О защите персональных данных программного комплекса «АиТ:\Управление персоналом»

Совсем недавно Госдума рассмотрела и приняла в первом чтении проект закона о внесении изменений в федеральный закон № 152 «О персональных данных», конкретно - статью 25, в которой указаны сроки вступления в силу положений закона – снова на год, до 1 января 2011 года. Но вполне возможно, и этот срок не останется без изменений, а будет перенесен значительно раньше – на 1 июля 2011 года. Как бы ни было, опять надеяться на «авось» не советую - рано или поздно требования Закона вступят в силу, и к любым трудностям лучше готовиться заранее.

Откладывать дальше некуда. Пора

Напомню, в соответствии с требованием Федерального закона №363-ФЗ от 27 декабря 2009 года «О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных" :

Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.

В современную эпоху развития информационных технологий подавляющее большинство государственных органов и компаний, занятых в бизнесе, имеют информационные системы персональных данных (ИСПДн).

Федеральный закон №152-ФЗ 27 июля 2006 года «О персональных данных»является актуальным для всех без исключения предприятий и компаний, независимо от форм собственности и отраслевой принадлежности. Трудно себе представить организацию, не связанную так или иначе с обработкой персональных данных, а следовательно и обязанную обеспечивать их защиту.

Требования Закона о персональных данных

Напомню, обязанности по обеспечению безопасности персональных данных в информационных системах лежит на операторе персональных данных. На это прямо указывает ст.10 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (далее – Положение),утвержденногоПостановлением Правительства Российской Федерации №781 от 17 ноября 2007 г.:

10. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо).

Конкретные пояснения в области законодательства и практические указания по организации защиты, применимые в организациях  и на предприятиях, дают отраслевые нормативные акты. В своей работе по проведению мероприятий по защите персональных данных ориентироваться нужно в том числе и на них.

Как образец, хорошим примером является Письмо Федерального Агентства по  образованию Министерства образования и науки Российской Федерации N 17-110 от 29 июля 2009 г. «ОБ ОБЕСПЕЧЕНИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ».

Частые вопросы

Перед окончанием срока, отведенного Законом на приведение оператором персональных данных своих информационных систем в соответствие с его требованиями, мы все чаще получаем от пользователей вопросы, связанные с организацией защиты программном комплексе «АиТ:\Управление персоналом».

Нам, как компании-разработчику прикладного программного обеспечения, напрямую связанного с обработкой персональных данных, это особенно важно и накладывает на нас особые обязательства перед нашими клиентами, учитывая, что наш программный комплекс «АиТ:\Управление персоналом» в силу своего назначения является ключевым звеном в информационной системе персональных данных на предприятиях.

Понимая всю озабоченность вопросом надежной защиты персональных данных, мы прилагаем все усилия, чтобы помочь нашим пользователям быть во всеоружии.

Итак, попробуем разобраться в существе вопроса.

Что и как защищать?

Цель данной статьи – выяснить, как вписывается программный комплекс «АиТ:\Управление персоналом» в структуру общей информационной системы, и какими средствами для защиты информации он обладает?

Вышеуказанное Положение в п.1 «…устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).

Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное Приказом ФСТЭК от 5 февраля 2010 г. N 58 устанавливает методы и способы защиты информации, которые сводятся к защите информации от несанкционированного доступа и защите информации от утечки по техническим каналам.

Остановимся на некоторых методах и способах защиты информации от несанкционированного доступа, - той задаче, которую может решить или значительно облегчить оператору ее решение программный комплекс «АиТ:\Управление персоналом» в силу своей специфики.

С другой стороны, очевидно - программный комплекс не может обеспечивать защиту информации по техническим каналам в силу своего предназначения, - такая защита должна быть реализована в комплексе организационно-технических мероприятий, начиная с реализации разрешительной системы допуска пользователей к информационным ресурсам, заканчивая физической охраной информационной системы, и с использованием специальных средств защиты, для этого предназначенных.

1.4. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 г.).

Модель угрозразрабатывается на основе методических документов, утвержденных в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781.

Создание системы защиты для нейтрализации предполагаемых угроз безопасности персональных данных предполагает использование средств защиты информации, адекватных действию этих угроз.

Первое, с чего нужно начинать мероприятия по созданию системы защиты – провести классификацию своей информационной системы, результатом которой является определение её класса.

Большинство информационных систем, в которых используется программный комплекс «АиТ:\Управление персоналом», как показывает статистика, относятся к классу К3, реже – К2.

Дляинформационных систем классов К2 и К3 при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей определены следующие основные методы и способы (Приложение к Положению о методах и способах защиты информации в информационных системах персональных данных – «МЕТОДЫ И СПОСОБЫ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В ЗАВИСИМОСТИ ОТ КЛАССА ИНФОРМАЦИОННОЙ СИСТЕМЫ»):

а) управление доступом:

-          идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длинной не менее шести буквенно-цифровых символов;

б) регистрация и учет:

-          регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа;

-          ….

Защита персональных данных от несанкционированного доступа в программном комплексе «АиТ:\Управление персоналом»

Напомним некоторые основные характеристики функционала программного комплекса «АиТ:\Управление персоналом»:

·               Клиент-серверная архитектура с использованием MicrosoftSQLServerв качестве СУБД;

·               Возможность многопользовательского режима работы;

·               Модульное построение клиентской части программного комплекса «АиТ:\Управление персоналом»;

·               Функционал версии ПРОФ и Холдинг предусматривает возможность регистрации входа и выхода в БД и журналирования действий пользователей;

·               Все учетные данные и параметры настроек комплекса (в т.ч. параметры авторизации и прав доступа) хранятся в базе данных.

В версии ПРОФ программного комплекса «АиТ:\Управление персоналом» реализована возможность разграничения доступа к различным видам персональных данных с применением как внутренних средств, так и средств, используемой СУБД, ведения аудита работы пользователей и фиксации любых попыток несанкционированного доступа (НСД) к данным.

Программный комплекс поддерживает четыре уровня доступа к данным (создание, изменение записи, чтение записи, запрет доступа).

Уровни доступадля конкретного пользователя могут отличаться в зависимости от вида персональных данных (паспортные данные, состав семьи, отпуска, имущественные вычеты, график работы, архив результатов расчета заработной платы и т.п.) и структурного подразделения. Например, расчетчик  по заработной плате может видеть только результаты расчета заработной платы и кадровую информацию только по тем структурным подразделениям, за расчет зарплаты в которых он отвечает.

Кроме того, реализована возможность типизации ролей пользователей, позволяющая упростить настройку комплекса на предприятиях с большим количеством пользователей и широким спектром выполняемых функциональных обязанностей. Управление доступом к данным производится в модуле «АиТ:\Конфигурация» администратором комплекса. При этом доступ к персональным данным сотрудников у администратора не предполагается.

Все данные хранятся в СУБД, являющейся ядром программного комплекса, все операции по обработке данных возложены на серверную часть, а клиентская часть является лишь интерфейсом для их визуализации и иных операций (ввода-вывода).

Эту сущность надо учитывать при построении модели угроз, в которой клиентская и серверная часть  будут фигурировать как специальная прикладная программа для ввода информации в ИСПДн.

Соответственно выбор методов и способов для реализации защиты СУБД и прикладного программного обеспечения «АиТ:\Управление персоналом» различаются, равно как и средства, реализующие эти методы.

СУБД MSSQLServerсодержит встроенные средства защиты от несанкционированного доступа, реализующие методы идентификации и аутентификации доступа и регистрации входа-выхода пользователя в систему с функцией учета параметров регистрации.

MSSQLServerверсий 2000 SE/EE, 2005 SE/EE, 2008 SE/EE64xявляются сертифицированными продуктами по требованиям безопасности информации до уровня класса 1Г автоматизированных систем и могут использоваться для защиты информации в ИСПДн до 3 класса включительно.

Но это не означает, конечно, что Вам не придется больше использовать другие средства защиты для ИСПДн, которая включает в себя и другое программное обеспечение, и технические средства.

Нуждается ли в защите сам программный продукт «АиТ:\Управление персоналом», как объект информационной системы?

Да, и эта необходимость определяется после построения модели угроз для информационной системы. Например, от заражения вредоносными программами, от возможности нарушения его целостности и т.п. И средства защиты для него должны подбираться на основании принципа необходимости и достаточности для нейтрализации предполагаемых угроз.

Очень важное требование для средств защиты информации устанавливает п.5 вышеуказанного Положения:

5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия (т.е. сертификации).

Перечень сертифицированных средств  приведен в ГОСУДАРСТВЕННОМ  РЕЕСТРЕ сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 на сайте ФСТЭК России.

Выводы

Резюмируя кратко вышесказанное, подводим итог:

Функционал версии ПРОФ программного комплекса «АиТ:\Управление персоналом» позволяет полностью выполнять требования закона № 152-ФЗ «О персональных данных» и связанных с ним нормативно-правовых актов по защите информации от несанкционированного доступа, накладываемым непосредственно на информационную систему обработки персональных данных.

Александр Боровик
АиТ® Софт