О защите персональных данных программного комплекса <АиТ:\Управление персоналом>

О защите персональных данных программного комплекса «АиТ:\Управление персоналом»


Осталось совсем мало времени…
В соответствии с требованием Федерального закона №363-ФЗ от 27 декабря 2009 года «О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных"

Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.

В современную эпоху развития информационных технологий подавляющее большинство государственных органов и компаний, занятых в бизнесе, имеют информационные системы персональных данных (ИСПДн).

Федеральный закон №152-ФЗ 27 июля 2006 года «О персональных данных» для всех без исключения предприятий и компаний, независимо от форм собственности и отраслевой принадлежности. Трудно себе представить организацию, не связанную так или иначе с обработкой персональных данных, а следовательно и обязанную обеспечивать их защиту.

Требования Закона о персональных данных

Напомню, обязанности по обеспечению безопасности персональных данных в информационных системах лежит на операторе персональных данных. На это прямо указывает ст.10 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (далее – Положение), утвержденного Постановлением Правительства Российской Федерации №781 от 17 ноября 2007 г.:

10. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо).

Конкретные пояснения в области законодательства и практические указания по организации защиты, применимые в организациях и на предприятиях, дают отраслевые нормативные акты. В своей работе по проведению мероприятий по защите персональных данных ориентироваться нужно в том числе и на них.

Как образец, хорошим примером является Письмо Федерального Агентства по образованию Министерства образования и науки Российской Федерации N 17-110 от 29 июля 2009 г. «ОБ ОБЕСПЕЧЕНИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ».

Частые вопросы
Перед окончанием срока, отведенного Законом на приведение оператором персональных данных своих информационных систем в соответствие с его требованиями, все чаще получаем от пользователей вопросы, связанные с организацией защиты программном комплексе «АиТ:\Управление персоналом».

Нам, как компании-разработчику прикладного программного обеспечения, напрямую связанного с обработкой персональных данных, это особенно важно и накладывает на нас особые обязательства перед нашими клиентами, учитывая, что наш программный комплекс «АиТ:\Управление персоналом» своего назначения является ключевым звеном в информационной системе персональных данных на предприятиях.

Понимая всю озабоченность вопросом надежной защиты персональных данных, мы прилагаем все усилия, чтобы помочь нашим пользователям быть во всеоружии.

Итак, попробуем разобраться в существе вопроса.

Что и как защищать?
Цель данной статьи – выяснить, как вписывается программный комплекс «АиТ:\Управление персоналом» в структуру общей информационной системы, и какими средствами для защиты информации он обладает?

Вышеуказанное Положение .1 «…устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).

Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное Приказом ФСТЭК от 5 февраля 2010 г. N 58 и способы защиты информации, которые сводятся к защите информации от несанкционированного доступа и защите информации от утечки по техническим каналам.

Остановимся на некоторых методах и способах защиты информации от несанкционированного доступа, - той задаче, которую может решить или значительно облегчить оператору ее решение программный комплекс «АиТ:\Управление персоналом» в силу своей специфики.

С другой стороны, очевидно - программный комплекс не может обеспечивать защиту информации по техническим каналам в силу своего предназначения, - такая защита должна быть реализована в комплексе организационно-технических мероприятий, начиная с реализации разрешительной системы допуска пользователей к информационным ресурсам, заканчивая физической охраной информационной системы, и с использованием специальных средств защиты, для этого предназначенных.

1.4. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 г.).

Модель угроз разрабатывается на основе методических документов в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781.

Создание системы защиты для нейтрализации предполагаемых угроз безопасности персональных данных предполагает использование средств защиты информации, адекватных действию этих угроз.

Первое, с чего нужно начинать мероприятия по созданию системы защиты – провести классификацию своей информационной системы, результатом которой является определение её класса.

Большинство информационных систем, в которых используется программный комплекс «АиТ:\Управление персоналом», статистика, относятся к классу К3, реже – К2.

Для информационных систем классов К2 и К3 при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей определены следующие основные методы и способы (Приложение к Положению о методах и способах защиты информации в информационных системах персональных данных – «МЕТОДЫ И СПОСОБЫ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В ЗАВИСИМОСТИ ОТ КЛАССА ИНФОРМАЦИОННОЙ СИСТЕМЫ»):

а) управление доступом:

идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длинной не менее шести буквенно-цифровых символов;
регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа;
….
Защита персональных данных от несанкционированного доступа в программном комплексе АиТ:\Управление персоналом»
Напомним некоторые основные характеристики функционала «АиТ:\Управление персоналом»:

Клиент-серверная архитектура с использованием Microsoft SQL Server в качестве СУБД;
Возможность многопользовательского режима работы;
Модульное построение клиентской части программного комплекса «АиТ:\Управление персоналом»;
Функционал версии ПРОФ и Холдинг предусматривает возможность регистрации входа и выхода в БД и журналирования действий пользователей;
Все учетные данные и параметры настроек комплекса (в т.ч. параметры авторизации и прав доступа) хранятся в базе данных.
В версии ПРОФ программного комплекса «АиТ:\Управление персоналом» реализована возможность разграничения доступа к различным видам персональных данных, используя как внутренние средства, так и средства используемой СУБД, ведения аудита работы пользователей и фиксации любых попыток несанкционированного доступа (НСД) к данным.

Программный комплекс поддерживает четыре уровня доступа к данным (создание, изменение записи, чтение записи, запрет доступа).

Уровни доступа для конкретного пользователя могут отличаться в зависимости от вида персональных данных (паспортные данные, состав семьи, отпуска, имущественные вычеты, график работы, архив результатов расчета заработной платы и т.п.) и структурного подразделения. Например, расчетчик по заработной плате может видеть только результаты расчета заработной платы и кадровую информацию только по тем структурным подразделениям, за расчет зарплаты в которых он отвечает.

Кроме того, реализована возможность типизации ролей пользователей, позволяющая упростить настройку комплекса на предприятиях с большим количеством пользователей и широким спектром выполняемых функциональных обязанностей. Управление доступом к данным производится в модуле «АиТ:\Конфигурация» администратором комплекса. При этом доступ к персональным данным сотрудников у администратора не предполагается.

Все данные хранятся в СУБД, являющейся ядром программного комплекса, все операции по обработке данных возложены на серверную часть, а клиентская часть является лишь интерфейсом для их визуализации и иных операций (ввода-вывода).

Эту сущность надо учитывать при построении модели угроз, в которой клиентская и серверная часть будут фигурировать как специальная прикладная программа для ввода информации в ИСПДн.

Соответственно выбор методов и способов для реализации защиты СУБД и прикладного программного обеспечения «АиТ:\Управление персоналом» различаются, равно как и средства, реализующие эти методы.

СУБД MS SQL Server содержит встроенные средства защиты от несанкционированного доступа, реализующие методы идентификации и аутентификации доступа и регистрации входа-выхода пользователя в систему с функцией учета параметров регистрации.

MS SQL Server версий 2000 SE/EE, 2005 SE/EE, 2008 SE/EE 64x являются сертифицированными продуктами по требованиям безопасности информации до уровня класса 1Г автоматизированных систем и могут использоваться для защиты информации в ИСПДн до 3 класса включительно.

Но это не означает, конечно, что Вам не придется больше использовать другие средства защиты для ИСПДн, которая включает в себя и другое программное обеспечение, и технические средства.

Нуждается ли в защите сам программный продукт «АиТ:\Управление персоналом», как объект информационной системы?

Да, и эта необходимость определяется после построения модели угроз для информационной системы. Например, от заражения вредоносными программами, от возможности нарушения его целостности и т.п. И средства защиты для него должны подбираться на основании принципа необходимости и достаточности для нейтрализации предполагаемых угроз.

Очень важное требование для средств защиты информации устанавливает п.5 вышеуказанного Положения

5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия (т.е. сертификации).

Перечень сертифицированных средств приведен в ГОСУДАРСТВЕННОМ РЕЕСТРЕ сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 ГОСУДАРСТВЕННОМ РЕЕСТРЕ сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 ФСТЭК

Выводы
Резюмируя кратко вышесказанное, подводим итог:

Версия ПРОФ программного комплекса «АиТ:\Управление персоналом» позволяет полностью выполнять требования закона № 152-ФЗ «О персональных данных» и связанных с ним нормативно-правовых актов по защите информации от несанкционированного доступа, накладываемым непосредственно на информационную систему обработки персональных данных.
Для обеспечения эффективной защиты персональных данных программного комплекса «АиТ:\Управление персоналом» мы настоятельно рекомендуем организациям, использующим Базовую версию, произвести обновление на версию ПРОФ, которая в отличие от Базовой позволяет осуществлять тонкую настройку прав доступа как в саму систему, так и к различным блокам информации в ней, а также вести учет параметров входа-выхода в систему и учет действий пользователей в ней.
Процедура обновления очень проста, не требует практически никаких временных затрат и никак не влияет на работу пользователей программного комплекса.

Для перехода на версию ПРОФ необходимо оплатить лишь разницу стоимости между версиями в соответствии с действующим прайсом компании АиТ ® Софт.

Компания АиТ® Cофт помощь в реализации специальных технологических решений по защите персональных данных по требованиям заказчиков, а также в разработке комплекта необходимой внутренней документации.

А.Боровик

Компания АиТ® Софт

14.12.10