Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Защита персональных данных с использованием криптографии

Защита персональных данных с использованием криптографии

В рубрику "Криптография" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Защита персональных данных с использованием криптографии

Виктор Малочинский,
заместитель генерального директора ЗАО "МО ПНИЭИ"

После принятия Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и определения ФСТЭК и ФСБ России требований, в соответствии с которыми необходимо защищать персональные данные, особую актуальность приобрела задача выбора средств их защиты, отвечающих этим требованиям.

Руководящими документами ФСТЭК России определено, что мероприятия по защите персональных данных реализуются в рамках следующих подсистем:
  • управление доступом;
  • регистрация и учет;
  • обеспечение целостности;
  • криптографическая защита;
  • антивирусная защита;
  • обнаружение вторжений.

СКЗИ "Верба-OW", "Верба-сертификат MB"

В этих целях для создания одной из подсистем — подсистемы криптографической защиты — ЗАО "МО ПНИЭИ" предлагает ряд комплексов, базирующихся на сертифицированных криптосредствах "Верба-OW" и системе управления ключами "Верба-сертификат MB".

Для реализации функции защищенной электронной обработки персональных данных и обмена конфиденциальной юридически значимой информацией могут использоваться:
  • функционально законченный комплекс клиент-серверной технологии "Верба СТЭК-Траст";
  • комплекс, построенный на базе автономного рабочего места "Верба-файл", обеспечивающий обмен защищенной информацией с использованием любого почтового сервиса и типовых почтовых приложений;
  • комплекс, построенный на базе абонентского пункта "УАП-VPKI" (собственное почтовое приложение с большими возможностями для автоматизации процессов обмена);
  • комплекс для защиты портальных  решений,   построенный на базе ПО "Корвет".
Кроме того, для повышения автоматизации процессов обработки электронных документов возможно встраивание с использованием инструмента-риев разработчика криптографических библиотек "Верба-OW" и АРМ "Верба-сертификат MB Клиент" непосредственно в уже готовый документооборот.

Внедрение криптосредств для защиты персональных данных

Следует отметить, что использование криптографии при защите персональных данных возможно только после проведения сертификации комплексов или оценки корректности встраивания криптографических функций в комплексы в соответствии с техническими заданиями, согласованными с ФСБ России. В настоящее время с комплексами "Верба СТЭК-Траст" и "Верба-файл" такие работы проведены. С комплексами "УАП-VPKI" и "Корвет" эти работы будут завершены в ближайшее время.

Приводимая ниже последовательность работ позволяет в короткие сроки обеспечить внедрение криптосредств для защиты персональных данных без остановки основного технологического процесса обработки информации.

На первом этапе осуществляется поставка согласованного количества клиентских мест и инсталляция их на рабочих местах выделенного фрагмента документооборота, а также обучение сотрудников правилам пользования крип-тосредствами. На этом этапе задействуется серверное ПО, развернутое на технических средствах ЗАО "МО ПНИЭИ".

На втором этапе идет разворачивание серверных частей комплексов в службах заказчика и проведение опытной эксплуатации пилотного района с использованием регламентов, разработанных ЗАО "МО ПНИЭИ".

На третьем этапе идет полномасштабное развертывание технологии: дооснащение системы клиентскими АРМ до полного развертывания, обучение сотрудников, доработка регламентов под конкретные условия, ввод системы в эксплуатацию, разработка требований по автоматизации использования средств защиты в электронном документообороте (ЭДО).

Четвертый этап представляет собой автоматизацию использования средств защиты в ЭДО (при необходимости). На этом этапе разрабатывается и согласовывается с ФСБ России ТЗ на сопряжение ЭДО со средствами защиты и проводятся работы в соответствии с ТЗ по оценке встраивания криптосредств.

Работы первого этапа проводятся, как правило, в течение двух месяцев от момента заключения контракта, стоимость определяется в зависимости от выбранного комплекса защиты. Сроки последующих этапов зависят от степени участия заказчика в процессе разворачивания системы и взаимодействия разработчика ЭДО и разработчика криптографии.

Практика

Практика внедрения указанных технологий в системы Почты России, Пенсионного фонда России, банков и других организаций показала целесообразность такого порядка реализации криптографической защиты информации.

Общее описание программных продуктов, предлагаемых ЗАО "МО ПНИЭИ", приведено на сайте компании, консультации можно получить по контактному телефону.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2008

Приобрести этот номер или подписаться

Статьи про теме

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"