О соответствии вашей СЭД требованиям закона о защите персональных данных (152-ФЗ)
Виктор Сущев, директор по консалтингу компании DocsVision
Сергей Груданов, генеральный директор компании «Сертифицированные информационные системы»
Полгода пролетело и ага…
Быстро пролетели целых полгода, как улеглись волнения по поводу приведения информационных систем персональных данных (ИСПДн) в соответствие с требованиями закона. Улеглись, в связи с отсрочкой, вступления в силу этих требований – уж больно не готовы оказались к ним все причастные. Казалось, что это надолго.… Однако теперь уже осталось все те же полгода до окончания отсрочки. Рассчитывать ещё на одну не приходится. И снова организации, работающие с персональными данными, озабочены: соответствуют ли их информационные системы требованиям закона о персональных данных? Наша глобальная тема – документооборот, поэтому рассмотрим этот вопрос именно в аспекте систем электронного документооборота (СЭД). Хотя многие положения будут применимы и к другим видам информационных систем.
Имеет ли СЭД отношение к проблеме обеспечения защиты персональных данных?
Во-первых, зададимся вопросом: имеет ли СЭД отношение к проблеме обеспечения защиты персональных данных? В законе есть определение: «Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». Поскольку любая СЭД, как правило, имеет в своем составе справочники сотрудников предприятия и контрагентов, она обязательно содержит в них и персональные данные. Особенно ситуация усугубляется, если предприятие ориентировано на работу с физическими лицами, и СЭД вовлечена в контур их обслуживания. Это, в первую очередь, органы государственной власти (особенно тех уровней, где ведется непосредственная работа с населением), организации, работающие с обращениями граждан, медицинские и образовательные учреждения, сфера обслуживания, телекоммуникационные компании, кредитные организации, а также многие другие. Кроме структурированных справочников, являющихся вспомогательным элементом, в СЭД хранятся и обрабатываются документы, что, собственно, и является её основным назначением. В документах тоже может содержаться информация, относящаяся к категории персональных данных, причем наиболее серьезная: анкеты, характеристики, персональные дела, истории болезней и т.д. То есть, следует признать, что СЭД, как правило, имеет непосредственное отношение к проблеме обеспечения защиты персональных данных.
Что же должно быть приведено в соответствие с требованиями 152-ФЗ?
Сегодня редко кто из заказчиков разрабатывает собственную СЭД «с нуля». На рынке представлено достаточно много тиражируемых программных продуктов этого класса, производимых независимыми разработчиками, и заказчики выбирают продукт, наиболее удовлетворяющий требованиям предприятия.
Теперь заказчики часто спрашивают у производителей: «Соответствует ли Ваша СЭД требованиям закона о персональных данных?», рассчитывая таким образом решить проблему соответствия своей ИСПДн требованиям закона. Однако следует понимать, что СЭД, как тиражный программный продукт, не является той ИСПДн, о которой идет речь в законе «О персональных данных».
Обратимся опять к определениям, данным в законе: «Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств». Таким образом, ИСПДн (в данном случае, СЭД) заказчика – это нечто гораздо большее, чем программный продукт, используемый в её составе. Если говорить в терминах ГОСТ по информационным технологиям, то ИСПДн – это автоматизированная система, а СЭД как программный продукт – это часть комплекса технических средств, средство вычислительной техники. Закон требует приведения в соответствие требованиям именно ИСПДн заказчика, как оператора персональных данных. И никакой документ о соответствии программного продукта СЭД каким-либо требованиям не решит этой проблемы.
Этапы работ по приведению Вашей СЭД (ИСПДн) в соответствие с требованиями 152-ФЗ
Итак, мы разобрались, что предприятие-пользователь СЭД (ИСПДн) должно начать с себя, для того, чтобы соответствовать требованиям закона «О персональных данных». Мы в данном случае говорим «СЭД», подразумевая, что она может являться одной из ИСПДн предприятия, или ее частью. Однако, персональные данные могут обрабатываться и в других автоматизированных системах предприятия, и тогда всё сказанное здесь применимо и к ним.
Для того чтобы привести свои ИСПДн в соответствие с требованиями 152-ФЗ, предприятию необходимо выполнить следующие этапы работ:
-
Обследование предприятия на предмет работы с ПДн;
-
Классификация ИСПДн;
-
Разработка модели угроз нарушения безопасности ПДн;
-
Формирование требований по обеспечению безопасности ПДн;
-
Проектирование системы защиты ПДн;
-
Внедрение системы защиты ПДн;
-
Аттестация или декларирование соответствия ИСПДн.
Ключевым здесь является этап 2 – Классификация ИСПДн (см. Рис.1). Именно по результатам этого этапа определяются требования к защите обрабатываемых персональных данных, тот объем работ, который предстоит провести, и средств, которые предстоит затратить на приведение компании в соответствие с требованиями закона. В зависимости от характера обработки персональных данных может требоваться/не требоваться регистрация в качестве оператора ПД, присваиваться более высокий или низкий класс системы, становиться обязательным или нет выполнение отдельных работ и требований по защите ПД. В частности, от этого будут зависеть требования, предъявляемые к используемым техническим средствам, в нашем случае – используемому программному продукту СЭД.
Рис.1. Классификация ИСПДн.
Предприятие может проводить эти работы самостоятельно (за исключением аттестации, для чего требуется специальная лицензия), или привлечь внешних консультантов. В любом случае полезно понимать иерархию документов, регулирующих и методически обеспечивающих вопрос о защите персональных данных (см. рис. 2).
Рис.2. Иерархия документов по защите персональных данных.
Требования к программным продуктам СЭД в связи с 152-ФЗ
Итак, мы контурно разобрались с тем, что должно сделать предприятие со своими ИСПДн, чтобы привести их в соответствие с требованиями закона. А что же СЭД как программный продукт (компонента СЭД (ИСПДн) заказчика)? Предъявляются ли к ней какие-либо требования в связи с 152-ФЗ?
Всё зависит от следующих факторов:
-
Результаты обследования и классификации ИСПДн: в зависимости от них, может потребоваться применение сертифицированных средств защиты информации от несанкционированного доступа (СЗИ НСД) и/или средств криптографической защиты информации (СКЗИ).
-
Устройство СЭД (как программного продукта, так и автоматизированной системы предприятия): СЭД предприятия может использовать как внешние (по отношению к программному продукту СЭД), так и встроенные средства защиты. Ввиду функциональных и технологических особенностей программных продуктов СЭД, как правило, собственные СЗИ НСД встроены в них, а СКЗИ используются внешние.
Таким образом, чтобы провести аттестацию вашей СЭД, от приобретаемого программного продукта СЭД может потребоваться сертификат на встроенные в него средства защиты информации. На что именно, и какого уровня – зависит от класса ИСПДн, к которой отнесена ваша СЭД.
Пример сертификации программного продукта СЭД на соответствие требованиям по защите персональных данных
Одним из самых распространенных в России программных продуктов для организации электронного документооборота является система управления документами и бизнес-процессами DocsVision. Она используется в сотнях средних и крупных организаций и предприятий самых разных видов деятельности. В системе всегда уделялось большое внимание вопросам защиты информации от несанкционированного доступа. В частности, реализовано мандатное и дискреционное управление доступом, а на базе этого – динамическое контекстно-ролевое управление доступом, без чего СЭД не может быть активно задействована в бизнес-процессах. Осознавая свою ответственность перед пользователями, и идя навстречу их ожиданиям, разработчик системы – компания DocsVision провела сертификацию своего продукта на соответствие требованиям «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации» (Гостехкомиссия России, 1992). Это, в свою очередь, даёт основания для заключения о соответствии требованиям закона по защите персональных данных.
В соответствии с сертификатом ФСТЭК №2118 от 16.06.2010 г., программный комплекс DocsVision 4.5 является программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, и может использоваться при создании информационных систем персональных данных до 2 класса включительно.
Важными для заказчиков являются следующие обстоятельства:
-
Сертификат, свидетельствующий о качестве средств защиты информации, встроенных в DocsVision, выдается на конкретную сборку ПО системы. Поэтому необходима процедура, гарантирующая соответствие сборки, используемой в решении заказчика и сертификата. Копия сертификата, приложенная к лицензии на версию 4.5 системы, не имеет юридического смысла в процессе аттестации решения.
-
Для аттестации необходимо приобрести сертифицированный экземпляр продукта. Поэтому сертификация проведена по схеме «сертифицированное производство». Производителем сертифицированных экземпляров DocsVision, согласно документу, является компания «Сертифицированные информационные системы», выпускающая также на российском рынке сертифицированные версии продуктов Microsoft и других известных разработчиков. Поставка будет осуществляться в форме «пакетов сертификации», включающих верифицированный дистрибутив и комплект документов по сертификации экземпляра с голографическими знаками соответствия ФСТЭК России. Сертификация по схеме «сертифицированное производство» подразумевает также, что все обновления, содержащие исправление ошибок в продукте также будут оперативно поставляться в сертифицированном виде.
Выводы -
СЭД практически любого предприятия является ИСПДн, и попадает под действие закона 152-ФЗ.
-
Начать нужно с обследования и классификации своей ИСПДн, от чего будут зависеть состав дальнейших работ и требований.
-
Если будет выявлена необходимость использования сертифицированных технических средств – приобрести сертифицированный экземпляр программного продукта СЭД.
-
Провести остальную часть комплекса работ по приведению своей ИСПДн в соответствие с требованиями закона (см. раздел «Этапы работ…»), самостоятельно и/или с привлечением внешних консультантов.
Достарыңызбен бөлісу: |