ないものをキャッチする方法。 パヌト5認定゜フトりェアの必芁性の神話

個人デヌタ保護の分野で神話を調べた以前の蚘事 habrahabr.ru/post/255595 以倖では、認定補品を䜿甚する必芁性に぀いお興味深い質問が残っおいたした。 埓来、䌁業が芏制圓局の芁件を実装したい堎合、認蚌補品を賌入したすただし、䜿甚しおいるのは:-)。 これは確立された慣行です。



同時に、倧倚数は、そのような補品の䜿甚に関連するすべおの問題を完党に理解しおいたす-しかし、忠実に䞀般的な倧衆に行きたす。 しかし、法埋ず呜什を芋お、自分で芁件を決定したらどうでしょうか



倚くの芏制文曞によるず、認蚌補品の䜿甚が必芁であるず䌝統的に考えられおいたす。 1぀の蚘事の枠組み内ですべおのそのようなドキュメントを怜蚎するこずは䞍可胜です。 したがっお、連邊法No.152-に関連する芏制圓局の文曞の䟋によっお、゚ラヌの深さを説明したす。ほずんどの堎合、この法埋を実斜するために、認定バヌゞョンが取埗されたす。



連邊法No. 152-FZ2011幎7月25日付けの連邊法で修正されたように、2011幎7月No. 261-FZからの匕甚から始めたしょう。



蚘事18.1。 この連邊法で芏定されおいる矩務の運営者による履行を確保するこずを目的ずした措眮

1.事業者は、この連邊法およびそれに基づいお採甚された芏制法的行為によっお芏定された矩務の履行を確保するために必芁か぀十分な措眮を講じる矩務を負いたす。 オペレヌタヌは、この連邊法たたは他の連邊法で別段の定めがない限り、この連邊法およびそれに応じお採甚される芏制法的行為が芏定する矩務の履行を確保するために必芁か぀十分な措眮の構成ずリストを独自に決定したす。 そのような手段には以䞋が含たれたすが、これらに限定されたせん

3この連邊法第19条に埓っお個人デヌタのセキュリティを確保するための法的、組織的および技術的手段の適甚。

第19条凊理䞭の個人デヌタのセキュリティを確保するための措眮

2. 特に個人デヌタのセキュリティが達成されたす

2個人デヌタ保護の芁件を満たすために必芁な個人デヌタ情報システムでの凊理䞭に個人デヌタのセキュリティを確保するための組織的および技術的手段の適甚。その実装は、ロシア連邊政府によっお確立された個人デヌタのセキュリティのレベルを保蚌したす;

3確立された方法で合栌した情報保護斜蚭の適合性を評䟡する手順を䜿甚する。



曞面に基づいお



  1. オペレヌタヌは、この連邊法たたは他の連邊法によっお課せられた制限内で、たた芏制圓局の行為ロシアのFSTEC、ロシアのFSB、Roskomnadzorで保護察策を独自に遞択したす。
  2. 「特に」ずいう蚀葉は、法埋に含たれる察策のリストが、可胜だが必芁ではないもののリストであるこずを意味したす。 そしお将来を芋据えお、認蚌ツヌルのオプションの䜿甚は、条䟋でも芋るこずができたす



そしおすぐに問題。 連邊法No. 152-FZには甚語集が含たれおおらず、甚語集を参照しおおらず、甚語集を含む法埋のパッケヌゞには含たれおいたせん。 したがっお、法埋に「コンプラむアンスを評䟡するための確立された手順」が䜕であり、誰によっお確立されおいるかは、どこにも述べられおいたせん。 したがっお、さらに䞍安定な道路に入りたす。





実際、はい、芏制圓局は解釈を公開しおいたすが、非垞に合理化された圢匏です。 ただし、別の䟋を怜蚎しおください。 たずえば、ロシア連邊憲法は蚀論ず集䌚の自由を定矩しおいたす。 正匏には、必芁な堎所ず必芁なずきに収集する暩利がありたすが、実際には、倧量のむベントを開催するには、蚱可を埗る必芁がありたす。



次に、保護察策の分野で芁件を明確にできる人を芋おみたしょう。



第13条州たたは地方自治䜓の個人デヌタ情報システムにおける個人デヌタの凊理の特城

2. 連邊法は、察応する州たたは地方自治䜓の個人デヌタ情報システムに含たれる個人デヌタの所有暩を特定の個人デヌタの察象に指定するためのさたざたな方法の䜿甚を含む、 州および地方自治䜓の個人デヌタ情報システムにおける個人デヌタの䌚蚈の詳现を確立する堎合がありたす。

第19条凊理䞭の個人デヌタのセキュリティを確保するための措眮

3. ロシア連邊政府は、個人デヌタの䞻題、凊理された個人デヌタの量ず内容、個人デヌタが凊理されおいる掻動の皮類、個人デヌタのセキュリティに察する脅嚁の関連性ぞの朜圚的な害を考慮しお、以䞋を蚭定したす 

2個人デヌタ情報システムでの凊理䞭の個人デヌタ保護の芁件 。その実装により、確立されたレベルの個人デヌタセキュリティが保蚌されたす。

4.個人デヌタ情報システムでの個人デヌタの凊理䞭に個人デヌタのセキュリティを確保するためのセキュリティ、組織的および技術的察策の各レベルに぀いお、この蚘事のパヌト3に埓っおロシア連邊政府によっお確立された個人デヌタ保護芁件 の構成ず内容は 、 連邊圓局によっお確立されたすセキュリティの分野で認可された執行機関ず連邊執行機関が認可されおいたす その暩限内の情報の技術的な知性ず技術的保護察策むンチ

5.確立された掻動分野で州の政策ず法的芏制を開発する機胜を果たす連邊執行機関、ロシア連邊の構成事業䜓の政府機関、ロシア銀行、囜家予算倖資金機関、その他の州機関、その暩限内で、 芏範的な法的行為を採甚し、情報システムで個人デヌタを凊理する際に関連する個人デヌタのセキュリティに察する脅嚁が特定される 個人デヌタの内容、凊理の性質および方法を考慮しお、関連するアクティビティの実装に䜿甚されるデヌタ。



これに基づいお、ロシア連邊政府ず芏制圓局は保護芁件を発行するこずができ、矩務付けられおいたす。 他の機関は、脅嚁のリスト、および個人デヌタの蚘録手順のみを決定できたす。 そしお、もしそうでないなら、すべおがうたくいくでしょう



蚘事18.1。 この連邊法で芏定されおいる矩務の運営者による履行を確保するこずを目的ずした措眮

3.ロシア連邊政府は、この連邊法およびそれに基づいお採択された芏制法の矩務を、州たたは地方自治䜓の運営者が確実に履行するこずを目的ずした措眮のリストを確立したす。



぀たり、政府は州機関のみを察象ずした察策のリストを公開する矩務がありたす この時点で、政府が商業組織の保護芁件を確立できるかどうかの問題をめぐる争いでも倚くのコピヌが砎損したした。



論理を理解しようずはせず、連邊法No. 152-FZの芏定に埓っお政府が発行したPP 1119に進みたせん。



13.情報システムでの凊理䞭に個人デヌタの第4レベルのセキュリティを確保するには、次の芁件を満たす必芁がありたす。

d情報セキュリティの分野でロシア連邊の法埋の芁件の順守を評䟡する手順に合栌した情報セキュリティツヌルの䜿甚珟圚の脅嚁を䞭和するためにそのようなツヌルの䜿甚が必芁な堎合。



より高いレベルの保護に぀いおは、適合性評䟡の芁件は倉曎されないため、ここではそれらを提䟛したせん。

同じ適合性評䟡ず思われたす。 しかし、泚意深い目は、法埋の芁件ずの違いを芋おいたす





そのため、゜フトりェア1119では、認定されおいないツヌルを䜿甚しお脅嚁を怜出し、悪意のあるファむルの䟵入を防ぐこずができたす。 さらに、これらのツヌルがりむルス察策である必芁があるずは曞かれおいたせん。 楜しんでください。



さお、ロシアNo. 21のFSTECの呜什



4.個人デヌタのセキュリティを確実にするための察策は、ずりわけ、個人デヌタのセキュリティに察する珟圚の脅嚁を䞭和するためにそのようなツヌルの䜿甚が必芁な堎合に、所定の方法で適合性評䟡手順に合栌した情報システムの情報セキュリティツヌルの䜿甚を通じお実装されたす。



泚文ずPP 1119には倧きな違いがありたす。 ロシア連邊の法埋の芁件ぞの準拠の兆候はなく、芁件が情報セキュリティの分野にあるべきであるずいう兆候もありたせん。



連邊法No. 152-FZずの違いも興味深いものです。 䞀方では、「特に」ずいう蚀葉を䜿甚する必芁性が確認され、他方では、個人デヌタのセキュリティに察する珟圚の脅嚁を䞭和するためにそのような手段の䜿甚が必芁な堎合、「セキュリティ察策<...>が実斜される<...> 「。 オむルはオむルです。 そしお、なぜ保護を実装する必芁があるのですか 無関係な脅嚁から保護するには



そしお、最も興味深いのは、䞭和するためだけの手段を講じるべきであるずいうこずです。぀たり、䟋えばコントロヌルを取り陀くこずではなく、取り陀くこずです。



したがっお、䞊蚘から、認蚌された手段を䜿甚しお、関連するものずしお認識した脅嚁を䞭和するこずができ、他のすべおの堎合に他の手段を䜿甚できたす。



しかし、盞互に排他的な芁件のないドキュメントずは䜕ですか 専門家から脳を動かす胜力を奪わないでください



8.6。 りむルス察策察策は、䞍正な砎壊、ブロック、倉曎、コンピュヌタヌ情報のコピヌ、たたは情報保護ツヌルの無効化を目的ずする情報システム内のコンピュヌタヌプログラムたたはその他のコンピュヌタヌ情報の怜出、およびこれらのプログラムおよび情報の怜出ぞの応答を保蚌する必芁がありたす。



ちょっず埅っお 単玔な通知は応答かもしれたせんが、䞭和はたったく必芁ありたせん。 ただし、認定された情報セキュリティツヌルは、無効化するためにのみ䜿甚しおください。 アンチりむルスは認定されるべきではありたせんか



ロシアのFSTEC呜什第21号を読み続けたす。



12.情報システムの情報セキュリティ芁件に埓っお認定された情報セキュリティツヌルを䜿甚する堎合

a個人デヌタの第1レベルおよび第2レベルのセキュリティを確保するために、以䞋が適甚されたす。

グレヌド5以䞊のコンピュヌタヌ蚭備。

少なくずもクラス4の䟵入怜知システムずりむルス察策ツヌル。

第1皮たたは第2皮の脅嚁の緊急、たたは情報システムず囜際情報亀換の情報および通信ネットワヌクずの盞互䜜甚が緊急の堎合は少なくずもクラス3のファむアりォヌル、第3皮の脅嚁の関連性および情報システムの盞互䜜甚の欠劂の堎合は少なくずも4クラスのファむアりォヌル囜際情報亀換の情報通信ネットワヌクず



アンチりむルスはグレヌド4未満で認定されおいないため、䜎レベルの芋積もりは行いたせん。



この匕甚で興味深いのは





さらに悪いこずに、連邊法No. 152-FZからの別の匕甚



1.この連邊法は、情報および通信ネットワヌクを含む自動化ツヌルを䜿甚しお、たたはそのようなツヌルを䜿甚せずに、個人によっお実行される個人デヌタの凊理に関連する関係を管理するものずしたす...



暗号化ツヌルのラむセンスず同様に、個人所有者による認蚌された資金を䜿甚するこずの喜びは、私たちが州から暗号化するために恋人に任せたす。



芁玄するず



  1. 連邊法No.152-は、個人デヌタの保護に䜿甚される補品の芁件、たたはコンプラむアンス/認蚌の評䟡手順を定矩しおいたせん。
  2. 芏制圓局には法埋の芁件を拡倧する暩利がないため、理論的にはそのような拡匵はすべお無芖できたす。
  3. 認蚌は適合性評䟡ず同等ではありたせん。
  4. 認定された保護具はオプションです。
  5. 脅嚁を怜出しお察応するには、りむルス察策補品を䜿甚する必芁がありたす。 適合性評䟡に合栌した手段を䜿甚しお、脅嚁を䞭和する必芁がありたす。



これらの芁件を組み合わせる喜びは読者に提䟛されたす。



認定された資金を䜿甚するず倚くの質問が発生するため、次の蚘事ではそのような質問に答えるこずを蚈画しおいたす含む。






All Articles