Александр Бургардт:
Многие компании не знают, как нужно защищать персональные данные
Сегодня предприятия и организации сталкиваются с необходимостью проводить мероприятия по обеспечению безопасности персональных данных. Согласно Федеральному Закону №152 с января будущего года все компании, работающие с персональными данными, должны защитить соответствующие информационные системы и провести их аттестацию.
Одна из ведущих отечественных ИТ-компаний корпорация «Галактика» создала Центр компетенции по защите персональных данных, который оказывает заказчикам комплекс услуг. О деятельности новой «галактической» структуры рассказывает руководитель Аналитического центра «Галактики», куратор центра компетенции Александр Бургардт.
Основное направление деятельности «Галактики» – разработка программных решений для управления и учета. Насколько вашей компании близка тема обеспечения безопасности информационных систем?
А здесь нет никаких противоречий - эти две темы тесно связаны. Выполняя проекты на крупных предприятиях, мы, как правило, решаем комплекс задач по обеспечению безопасности информационных систем. Это касается нефтегазовой отрасли, ТЭК, крупных предприятий оборонно-промышленного комплекса, других отраслей. Комплекс средств защиты информации от несанкционированного доступа пользователей к базе данных – составная часть технологической платформы системы Галактика ERP.
У нас накоплен опыт и есть экспертизы в этой области. Корпорация Галактика предлагает сертифицированные решения для создания систем защиты информационных систем персональных данных 2,3 и 4 классов на базе комплексной системы управления предприятием Галактика ERP. На сайте ФСТЭК (www.fstec.ru/_razd/_serto.htm) в «Государственном реестре сертифицированных средств защиты информации» указано, что комплекс средств защиты информации от несанкционированного доступа пользователей к базе данных (ГАМР.00009-01), встроенный в систему Галактика ERP версия 8.1 (по 4 уровню НДВ и по 5 классу СВТ) - может использоваться для защиты информации в ИСПДн до 2 класса включительно.
Почему вы решили открыть центр компетенции – раз эту работу вели и раньше?
После выхода Федерального Закона №152, на нас, можно сказать, обрушился поток обращений наших пользователей по вопросам соответствия встроенных средств защиты данных требованиям ФСТЭК. Оно и понятно: действие закона распространяется практически на все организации и компании, вне зависимости от вида их деятельности и формы юридического лица. При этом предусмотрены достаточно жесткие меры ответственности для предприятий в случае нарушения законодательства.
В соответствии с определением понятия «персональные данные», даже списки сотрудников являются таковыми и должны быть защищены техническими и организационными методами. Очевидно, что необходимо проводить комплекс мероприятий, но вопросы о том, что именно делать и как делать, для многих предприятий остаются открытыми. Именно поэтому мы и создали Центр компетенции по аттестации информационных систем предприятия на соответствие руководящим документам ФСТЭК по защите персональных данных.
Наряду с корпорацией «Галактика», участниками Центра компетенции являются Межрегиональная общественная организация «Ассоциация защиты информации» (АЗИ), ассоциация производителей товаров и услуг в области безопасности ЕВРААС. Кроме того, к работе Центра мы привлекаем также и региональные компании, работающие в сфере безопасности.
А что должны делать предприятия, чтобы привести свои информационные системы персональных данных в соответствие с требованиями законодательства?
Федеральный Закон №152 вступает в силу с 1 января будущего года. Хотел бы отметить, что фактическая защищенность персональных данных и реализация требований регуляторов - это вовсе не одно и то же. А государственные органы, регулирующие вопросы использования и защиты персональных данных, это Министерство связи и массовых коммуникаций РФ, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ, Федеральная служба по техническому и экспортному контролю РФ, Федеральная служба безопасности РФ. С ними не особо поспоришь. Предприятия и организации с одной стороны, стремятся в сжатые сроки привести информационные системы персональных данных в соответствие с требованиями закона. С другой стороны, они озабочены минимизацией затрат на эти работы.
Вполне понятно, что ключевой момент минимизации расходов на защиту персональных данных – это корректная классификация и очерчивание границ информационной системы персональных данных. Предприятия могут оперировать различными категориями персональных данных, - всего таких категорий 4. Категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 4 - обезличенные и (или) общедоступные персональные данные.
В зависимости от категории определяется класс информационной системы персональных данных. Чем выше классность, тем более обширный спектр работ придется выполнять, именно поэтому многие предприятия стремятся «скорректировать» класс информационной системы. Самостоятельно это сделать крайне сложно. В рамках проектов мы выполняем оптимизацию обработки персональных данных с целью понижения требований по их защите.
Хотел бы добавить, что при создании систем защиты персональных данных недостаточно просто закупить программные или аппаратные средства. Основой организации работы с персональными данными должна быть внутренняя нормативная документация, регламентирующая деятельность по обработке персональных данных внутри компании. На предприятии должна быть разработана нормативная документация, регламентирующая правила обработки персональных данных. Должен быть прописан порядок деятельности по обработке персональных данных и назначены ответственные лица.
Подобные проекты включают несколько этапов и уровней. Это выявление информационных систем, относящихся к системам обработки персональных данных; их классификация; создание и утверждение внутренних процедур; внедрение программных и аппаратных решений; подготовка к аттестации, а также прохождение самой аттестации систем защиты персональных данных.
Какие из этих услуг оказывает заказчикам ваш Центр компетенции по защите персональных данных?
Корпорация Галактика совместно с сертифицированными партнерами проводят весь комплекс мероприятий по аудиту информационных систем обработки персональных данных, созданию и внедрению систем защиты и прохождению процедур их аттестации.
Перед началом проекта мы назначаем ответственного менеджера от Галактики, проводит анкетирование и собеседование с заказчиком, согласуем цели и задачи проекта, составляем план-график работ. Как правило, полный пакет услуг по созданию эффективной системы защиты персональных данных включает проведение обследования и оценку текущего состояния, определение класса информационной системы персональных данных, формирование модели угроз безопасности, разработка требований по безопасности, разработка системы защиты персональных данных, организационно-распорядительной документации, ввод в эксплуатацию системы защиты персональных данных, обучение персонала, оценка соответствия системы защиты персональных данных (аттестация), сервисное обслуживание и поддержание актуальности аттестата соответствия.
Для существующих клиентов комплекс мероприятий состоит из анализа эффективности применяемых средств защиты информации, выработке основных рекомендаций по устранению найденных уязвимостей, оказанию помощи в прохождении процедур классификации и аттестации. Мы также оказываем консультационные услуги на основе почасовой оплаты для тех предприятий, которые хотят выполнить все работы самостоятельно, но нуждаются в консультациях опытных экспертов.
Силами Центра компетенции проводятся бесплатные семинары на тему «Построение системы защиты персональных данных компании в соответствии с требованиями законодательства РФ» для всех заинтересованных компаний. Участники семинаров получают представление о способах и средствах реализации угроз безопасности информации и их источниках; об основных положениях правовых и нормативно-методических документов по обеспечению безопасности персональных данных; о мероприятиях по организации и техническому обеспечению безопасности персональных данных.
Кроме того, консультационный центр корпорации «Галактика» проводит учебные курсы по вопросам защиты персональных данных. Курсы читают преподаватели с опытом работы в области защиты информации по организационным и техническим мероприятиям в рамках проекта, по средствам защиты системы Галактика ERP, по Управлению персоналом в системе Галактика ERP. Кстати, новации в законодательстве вызвали повышенный интерес к этой функциональности системы Галактика ERP.
Расскажите об этих средствах «Галактики» подробнее.
Функциональность для управления персоналом системы Галактика ERP сосредоточена в Контуре управления персоналом. Его применение позволяет эффективно управлять персоналом предприятия, формировать кадровую политику, рассчитывать заработную плату сотрудникам. Эти средства «Галактики» полностью соответствуют отечественной специфике учета, и поддерживают законодательство, могут использоваться на предприятиях любой оргструктуры, независимо от форм собственности и количества сотрудников. С помощью данной функциональности руководители предприятия, сотрудники подразделений по управлению персоналом оперативно получают аналитическую информацию для принятия управленческих решений, имеют возможность оптимизировать бизнес-процессы, связанные с управлением персоналом, значительно сократить трудозатраты в процессе расчета зарплаты. Кроме того, наше решение по управлению персоналом имеет сертифицированные средства защиты, которые позволяют использовать систему Галактика ERP в ИСПДн до 2 класса включительно.
Ольга Зайцева / CNews
http://safe.cnews.ru/reviews/index.shtml?2009/11/09/368961
Подписаться на:
Комментарии к сообщению (Atom)
Комментариев нет:
Отправить комментарий