О защите персональных данных программного комплекса «АиТ:\Управление персоналом»
Совсем недавно Госдума рассмотрела и приняла в первом чтении проект закона о внесении изменений в федеральный закон № 152 «О персональных данных», конкретно - статью 25, в которой указаны сроки вступления в силу положений закона – снова на год, до 1 января 2011 года. Но вполне возможно, и этот срок не останется без изменений, а будет перенесен значительно раньше – на 1 июля 2011 года. Как бы ни было, опять надеяться на «авось» не советую - рано или поздно требования Закона вступят в силу, и к любым трудностям лучше готовиться заранее.
Откладывать дальше некуда. Пора
Напомню, в соответствии с требованием Федерального закона №363-ФЗ от 27 декабря 2009 года «О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных" :
Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.
В современную эпоху развития информационных технологий подавляющее большинство государственных органов и компаний, занятых в бизнесе, имеют информационные системы персональных данных (ИСПДн).
Федеральный закон №152-ФЗ 27 июля 2006 года «О персональных данных»является актуальным для всех без исключения предприятий и компаний, независимо от форм собственности и отраслевой принадлежности. Трудно себе представить организацию, не связанную так или иначе с обработкой персональных данных, а следовательно и обязанную обеспечивать их защиту.
Требования Закона о персональных данных
Напомню, обязанности по обеспечению безопасности персональных данных в информационных системах лежит на операторе персональных данных. На это прямо указывает ст.10 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (далее – Положение),утвержденногоПостановлением Правительства Российской Федерации №781 от 17 ноября 2007 г.:
10. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо).
Конкретные пояснения в области законодательства и практические указания по организации защиты, применимые в организациях и на предприятиях, дают отраслевые нормативные акты. В своей работе по проведению мероприятий по защите персональных данных ориентироваться нужно в том числе и на них.
Как образец, хорошим примером является Письмо Федерального Агентства по образованию Министерства образования и науки Российской Федерации N 17-110 от 29 июля 2009 г. «ОБ ОБЕСПЕЧЕНИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ».
Частые вопросы
Перед окончанием срока, отведенного Законом на приведение оператором персональных данных своих информационных систем в соответствие с его требованиями, мы все чаще получаем от пользователей вопросы, связанные с организацией защиты программном комплексе «АиТ:\Управление персоналом».
Нам, как компании-разработчику прикладного программного обеспечения, напрямую связанного с обработкой персональных данных, это особенно важно и накладывает на нас особые обязательства перед нашими клиентами, учитывая, что наш программный комплекс «АиТ:\Управление персоналом» в силу своего назначения является ключевым звеном в информационной системе персональных данных на предприятиях.
Понимая всю озабоченность вопросом надежной защиты персональных данных, мы прилагаем все усилия, чтобы помочь нашим пользователям быть во всеоружии.
Итак, попробуем разобраться в существе вопроса.
Что и как защищать?
Цель данной статьи – выяснить, как вписывается программный комплекс «АиТ:\Управление персоналом» в структуру общей информационной системы, и какими средствами для защиты информации он обладает?
Вышеуказанное Положение в п.1 «…устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).
Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное Приказом ФСТЭК от 5 февраля 2010 г. N 58 устанавливает методы и способы защиты информации, которые сводятся к защите информации от несанкционированного доступа и защите информации от утечки по техническим каналам.
Остановимся на некоторых методах и способах защиты информации от несанкционированного доступа, - той задаче, которую может решить или значительно облегчить оператору ее решение программный комплекс «АиТ:\Управление персоналом» в силу своей специфики.
С другой стороны, очевидно - программный комплекс не может обеспечивать защиту информации по техническим каналам в силу своего предназначения, - такая защита должна быть реализована в комплексе организационно-технических мероприятий, начиная с реализации разрешительной системы допуска пользователей к информационным ресурсам, заканчивая физической охраной информационной системы, и с использованием специальных средств защиты, для этого предназначенных.
1.4. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 г.).
Модель угрозразрабатывается на основе методических документов, утвержденных в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781.
Создание системы защиты для нейтрализации предполагаемых угроз безопасности персональных данных предполагает использование средств защиты информации, адекватных действию этих угроз.
Первое, с чего нужно начинать мероприятия по созданию системы защиты – провести классификацию своей информационной системы, результатом которой является определение её класса.
Большинство информационных систем, в которых используется программный комплекс «АиТ:\Управление персоналом», как показывает статистика, относятся к классу К3, реже – К2.
Дляинформационных систем классов К2 и К3 при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей определены следующие основные методы и способы (Приложение к Положению о методах и способах защиты информации в информационных системах персональных данных – «МЕТОДЫ И СПОСОБЫ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В ЗАВИСИМОСТИ ОТ КЛАССА ИНФОРМАЦИОННОЙ СИСТЕМЫ»):
а) управление доступом:
- идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длинной не менее шести буквенно-цифровых символов;
б) регистрация и учет:
- регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа;
- ….
Защита персональных данных от несанкционированного доступа в программном комплексе «АиТ:\Управление персоналом»
Напомним некоторые основные характеристики функционала программного комплекса «АиТ:\Управление персоналом»:
· Клиент-серверная архитектура с использованием MicrosoftSQLServerв качестве СУБД;
· Возможность многопользовательского режима работы;
· Модульное построение клиентской части программного комплекса «АиТ:\Управление персоналом»;
· Функционал версии ПРОФ и Холдинг предусматривает возможность регистрации входа и выхода в БД и журналирования действий пользователей;
· Все учетные данные и параметры настроек комплекса (в т.ч. параметры авторизации и прав доступа) хранятся в базе данных.
В версии ПРОФ программного комплекса «АиТ:\Управление персоналом» реализована возможность разграничения доступа к различным видам персональных данных с применением как внутренних средств, так и средств, используемой СУБД, ведения аудита работы пользователей и фиксации любых попыток несанкционированного доступа (НСД) к данным.
Программный комплекс поддерживает четыре уровня доступа к данным (создание, изменение записи, чтение записи, запрет доступа).
Уровни доступадля конкретного пользователя могут отличаться в зависимости от вида персональных данных (паспортные данные, состав семьи, отпуска, имущественные вычеты, график работы, архив результатов расчета заработной платы и т.п.) и структурного подразделения. Например, расчетчик по заработной плате может видеть только результаты расчета заработной платы и кадровую информацию только по тем структурным подразделениям, за расчет зарплаты в которых он отвечает.
Кроме того, реализована возможность типизации ролей пользователей, позволяющая упростить настройку комплекса на предприятиях с большим количеством пользователей и широким спектром выполняемых функциональных обязанностей. Управление доступом к данным производится в модуле «АиТ:\Конфигурация» администратором комплекса. При этом доступ к персональным данным сотрудников у администратора не предполагается.
Все данные хранятся в СУБД, являющейся ядром программного комплекса, все операции по обработке данных возложены на серверную часть, а клиентская часть является лишь интерфейсом для их визуализации и иных операций (ввода-вывода).
Эту сущность надо учитывать при построении модели угроз, в которой клиентская и серверная часть будут фигурировать как специальная прикладная программа для ввода информации в ИСПДн.
Соответственно выбор методов и способов для реализации защиты СУБД и прикладного программного обеспечения «АиТ:\Управление персоналом» различаются, равно как и средства, реализующие эти методы.
СУБД MSSQLServerсодержит встроенные средства защиты от несанкционированного доступа, реализующие методы идентификации и аутентификации доступа и регистрации входа-выхода пользователя в систему с функцией учета параметров регистрации.
MSSQLServerверсий 2000 SE/EE, 2005 SE/EE, 2008 SE/EE64xявляются сертифицированными продуктами по требованиям безопасности информации до уровня класса 1Г автоматизированных систем и могут использоваться для защиты информации в ИСПДн до 3 класса включительно.
Но это не означает, конечно, что Вам не придется больше использовать другие средства защиты для ИСПДн, которая включает в себя и другое программное обеспечение, и технические средства.
Нуждается ли в защите сам программный продукт «АиТ:\Управление персоналом», как объект информационной системы?
Да, и эта необходимость определяется после построения модели угроз для информационной системы. Например, от заражения вредоносными программами, от возможности нарушения его целостности и т.п. И средства защиты для него должны подбираться на основании принципа необходимости и достаточности для нейтрализации предполагаемых угроз.
Очень важное требование для средств защиты информации устанавливает п.5 вышеуказанного Положения:
5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия (т.е. сертификации).
Перечень сертифицированных средств приведен в ГОСУДАРСТВЕННОМ РЕЕСТРЕ сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 на сайте ФСТЭК России.
Выводы
Резюмируя кратко вышесказанное, подводим итог:
Функционал версии ПРОФ программного комплекса «АиТ:\Управление персоналом» позволяет полностью выполнять требования закона № 152-ФЗ «О персональных данных» и связанных с ним нормативно-правовых актов по защите информации от несанкционированного доступа, накладываемым непосредственно на информационную систему обработки персональных данных.
Александр Боровик
АиТ® Софт