その発展における人類はますます前進します-100年前のSFのように思われたものの多くはすでに現実になっています。 イヴァン・ザ・テリブルの下で「あなたは誰ですか、あなたは何歳ですか、結婚していますか?」彼らが利害関係を結ばなければ、刑務所に入れられます。
次のような個人データを持たない会社を想像するのは困難です。
電話帳、財務諸表、従業員のリストなど すべてのデータは機密性によって分類されます。 会社が年金基金に従業員に関するデータを提供する場合、それは自動的に最高のカテゴリデータを持っていることを意味します-これらはフルネーム、従業員の社会的地位、障害、婚status状況、子供の数などに関する情報を含む給与明細です
すべての人は、1981年にストラスブールの欧州委員会によって承認された「個人データの自動処理に関する個人の保護に関する条約」(ロシアの条約の批准に関する法律No.160-)によって規制されるプライバシーの権利を有します。 しかし、自動化されたデータ処理-データベース、レジストリの管理-は今日の現実です。 個人データを所有および保存する人は誰でもデータオペレーターになります。 法人のデータオペレーターのステータスは、法律および条例によって規制される一定の責任があることを意味します。 まず第一に、法律152-、および部門の細則-通信省およびマスメディア、Roskomnadzor、FSTEC、FSB。
すべてのデータ演算子は、Roskomnadzorのレジスタ(pd.rsoc.ru)に入力されます。Webサイトでは、部門によって計画された監査の日付を確認できます。
国家は、銀行口座へのリンクを含む、個人に関するすべての個人データの単一システム内の情報の問題に長い間戸惑っていました。 現在、たとえば、私たちの州は、ユニバーサル電子カードを作成するプロジェクトに対して積極的にロビー活動を行っています。これは、所有者の個人データを含む電子デジタル文書で、お金を貯める可能性もあります。
データへのアクセスが閉鎖されているという条件は、非常に条件付きです。 したがって、Interfaxの代理店によると、InfoWatchから取得した統計を参照すると、わが国の個人データ漏洩の数は2013年に2倍になり、109件に達しました。 つまり、実際には、109社のデータが300万件の記録を侵害しただけで、インターネットの広大な領域に送られただけです。
多くの場合、個人データの損失の原因は、データストレージを担当する部門の責任者にあります。 Interfax統計から:10件中5件で、インターネット経由でデータが失われました。
今年から、通信省は、 個人データの処理に関する規則に違反した場合の制裁を強化したいと考えています 。 今、パブリックドメインの市民の個人データの出現は、データオペレータに30万ルーブルの費用がかかります。比較のために、以前の罰金は1万ルーブルでした。
罰金は、政治的信念、医療情報、および犯罪歴に関する特別なカテゴリの個人データを処理した場合に発生します。
法人の仕事-データオペレーター-情報ストレージシステムを作成するときは、最初のステップ-組織化、ドキュメントフローの確保-を実行して、データ処理を可能にする必要なドキュメントを作成します。 2番目のステップは、必要なITシステムアーキテクチャを提供することです。 データの損失を防ぐための最も重要な手段は、もちろん、認定された情報保護ツールの使用を伴う技術的な手段です。
ソフトウェアアーキテクチャがどの程度複雑になるかは、データのプライバシーの程度に依存します。
個人データには、K4からK1の順に機密性の高い4つのカテゴリがあります。
K4-匿名化されたデータ。 K4カテゴリのデータオペレーターには、独自の技術ソリューションを選択する権利があります。FSTEC証明書を入手する必要はありません。
K1-保護するだけでなく、暗号化する必要があるデータ。 ソフトウェアはFSTECによって認証される必要があり、暗号化システム(存在する場合)はFSBによって承認されます。
したがって、最も低いカテゴリのデータ保護(K4)でデータの整合性のみを確保するのに十分な場合、カテゴリK1のデータ(フルレンジのデータ保護(多くの場合、暗号化やデータ漏洩防止を含む))を確保すれば十分です。
データベースオペレータが必要とするソフトウェア機能の完全なリストは次のとおりです。
1.不正アクセスに対する保護
2.アンチウイルス
3.インターネット画面
4.暗号化ツール(データ漏洩の可能性がある大企業向け)
その他の保護メカニズム(FSTECガイダンス文書「個人データ情報システムで処理される個人データの組織および技術的セキュリティの基本的な対策」を参照できます)。
個人データを処理するネットワーク内のすべてのコンピューターは、FSTEC(技術および輸出管理のための連邦サービス)によって認定されたソフトウェアを含み、認定されたファイアウォールで保護されている必要があります。
小規模企業は、原則として、FSTEC証明書(Traffic Inspector Gold)なしでファイアウォールが動作する非認証ソフトウェアを使用します。
ファイアウォール。 企業ネットワーク全体および個々の職場は、ウイルスによる大量攻撃からだけでなく、標的を絞ったネットワーク攻撃からも保護する必要があります。 これを行うには、未使用のネットワークプロトコルとサービスをブロックするシステムを設置するだけで十分です。これがファイアウォールの機能です。 多くの場合、ファイアウォールの機能と仮想プライベートネットワークを編成する手段-VPN。
大企業の場合、認証と認証ソフトウェアの購入のコストを削減するために、個人データに関するすべての作業は通常、別のネットワークに持ち出され、ファイアウォール( Traffic Inspector FSTES )-未使用のネットワークプロトコルとサービスをブロックするシステムで閉じられます。 ファイアウォールは、個々のワークステーションと企業ネットワーク全体を、ウイルスによる大量攻撃からだけでなく、標的を絞ったネットワーク攻撃からも保護します。 ファイアウォールの機能に、仮想プライベートネットワークを編成する手段-VPNを追加しました。
トラフィックインスペクターは、プロキシサーバーとNAT(「ネットワークプロセスの変換」)の両方を介してネットワークへのアクセスを提供します。 NATとプロキシサーバーを共有することの利点は明らかです。NATはインターネットアクセスを提供する普遍的な方法であり、トラフィックの匿名化も可能にします。 プロキシサーバー-自身を介してWeb要求を渡し、不要な情報からシステムを保護します。
個人データでシステムを保護できるITアーキテクチャを構成できるソフトウェアには、次のものがあります。ネットワークへのアクセスの提供。 ファイアウォールとウイルス対策、IPパケットのチェックサム、IPパケットの長さのチェック、「壊れた」パケットのフィルタリング。
会社にインストールされるソフトウェアは、特別なドキュメントで適切に承認される必要があります。
1.個人データ保護のリスト
2.個人データキャリアの会計と保管のジャーナル
3.情報セキュリティツールをインストールする行為
4.電子情報キャリアの償却および破壊行為の承認された形式
5.文書の破壊行為の承認された形式
6.第三者(組織)との個人データの非開示に関する契約、または契約および契約の対応する予約(特に国境を越えたデータ転送の場合)に署名しました。
組織がソフトウェアまたはハードウェアを変更している場合、これらのドキュメントのこれに関する情報を表示する必要があります。
まとめると。 個人データ(匿名化)またはクライアントデータを操作する法人は、自動的にデータオペレーターになります。 現在、どの組織でも、紙または電子メディアにデータを保存する場合、または自動処理の場合の両方で、個人データの処理および保存に不規則性のリスクがあります。 情報システムでの処理中に個人データのセキュリティを確保するために法人が講じた措置は、州の管理中に評価されます。 したがって、まず、操作しているデータのクラスを判別します(情報をPFに転送する場合は、高クラスK1を意味します)。 次に、システムに認定されたファイアウォールを提供します。 第三に、ロシア連邦のRoskomnadzorおよびFSTECのウェブサイトをご覧ください 。連邦法152の要件に準拠するための定期検査のリストが公開されています。
白い雄牛の物語、またはガラスの後ろに見えないままにする方法
All Articles