-
31 октября 2024 года
Вышла сборка 8.44 программного комплекса АиТ:\Управление персоналом -
01 октября 2024 года
Вышел патч 1 на версию 8.43 комплекса "АиТ:\Управление персоналом" -
11 сентября 2024 года
Вышла сборка 8.43 программного комплекса АиТ:\Управление персоналом
-
17 июня 2022 года
В соответствии с письмом ФНС России от 06.06.2022 N БС-4-11/6888@ -
30 июня 2020 года
Как учитывать 24 июня и 1 июля 2020 года -
31 января 2020 года
Размеры пособий в 2020 году
О защите персональных данных программного комплекса <АиТ:\Управление персоналом>
О защите персональных данных программного комплекса «АиТ:\Управление персоналом»
Осталось совсем мало времени…
В соответствии с требованием Федерального закона №363-ФЗ от 27 декабря 2009 года «О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных"
Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.
В современную эпоху развития информационных технологий подавляющее большинство государственных органов и компаний, занятых в бизнесе, имеют информационные системы персональных данных (ИСПДн).
Федеральный закон №152-ФЗ 27 июля 2006 года «О персональных данных» для всех без исключения предприятий и компаний, независимо от форм собственности и отраслевой принадлежности. Трудно себе представить организацию, не связанную так или иначе с обработкой персональных данных, а следовательно и обязанную обеспечивать их защиту.
Требования Закона о персональных данных
Напомню, обязанности по обеспечению безопасности персональных данных в информационных системах лежит на операторе персональных данных. На это прямо указывает ст.10 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (далее – Положение), утвержденного Постановлением Правительства Российской Федерации №781 от 17 ноября 2007 г.:
10. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо).
Конкретные пояснения в области законодательства и практические указания по организации защиты, применимые в организациях и на предприятиях, дают отраслевые нормативные акты. В своей работе по проведению мероприятий по защите персональных данных ориентироваться нужно в том числе и на них.
Как образец, хорошим примером является Письмо Федерального Агентства по образованию Министерства образования и науки Российской Федерации N 17-110 от 29 июля 2009 г. «ОБ ОБЕСПЕЧЕНИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ».
Частые вопросы
Перед окончанием срока, отведенного Законом на приведение оператором персональных данных своих информационных систем в соответствие с его требованиями, все чаще получаем от пользователей вопросы, связанные с организацией защиты программном комплексе «АиТ:\Управление персоналом».
Нам, как компании-разработчику прикладного программного обеспечения, напрямую связанного с обработкой персональных данных, это особенно важно и накладывает на нас особые обязательства перед нашими клиентами, учитывая, что наш программный комплекс «АиТ:\Управление персоналом» своего назначения является ключевым звеном в информационной системе персональных данных на предприятиях.
Понимая всю озабоченность вопросом надежной защиты персональных данных, мы прилагаем все усилия, чтобы помочь нашим пользователям быть во всеоружии.
Итак, попробуем разобраться в существе вопроса.
Что и как защищать?
Цель данной статьи – выяснить, как вписывается программный комплекс «АиТ:\Управление персоналом» в структуру общей информационной системы, и какими средствами для защиты информации он обладает?
Вышеуказанное Положение .1 «…устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).
Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное Приказом ФСТЭК от 5 февраля 2010 г. N 58 и способы защиты информации, которые сводятся к защите информации от несанкционированного доступа и защите информации от утечки по техническим каналам.
Остановимся на некоторых методах и способах защиты информации от несанкционированного доступа, - той задаче, которую может решить или значительно облегчить оператору ее решение программный комплекс «АиТ:\Управление персоналом» в силу своей специфики.
С другой стороны, очевидно - программный комплекс не может обеспечивать защиту информации по техническим каналам в силу своего предназначения, - такая защита должна быть реализована в комплексе организационно-технических мероприятий, начиная с реализации разрешительной системы допуска пользователей к информационным ресурсам, заканчивая физической охраной информационной системы, и с использованием специальных средств защиты, для этого предназначенных.
1.4. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 г.).
Модель угроз разрабатывается на основе методических документов в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781.
Создание системы защиты для нейтрализации предполагаемых угроз безопасности персональных данных предполагает использование средств защиты информации, адекватных действию этих угроз.
Первое, с чего нужно начинать мероприятия по созданию системы защиты – провести классификацию своей информационной системы, результатом которой является определение её класса.
Большинство информационных систем, в которых используется программный комплекс «АиТ:\Управление персоналом», статистика, относятся к классу К3, реже – К2.
Для информационных систем классов К2 и К3 при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей определены следующие основные методы и способы (Приложение к Положению о методах и способах защиты информации в информационных системах персональных данных – «МЕТОДЫ И СПОСОБЫ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В ЗАВИСИМОСТИ ОТ КЛАССА ИНФОРМАЦИОННОЙ СИСТЕМЫ»):
а) управление доступом:
идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длинной не менее шести буквенно-цифровых символов;
регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа;
….
Защита персональных данных от несанкционированного доступа в программном комплексе АиТ:\Управление персоналом»
Напомним некоторые основные характеристики функционала «АиТ:\Управление персоналом»:
Клиент-серверная архитектура с использованием Microsoft SQL Server в качестве СУБД;
Возможность многопользовательского режима работы;
Модульное построение клиентской части программного комплекса «АиТ:\Управление персоналом»;
Функционал версии ПРОФ и Холдинг предусматривает возможность регистрации входа и выхода в БД и журналирования действий пользователей;
Все учетные данные и параметры настроек комплекса (в т.ч. параметры авторизации и прав доступа) хранятся в базе данных.
В версии ПРОФ программного комплекса «АиТ:\Управление персоналом» реализована возможность разграничения доступа к различным видам персональных данных, используя как внутренние средства, так и средства используемой СУБД, ведения аудита работы пользователей и фиксации любых попыток несанкционированного доступа (НСД) к данным.
Программный комплекс поддерживает четыре уровня доступа к данным (создание, изменение записи, чтение записи, запрет доступа).
Уровни доступа для конкретного пользователя могут отличаться в зависимости от вида персональных данных (паспортные данные, состав семьи, отпуска, имущественные вычеты, график работы, архив результатов расчета заработной платы и т.п.) и структурного подразделения. Например, расчетчик по заработной плате может видеть только результаты расчета заработной платы и кадровую информацию только по тем структурным подразделениям, за расчет зарплаты в которых он отвечает.
Кроме того, реализована возможность типизации ролей пользователей, позволяющая упростить настройку комплекса на предприятиях с большим количеством пользователей и широким спектром выполняемых функциональных обязанностей. Управление доступом к данным производится в модуле «АиТ:\Конфигурация» администратором комплекса. При этом доступ к персональным данным сотрудников у администратора не предполагается.
Все данные хранятся в СУБД, являющейся ядром программного комплекса, все операции по обработке данных возложены на серверную часть, а клиентская часть является лишь интерфейсом для их визуализации и иных операций (ввода-вывода).
Эту сущность надо учитывать при построении модели угроз, в которой клиентская и серверная часть будут фигурировать как специальная прикладная программа для ввода информации в ИСПДн.
Соответственно выбор методов и способов для реализации защиты СУБД и прикладного программного обеспечения «АиТ:\Управление персоналом» различаются, равно как и средства, реализующие эти методы.
СУБД MS SQL Server содержит встроенные средства защиты от несанкционированного доступа, реализующие методы идентификации и аутентификации доступа и регистрации входа-выхода пользователя в систему с функцией учета параметров регистрации.
MS SQL Server версий 2000 SE/EE, 2005 SE/EE, 2008 SE/EE 64x являются сертифицированными продуктами по требованиям безопасности информации до уровня класса 1Г автоматизированных систем и могут использоваться для защиты информации в ИСПДн до 3 класса включительно.
Но это не означает, конечно, что Вам не придется больше использовать другие средства защиты для ИСПДн, которая включает в себя и другое программное обеспечение, и технические средства.
Нуждается ли в защите сам программный продукт «АиТ:\Управление персоналом», как объект информационной системы?
Да, и эта необходимость определяется после построения модели угроз для информационной системы. Например, от заражения вредоносными программами, от возможности нарушения его целостности и т.п. И средства защиты для него должны подбираться на основании принципа необходимости и достаточности для нейтрализации предполагаемых угроз.
Очень важное требование для средств защиты информации устанавливает п.5 вышеуказанного Положения
5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия (т.е. сертификации).
Перечень сертифицированных средств приведен в ГОСУДАРСТВЕННОМ РЕЕСТРЕ сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 ГОСУДАРСТВЕННОМ РЕЕСТРЕ сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 ФСТЭК
Выводы
Резюмируя кратко вышесказанное, подводим итог:
Версия ПРОФ программного комплекса «АиТ:\Управление персоналом» позволяет полностью выполнять требования закона № 152-ФЗ «О персональных данных» и связанных с ним нормативно-правовых актов по защите информации от несанкционированного доступа, накладываемым непосредственно на информационную систему обработки персональных данных.
Для обеспечения эффективной защиты персональных данных программного комплекса «АиТ:\Управление персоналом» мы настоятельно рекомендуем организациям, использующим Базовую версию, произвести обновление на версию ПРОФ, которая в отличие от Базовой позволяет осуществлять тонкую настройку прав доступа как в саму систему, так и к различным блокам информации в ней, а также вести учет параметров входа-выхода в систему и учет действий пользователей в ней.
Процедура обновления очень проста, не требует практически никаких временных затрат и никак не влияет на работу пользователей программного комплекса.
Для перехода на версию ПРОФ необходимо оплатить лишь разницу стоимости между версиями в соответствии с действующим прайсом компании АиТ ® Софт.
Компания АиТ® Cофт помощь в реализации специальных технологических решений по защите персональных данных по требованиям заказчиков, а также в разработке комплекта необходимой внутренней документации.
А.Боровик
Компания АиТ® Софт
14.12.10
