는 방법에 대한 규정이 없으므로 기업은 자체적으로 보안 수준을 판단하는 작업을 수행하거나(특별 라이센스가 필요한 인증 제외) 외부 컨설턴트를 유치할 수 있습니다.

초기 데이터를 설정한 후 다음 표에 따라 특정 ISPD에 대한 PD 보안 수준이 결정됩니다.

표 1. PD 보안 수준 결정

1.4. 인증 제품: 필요 여부.

우리 연구의 첫 번째 부분의 결과를 요약해 보겠습니다.

PD가 EDMS에 저장되어 있는 경우 이 시스템의 인증이 필요합니다. 원칙적으로 소프트웨어 개발자 자신이 제품 인증에 관심이 있으며 고객은 제품의 인증된 사본을 구입하십시오.특정 버전이나 세대에 대한 인증서는 다음에서 발행됩니다. 러시아 FSTEC엄격하게 정의된 기간 동안. 실제로 이 인증서다음을 인증합니다 EDMS 시스템지침 문서 "정보에 대한 무단 접근 방지"의 요구 사항을 준수합니다. 그런데 고객이 EDMS를 인증하려면 제품의 인증된 사본을 구매하는 것 외에도 해당 제품에 내장된 정보 보안 도구에 대한 인증서가 필요할 수도 있습니다. 정확히 어떤 수준인지는 EDMS가 분류되는 ISPD 보안의 필수 수준에 따라 달라집니다.

하나 참고할게요 중요한 단점이 모든 것에서: 제품 인증 절차는 시간이 많이 소요되는 과정입니다.. 저것들. 시스템의 한 버전이 인증될 때쯤이면 이미 쓸모없게 될 것입니다. 이 문제는 여전히 해결될 수 있지만 EDMS 개발자는 전체 세대를 한 번에 인증할 수 있습니다. 이는 전체 시스템 세대의 첫 번째 버전이 실제로 FSTEC의 인증을 받았음을 의미하지만 고객이 최신 버전을 요구하는 경우 설치 및 구성 후에는 추가 검사 제어 절차를 수행하는 것만으로도 충분합니다. .

검사관리 ISPD가 인증된 요구 사항을 지속적으로 충족하는지 여부를 결정하기 위해 수행되었습니다. 원칙적으로 설정이 이전에 인증된 제품 버전과 비교하여 접근 권한, 암호화, 로깅 등을 구별하는 메커니즘에 영향을 주지 않는 경우 고객 시스템의 인증은 문제 없이 최단 시간 내에 이루어집니다. 가능한 시간.

2. 업무의 종류. ISPDn 목록

우리 연구의 첫 번째 부분에서 EDMS 시스템 인증을 다루었음을 상기시켜 드리겠습니다. 결과적으로 우리는 매우 중요한 결론에 도달했습니다. 일련화된 소프트웨어 제품인 EDMS 자체는 대부분의 고객이 참조하는 연방법 152에서 논의되는 ISPD가 아닙니다. 실제로 EDS는 단지 일부에 불과합니다. 기술적 수단, ISPD는 다른 사항을 고려하는 것을 포함하여 기업의 전체 자동화 시스템을 의미합니다. 자동화 시스템. 따라서 단순히 EDMS 제품의 인증된 버전을 구매하는 것만으로는 고객에게 충분하지 않습니다. 또한 많은 작업이 필요할 것이며 연구의 두 번째 부분에서 고려할 것입니다.

2.1. ISPD 요구 사항 목록

먼저 어떤 요구사항을 충족해야 하는지 알아볼까요?

위협을 무력화하는 데 필요한 기업용 EDMS의 사용된 기술적 수단 및 소프트웨어 제품에 대한 요구 사항 목록 PD보안, PD 보안 수준에 따라 결정됩니다. 이 요구 사항 목록은 다음 표에 나와 있습니다.

표 2. ISPD 요구사항 목록

요구사항			UZ 3
요구사항 준수 여부를 정기적으로 모니터링 요구 사항 준수에 대한 통제는 운영자가 독립적으로 및/또는 계약에 따라 활동을 수행할 수 있는 라이센스를 가진 법인 및 개별 기업가의 참여로 구성 및 수행됩니다. 기술적 보호기밀 정보. 지정된 컨트롤운영자 또는 그 권한을 위임받은 사람이 결정한 기간 내에 최소 3년에 한 번 수행됩니다.
물리적 보안 및 접근 통제 ISPD가 위치한 건물에 대한 보안 제도를 조직하여 접근 권한이 없는 사람이 통제되지 않은 출입 또는 체류 가능성을 방지합니다.
미디어 보안 개인 데이터 매체의 안전 보장
합격자 목록 의무 이행을 위해 정보 시스템에서 처리되는 개인 데이터에 접근해야 하는 사람의 목록을 정의하는 문서에 대한 관리자의 승인 직무
인증된 정보 보안 시스템 현재의 위협을 무력화하기 위해 그러한 도구의 사용이 필요한 경우 정보 보안 분야에서 러시아 연방 법률의 요구 사항 준수 여부를 평가하는 절차를 통과한 정보 보안 시스템의 사용
개인정보 보안책임자의 지정 ISPD에서 개인 데이터의 보안을 보장하는 담당자 임명
전자출입기록에 대한 접근통제 공무 수행을 위해 특정 로그에 포함된 정보가 필요한 공무원에게만 전자 메시지 로그 내용에 대한 접근 권한을 제공합니다.
전자접속기록 자동등록 자동등록 전자잡지 ISPD에 포함된 개인 데이터에 액세스하기 위해 운영자 직원의 권한을 변경하는 보안
창조 구조 단위 구조적 부서 중 하나에 대한 생성/할당, ISPD에서 개인 데이터의 보안을 보장하는 책임.

보시다시피, 가장 최소한의 보안 수준이라도 인증된 제품의 사용을 권장합니다. 그러나 제품에 개인 데이터를 저장할 계획이라면 고객은 항상 제품에 대한 인증서를 요구합니까? 설마. 인증된 버전이 필요한지 여부는 고객 측의 자동화 시스템 아키텍처와 요구 사항에 따라 다릅니다.

고객이 모든 개인 데이터와 기밀 정보가 EDMS에만 존재한다고 가정하는 경우, 물론 인증된 제품을 설치해야 합니다. 그리고 고객이 EDMS도 통합될 전체 회로를 구축할 계획이라면 EDMS에 대한 인증이 필요하지 않고 전용 회로를 보호할 보호 수단 자체에 대한 인증이 필요합니다.

따라서 우리는 EDMS는 단지 기술적 수단의 일부일 뿐이며 ISPD는 기업의 전체 자동화 시스템을 의미한다는 결론으로 다시 돌아갑니다. 일반적으로 전체 회로의 인증은 거대한 프로젝트입니다. 그리고 고객은 추가적인 준비를 해야 합니다.

2.2. ISPDn 프로젝트. 작업 유형

ISPD의 작업 유형은 다음과 같이 구분할 수 있습니다.

표 3. 가능한 유형 ISPD에서 작동

수행하려면 비슷한 작품일반적으로 전문 조직이 참여합니다. 필요한 라이센스이 작품들을 위해.

모든 작업 이 목록프로젝트의 일부로 고객이 요청할 수 있습니다. EDMS 구현그리고 그의 사람이 되어라 필수부분. 비록 대부분의 경우 기술 사양고객은 원칙적으로 고객이 이미 ISPDn 인증, 새로운 제품을 IT 인프라에 통합할 때는 ISPD의 재인증이 필요합니다..

SPD의 설계 단계는 다음과 같은 5단계로 나눌 수 있는데, 이에 대해 좀 더 자세히 살펴보겠습니다.

표 4. SZPDn 설계 단계

무대번호 무대 이름	무대 설명
1. 프로젝트 개시 및 고객의 조사 대상에 대한 1차 정보 제공	이 단계에서는 프로젝트 팀의 초기 회의가 열리고, 프로젝트 중 전문가를 위한 의사소통 방식이 결정 및 합의되며, 작성을 위해 설문조사 양식이 고객에게 전송됩니다.
2. 고객 시설의 주요 정보 분석 및 작업 계획	이 단계에서 계약업체의 전문가는 접수된 설문 조사 양식을 분석하고 고객의 전문가와의 인터뷰를 위한 초기 일정을 개발합니다. 이 단계에서는 개인 데이터 처리 프로세스의 구성 요소(물리적 개체, 부서, 정보 시스템, 개인 데이터, 보안 등)에 대한 아이디어를 얻고, 수신된 정보를 기반으로 추가 계획을 세우는 것이 중요합니다. 개인정보 처리과정을 시설에서 직접 점검하는 업무를 수행합니다. 이제 시설에서 개인 데이터를 직접 처리하는 프로세스를 연구할 준비가 모두 완료되었습니다.
3. 고객 시설의 PD 처리 프로세스 연구	고객 회사의 전문가 인터뷰 초기 일정에 따라 이 단계에서는 다음이 수행됩니다. ● 개인 데이터 처리와 관련된 사업 단위의 직원을 인터뷰합니다. ● IT 인프라 모니터링 및 제공과 관련된 회사 부서의 직원 인터뷰 및 정보 보안; ● 인터뷰 중에 확인된 문서 분석. 각 면접 결과를 바탕으로 상태를 핵심 요소시설 작업 시 PD 처리 프로세스: ● PD는 프로세스의 일부로 처리됩니다. ● 프로세스에 참여하는 직원; ● 프로세스의 일부로 사용되는 종이 PD 미디어. ● 프로세스의 일부로 사용되는 종이 PD의 저장 위치. ● 자동화된 워크스테이션 및 소프트웨어, 프로세스 내에서 개인 데이터를 처리하는 데 사용됩니다. ● 외부 전자 미디어프로세스 내에서 사용되는 PD; ● 외부 조직그리고 개인프로세스의 일부로 PD가 교환되는 사람 ● 프로세스 내에서 사용되는 전화 및 팩스 장비; ● 추가 정보, 개인 데이터 처리 및 보호 분야에 대한 러시아 연방 법률 요구 사항 준수 여부에 대한 결론에 영향을 미칩니다.
4. 수집된 정보 분석 및 보고 문서 개발	이 단계에서 계약자는 보고 문서를 개발하고 있습니다. 개인 데이터 분야의 러시아 연방 법률 요구 사항 준수 정도에 대한 결론과 권장 사항을 포함하여 개인 데이터 처리 프로세스를 조사하기 위해 수행된 활동의 결과를 문서화해야 합니다. 개인 데이터의 올바른 처리 및 보호를 조직하는 데 필요한 조치의 구성에 관한 것입니다. 최종 보고서 "PD 처리 프로세스 조사 결과에는 다음 부록이 포함되어야 합니다. ● 고객 회사 시설에서 처리되는 개인 데이터 목록 ● 개인 데이터 작업을 승인받은 부서 및 사람 목록. ● ISPD에서 처리하는 동안 개인 데이터 보안에 대한 위협 모델. 고객이 EDMS 도입과 관련하여 ISPD의 재인증만 요구하는 경우 개발용 위협 모델은 EDMS에만 필요할 수 있다는 점은 주목할 가치가 있습니다. ● ISPD 분류법;
● PD 처리 과정을 연구하는 동안 인터뷰를 수행하기 위한 프로토콜.	5. SZPDn 기술 프로젝트 개발 이 단계에서는 SZPDn의 기술 설계가 개발되고 자세한 설명과 함께 고객과 직접 합의됩니다.작업 결과는 다음과 같아야 합니다.

고객은 모든 유형의 작업을 개별적으로 또는 복합적으로 요청할 수 있습니다. 다양한 프로젝트에서 보호 시스템을 설계하는 데만 몇 주에서 몇 달이 걸릴 수 있습니다. 따라서 데이터 보호 프로젝트를 구현하려면 존재뿐만 아니라 필요한 인증서, 관련 경험도 있지만 이러한 작업을 별도의 프로젝트로 분리하고 타사 전문 조직을 참여시키는 것이 여전히 권장됩니다.

(4.88 - 8명이 평가함)

정보를 처리하는 정보 시스템을 설계할 때 특정 보호 수단을 선호하는 선택 기밀 정보또는 개인 데이터 – 주요 절차이는 시스템의 미래 보안 수준과 신뢰성뿐만 아니라 적법성도 결정합니다. 추가 착취이 시스템의.

러시아 연방 법률에 따라 여러 조직의 정보 시스템에서 인증된 정보를 사용합니다. 소프트웨어 제품필수입니다. 이러한 조직에는 다음이 포함됩니다.

정부 기관
독점 정보를 다루는 비정부 조직 정부 기관;
개인 데이터를 다루는 조직.

이 요구 사항은 정보 보호 분야의 여러 입법 및 규제법 조항에 의해 결정됩니다. 특히:

2013년 2월 11일자 러시아 FSTEC 명령 번호 17에 의거. "국가 기밀이 아니며 국가 정보 시스템에 포함된 정보 보호에 대한 요구 사항"은 정보 보호와 관련된 문제를 규제하는 주요 규제 문서입니다. 제한된 접근국가 정보 시스템의 개인 데이터를 포함하여 국가 비밀을 구성하는 정보를 포함하지 않습니다.

"정보 시스템에 포함된 정보의 보호를 보장하기 위해 다음 형식의 적합성 평가를 통과한 정보 보안 도구가 사용됩니다. 필수 인증 2002년 12월 27일 연방법 N 184-FZ "기술 규정" 제5조에 따른 정보 보안 요구 사항 준수... "

2006년 7월 27일자 러시아 연방 연방법 N 152-FZ "개인 데이터에 관한"

"개인 데이터의 보안을 보장하는 것은 특히 다음과 같습니다. ...
… 3) 전달된 것의 사용 정해진 방법으로정보 보안 수단의 준수 여부를 평가하는 절차입니다."

2013년 2월 18일자 러시아 FSTEC 명령 No. 21 “조직 및 조직의 구성 및 내용 승인 기술적 조치개인 데이터 정보 시스템에서 처리하는 동안 개인 데이터의 보안을 보장하기 위해"

“개인 데이터의 보안을 보장하기 위한 조치는 특히 그러한 도구의 사용이 필요한 경우 확립된 절차에 따라 적합성 평가 절차를 통과한 정보 시스템의 정보 보안 도구를 사용하여 구현됩니다. 개인 데이터 보안에 대한 현재의 위협을 무력화하기 위해.”

1993년 7월 21일자 러시아 연방 법률 No. 5485-I "국가 비밀".

“정보 보안 수단은 적절한 비밀 수준의 정보 보호 요구 사항을 준수함을 증명하는 인증서를 보유해야 합니다.”

주의할 점은 용도가 인증받은 제품보호 그 자체는 아니다 충분조건 GIS(AS) 또는 ISPD 보안 시스템에 대한 위 문서의 요구 사항을 충족합니다. 실제로 이는 정보 시스템이 요구 사항을 준수하도록 하고 이 기사의 주제 범위를 훨씬 넘어서는 것을 목표로 하는 조직적 및 기술적 조치의 전체 복합체입니다.

연방법 제 152호 "개인 데이터" 및 FSTEC 명령 제 21호에는 정보 보안 시스템에 사용되는 필수 인증 시스템(러시아 FSTEC)에서 획득한 적합성 인증서의 가용성에 대한 명확한 요구 사항이 없습니다. ISPD를 보호하십시오. 문서는 좀 더 자유로운 언어를 사용합니다. 과거의 정보보호 정보를 응용 정해진 절차에 따라적합성 평가 절차. 이는 ISPD를 보호한다는 의미입니다. 비정부기구인증을 받은 정보보안기기 자발적 시스템인증 또는 적합성 선언이 있는 경우. 오늘날 정보 보안 분야의 이러한 절차는 어떤 방식으로도 문서화되지 않으며 여전히 선언적 성격을 띠고 있습니다. 또한 GOST R 시스템 인증이나 신고가 훨씬 더 간단하거나 저렴할 가능성이 없다고 가정할 수 있습니다. 따라서 이러한 절차에는 소프트웨어 문서의 완전성 모니터링부터 시작하여 선언된 보안 기능의 구현 확인까지 전체 범위의 테스트 수행이 제외되지 않습니다. 또한 독립적으로 테스트를 수행함으로써 신고자가 일차적인 책임을 집니다. 따라서 가까운 미래에 정부정보시스템이나 ISPD에서 비인증 정보보호시스템이 널리 사용될 가능성은 낮다고 할 수 있다. 그러나 인증된 정보 보안 시스템의 사용이 필수는 아니지만 인증서가 있으면 이를 선택하는 것이 좋습니다. 중요한 요소구입한 보호 장비에 대한 신뢰를 보장하고 품질과 안전을 보장하며 추가 장비가 필요하지 않으므로 비용을 절감할 수 있는 기회도 제공합니다. 추가 확인그들의 정당성.

대부분의 경우 정보 보안 도구 선택은 다양한 브랜드의 수십 가지 인증 솔루션 프레임워크 내에서 수행됩니다. 실제로 수백 가지의 소프트웨어 및 하드웨어 보호 도구가 인증되었습니다. 최대단일 사본 또는 배치의 일부로 인증되었으므로 구매할 수 없습니다. 그러나 시장에는 인증된 정보 보안 시스템이 부족하지 않습니다. 모든 위협에 대해 필요한 보호 수준을 제공하는 제품을 구입할 수 있습니다. 와 함께 전체 목록인증된 정보 보호 시스템은 러시아 FSTEC 공식 웹사이트의 국가 인증 정보 보안 도구 등록 섹션에서 찾을 수 있습니다.

종종 보호 장비 선택 문제는 다음과 관련이 있습니다. 기술적 측면또는 보안 지표이지만 기밀 정보, 개인 데이터 또는 국가 비밀을 처리하는 시스템에서 정보 보안 사용의 적법성입니다. 정보 보안 시스템이 필요한 보호 기능을 구현하고 보안 요구 사항을 준수한다는 인증서를 가지고 있다고 해서 이것이 다음을 의미하지는 않습니다. 이 치료법 GIS 및 ISPD의 모든 경우에 적용됩니다.

ISPD의 예를 사용하여 보안 도구를 선택하는 기능을 고려해 보겠습니다.

정보 보안 시스템의 선택은 시스템의 보안 수준과 개인 데이터 보안에 대한 현재 위협(위협 유형)의 존재 여부를 고려하여 정보 보안 데이터를 보호하기 위한 조치를 구현하는 단계에서 수행됩니다. 일반적으로 정보보호 시스템을 선정하는 과정은 <그림 1>과 같은 그래프 형태로 표현될 수 있다.

쌀. 1 개인정보 보호 시스템 구축을 위한 정보보호 시스템 선정 절차

ISPD 보안 수준 결정

2012년 11월 1일자 정부 법령 제1119호 "개인 데이터 정보 시스템에서 처리하는 동안 개인 데이터 보호에 대한 요구 사항"은 정보 시스템 유형, 현재 위협 유형에 따라 결정되는 4가지 개인 데이터 보안 수준을 설정합니다. 그리고 숫자 개인정보의 주체정보시스템에서 처리된다(표 1 참조).

표 1

ISPD의 종류	ISPDn 보안 수준
ISPD의 종류	유형 1 위협	유형 2 위협	유형 3 위협
ISPDn-S	1	2 1	3 2
ISPDn-B	1	ISPDn 유형	3
ISPDn-O	2	3 2	4
ISPDn-I	1	3 2	4 3

어디:
ISPD의 종류

ISPDn-S ISPD는 인종, 국적, 정치적 견해, 종교적, 철학적 신념, 건강 상태, 피험자의 친밀한 삶과 관련된 특수 범주의 개인 데이터를 처리합니다.
ISPDn-B ISPD는 개인의 생리적, 생물학적 특성을 특징짓는 생체 정보를 처리하며, 이를 기반으로 개인 정보의 신원을 확인할 수 있고 운영자가 개인 데이터 주체의 신원을 확인하는 데 사용합니다. 개인 데이터는 처리되지 않습니다.
ISPDn-O ISPD는 공개적으로 사용 가능한 PD를 처리합니다.
ISPDn-I ISPD는 다른 PD 범주를 처리합니다.

동일한 결의안에서는 개인 데이터에 대한 세 가지 유형의 위협을 규정합니다.

유형 1 위협(시스템 수준)은 정보 시스템에 사용되는 시스템 소프트웨어의 문서화되지 않은(선언되지 않은) 기능의 존재와 관련된 위협도 정보 시스템과 관련이 있는 경우 정보 시스템과 관련이 있습니다.
유형 2 위협(응용 프로그램 수준)은 무엇보다도 정보 시스템에 사용되는 응용 프로그램 소프트웨어의 문서화되지 않은(선언되지 않은) 기능의 존재와 관련된 위협이 정보 시스템과 관련된 경우 정보 시스템과 관련이 있습니다.
유형 3 위협(사용자 수준)은 정보 시스템에서 사용되는 시스템 및 응용 소프트웨어의 문서화되지 않은(선언되지 않은) 기능의 존재와 관련되지 않은 위협이 정보 시스템과 관련된 경우 정보 시스템과 관련이 있습니다.

정보 시스템과 관련된 보안 위협 유형의 결정은 개인정보 주체에게 발생할 수 있는 피해에 대한 평가를 고려하여 PD 운영자가 결정합니다. 위협 유형에 따라 필요한 ISPD 보안 수준뿐만 아니라 이를 보호하는 데 사용되는 정보 보안 시스템의 클래스, 그리고 무엇보다도 NDC(Undeclared Capability) 부재에 대한 정보 보안 정보 통제의 필수 통과가 결정됩니다. .

즉, 추가 요구 사항러시아 FSTEC에서는 정보보안 기능을 구현하는 소프트웨어 및 하드웨어-소프트웨어 제품에 의도적이거나 기타 선언되지 않은 기능이 없는지 점검합니다. 실제로 이는 "소프트웨어 북마크", "트로이 목마" 및 기타 악성 코드가 없는지 확인하기 위해 프로그램의 소스 코드를 검사하는 것입니다. 최근까지 이러한 요구 사항은 국가 기밀을 처리하는 자동화 시스템을 보호하는 시스템에 사용되는 정보 보안 시스템에만 적용되었습니다. 개인 데이터 보호에 관한 FSTEC 문서가 공개됨에 따라 이러한 요구 사항은 ISPD 1 및 2 보호 수준에서 사용되는 정보 보안 시스템에도 적용됩니다. 지침 문서"정보에 대한 무단 액세스로부터 보호. 1부. 정보 보안 도구용 소프트웨어. 선언되지 않은 기능의 부재에 대한 제어 수준에 따른 분류"(RD NDV)는 선언되지 않은 기능의 부재에 대한 4가지 제어 수준을 설정합니다. 각 레벨은 특정 최소 요구 사항 세트가 특징입니다. 국가기밀로 분류된 정보를 보호하기 위해 사용되는 소프트웨어에 대해서는 최소한 3분의 1 수준의 통제수준이 보장되어야 한다. 국가 기밀을 처리하지 않는 개인 데이터 및 국가 정보 시스템을 보호하려면 네 번째 수준의 통제로 충분합니다.

이전에는 FSTEC 문서 1등급(K1) ISPDn에 대해 정보보호 문서를 통과했다고 엄격히 판단 NDV 제어. 현재 요구 사항에서 운영자는 위협 유형을 결정하고 그에 따라 NDV 위협이 있는지 여부를 결정할 권리가 있습니다.

첫 번째 유형의 위협은 정보 기관의 관심을 끄는 정보 보안 시스템(연방 규모의 개인 데이터, 최고 정부 관료의 데이터 등)에만 관련될 수 있다고 가정하는 것이 합리적입니다. 거의 모든 시스템 소프트웨어의 개발자가 몇몇 유명한 서구 기업이라는 사실은 그들의 명성을 중요하게 생각합니다. 그러나 그들이 거주하는 주의 정보 기관과 협력하고 있을 가능성은 있습니다. 이러한 벤더들이 "디자인된 북마크"를 불신하게 만들고 그들의 비즈니스를 엄청난 위험에 노출시키려는 동기를 상상하기는 어렵습니다.

두 번째 유형의 위협의 경우 상황은 비슷하지만 고유한 특성이 있습니다. 종종 "가정 작성" 또는 사용자 정의 소프트웨어가 응용 프로그램 소프트웨어로 사용됩니다. 그리고 여기서는 이상하게도 우발적이거나 의도적인 "북마크"가 발생할 가능성이 더 높을 수 있습니다. 문서화되지 않은 기능은 "좋은" 의도로만 도입되는 경우가 많습니다. 원격 액세스문제를 해결하기 위해 사용자의 컴퓨터에.

PD 보안 확보 대책 결정

ISPD에 대한 보안 및 위협 수준을 결정한 후 ISPD를 보호하는 데 필요한 조치 구성으로 이동할 수 있습니다. 명령 번호 21의 기본 조치는 다음과 같습니다.
접근 주체 및 접근 객체의 식별 및 인증;
접근 객체에 대한 접근 주체의 접근 제어;
소프트웨어 환경의 제한;
개인 데이터가 저장 및/또는 처리되는 컴퓨터 저장 매체(이하 개인 데이터의 컴퓨터 저장 매체) 보호
보안 이벤트 로깅;
바이러스 백신 보호;
침입 감지(방지);
개인 데이터 보안 관리(분석)
정보 시스템 및 개인 데이터의 무결성을 보장합니다.
개인 데이터의 가용성 보장
가상화 환경을 보호합니다.
기술적 수단의 보호;
정보 시스템, 그 시설, 통신 및 데이터 전송 시스템의 보호;
정보 시스템의 기능 장애 또는 중단 및/또는 개인 데이터 보안에 대한 위협(이하 사건)의 출현으로 이어질 수 있는 사건(하나의 사건 또는 사건 그룹)을 식별하고 이에 대응합니다. ;
정보시스템 및 개인정보 보호시스템의 구성을 관리합니다.

전체 조치 범위는 러시아 FSTEC 명령 부록 2에 나와 있습니다. 보호 수준이 높을수록 목록이 더 넓어집니다. 필요한 조치. 이전 FSTEC 문서에서 해당 보호 클래스에 대한 조치의 구성이 엄격하게 규제된 경우 이제 명령을 통해 운영자는 사용된 위협의 관련성을 기반으로 필요한 조치 목록을 독립적으로 결정할 수 있습니다. 정보 기술경제적 타당성까지 갖추었습니다.
시스템의 구조적, 기능적 특성과 그에 따른 위협을 고려하여 적응을 수행합니다(구현 가능성 및 타당성 분석). 기본 세트조치 해당되지 않는 측정값은 목록에서 제외됩니다. 눈에 띄다 조직적 조치, 구현은 정보 기술과 직접적으로 관련되어 있지만 보호 시스템의 기술적 측면과 관련이 없거나 기술적 조치를 대체할 수 있습니다.
업데이트됨 기본 목록대책을 확대할 수 있다 추가 조치, 기타 규제 기관에서 정한 개인 데이터 보호 요구 사항을 준수하기 위한 조치 법적 행위, 특히 암호화 보안 또는 GIS에 대한 요구 사항입니다.
불가능할 경우 기술적 구현개별적으로 선택된 조치 또는 경제적 타당성을 기반으로 나머지 현재 위협을 무력화하기 위한 보상 조치가 개발될 수 있습니다. 이 경우 개인정보 보호 시스템을 개발하는 과정에서 적절한 정당화가 이루어져야 합니다.
구현할 현재 기술 조치 목록을 결정한 후 정보 보호 시스템을 선택할 수 있습니다. 이 단계구현을 보장하는 하나의 포괄적인 도구가 없기 때문에 그다지 복잡하지 않습니다. 보호 조치주문서에 명시되어 있습니다. 일반적으로 ISPD 보호 시스템을 구축하려면 여러 개에서 수십 개의 인증된 정보 보호 시스템이 사용됩니다.

가장 쉬운 방법은 필요한 조치 목록에 따라 필요한 정보 보안 정보를 선택할 수 있는 정보 보안 분야 서비스를 제공하는 회사에 문의하는 것입니다. 아마도 그들은 회사가 오랫동안 협력해 왔으며 공급업체로부터 최대 할인을 받는 보호 제품을 제공할 것입니다. 정보보호기기 인증등록부에 접속하여 직접 선택, 구매하신 후 제조사 또는 협력업체에 주문하실 수 있습니다.
안에 주 등록부약 2,500개의 레코드가 포함되어 있지만 위에서 언급한 것처럼 구매할 수 있는 레코드는 100개 이하입니다. 다양한 유형 SZI. 그러나 이 수량 중에서 선택하는 것은 간단한 작업이 아니며 그 이유는 다음과 같습니다.
2013년 이전에 발행된 인증서에는 대개 정보보안 데이터가 사용될 수 있는 ISPD 클래스에 대한 정보가 포함되어 있어 이를 명확하게 식별할 수 있었습니다. 이후 인증서에서는 이러한 항목이 사라졌습니다. 안에 정보 메시지 2013년 7월 15일자 러시아 FSTEC N 240/22/2637에는 GIS에서 적절한 보안 클래스를 사용할 수 있는 가능성이 명시되어 있습니다. 확립된 수준인증된 정보 보안 수단의 PD 보안은 해당 수단(양식 및 기술 사양)에 대한 운영 및 설계 문서에 신청자(개발자, 제조업체)에 의해 표시됩니다. 불행하게도 이러한 문서는 공개 자료에서 제공되지 않으며 제조업체나 판매업체에 직접 요청할 수 있습니다. 개발자에게 서둘러 연락해서는 안 되며 직접 "필터링" 단계를 여러 번 수행하는 것이 좋습니다.
등록부의 대부분은 다음에서 인증된 정보 보안 시스템으로 구성됩니다. 단일 사본또는 특정 시스템의 요구에 맞게 제한된 수량으로 제공됩니다. 따라서 "시리즈" 또는 "배치" 인증 체계에 따라 인증된 정보 보안 장비(그 수가 최소 100개 이상)만 고려해 볼 가치가 있습니다.
등록부에는 1996년에 인증된 정보 보안 장치가 포함되어 있으며 이러한 제품은 오랫동안 단종되었으며 인증서는 시스템 적합성 인증서 갱신을 위해서만 유지됩니다. 따라서 검색 범위를 최근 1~2년으로 제한하는 것이 좋습니다. 인증서의 유효기간은 3년이며, 원칙적으로 제조업체(신청자)는 드문 경우를 제외하고 두 번 인증서를 다시 갱신합니다. 제조업체가 이를 수행하지 않을 경우 인증서를 직접 갱신해야 한다는 점을 기억하는 것이 중요합니다. 따라서 정보보안 정보와 인증서는 최신일수록 좋습니다.
다음 단계에서의 선택은 위에서 언급한 것처럼 현재 위협의 유형에 따라 달라집니다. 유형 1과 2의 위협이 있는 ISPD의 경우 NDV 제어를 통과한 보호 수단이 필요합니다. 정보 보안 시스템 선택 단계에서 우리는 이미 보안 수준과 그에 따른 위협 유형을 결정했기 때문에 NDV가 필요한지 여부는 수사적인 질문입니다. 첫 번째 유형의 위협이 관련된 경우 정보 보안 시스템 또는 시스템 소프트웨어(보호가 보호 메커니즘을 기반으로 하는 경우)는 NDV 제어를 받아야 합니다. 두 번째 유형은 개인 데이터 처리와 관련된 응용 프로그램 소프트웨어입니다.
오늘날 규제 문서나 표준에는 최신 시스템 소프트웨어에 대한 명확한 정의가 없습니다. GOST 19781-90 "시스템 프로그램은 정보 처리 시스템의 기능을 유지하거나 응용 프로그램 실행 과정에서 사용 효율성을 높이기 위해 설계된 프로그램입니다"의 정의는 매우 형식적이며 명확성을 제공하지 않습니다. 더 정확한 정의 Wikipedia에서 읽을 수 있습니다: "시스템 소프트웨어는 프로세서와 같은 컴퓨터 시스템의 구성 요소를 제어하는 프로그램 세트입니다. 숫양, 입출력 장치, 네트워크 장비, 한쪽에는 장비가 있고 다른 한쪽에는 사용자 애플리케이션이 있는 "층간 인터페이스" 역할을 합니다." 이러한 소프트웨어에는 운영 체제, 유틸리티, 프로그래밍 시스템(개발 도구), 데이터베이스 관리 시스템 데이터, 다양한 종류의 연결(기술) 소프트웨어뿐만 아니라 시스템 수준(커널 수준)에서 구현되는 정보 보안 시스템, 운영 체제 보호 또는 대부분의 정보 보안 시스템이 필요합니다. 개인정보 보호 시스템을 구축하기 위한 시스템 소프트웨어로 분류할 수 있습니다.
Wikipedia에는 다음과 같이 나와 있습니다. “응용 프로그램 또는 응용 프로그램은 특정 사용자 작업을 수행하도록 설계된 프로그램이며 다음을 위해 설계되었습니다. 직접적인 상호작용사용자와 함께. 대다수에서는 운영 체제 응용프로그램컴퓨터 리소스에 직접 액세스할 수는 없지만 장비 등과 상호 작용합니다. 운영 체제를 통해." 즉, 이는 개인 데이터를 처리하는 데 도움이 되는 소프트웨어입니다. 일반적으로 이러한 프로그램은 운영 체제만큼 넓지는 않지만 보호 수단(메커니즘)을 갖추고 있습니다. 프로그램에는 다음이 포함됩니다: 오피스 스위트, 회계 프로그램, CRM 시스템 등. 레지스트리에 있는 이러한 프로그램의 수는 그다지 많지 않습니다.
세 번째 및 네 번째 보안 수준의 시스템에서는 NDV의 소프트웨어 제어가 필요하지 않습니다. 다음 선택 측면은 정보보호 시스템의 보안등급과 정보보안 시스템의 보안수준을 비교하는 것이다. 위에서 언급한 바와 같이 현재 인증서 및 그에 따른 등록부는 해당 보안 수준에 대한 정보 보안의 적용 가능성을 나타내지 않습니다. 2013년 이전에 발행된 일부 인증서에는 "ISPD에서 클래스 3까지 사용할 수 있음"과 같은 항목이 포함되어 있음에도 불구하고 이는 이 도구가 해당 클래스의 ISPD 보호 시스템의 일부로 사용될 수 있음을 의미할 뿐입니다. 그러나 제품이 구현하는 보호 조치는 제품이 인증된 내용을 이해하고 여권이나 양식을 읽어야만 이해할 수 있습니다. 이것이 아마도 사용자를 오도하지 않기 위해 그러한 항목 작성을 중단한 이유일 것입니다.

오늘날 러시아 FSTEC을 통한 NSD의 정보 보호 장비 인증은 동시에 하나 또는 여러 문서를 준수하기 위해 수행됩니다.

RD "의미 컴퓨터 기술. 정보에 대한 무단 접근으로부터 보호합니다. 정보에 대한 무단 접근에 대한 보안 지표"(RD SVT);
- RD "정보 기술의 보안. 정보 기술의 보안 평가 기준"(RD OK);
- RD "컴퓨터 시설. 방화벽. 정보에 대한 무단 접근으로부터 보호. 정보에 대한 무단 접근에 대한 보안 지표"(RD SVT ME);
- 침입 탐지 시스템(ND IDS)에 대한 ND 요구 사항
- 안티 바이러스 보호 도구에 대한 ND 요구 사항
- 명세서(저것).

문서에서는 기술 사양을 제외하고 정보 보호 장비의 등급이 클래스별로 표시됩니다. 각 문서에는 자체 보안 등급이 있으며, 가장 안전한 정보 보안 장비, 더 정확하게는 가장 엄격한 조건에서 테스트된 정보 보안 장비에 첫 번째 등급이 지정됩니다. 일련번호정보보호장비 시험에 대한 수업요건이 완화됩니다. RD OK(GOST R ISO/IEC 15408)에서 인증된 정보 보안 시스템만이 역번호 지정을 갖고 있으며, RD는 7가지 등급의 신뢰도(CL)를 제공합니다. 낮은 수준첫 번째는 OUD1입니다. 최근까지 정보보호 인증서를 인증받을 문서의 선택은 신청자의 권리였습니다. 대부분의 정보와 장비는 RD SVT 및 TU에 대해 인증되었으며 일부는 "에 따라 테스트되었습니다. 일반 기준"그리고 동일한 이름의 문서에 대해 인증하려면 방화벽, 바이러스 백신 및 침입 탐지 시스템만 필요했습니다.

인증된 정보 보호 장치의 적용 가능성에 대한 지침은 러시아 FSTEC 명령에 직접 포함되어 있습니다.

A) 개인정보 보호 수준 1 및 2를 보장하기 위해 다음이 사용됩니다.

최소 클래스 4의 침입 탐지 시스템 및 안티 바이러스 보호 도구;
유형 1 또는 2의 위협과 관련이 있거나 국제 정보 교환의 정보 및 통신 네트워크와 정보 시스템의 상호 작용과 관련된 경우 최소 클래스 3의 방화벽, 유형 3의 위협과 관련이 있고 부족한 경우에는 최소 클래스 4의 방화벽 국제 정보 교환의 정보 및 통신 네트워크와 정보 시스템의 상호 작용.
b) 개인정보 보호 수준 3을 보장하기 위해 다음이 사용됩니다.
적어도 클래스 5의 컴퓨터 장비;
유형 2의 위협 또는 국제 정보 교환의 정보 통신 네트워크와 정보 시스템의 상호 작용과 관련된 경우 최소 4개 보호 클래스의 침입 탐지 시스템 및 바이러스 백신 보호 도구 및 침입 탐지 시스템 및 바이러스 백신 보호 도구 위협과 관련된 경우 최소 5개의 보호 등급 3번째 유형 및 정보 시스템과 국제 정보 교환의 정보 통신 네트워크와의 상호 작용 부족;
유형 2 위협과 관련성이 있거나 국제 정보 교환의 정보 통신 네트워크와 정보 시스템의 상호 작용이 있는 경우 최소 클래스 3의 방화벽, 유형 3 위협과 관련이 있고 상호 작용이 부족한 경우 최소 클래스 4의 방화벽 국제 정보 교환의 정보 통신 네트워크 네트워크를 갖춘 정보 시스템.
c) 개인정보 보호 수준 4를 보장하기 위해 다음이 사용됩니다.
최소 6학년의 컴퓨터 장비;
최소 클래스 5의 침입 탐지 시스템 및 안티 바이러스 보호 도구
클래스 5 방화벽.

결정한 형식적인 특징 SZI: 시장 가용성; 인증서의 관련성; 비감소 배출에 대한 통제 가용성(필요한 경우) 보안 클래스에서는 이제 기능적 특성에 집중할 수 있습니다. 일반적으로 보안 시스템의 이름은 일반적으로 보안 포인트와 같은 눈에 띄는 이름 뒤에 있는 보안 장치의 목적에 대해서만 말할 수 있습니다. 보안. 그 기능을 실제로 이해하려면 제조업체 웹 사이트에 명시된 내용뿐만 아니라 주의 깊게 읽어야 합니다. 기능적 특성, 또한 적용 범위(조건) 및 제한 사항에 명시된 운영 문서그리고 인증서. 예: "제한 사항이 있는 3 SVT 준수" - 이는 정보 보호 장비 사용에 대한 해당 클래스 또는 특수 조건에 대한 RD 요구 사항을 어떤 이유로 불완전하게 준수함을 나타냅니다. 원칙적으로 제한사항이 있습니다. 후면자격증. 예를 들어, 대부분의 인증된 마이크로소프트 제품이용에 제한이 있습니다. 특히 MicrosoftWindowsXPSP3의 경우 인증서에는 다음과 같이 명시되어 있습니다.

1. 운영체제 사용시 보안사양 MS.Win_XP_SP3.ЗБ에서 운영체제 환경에 맞게 정의된 조건을 준수해야 한다.
2. 보안 보호 메커니즘의 설정 및 모니터링은 "인증 버전의 보안 구성 및 모니터링 가이드. Microsoft® Windows® XP Professional 서비스 팩 3"에 따라 수행되어야 합니다.
3. Microsoft® Windows XP Professional 서비스 팩 3 운영 체제는 인증된 표준에 따라 규정 준수 모니터링(검증) 절차를 거쳐야 합니다.
4. 현재 필수 인증 보안 업데이트를 모두 운영 체제에 설치해야 합니다.

안에 이 경우이는 정보 보안 시스템을 운영할 때 당연한 조치를 상기시켜주는 것입니다. 그러나 추가 정보 보안 시스템과 함께 보호 도구를 사용해야 하거나, 부분적인 기능만 사용하거나, 제한된 수의 운영 체제에 설치해야 하는 등 상당한 제한 사항도 있습니다. 중요한 점은 구현되는 보호 정보 보호 조치의 범위입니다. 하나 이상의 조치를 다루는 고도로 전문화된 정보 보호 시스템을 사용하여 보호를 구축할 수 있습니다. 또는 SecretNet, DallasLock, Accord 등과 같은 복잡한 도구를 사용합니다. 원칙적으로, 전문적인 수단보안과 기능이 더욱 강화되었습니다. 그러나 "동물원"을 기반으로 구축된 보호 시스템은 심지어 브랜드가 있는 시스템이라 할지라도 운영 중에 많은 문제를 일으킬 것입니다.
비록 90년대 중반에 작성되었더라도 규제 기관의 안내 문서의 기본 요구 사항을 충족하기 위해 복잡한 도구가 특별히 개발되었습니다. 이런 정보보안 시스템과 바이러스 백신이 하나 있었다면 이미 자율 워크스테이션 인증도 가능했고, 심지어는 로컬 네트워크. 러시아 FSTEC의 최신 명령이 발표되면서 보호 조치가 크게 업데이트되었으며 그 수가 여러 번 증가했습니다. 또한 이제 운영자는 위협과 위험을 독립적으로 적절하게 평가하고 필요한 경우 이를 강화해야 합니다. 이러한 접근 방식은 정보 보안 시스템의 기능에 대한 요구 사항과 필요한 여러 조치를 확장했습니다. 추가 자금보안 분석 도구, 백업 및 복구 등의 보호
인증된 최신 운영 체제는 다르게 보입니다. 내장된 보호 메커니즘의 수는 RD AS 및 RD SVT의 요구 사항뿐만 아니라 주문 번호 21 및 17에 이미 나열된 기술 조치 목록보다 훨씬 넓습니다. 물론 오늘날에는 불가능합니다. 운영 체제에만 합법적인 ISPD 보호 시스템을 구축하되, 현실적인 요구 사항을 최대한 광범위하게 차단합니다. 일반적으로 ISPD 보안 레벨 3에 대한 보호 조치 목록과 인증된 Microsoft Windows 7 운영 체제를 사용한 구현이 표에 나와 있습니다.

ISPD 레벨 3 보안 요구 사항	요구사항 준수를 보장하는 수단(메커니즘)
1. 접근주체 및 객체의 식별 및 인증 2. 접근주체 및 객체의 권리 및 특권의 관리.	이는 도메인 사용자(컴퓨터 네트워크의 경우) 및 로컬 사용자(자율 워크스테이션 수준의 경우)에 대해 인증된 구성으로 운영 체제를 구성할 때 "식별 및 인증" 메커니즘에 대한 적절한 보안 매개변수를 설정하여 구현됩니다. 일반 소프트웨어(SQL Server, ExchangeServer 등)의 다른 요소를 사용하면 내장된 "식별 및 인증" 및 "사용자 데이터 보호" 메커니즘과 조직적 조치를 추가로 사용할 수 있습니다.
3. IS에서 사용하도록 승인된 소프트웨어만 실행하십시오. 4. 다음에 대한 무단 접근 제거 기계 미디어 PD가 저장되어 있습니다.	Windows 등록 및 권한 분배 시스템 설정(AppLocker 기능 Windows 7/2008R2)
5. 보안사고에 관한 정보의 수집, 기록, 저장 및 보호	Windows 보안 감사 및 사용자 데이터 보호 메커니즘을 사용합니다. OS 이벤트 로그 및 기타 Microsoft 소프트웨어를 사용하여 모니터링됩니다.
6. 바이러스 백신 보호	Microsoft Forefront Antivirus 또는 다른 제조업체의 바이러스 백신 사용
7. 침입탐지(방지)	Windows Defender 설정 및/또는 IDS 지원 프로그램 사용
8. 정보보안 관리(분석)	애플리케이션 프로그램 확인인증된 소프트웨어 패키지에서
9. IP 및 정보의 무결성 보장	이는 내장된 OS 도구에 의해 수행되며 "Check" 프로그램에 의해 추가로 제어됩니다.
10. 정보의 접근성 보장	Windows 백업 및 복원 메커니즘 사용
11. 가상화 환경을 보호하세요	인증된 버전의 Hyper-V 가상화 사용 윈도우 서버 2008/2008R2
12. IP, 그 수단, 통신 및 데이터 전송 시스템의 보호	이는 ME RD에 따라 클래스 4 인증을 받은 ME Microsoft ISA Server 2006 Standard Edition을 사용하여 구현됩니다.
13. 사고 감지 및 대응	"고급 감사 정책" Windows 설정
14. 정보시스템 및 개인정보보호시스템(PDS)의 구성관리	Windows 보안 정책/그룹 보안 정책 설정 구성. 보안 템플릿을 적용하는 중입니다. 제어. 인증된 소프트웨어 패키지의 Check 프로그램을 사용하여 보안 설정 감사 및 구성

보시다시피 기본 조치는 Microsoft Windows 7 운영 체제의 표준 메커니즘에 포함됩니다. 인증된 Linux 운영 체제(예: ROSA, MSVSphere)에도 유사한 보호 메커니즘 세트가 있습니다.

내장된 보안 도구(메커니즘)를 사용하는 또 다른 확실한 이점은 자동화된 시스템의 일부로서 완전한 호환성, 안정성 및 작동 속도를 보장한다는 것입니다.

중요한 요소는 솔루션 가격입니다. 운영 체제 및 애플리케이션 소프트웨어에 내장된 보호 메커니즘을 기반으로 보안 시스템을 구축할 때 비용은 주로 설치 배포의 준수(검증)를 확인하고 인증된 매개변수를 유지하는 절차로 절감됩니다. 운영 중 배포된 소프트웨어. 이러한 시스템을 구축하기 위해 새 소프트웨어를 구입할 필요는 없습니다. 사용자의 기존 라이선스 소프트웨어는 검증 대상이 될 수 있습니다. 이 경우에는 확인(체크) 후 작성만 하면 됩니다. 필요한 서류및 특수 소프트웨어는 첨부된 매뉴얼에 따라 구성하십시오.

귀하는 귀하의 의견으로는 러시아 FSTEC 관리 문서의 요구 사항을 충족하는 선택한 정보 보안 시스템을 독립적으로 인증하려고 시도할 수 있습니다. 정보 보안 수단 인증에 관한 규정(1995년 10월 27일자 러시아 국가 기술 위원회 명령 No. 199)에 따라 귀하는 신청자 역할을 해야 합니다. ZB에 대해 러시아 FSTEC에 동의해야 합니다. 정보 보안 요구 사항을 정의하는 사양 또는 기타 문서를 제출하고 테스트 연구소필요한 설계 및 운영 문서 세트, 정보 보호 시스템 샘플, 모든 인증 비용을 지불합니다. 동시에 정보 보호 장비의 개발 및 생산과 관련된 활동을 위해서는 러시아 FSTEC의 라이센스 보유자여야 합니다.

결론적으로

이 기사에서는 지침의 모든 조항을 설명하는 것이 불가능합니다. 규제 문서러시아 FSTEC 인증 정보보호기기 선택 및 사용에 관한 모든 기능을 갖추고 있습니다. 특히, 신청 문제는 암호화 수단보호, GIS 보호, 정보 보호 장비 인증 고위 당국당국 등. 그러나 우리 의견으로는. 체하는 요점, 보호 장비를 선택할 때 먼저주의해야 할 사항입니다.
귀하의 질문에 대한 답변을 찾지 못했거나 전문가와 상담해야 하는 경우 당사에 연락하시면 도움을 드리겠습니다.

2012년 11월 1일자 정부 법령 제1119호 "개인 데이터 정보 시스템에서 처리 시 개인 데이터 보호에 대한 요구 사항"은 정보 시스템 유형, 현재 위협 유형에 따라 결정되는 개인 데이터 보호 수준을 4단계로 설정합니다. 정보시스템에서 처리되는 개인정보주체의 수(표 1 참조)

표 1

ISPD의 종류	ISPD 보안 수준
유형 1 위협	유형 2 위협	유형 3 위협
ISPDn-S		2 < 100000 > 1	3 < 100000 > 2
ISPDn-B		ISPDn 유형
ISPDn-O		3 < 100000 > 2
ISPDn-I		3 < 100000 > 2	4 < 100000 > 3

ISPD의 종류

ISPDn-S – ISPDn은 인종, 국적, 정치적 견해, 종교적, 철학적 신념, 건강 상태, 대상의 친밀한 삶과 관련된 특수 범주의 개인 데이터를 처리합니다.

ISPDn-B – ISPDn은 개인의 생리적, 생물학적 특성을 특징짓는 생체 정보를 처리하며, 이를 기반으로 개인의 신원을 확인할 수 있고 운영자가 개인 데이터 주체의 신원을 확인하는 데 사용합니다. 특수 범주의 개인 데이터는 처리되지 않습니다.

ISPDn-O – 공개적으로 사용 가능한 데이터를 처리하는 ISPDn입니다.

ISPDn-I - 다른 PD 범주를 처리하는 ISPDn

동일한 결의안에서는 개인 데이터에 대한 세 가지 유형의 위협을 규정합니다.

첫 번째 유형(시스템 수준)의 위협은 무엇보다도 정보 시스템에 사용되는 시스템 소프트웨어의 문서화되지 않은(선언되지 않은) 기능의 존재와 관련된 위협이 정보 시스템과 관련이 있는 경우 정보 시스템과 관련이 있습니다.

두 번째 유형(응용 프로그램 수준)의 위협은 무엇보다도 정보 시스템에 사용되는 응용 프로그램 소프트웨어의 문서화되지 않은(선언되지 않은) 기능의 존재와 관련된 위협이 정보 시스템과 관련이 있는 경우 정보 시스템과 관련이 있습니다.

유형 3 위협(사용자 수준)은 정보 시스템에 사용되는 시스템 및 응용 소프트웨어의 문서화되지 않은(선언되지 않은) 기능의 존재와 관련되지 않은 위협이 정보 시스템과 관련이 있는 경우 정보 시스템과 관련이 있습니다.

이는 의도적이거나 기타 선언되지 않은 기능이 없는지 정보 보안 기능을 구현하는 소프트웨어 및 하드웨어-소프트웨어 제품을 확인하기 위한 러시아 FSTEC의 추가 요구 사항을 의미합니다. 실제로 이는 "소프트웨어 북마크", "트로이 목마" 및 기타 악성 코드가 없는지 확인하기 위해 프로그램의 소스 코드를 검사하는 것입니다. 최근까지 이러한 요구 사항은 국가 기밀을 처리하는 자동화 시스템을 보호하는 시스템에 사용되는 정보 보안 시스템에만 적용되었습니다. 개인 데이터 보호에 관한 FSTEC 문서가 공개됨에 따라 이러한 요구 사항은 ISPD 1 및 2 보호 수준에서 사용되는 정보 보안 시스템에도 적용됩니다. 지침 문서 "정보에 대한 무단 액세스 방지. 1부. 정보 보안 도구용 소프트웨어. 선언되지 않은 기능 부재에 대한 제어 수준에 따른 분류"(RD NDV)에서는 선언되지 않은 기능 부재에 대한 4가지 제어 수준을 설정합니다. 각 레벨은 특정 최소 요구 사항 세트가 특징입니다. 국가기밀로 분류된 정보를 보호하기 위해 사용되는 소프트웨어에 대해서는 최소한 3분의 1 수준의 통제수준이 보장되어야 한다. 국가 기밀을 처리하지 않는 개인 데이터 및 국가 정보 시스템을 보호하려면 네 번째 수준의 통제로 충분합니다.

이전 문서에서 FSTEC은 NDV 통제를 통과한 일급 ISPD(K1) 정보 보안 시스템이 필요하다고 엄격하게 결정했습니다. 현재 요구 사항에서 운영자는 위협 유형을 결정하고 그에 따라 NDV 위협이 있는지 여부를 결정할 권리가 있습니다.

두 번째 유형의 위협의 경우 상황은 비슷하지만 고유한 특성이 있습니다. 종종 "가정 작성" 또는 사용자 정의 소프트웨어가 응용 프로그램 소프트웨어로 사용됩니다. 그리고 여기서는 이상하게도 우발적이거나 의도적인 "북마크"가 발생할 가능성이 더 높을 수 있습니다. 문서화되지 않은 기능은 예를 들어 사용자의 문제를 해결하기 위해 사용자 컴퓨터에 원격으로 액세스하는 등의 "좋은" 의도로만 제공되는 경우가 많습니다.

러시아 연방 형법

문서는 1개의 질문으로 분석되었습니다.

편집자의 선택

양고기와 야채를 곁들인 쿠스쿠스

쿠스쿠스를 곁들인 양고기 요리법 많은 사람들이 "쿠스쿠스"라는 단어를 들어봤지만 그것이 무엇인지 상상하는 사람은 많지 않습니다....