Войти / Зарегистрироваться

О защите персональных данных программного комплекса «АиТ:Управление персоналом»

Александр Боровик

Компания АиТ® Софт

17.12.10


Совсем недавно Госдума рассмотрела и приняла в первом чтении проект закона о внесении изменений в федеральный закон № 152 «О персональных данных», конкретно - статью 25, в которой указаны сроки вступления в силу положений закона - снова на год, до 1 января 2011 года. Но вполне возможно, и этот срок не останется без изменений, а будет перенесен значительно раньше - на 1 июля 2011 года. Как бы ни было, опять надеяться на «авось» не советую - рано или поздно требования Закона вступят в силу, и к любым трудностям лучше готовиться заранее.


Откладывать дальше некуда. Пора

Напомню, в соответствии с требованием Федерального закона №363-ФЗ от 27 декабря 2009 года «О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных":

Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.

В современную эпоху развития информационных технологий подавляющее большинство государственных органов и компаний, занятых в бизнесе, имеют информационные системы персональных данных (ИСПДн).

Федеральный закон №152-ФЗ 27 июля 2006 года «О персональных данных» является актуальным для всех без исключения предприятий и компаний, независимо от форм собственности и отраслевой принадлежности. Трудно себе представить организацию, не связанную так или иначе с обработкой персональных данных, а следовательно и обязанную обеспечивать их защиту.


Требования Закона о персональных данных

Напомню, обязанности по обеспечению безопасности персональных данных в информационных системах лежит на операторе персональных данных. На это прямо указывает ст.10 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (далее - Положение), утвержденного Постановлением Правительства Российской Федерации №781 от 17 ноября 2007 г.:

10. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо).

Конкретные пояснения в области законодательства и практические указания по организации защиты, применимые в организациях  и на предприятиях, дают отраслевые нормативные акты. В своей работе по проведению мероприятий по защите персональных данных ориентироваться нужно в том числе и на них.

Как образец, хорошим примером является Письмо Федерального Агентства по  образованию Министерства образования и науки Российской Федерации N 17-110 от 29 июля 2009 г. «ОБ ОБЕСПЕЧЕНИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ».


Частые вопросы

Перед окончанием срока, отведенного Законом на приведение оператором персональных данных своих информационных систем в соответствие с его требованиями, мы все чаще получаем от пользователей вопросы, связанные с организацией защиты программном комплексе «АиТ:Управление персоналом».

Нам, как компании-разработчику прикладного программного обеспечения, напрямую связанного с обработкой персональных данных, это особенно важно и накладывает на нас особые обязательства перед нашими клиентами, учитывая, что наш программный комплекс «АиТ:Управление персоналом» в силу своего назначения является ключевым звеном в информационной системе персональных данных на предприятиях.

Понимая всю озабоченность вопросом надежной защиты персональных данных, мы прилагаем все усилия, чтобы помочь нашим пользователям быть во всеоружии.

Итак, попробуем разобраться в существе вопроса.


Что и как защищать?

Цель данной статьи - выяснить, как вписывается программный комплекс «АиТ:Управление персоналом» в структуру общей информационной системы, и какими средствами для защиты информации он обладает?

Вышеуказанное Положение в п.1 «...устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).

Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное Приказом ФСТЭК от 5 февраля 2010 г. N 58 устанавливает методы и способы защиты информации, которые сводятся к защите информации от несанкционированного доступа и защите информации от утечки по техническим каналам.

Остановимся на некоторых методах и способах защиты информации от несанкционированного доступа, - той задаче, которую может решить или значительно облегчить оператору ее решение программный комплекс «АиТ:Управление персоналом» в силу своей специфики.

С другой стороны, очевидно - программный комплекс не может обеспечивать защиту информации по техническим каналам в силу своего предназначения, - такая защита должна быть реализована в комплексе организационно-технических мероприятий, начиная с реализации разрешительной системы допуска пользователей к информационным ресурсам, заканчивая физической охраной информационной системы, и с использованием специальных средств защиты, для этого предназначенных.

1.4. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 г.).

Модель угроз разрабатывается на основе методических документов, утвержденных в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781.

Создание системы защиты для нейтрализации предполагаемых угроз безопасности персональных данных предполагает использование средств защиты информации, адекватных действию этих угроз.

Первое, с чего нужно начинать мероприятия по созданию системы защиты - провести классификацию своей информационной системы, результатом которой является определение её класса.

Большинство информационных систем, в которых используется программный комплекс «АиТ:Управление персоналом», как показывает статистика, относятся к классу К3, реже - К2.

Для информационных систем классов К2 и К3 при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей определены следующие основные методы и способы (Приложение к Положению о методах и способах защиты информации в информационных системах персональных данных - «МЕТОДЫ И СПОСОБЫ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В ЗАВИСИМОСТИ ОТ КЛАССА ИНФОРМАЦИОННОЙ СИСТЕМЫ»):

а) управление доступом:

- идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длинной не менее шести буквенно-цифровых символов;

б) регистрация и учет:

- регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа;

- ....


Защита персональных данных от несанкционированного доступа в программном комплексе «АиТ:Управление персоналом»

Напомним некоторые основные характеристики функционала программного комплекса «АиТ:Управление персоналом»:

  • Клиент-серверная архитектура с использованием Microsoft SQL Server в качестве СУБД;
  • Возможность многопользовательского режима работы;
  • Модульное построение клиентской части программного комплекса «АиТ:Управление персоналом»;
  • Функционал версии ПРОФ и Холдинг предусматривает возможность регистрации входа и выхода в БД и журналирования действий пользователей;
  • Все учетные данные и параметры настроек комплекса (в т.ч. параметры авторизации и прав доступа) хранятся в базе данных.

В версии ПРОФ программного комплекса «АиТ:Управление персоналом» реализована возможность разграничения доступа к различным видам персональных данных с применением как внутренних средств, так и средств, используемой СУБД, ведения аудита работы пользователей и фиксации любых попыток несанкционированного доступа (НСД) к данным.

Программный комплекс поддерживает четыре уровня доступа к данным (создание, изменение записи, чтение записи, запрет доступа).

Уровни доступа для конкретного пользователя могут отличаться в зависимости от вида персональных данных (паспортные данные, состав семьи, отпуска, имущественные вычеты, график работы, архив результатов расчета заработной платы и т.п.) и структурного подразделения. Например, расчетчик  по заработной плате может видеть только результаты расчета заработной платы и кадровую информацию только по тем структурным подразделениям, за расчет зарплаты в которых он отвечает.

Кроме того, реализована возможность типизации ролей пользователей, позволяющая упростить настройку комплекса на предприятиях с большим количеством пользователей и широким спектром выполняемых функциональных обязанностей. Управление доступом к данным производится в модуле «АиТ:Конфигурация» администратором комплекса. При этом доступ к персональным данным сотрудников у администратора не предполагается.

Все данные хранятся в СУБД, являющейся ядром программного комплекса, все операции по обработке данных возложены на серверную часть, а клиентская часть является лишь интерфейсом для их визуализации и иных операций (ввода-вывода).

Эту сущность надо учитывать при построении модели угроз, в которой клиентская и серверная часть  будут фигурировать как специальная прикладная программа для ввода информации в ИСПДн.

Соответственно выбор методов и способов для реализации защиты СУБД и прикладного программного обеспечения «АиТ:Управление персоналом» различаются, равно как и средства, реализующие эти методы.

СУБД MS SQL Server содержит встроенные средства защиты от несанкционированного доступа, реализующие методы идентификации и аутентификации доступа и регистрации входа-выхода пользователя в систему с функцией учета параметров регистрации.

MS SQL Server версий 2000 SE/EE, 2005 SE/EE, 2008 SE/EE 64x являются сертифицированными продуктами по требованиям безопасности информации до уровня класса 1Г автоматизированных систем и могут использоваться для защиты информации в ИСПДн до 3 класса включительно.

Но это не означает, конечно, что Вам не придется больше использовать другие средства защиты для ИСПДн, которая включает в себя и другое программное обеспечение, и технические средства.

Нуждается ли в защите сам программный продукт «АиТ:Управление персоналом», как объект информационной системы?

Да, и эта необходимость определяется после построения модели угроз для информационной системы. Например, от заражения вредоносными программами, от возможности нарушения его целостности и т.п. И средства защиты для него должны подбираться на основании принципа необходимости и достаточности для нейтрализации предполагаемых угроз.

Очень важное требование для средств защиты информации устанавливает п.5 вышеуказанного Положения:

5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия (т.е. сертификации).

Перечень сертифицированных средств  приведен в ГОСУДАРСТВЕННОМ  РЕЕСТРЕ сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 на сайте ФСТЭК России.


Выводы

Резюмируя кратко вышесказанное, подводим итог:

Функционал версии ПРОФ программного комплекса «АиТ:Управление персоналом» позволяет полностью выполнять требования закона № 152-ФЗ «О персональных данных» и связанных с ним нормативно-правовых актов по защите информации от несанкционированного доступа, накладываемым непосредственно на информационную систему обработки персональных данных.



Акимов Владимир Викторович
Тэги: Защита персональных данных



 Голосов: 0



Для добавления отзыва необходимо зарегистрироваться или авторизоваться

Авторы раздела


Облако тэгов
kpi мотивация 1С:ВДГБ банки управление семинар выберу.ру рейтинг финансы вебинар kpi-управление мотивация персонала управление персоналом продажи маркетинг брендинг нейминг управление по целям vbr.ru автоматизация брендинговое агентство конференция bsc ССП crm целевое управление эффективность брендинг агентство предприятие нейминг агентство нейминговое агентство обучение бизнес пиар агентство тренинг пиар создание бренда incosol разработка бренда оценка персонала название нейминг стоимость брендинга брендинговое агентство москва лучшее брендинговое агентство России название нейминг торговой марки торговая марка нейминг фирмы неймер брендинг цена kpi-менеджмент оплата труда менеджмент ТОиР Литягин mbo грейды стоимость бизнес-процессы
Каталог@Mail.ru - каталог ресурсов интернет Rambler's Top100
О САЙТЕ
НОВОСТИ
ОСНОВНЫЕ РАЗДЕЛЫ
ПРИСОЕДИНЯЙТЕСЬ

© 2009-2014. При поддержке компании KPI Lab. Права на все изображения и материалы, представленные на портале, принадлежат их владельцам.
При использовании материалов с портала активная ссылка на www.kpilib.ru обязательна.
Пожалуйста, ознакомьтесь с Условиями использования сайта.
Для связи с администрацией используйте форму контакта.
Карта сайта