Контакты
Подписка
МЕНЮ
Контакты
Подписка

Защита персональных данных с использованием криптографии

Защита персональных данных с использованием криптографии

В рубрику "Криптография" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Защита персональных данных с использованием криптографии

Виктор Малочинский,
заместитель генерального директора ЗАО "МО ПНИЭИ"

После принятия Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и определения ФСТЭК и ФСБ России требований, в соответствии с которыми необходимо защищать персональные данные, особую актуальность приобрела задача выбора средств их защиты, отвечающих этим требованиям.

Руководящими документами ФСТЭК России определено, что мероприятия по защите персональных данных реализуются в рамках следующих подсистем:
  • управление доступом;
  • регистрация и учет;
  • обеспечение целостности;
  • криптографическая защита;
  • антивирусная защита;
  • обнаружение вторжений.

СКЗИ "Верба-OW", "Верба-сертификат MB"

В этих целях для создания одной из подсистем — подсистемы криптографической защиты — ЗАО "МО ПНИЭИ" предлагает ряд комплексов, базирующихся на сертифицированных криптосредствах "Верба-OW" и системе управления ключами "Верба-сертификат MB".

Для реализации функции защищенной электронной обработки персональных данных и обмена конфиденциальной юридически значимой информацией могут использоваться:
  • функционально законченный комплекс клиент-серверной технологии "Верба СТЭК-Траст";
  • комплекс, построенный на базе автономного рабочего места "Верба-файл", обеспечивающий обмен защищенной информацией с использованием любого почтового сервиса и типовых почтовых приложений;
  • комплекс, построенный на базе абонентского пункта "УАП-VPKI" (собственное почтовое приложение с большими возможностями для автоматизации процессов обмена);
  • комплекс для защиты портальных  решений,   построенный на базе ПО "Корвет".
Кроме того, для повышения автоматизации процессов обработки электронных документов возможно встраивание с использованием инструмента-риев разработчика криптографических библиотек "Верба-OW" и АРМ "Верба-сертификат MB Клиент" непосредственно в уже готовый документооборот.

Внедрение криптосредств для защиты персональных данных

Следует отметить, что использование криптографии при защите персональных данных возможно только после проведения сертификации комплексов или оценки корректности встраивания криптографических функций в комплексы в соответствии с техническими заданиями, согласованными с ФСБ России. В настоящее время с комплексами "Верба СТЭК-Траст" и "Верба-файл" такие работы проведены. С комплексами "УАП-VPKI" и "Корвет" эти работы будут завершены в ближайшее время.

Приводимая ниже последовательность работ позволяет в короткие сроки обеспечить внедрение криптосредств для защиты персональных данных без остановки основного технологического процесса обработки информации.

На первом этапе осуществляется поставка согласованного количества клиентских мест и инсталляция их на рабочих местах выделенного фрагмента документооборота, а также обучение сотрудников правилам пользования крип-тосредствами. На этом этапе задействуется серверное ПО, развернутое на технических средствах ЗАО "МО ПНИЭИ".

На втором этапе идет разворачивание серверных частей комплексов в службах заказчика и проведение опытной эксплуатации пилотного района с использованием регламентов, разработанных ЗАО "МО ПНИЭИ".

На третьем этапе идет полномасштабное развертывание технологии: дооснащение системы клиентскими АРМ до полного развертывания, обучение сотрудников, доработка регламентов под конкретные условия, ввод системы в эксплуатацию, разработка требований по автоматизации использования средств защиты в электронном документообороте (ЭДО).

Четвертый этап представляет собой автоматизацию использования средств защиты в ЭДО (при необходимости). На этом этапе разрабатывается и согласовывается с ФСБ России ТЗ на сопряжение ЭДО со средствами защиты и проводятся работы в соответствии с ТЗ по оценке встраивания криптосредств.

Работы первого этапа проводятся, как правило, в течение двух месяцев от момента заключения контракта, стоимость определяется в зависимости от выбранного комплекса защиты. Сроки последующих этапов зависят от степени участия заказчика в процессе разворачивания системы и взаимодействия разработчика ЭДО и разработчика криптографии.

Практика

Практика внедрения указанных технологий в системы Почты России, Пенсионного фонда России, банков и других организаций показала целесообразность такого порядка реализации криптографической защиты информации.

Общее описание программных продуктов, предлагаемых ЗАО "МО ПНИЭИ", приведено на сайте компании, консультации можно получить по контактному телефону.

Статьи про теме