The Web-site of design Company Chelyabenergoproekt in English   English
Maison Écrire le courrier Carte
Die Web-seite der Projektorganisation Tscheljabenergoprojekt in Deutsch   Deutsch




       

Projets de maîtrise intellectuelle!
Nos Nouvelles
22.12.2016 Bonne année!
Bonne année! Administration ...
30.12.2015 Bonne année!
Bonne année! Administration ...
21.12.2015 Energie heureux!
Energie heureux! Administration ...



Nouvelles CAD
Menaces modèle de sécurité de l'information et des recommandations pour la protection des données personnelles
En 2008 on enregistrait en tout les mêmes tendances de fond du développement des menaces liées à la sécurité d'information qu'en 2007. Les vandales et les polissons se sont trouvés sont évincés définitivement sur la périphérie d'It-andergraunda éloignée. Maintenant s'est formé le plus présent cybercriminel business.           

Ce business criminel est dirigé sur l'exercement de la génération de toutes sortes des services spécifiques liés au vol de l'information ou le détournement de fonds direct, les attaques contre les réseaux des concurrents, la diffusion du spam et celui-là de la chose semblable. De plus l'accroissement de la crise économique a intensifié beaucoup plusieurs des tendances manifestées dans les dernières deux années. Cela, comme croit la plupart des experts, est lié ce que plusieurs IT les spécialistes sont restés sans travail et ont redirigé l'activité à la sphère criminelle.

Nous examinerons nuisible la LD.

Les classes Principales de la LD nuisible révélées sur le territoire de la Russie à 2m semestre 2008 2008 Partant, comme, d'ailleurs, et 2007, était beaucoup fertile sur l'apparition des nouveaux modèles du code nuisible. Les analystes finalement antiviraux Symantec apportaient aux bases antivirales tant de signatures, il est combien de pour toute la période précédant de l'activité. Comme autrefois, l'essentiel des types des bombes de l'acier chevaux de troie, dirigé sur le vol des données sur les comptes bancaires et comptes dans les jeux en ligne (voir le tableau).

Comme en 2007, les auteurs chevaux de troie utilisaient activement, apparemment, bien oublié (y compris par les compagnies antivirales) les technologies virulentes. Par exemple, pour la complication du travail des analystes antiviraux chevaux de troie du dernier temps font très souvent polymorphe. Une large implantation des moyens de défense du périmètre du réseau, qui empêche les moyens traditionnels de la distribution de programme les logiciels malveillants, a amené à la Renaissance du code infectant les fichiers. De sorte que de plus en plus souvent par la source de la contamination il y a des pools extérieurs. Notamment il y avait par ce moyen une contamination faisant sensation Conflicker. Se répandaient Ainsi non seulement les bombes et chevaux de troie, mais aussi les vers.

Néanmoins par le moyen principal de la contamination de l'acier de l'attaque par Web avec l'utilisation des sites infectés. Si en 2007 le nombre des noeuds infectés était mesuré avec les dizaines de mille, en 2008 le compte est allé déjà à des millions. Seulement finalement grand chinois hack on infectait environ 1,2 millions de sites dans le monde entier. D'après le nombre les sites infectés le cinq des leaders était fait par la Chine, les États-Unis, l'Allemagne, les Pays-Bas et la Russie.

Comme les spécialistes Symantec indiquent, pour l'hack des sites on orientait une série zombie des réseaux. De plus les assortiments exploite, utilisé pour l'hack, utilisent de la vulnérabilité moyen et même du niveau faible. C'est lié ce que la correction de la génération donnée des trous moins priorité pour les architectes, ainsi que pour les gestionnaires. À son tour, code malveillant, répandu ainsi, exploitent de la vulnérabilité dans les browsers et les compléments d'eux, en particulier Adobe Flash ou l'Apple QuickTime.

Cependant par les technologies les plus dangereuses dans le rapport final des analystes antiviraux les Laboratoires Kaspersky sont reconnus rootkit: à eux on réalisait les technologies d'innovation, égal par qui industrie antivirale ne rencontrait pas encore, mais de puissantes infrastructures créées autour d'eux selon l'envergure et la complexité étaient surpassées en les modèles précoces pour les vers Zhelatin et Warezov. Par exemple, le modèle Malware 2.0, dans la base de qui est le principe de la dissection des diverses cellules flexibles nuisibles selon fonctionnelle, l'utilisation des remèdes universels de la coopération entre les cellules flexibles et les fossés protégés contre l'action extérieure de l'échange de données et les centers de la gestion zombie par les réseaux.

En 2009 on sélectionne les cas de la contamination massive des dispositifs sur le quai Linux (l'équipement de client de réseau, en particulier, les DSL-modems et les routeurs) et Mac. Dans celui-là, et dans un autre cas il s'agit de la création zombie des réseaux. Et si l'incident de telle sorte chez Linux des systèmes non le premier, pour le quai Mac, qui était considéré longtemps invulnérable pour malveillants, c'est le premier cas de la contamination massive du milieu 1990 des années. Mais il faut sélectionner que dans les deux cas les paroles vont non sur les manques de n'importe quel quai comme tel. En cas de Mac avait lieu l'utilisation des méthodes de la génie sociale, où trojan se répandait à titre des moyens du détour de la sécurité contre le copiage de la LD commerciale. Pour les dispositifs sur Linux avait lieu le non-respect des normes élémentaires de la sécurité, avant tout, l'utilisation du mot de passe par défaut.

Néanmoins l'année partant il y avait des raisons pour un certain optimisme. Avant tout, la tendance à la réduction de la quantité vulnérabilités dans la LD est devenue stable. D'après les données de l'association CVSS, la quantité vulnérabilités dans la LD en 2008 a baissé environ sur 25-30% en comparaison du niveau de 2006. Cependant la quantité vulnérabilités selon ancien environ deux fois plus haut qu'en 2004.

Nous examinerons le spam phishing.

L'année partant était le premier, dans qui on sélectionne la réduction du niveau du spam. On réussit à atteindre cela à la suite de la fermeture en novembre de l'installation-provider McColo, où s'installait le center de la gestion série botnet. Finalement la part à ordures de la poste en Russie a diminué deux fois, mais aux États-Unis trois fois. Cependant ce succès n'était pas développé, et graduellement spammeurs on réussit à compléter les aires perdues. Mais tout est créé le précédent qui a montré qu'avec la poste non invitée peut avec succès lutter.

Comme était indiqué déjà plus haut, la Russie est une des sources principales du spam dans le monde et suivant les résultats de 2008 a remporté la première place dans la région d'Europe le Proche-Orient l'Afrique (EMEA). Cela s'exprime par ce que se prolonge la pénétration active des technologies de l'accès Internet rapide, qui se trouvent souvent chez les utilisateurs non préparés, quels ordinateurs contractent vite la LD nuisible et deviennent la partie de n'importe quel zombie du réseau envoyant le spam.

Russe spammeurs, au dire des analystes les Laboratoires Kaspersky utilisaient activement les réseaux sociaux, et en outre très souvent non seulement pour la publicité, mais aussi avec le but d'allécher la victime potentielle sur le site infecté ou la phishing page. Les réseaux sociaux étaient appliqués aussi pour l'organisation de la fraude SMS liée à l'expédition des messages payants sur le numéro court. De plus les malfaiteurs agissaient souvent de la part des utilisateurs réels des réseaux sociaux, à qui on volait les données d'enregistrement. On utilisait pour cela les méthodes de la génie sociale, ainsi que les utilitaires spéciaux augmentant l'usabilité des réseaux sociaux, mais en fait les mots de passe faisant parvenir aux malfaiteurs.

Quant à phishing, sa part dans le trafic russe postal a atteint le maximum dans la première moitié de 2008, quand elle a fait en moyenne 1,32%, mais en piqué, ayant lieu en mai, 2,5%. Cependant dans la deuxième moitié de l'année le nombre des phishing messages a baissé au niveau 0,7-0,8%, mais dans l'I le quartier 2009 est tombé jusqu'à 0,54%. Les cibles principales phishing en Russie, comme dans le monde en tout, étaient les accessoires des comptes aux banques et les systèmes en ligne de paiement comme PayPal ou l'yandex l'Argent.

Nous examinerons les fuites de l'information.

Le problème des fuites de l'information non enregistrait simplement l'actualité, mais aussi continuait à s'aggraver. Et en outre grandit le nombre absolu des fuites, ainsi que leurs échelles. En général, les fuites abordaient les données personnelles sur eux, d'après l'évaluation d'InfoWatch, il fallut presque 98% de tous les incidents, mais parmi des fuites-millionnikov tous sont liés à la divulgation des données personnelles. Sur les secrets d'Etat et commerciaux il fallut moins de 1%, cependant le nombre des incidents liés à la divulgation du secret d'État, a augmenté en comparaison de l'année passée à cinq fois.

Les sources principales des fuites de l'information ayant lieu à 2007-2008  D'après l'évaluation des experts InfoWatch, en 2008 avait lieu la croissance considérable de la part des fuites intentionnelles. Si en 2007 sur eux il fallait 29% des incidents, en 2008 déjà 46%. Les experts InfoWatch lient la croissance si essentielle à l'implantation des équipements de la classe DLP, qui permettent avec assez de succès de prévenir les fuites accidentelles des données. La crise économique, quand les collaborateurs peu consciencieux décident de corriger la situation économique aux frais de l'employeur ou les clients directement influence. Nommément cela concerne les données personnelles, le coût de qui grandit d'une année en année. De plus l'insouciance du personnel reste à un ancien niveau. En outre la crise conduit à la croissance des dépressions et d'autres problèmes avec la mentalité que, à son tour, contribue aux bogues du personnel amenant aux incidents de type différent. On sélectionne les cas de l'abus et de la partie des externalisation compagnies (voir le dessin), qui enlevaient les données sur les clients en vue de la vente ultérieure.

La grande partie des fuites est liée d'une manière ou d'une autre à l'accès physique à l'équipement. Seulement sur les vols, les pertes et les incidents liés à la violation des normes selon l'utilisation, vient plus de moitié de tous les incidents. De plus la distribution des incidents dans la coupe des véhicules d'information se distingue beaucoup pour les fuites intentionnelles et accidentelles. Quant à la géographie, la plus grande quantité de fuites est sélectionnée aux États-Unis, la Bretagne et le Canada. Cependant c'est lié seulement ce que dans les pays donnés est beaucoup plus haut le niveau de la publicité dans la sphère donnée et le fait lui-même de l'incident est plus complexe cacher.

Quant au développement ultérieur de la situation, les pronostics sont décevants. La quantité d'incidents et leur envergure grandiront seulement, nommément dans la mesure de l'apparition des nouveaux services financiers, rendant possible et rationnel tout qu'est lié au vol de la personnalité.

Nous amènerons les recommandations du conseil des directeurs IT aux It-directeurs de la sécurité des données personnelles en 2009..

Dans la législation de la Fédération de Russie on prévoit la présence de la diverse génération des informations, qui sont protégés par la loi. Par un des plus grands trafics de l'information confidentielle, sa partie considérable faisant, sont les informations sur les citoyens. Le fondement de la législation est fait dans ce domaine par les articles de la Constitution de la Fédération de Russie sur le droit des citoyens à l'information, correspondant aux normes internationales dans ce domaine. Ainsi, on protège le secret de la correspondance, les négociations téléphoniques, les départs postaux, les autres messages télégraphiques, le secret personnel et familial. En outre la taxe, le stockage, l'utilisation et la dissémination d'information sur la vie privée de la personne sans son accord ne sont pas admise.

Malgré le fait qu'aujourd'hui disent pour l'essentiel directement sur la Loi Fédérale qui a quitté en 2006 Sur les données personnelles se trouve faire l'attention à ce que la nomenclature des autres actes législatifs et normatifs juridiques d'une manière ou d'une autre abordant les questions des données personnelles est déjà assez grande. Et par conséquent, on avait cumulé beaucoup de questions et les problèmes liés à la variante déjà des règlements existant et l'ordre de leur application.

Dans les rapports de droit des données personnelles liées à l'échange deux parties le sujet des données personnelles, d'une part, et d'autre part l'opérateur les administrations, l'organisme municipal, la personne civile ou physique, organisation et (ou) réalisant le traitement des données personnelles, ainsi que les buts définissant et le contenu du traitement des données personnelles se produisent. Ainsi, le propriétaire des données personnelles est la personne physique, les données sur qui se trouvent dans l'échange. Par le propriétaire de cette information, en vertu des devoirs, il y a des structures autorisées d'Etat et/ou commerciales.

N'importe quelle information documentée, le traitement illégal avec qui peut causer le préjudice à son propriétaire, le propriétaire, l'utilisateur et une autre personne est passible de la sécurité. On poursuit de plus le but de la sécurité des droits constitutionnels des citoyens sur la sauvegarde du secret personnel et la confidentialité des données personnelles se trouvant dans les systèmes d'information.

Cependant, jusqu'au 1 janvier 2010 le jour, à qui les systèmes d'information des données personnelles doivent être amenés à la conformité aux exigences de la Loi Fédérale, il y avait non ainsi beaucoup de temps. Il ne suffit pas ce temps pour l'élaboration et l'implantation aux compagnies du système de la sécurité des données personnelles de manière catastrophique.

Après l'entrée en l'action Sur les données personnelles a passé déjà la quantité suffisante du temps. Peu à peu la société a commencé à comprendre la signification de son acceptation en train de la formation de la conception de la justice des citoyens de la Fédération de Russie chacun de nous a l'information, qui doit se défendre par l'État de la distribution illégale et l'utilisation. En même temps, il est nécessaire de diviser les positions du législateur en ce qui concerne les opérateurs, qui sont engagés à travailler les données personnelles selon les exigences et en ce qui concerne les sujets des données personnelles, être droit de qui doivent sont protégés, en premier lieu, par voie de l'exécution des exigences des organismes réglant, mais à deuxième, le support du contrôle et la surveillance de la sécurité des droits des sujets des données personnelles du côté de l'État. Ainsi, les opérateurs des données personnelles se trouvent cette catégorie, qui doit réfléchir dans une plus grande mesure à l'organisation de l'activité conformément à la législation existant.

On peut diviser très conditionnement activité donnée sur deux parties, à savoir, non technique l'aspect de la question de la sécurité par l'opérateur des données travaillées personnelles (DP), qui, à côté de technique a la signification assez importante à l'observation des exigences. Il est nécessaire de comprendre qu'en vue de l'observation de telles exigences dans toutes les organisations il y avoir apparaître une nouvelle couche assez volumineuse de la documentation.

Si dire sur la deuxième partie technique il est très important de prendre en considération que dans le système moderne d'information de l'entreprise il suffit beaucoup d'applications travaillant DP. Seulement l'audit complexe du CI permet de passer l'inventaire des ressources d'information et comprendre où, comme quel DP sont travaillés.

La base législative pour la tenue des mesures selon la sécurité DP

1. Les documents principaux réglant

- Le code de la Fédération de Russie sur les délits administratifs du 30 décembre 2001 # 195-FZ
- Le code du travail de la Fédération de Russie du 30 décembre 2001 # 197-FZ
- La loi Fédérale du 27 juillet 2006 # 149-FZ Sur l'information, les filières informatiques et sur la sécurité de l'information
- La loi Fédérale du 27 juillet 2006 # 152-FZ Sur les données personnelles (avec les changements du 28 mars 2008);
- L'arrêté du Gouvernement de la Fédération de Russie du 27 septembre 2007 # 612 Sur l'approbation des Règles de la vente des marchandises par le moyen de distance
- L'arrêté du Gouvernement de la Fédération de Russie du 17 novembre 2007 # 781 Sur l'approbation de la Position sur la garantie de sécurité des données personnelles à leur traitement dans les systèmes d'information des données personnelles
- L'arrêté du Gouvernement de la Fédération de Russie du 15 septembre 2008 # 687 Sur l'approbation de la Position sur les particularités du traitement des données personnelles réalisé sans l'utilisation des moyens de l'automatisation
- L'ordre du service Fédéral du contrôle technique et d'exportation, le FSB de la Fédération de Russie et le Ministère de l'Information et de la Communication de la Fédération de Russie du 13 février 2008 # 55/86/20 Sur l'approbation de la Procédure de la classification des systèmes d'information des données personnelles
- L'ordre du service Fédéral sur la surveillance dans la sphère des communications massives, le lien et la protection de l'héritage culturel du 28 mars 2008 # 154 Sur l'approbation de la position sur la conduite du registre des opérateurs réalisant le traitement des données personnelles
- Le modèle de base des menaces de la sécurité des données personnelles à leur traitement dans les systèmes d'information des données personnelles. Fédérale de contrôle technique et de l'Exportation de la Russie, 14/02/2008
- La méthode de la définition des menaces actuelles de la sécurité des données personnelles à leur traitement dans les systèmes d'information des données personnelles. Fédérale de contrôle technique et de l'Exportation de la Russie, 14/02/2008
- Les mesures principales pour l'organisation et l'hardware de la sécurité des données personnelles travaillées dans les systèmes d'information des données personnelles. Fédérale de contrôle technique et de l'Exportation de la Russie, 15/02/2008
- Les recommandations sur la garantie de sécurité des données personnelles à leur traitement dans les systèmes d'information des données personnelles. Fédérale de contrôle technique et de l'Exportation de la Russie, 15/02/2008
- Les exigences standard pour l'organisation et le support du fonctionnement des chiffrement moyens (cryptographiques) destinés à la sécurité de l'information, ne contenant pas les informations faisant le secret d'État, en cas de leur utilisation pour assurer la sécurité les données personnelles à leur traitement dans les systèmes d'information des données personnelles. Le FSB de la Russie, 21/02/2008, # 149/6/6-622
- Les recommandations méthodiques sur le support avec l'aide cryptage / décryptage de moyens les sécurités des données personnelles à leur traitement dans les systèmes d'information des données personnelles avec l'utilisation des moyens de l'automatisation. Le FSB de la Russie, 21/02/2008, # 149/5-144

2. Les points clés des documents réglant

Nous amènerons une série de références à la base normative-juridique réglementant la responsabilité, arrivant pour la violation de la législation sur la sécurité des données personnelles.

Le code de la Fédération de Russie sur les délits administratifs

L'article 5.39. Le refus de l'octroi au citoyen de l'information.
Le refus illégal de l'octroi au citoyen des documents collectés dans l'ordre établi, les matériaux, abordant est directement droite les libertés du citoyen, ou l'octroi inopportun de tels documents et les matériaux, la non présentation d'une autre information dans les cas prévus par la loi, ou l'octroi au citoyen incomplet ou notoirement l'information douteuse entraîne l'imposition de l'amende administrative sur les fonctionnaires dans le montant de cinq cents roubles jusqu'à un mille. ( la remarque: l'article Donné est la raison pour la punition administrative est d'accord l'article 3.12 la suspension Administrative de l'activité )

L'article 13.11. La violation établi par la loi de l'ordre de la taxe, les stockages, les utilisations ou les disséminations d'information sur les citoyens (les données personnelles).
La violation établi par la loi de l'ordre de la taxe, les stockages, les utilisations ou les disséminations d'information sur les citoyens (les données personnelles) entraîne la prévention ou l'imposition de l'amende administrative sur les citoyens dans le montant de trois cents jusqu'à cinq cents roubles; sur les fonctionnaires de cinq cents roubles à un mille; sur les personnes civiles de cinq mille à dix mille roubles.

L'article 13.12. La violation des règles de la sécurité de l'information.
1. La violation des conditions prévues par la licence de la réalisation de l'activité dans le domaine de la sécurité de l'information (à l'exception de l'information faisant le secret d'État), entraîne l'imposition de l'amende administrative sur les citoyens dans le montant de trois cents jusqu'à cinq cents roubles; sur les fonctionnaires de cinq cents roubles à un mille; sur les personnes civiles de cinq mille à dix mille roubles.
2. L'utilisation des systèmes non certifiés d'information, les bases et les banques de données, ainsi que les moyens de défense non certifiés de l'information, s'ils sont passibles de la certification obligatoire (à l'exception des moyens de défense de l'information faisant le secret d'État), entraîne l'imposition de l'amende administrative sur les citoyens dans le montant de cinq cents roubles jusqu'à un mille avec la confiscation des moyens de défense non certifiés de l'information ou sans tel; sur les fonctionnaires d'un mille à deux mille roubles; sur les personnes civiles de dix mille à vingt mille roubles avec la confiscation des moyens de défense non certifiés de l'information ou sans tel.
3. Le manquement grave des conditions prévues par la licence de la réalisation de l'activité dans le domaine de la sécurité de l'information (à l'exception de l'information faisant le secret d'État), entraîne l'imposition de l'amende administrative sur les personnes réalisant l'activité patronale sans la formation de la personne civile, dans le montant d'un mille jusqu'à un mille cinq cents roubles ou la suspension administrative de l'activité sur le délai jusqu'à quatre-vingt-dix jours; sur les fonctionnaires d'un mille à un mille cinq cents roubles; sur les personnes civiles de dix mille à quinze mille roubles ou la suspension administrative de l'activité sur le délai jusqu'à quatre-vingt-dix jours.

L'article 19.5. La non-exécution à temps la prescription légale (les arrêtés, les représentations, les décisions) l'organisme (fonctionnaire) réalisant la surveillance (contrôle) d'Etat
1. La non-exécution au terme fixé de la prescription légale (les arrêtés, les représentations, les décisions) l'organisme (fonctionnaire) réalisant la surveillance (contrôle) d'Etat, sur l'élimination des violations de la législation entraîne l'imposition de l'amende administrative sur les citoyens dans le montant de trois cents jusqu'à cinq cents roubles; sur les fonctionnaires d'un mille à deux mille roubles ou la disqualification sur le délai jusqu'à trois ans; sur les personnes civiles de dix mille à vingt mille roubles.
2. La non-exécution au terme fixé de la prescription légale, les décisions de l'organisme autorisé dans le domaine du contrôle d'exportation, son organisme territorial entraîne l'imposition de l'amende administrative sur les fonctionnaires dans le montant de cinq mille jusqu'à dix mille roubles ou la disqualification sur le délai jusqu'à trois ans; sur les personnes civiles de deux cents mille à cinq cents mille roubles.

Les régulateurs

1. Le support du contrôle et la surveillance de l'exécution des exigences selon la sécurité DP

L'organisme fédéral du pouvoir exécutif, le mandataire dans le domaine de la garantie de sécurité le FSB de la Russie;

L'organisme fédéral du pouvoir exécutif, le mandataire dans le domaine de la résistance aux reconnaissances techniques et la sécurité technique de l'information Fédérale de contrôle technique et de l'Exportation de la Russie;

L'organisme autorisé de la sécurité des droits des sujets des données personnelles le service Fédéral de la surveillance dans la sphère du lien, les filières informatiques et les communications massives.

Le domaine de la responsabilité près de chacun de ces organismes.
Le FSB de la Russie suit traditionnellement les questions de la défense de l'information avec l'utilisation des moyens de la cryptographie (cryptographie).
Fédérale de contrôle technique et de l'Exportation de la Russie réalise le contrôle de la sécurité de l'information de l'utilisation des équipements. Il est l'organisme principal exécutif et de surveillance de la sécurité des droits des personnes physiques, quelles données personnelles sont travaillées.

2. Les aspects des vérifications prévues par la législation

Le Service fédéral de surveillance écologique, technologique et nucléaire:
- Selon le traitement du sujet des données personnelles sur la conformité du contenu des données personnelles et les moyens de leur traitement aux buts de leur traitement (la loi #152-FZ du 26 juillet 2006)
- La vérification des informations se trouvant dans l'avis du traitement des données personnelles (la loi #152-FZ du 27 juillet 2006)
- Les vérifications hors plan du contrôle des violations des exigences obligatoires (la loi #134-FZ du 8 août 2001)

Fédérale de contrôle technique et de l'Exportation de la Russie:
- La surveillance de l'activité du licencié Fédérale de contrôle technique et de l'Exportation de la Russie (l'Arrêté du Gouvernement du 15 août 2006 #504)
- Selon le traitement de Le Service fédéral de surveillance écologique, technologique et nucléaire (la loi #152-FZ du 27 juillet 2006)
- Les vérifications hors plan du contrôle des violations des exigences obligatoires (la loi #134-FZ du 8 août 2001)

Le FSB de la Russie:
- Le contrôle de l'observation des règles d'utilisation des moyens de la sécurité cryptographique de l'information
- La surveillance de l'activité du licencié du FSB de la Russie (l'Arrêté du Gouvernement du 29 décembre 2007 #957)
- Les vérifications hors plan du contrôle des violations des exigences obligatoires (la loi #134-FZ du 8 août 2001)
- Selon le traitement de Le Service fédéral de surveillance écologique, technologique et nucléaire (la loi #152-FZ du 27 juillet 2006)

Les recommandations totales

Les mesures selon la garantie de sécurité des données personnelles reunissent dans eux-mêmes l'implémentation des mesures juridiques, d'organisation et techniques, et en outre ils sont également signifiants, de plus la non-exécution d'unes exigences réduit à rien les résultats de l'implémentation d'autres.

1. Par quoi commencer
Tous les opérateurs demandent, en premier lieu pour eux-mêmes, fixer les notions pièces à l'appui principales du traitement des sujets personnels donnés, puisque:
- fremièrement, le devoir de l'opérateur présenter au sujet des données personnelles en vertu des traitements, la requête l'information concernant le traitement de ses données personnelles, y compris:
- le but du traitement;
- les moyens du traitement;
- les informations sur les personnes ayant l'accès aux données personnelles;
- la nomenclature des données travaillées personnelles;
- la source de la réception;
- les délais du traitement et le stockage des données personnelles.

Il faut avoir en vue aussi qu'accorder au sujet l'information de telle sorte on peut rapidement seulement à la raison déjà les documents existant, où on expose systématiquement les principes et les critères du traitement. Autrement, par exemple, les opérateurs du lien mobile, en donnant les réponses aux mêmes traitements des sujets en vertu d'une grande quantité de données travaillées personnelles, peuvent donner contradictoire ou non correct du point de vue de la requête la réponse.

- Deuxièmement, la nécessité de l'analyse de toutes les données personnelles travaillées par l'organisation et les accumulations de cette information dans le document commun (nous l'appellerons par exemple la nomenclature Détaillée des données personnelles) est conditionnée par l'exigence à la sécurité technique des données personnelles travaillées par l'opérateur. Nous expliquerons. Par l'ordre Fédérale de contrôle technique et de l'Exportation de la Russie, le FSB de la Russie et le Ministère de l'information et de la communication de 13.02.08 # 55/86/20 Sur l'approbation de la procédure de la classification des systèmes d'information des données personnelles à la classification des systèmes d'information en vue de la définition du niveau de leur sécurité et le degré de la dépense des moyens de l'organisation sur la sécurité technique des sujets personnels donnés on prend en considération les catégories des données travaillées personnelles et leur volume. En conséquence, apparaît la nécessité une telle information fixer et documenter.

- Troisièmement, la formulation à la nomenclature Détaillée en particulier, les notions du but du traitement DP l'absence de l'accord aidera à l'opérateur à argumenter dans les cas contestables le sujet des données personnelles, quand une telle possibilité est prévue, parce que le législateur, en décrivant tels cas, attache leur description à la notion le but du traitement.

- Quatrièmement, contrôlant lorganisme autorisé, en éclaircissant la raison de la violation de n'importe quelles positions de la législation dans la sphère des données personnelles, s'orientera, en premier lieu, sur l'observation des principes FZ (art. 5), qui peuvent être contrôlés seulement en vertu du document (documents) des données personnelles définissant le traitement à l'organisation.

Pour que, le document commun sur le traitement des données personnelles à l'organisation a anticipé toutes les questions, qui peuvent apparaître près de l'organisme Autorisé, l'analyse préliminaire de toute la documentation de l'opérateur, qui contient est nécessaire et définit le traitement des sujets personnels donnés.

À son tour, à la tenue d'une telle analyse et l'élaboration du texte de la nomenclature Détaillée il est nécessaire de prendre en considération la possibilité typage DP. Par exemple, quand l'opérateur travaille les données personnelles des sujets avec l'objectif global (par exemple, le téléxiste travaille DP en vue de l'octroi les services de communications), à la nomenclature Détaillée on doit formuler nettement les notions du but, les moyens, la nomenclature des données travaillées personnelles et caetera.

Dans les cas où l'opérateur travaille les données personnelles, en poursuivant de divers buts, par exemple, en travaillant les données des travailleurs pour le calcul du salaire, l'établissement du mode buvard, le compte dans le secrétariat d'image, apparaît le besoin d'eux rendre typique en ce qui concerne le but du traitement, et cela doit être reflété à la Position. Un tel système de la description (en ce qui concerne le critère du but du traitement, par exemple) permettra à l'opérateur effectivement de s'orienter dans les documents contenant les données personnelles, donner les réponses aux requêtes des sujets et l'organisme Autorisé.

Par une autre question se rapportant à la documentation de l'opérateur des données personnelles, est la question sur les délais du stockage des données personnelles. Dans le cas présent la législation, peut-être, établit pour la première fois maximum, et en plus conventionnel, le délai du stockage pour l'obtention des buts du traitement. Les organisations devront établir les délais du stockage des données personnelles, et en outre il est nécessaire d'avance d'examiner l'argumentation des délais choisis du stockage. Par exemple, à partir des exigences de travail, civil (la prescription) et la législation de retraité le délai du stockage pour les cartes de la forme T-2 est établi 75 ans, mais pour l'information sur les services de communications accordés à l'utilisateur, en vertu de l'Arrêté du Gouvernement # 538 de 2005 le délai du stockage fait 3 ans.

Quant aux mesures techniques selon le support de la sécurité DP, les mesures selon la garantie de sécurité des données personnelles à leur traitement dans les systèmes d'information en ordre obligatoire doivent comprendre le compte des personnes admises au travail avec les données personnelles au CI. De plus les personnes, l'accès de qui aux données personnelles travaillées dans le système d'information, est nécessaire à l'exécution des devoirs de service (de travail), doivent être admises aux données correspondantes en vertu du répertoire affirmé par la personne autorisée de l'opérateur.

De plus lui-même répertoire affirmé peu que signifie. Il est important d'assurer la démarcation de l'accès non seulement aux applications, mais aussi réaliser dans les applications elles-mêmes l'accès aux données personnelles conformément au répertoire affirmé. Fera cela sans système de gestion effectif l'accès est extrêmement embarrassant.

À côté de la démarcation de l'accès aux données personnelles à système on doit réaliser les mécanismes:
- le log et le compte.
- les supports de l'intégrité.
- la sécurité antivirale.
- la sécurité cryptographique.

Fonctionnelle, qui doivent accomplir les mécanismes donnés, est défini dans les documents méthodiques du FSB de la Russie et Fédérale de contrôle technique et de l'Exportation de la Russie selon la sécurité des données personnelles.

Les mécanismes sont dirigés sur la prévention de l'accès non sanctionné vers les données personnelles et, en outre assurent la révélation opportune des faits de l'accès non sanctionné vers eux. En outre il est important de comprendre que quel mécanismes de la sécurité bon ne seraient pas, les responsables de l'opérateur doivent périodiquement faire le contrôle et la vérification de leur efficacité.

La complexité définie à catégorisation, la sécurité et l'attestation du CI sera par ce fait que le CI moderne automatisé utilise les produits de programme entièrement embrassant toute l'entreprise. Si plus tôt nous pouvions dire sur la sécurité locale de la cellule flexible concrète (par exemple, le compte d'image), maintenant à l'utilisation universelle des ERP-systèmes, où cette cellule flexible est intégrée au système lui-même, protéger et il faut attester le système d'information.

2. La nomenclature des documents intérieurs de la compagnie

- L'ordre sur la création de la commission de la sécurité des données personnelles avec l'allocation ses responsabilités de la tenue de toutes les mesures concernant l'organisation de la sécurité des données personnelles;
- La position sur les données personnelles et leur sécurité;
- L'ordonnance sur l'ordre du support de la confidentialité au traitement avec l'information contenant les données personnelles;
- L'ordre/y sur la déposition de la responsabilité personnelle pour la sécurité des données personnelles;
- Le contrat avec le sujet des données personnelles, qui peut contenir le consentement écrit séparé du sujet des données personnelles pour leur traitement, dans les cas défini selon #152-FZ;
- Le document (nomenclature) normatif accumulant l'information sur les données personnelles, travaillé par l'opérateur (y compris leur catégorie, le volume et les délais du stockage)
- La nomenclature des systèmes d'information travaillant les données personnelles
- Le règlement de l'admission des collaborateurs vers le traitement des données personnelles
- La nomenclature des collaborateurs admis au traitement des données personnelles
- Les instructions d'une charge des collaborateurs se rapportant au traitement des données personnelles.

3. L'ordre des actions de la création du système de la sécurité DP

À la présence dans l'organisation du groupe commun administratif on peut proposer aux opérateurs le schéma suivant de l'organisation du système de la sécurité des données personnelles:
- Organiser la direction des questions de l'organisation de la sécurité des données personnelles
- Créer deux directions selon la formation du support de la sécurité des données travaillées personnelles: la direction technique et la direction non technique les sécurités, les devoirs de qui, à son tour, on peut redistribuer des subdivisions structurales selon les buts du traitement, par exemple, la sécurité des données personnelles dans le secrétariat d'image, dans le système de contrôle, la subdivision juridique structurale (à la formation et le compte des accords avec les sujets des données personnelles). De plus le document (instruction d'une charge) intérieur doit établir la responsabilité personnelle des travailleurs de ces directions pour la sécurité compétente des données personnelles.
Procéder à la sécurité technique on peut après la tenue catégorisation des données personnelles, les définitions de leur volume et les particularités des processus de fabrication de leur traitement (la transmission DP dans le cadre du processus de fabrication entre territorialement subdivisions isolées de la compagnie, l'accès multi-utilisateur aux données personnelles, de divers droits d'accès des collaborateurs vers DP). Ces opérations permettront:
- Définir la classe de la sécurité des données personnelles et réaliser la sélection des moyens nécessaires satisfaisant aux exigences au système de la sécurité du système d'information de la classe définie.
- Créer le système de la sécurité des données personnelles.
- Produire la préparation et en cas de nécessité la certification du système de la sécurité des données/attestations personnelles du système d'information des données personnelles.
En vertu du susmentionné le procès lié à la réduction de l'ordre du traitement des données personnelles à la conformité aux exigences de la législation, on peut conditionnement casser aux étapes suivantes:
- L'inventaire du CI travaillant DP
- L'estimation de la légitimité du traitement DP et la présence de l'accord des sujets sur le traitement
- Le contrôle et l'ajustement des relations contractuelles avec les sujets
- Les formations de la nomenclature DP et la tenue catégorisation
- La définition des délais et les conditions de la cessation du traitement DP
- La démarcation de l'accès des utilisateurs vers DP à catégorisation
- La formation des documents réglementant le travail avec DP
- La formation du modèle des menaces contenant les menaces actuelles de la sécurité d'information aux données personnelles à leur traitement dans le système d'information
- La classification système
- À, à la nécessité défini à #152-FZ, diriger l'avis du traitement DP à l'organisme autorisé de la sécurité des droits des sujets des données personnelles
- La réduction du système de la sécurité DP à la conformité aux exigences des régulateurs
- À la nécessité définie par les documents méthodiques Fédérale de contrôle technique et de l'Exportation de la Russie et le FSB de la Russie recevoir les licences nécessaires
- L'attestation système
- L'exploitation du CI la surveillance, la révélation et la réaction sur les incidents

4. Le modèle des menaces et la classification système

En vertu de l'ordre de la Russie, le FSB de la Russie et le Ministère de l'information et de la communication de la Russie du 13 février 2008 # 55/86/20 Sur l'approbation de la Procédure de la classification des systèmes d'information des données personnelles l'opérateur des données personnelles doit réaliser la classification systèmeindépendamment.

De plus le modèle des menaces est créé, en vertu des documents méthodiques Fédérale de contrôle technique et de l'Exportation de la Russie et le FSB de la Russie, ainsi que les menaces actuelles de la sécurité aux données personnelles à leur traitement à système.

Les documents méthodiques définissant le modèle des menaces:
- Le modèle de base des menaces de la sécurité des données personnelles à leur traitement dans les systèmes d'information des données personnelles. Fédérale de contrôle technique et de l'Exportation de la Russie, 14/02/2008
- La méthode de la définition des menaces actuelles de la sécurité des données personnelles à leur traitement dans les systèmes d'information des données personnelles. Fédérale de contrôle technique et de l'Exportation de la Russie, 14/02/2008
- Les recommandations méthodiques sur le support avec l'aide les sécurités des données personnelles à leur traitement dans les systèmes d'information des données personnelles avec l'utilisation des moyens de l'automatisation. Le FSB de la Russie, 21/02/2008, # 149/5-144

Il est nécessaire de prendre en considération qu'en cas de la garantie de sécurité des données personnelles sans utilisation à la formation du modèle des menaces on utilise les documents méthodiques Fédérale de contrôle technique et de l'Exportation de la Russie.

En cas de la définition l'opérateur de la nécessité de la garantie de sécurité des données personnelles avec l'utilisation à la formation du modèle des menaces utilise les documents méthodiques Fédérale de contrôle technique et de l'Exportation de la Russie et le FSB de la Russie. De plus le FSB de la Russie les menaces du même type sort de deux Russies se trouvant dans les documents Fédérale de contrôle technique et de l'Exportation et plus dangereux.

En coordination avec Fédérale de contrôle technique et de l'Exportation de la Russie et le FSB de la Russie est admis la formation du modèle des menaces seulement en vertu des documents méthodiques du FSB de la Russie.

À la garantie de sécurité des données personnelles au traitement dans les systèmes d'information portés vers la compétence du FSB de la Russie, le modèle des menaces sont formés seulement en vertu des documents méthodiques du FSB de la Russie.

5. Les exigences à l'attestation système

Les impératifs de sécurité totaux système sont définis. L'opérateur au traitement des données personnelles est engagé à prendre les mesures nécessaires d'organisation et techniques, y compris utiliser les chiffrement moyens (cryptographiques) pour la sécurité des données personnelles contre l'accès illégal ou accidentel vers eux, les annulations, les changements, les blocages, les copiages, la distribution et des autres faits illicites. Les mécanismes protecteurs sont précisés à un fort degré dans l'arrêté du Gouvernement de 2007 # 781. Mais les exigences concrètes selon les neutralisations des menaces révélées de la sécurité et les exigences concrètes fonctionnelles aux mécanismes protecteurs sont définies après la classification du système et la mise à jour du modèle des menaces en vertu des documents méthodiques Fédérale de contrôle technique et de l'Exportation de la Russie et le FSB de la Russie.

6. Quel conséquences, si de rien ne pas faire peuvent être

Il est nécessaire de sélectionner que la législation établit la responsabilité pénale pour la violation de l'inviolabilité de la vie privée, pour la violation de correspondance, les négociations téléphoniques, les autres messages postaux, télégraphiques. En outre la législation civile prévoit la sécurité des biens non patrimoniaux des citoyens coupant, en particulier, l'inviolabilité de la vie privée, le secret personnel et familial, la réputation d'affaires. S'établit la compensation du dommage moral, la possibilité de l'exigence de la cour de l'indemnisation et le démenti, l'honneur dénigrant, la dignité et la réputation d'affaires du citoyen des informations.

Il faut aussi prendre en considération que l'utilisation des systèmes non certifiés d'information, les bases et les banques de données, les moyens de défense non certifiés de l'information, s'ils sont passibles de la certification obligatoire, entraîne leur confiscation.

Mais la violation des règles de la sécurité de l'information et le refus de l'octroi au citoyen de l'information peut amener à la suspension administrative de l'activité de l'organisation pour jusqu'à 90 jours.

La divulgation de l'information, l'accès vers qui est limité par la loi Fédérale et en particulier, des données personnelles, (à l'exception des cas, si la divulgation d'une telle information entraîne la responsabilité pénale), la personne, qui avait vers elle l'accès selon les devoirs de service ou professionnels est châtié par l'amende administrative jusqu'à dix mille roubles.


Les sources:
1. La rainure de J.Osnovnye de la menace de la sécurité d'information//Intelligent enterprise, #9 (203), 2009 [http://www.iemag.ru/analitics/detail.php?ID=18904]
2. Les recommandations de SoDiT aux It-directeurs de la Russie de la sécurité des données personnelles//Intelligent enterprise, #9 (203), 2009 [http://www.iemag.ru/analitics/detail.php?ID=18921]

La date: 22/07/2009

Les commentaires des spécialistes de :
Non

© –  info@chepr.ru, 2007-2013
DRA.RU - ;  «»
| ||
 / |