Clever Geek Handbook

個人データ保護-実装経験

FZ-152「個人データについて」に興味のある人は皆覚えているように、2006年に採用されました。 法律の導入は長い間延期されましたが、一度獲得する必要がありました。 2011年7月1日、それが起こりました。

私たち(当時の州庁、約20,000人の拠点)にとって、問題は2008年に増大しました。

最初の段階では、あまり多くはありませんが、おとぎ話のように「遠いほど悪い」です。



最初の段階は最初のOrgmerです。



-各レターヘッド用紙に小さな文字で表記が表示されました(以前のフォームサイズを維持するため)-「情報システムを含め、個人データの必要な使用に同意します」。

-児童手当の申請では、未成年の児童について追加が行われました。

-また、別のアプリケーションは、他の機関(年金基金、NPFなど)からのデータの提供と転送の同意を得て取得されました。



多くの論文と非常に少ない機器

2番目の段階は、正しいドキュメントの開発です。

2009年が近づいており、法律が再び延期されることが知られていました。 資金なし。 急いでいる人はいません。 ドキュメントを作成できます。 上級オフィスは、次のドキュメントのサンプルを提供しました。



  • 州の秘密を含まない制限された情報の保護を担当する役人の任命に関する命令。
  • 自動化されたシステムのノードが配置されている制御ゾーンを決定するための命令であり、状態の秘密を含まない制限されたアクセスの情報を処理するように設計されています。
  • 認証されていない情報化施設でのアクセス制限情報の処理を禁止する命令
  • コンピュータ技術の対象の情報セキュリティ機能の使用に関する指示。
  • アクセスを制限した情報を処理する自動システムで使用されるソフトウェアの新規インストールおよび変更の手順。
  • アクセスが制限されている情報を処理する自動システムでアンチウイルス保護を編成するための指示。
  • アクセスが制限されている情報を処理する自動化システムの情報セキュリティの管理者への指示。
  • ユーザーのリストを変更し、制限されたアクセスの情報を処理する自動システムのリソースにアクセスする権限をユーザーに付与するための指示。
  • 自動システムのパスワード保護を整理するための指示。
  • アクセスが制限された情報を処理する自動システムのデータバックアップを整理するための指示。
  • 自動化システムのユーザーへの指示。
  • 自動化システムの保護されたリソースへのアクセスのマトリックス。
  • スピーカーの技術パスポート。
  • 制限されたアクセスの情報を処理する自動化システムで動作するための入場のジャーナル。
  • 州の秘密を含まない制限されたアクセスの情報を保存するように設計されたコンピューターストレージメディアの会計および発行の雑誌。
  • 情報セキュリティの会計ジャーナル。
  • スピーカーに入るための申請書;
  • 原子力発電所の技術的作業の実施に関する法律の形式。
  • 機密情報のリスト。
  • 保護された情報リソースのリスト。
  • 専用ローカルエリアネットワークでの情報処理の技術的プロセスの説明。
  • 専用ローカルエリアネットワークの切り替えスキーム。
  • AUで独立して働くことを許可されている人のリスト。




3番目の段階は、情報保護の技術的手段の購入です。

本社がそれを買ったと言ったほうが正しいのです。 結果は次のとおりです。

-ダラスワークステーション

-コーディネーターは、IP-MPLSチャネルを介した上位オフィスへの安全なアクセスを探ります。

-ジャマー

-Windows Serverの認証が実行されました(これについては、ここで説明します)



4番目の段階は、精神的および肉体的作業です。

保護された自動システムも物理的に保護する必要があります。 ここでは、個人データを扱う部門の別のフロアへの移動が非常に成功しました。 この部門は限られた部屋にあり、オフィスの1つがサーバールームに選ばれました。 その結果、2本のケーブル(メインとバックアップ)が床からルータに行きます。 コンピューターはフォーマットされ、きれいに更新されたWindows、オフィス、ウイルス対策、作業プログラムがインストールされました。 2009年10月に、サンクトペテルブルクからの男性が到着しました。 彼らはジャマーであるダラスを設置し、vipnetをセットアップし、すべての測定を行い、ドキュメントを調整しました。



5番目の段階は完了です。

2009年10月末に、個人データ保護のための内部委員会が集まりました。 責任者が任命され、1週間文書を準備し、個人データ(第2段階からリストされたものと同じもの)を保護するための作業を行わなければなりませんでした。 1週間で、責任者はすべてを行いました。 そして、委員会は安全なシステムの運用を喜んで受け入れました。 すぐに3年間の証明書を受け取り、すべてが終了しました。



実際、すべてが終わっているわけではないことは明らかです。

たとえば、保護されたシステムは、単一のソフトウェアとハ​​ードウェアの複合体です。 マウスを変更することはできません。 しかし、年に一度、認証者に電話して、すべての保護指標への準拠を確認できます。 認証者には、既存のドキュメントを変更する権利があります。 したがって、マウスは本当に変わります。

まあ、電子機関間相互作用の現代的なアイデア。 アイデアは良いです。 これは、以前の個人データ保護の概念では提供されていません。 そのため、実装する際には、再度認証を行います。



ご清聴ありがとうございました。


More articles:


All Articles