О защите персональных данных

Вопросы, касающиеся системы целиком

Модератор: ruslan

Ответить
vlad
топ-софт
Сообщения: 13
Зарегистрирован: Пт, 07/09/2007 17:49
Имя Фамилия: Владимир Кондраль
Откуда: ТопСофт
Контактная информация:

О защите персональных данных

Сообщение vlad »

Уважаемые коллеги!

Информирую вас о состоянии дел по проекту “Защита персональных данных в системе Галактика ERP”.

Для большинства наших заказчиков, использующих решения корпорации “Галактика” для управления персоналом, к 01.01.2010 необходимо аттестовать информационную систему предприятия ( а Галактика ERP является ее элементом) по самому “простому“ с точки зрения степени защищенности классу К3.
Для обеспечения этой задачи должны применяться сертифицированные программные средства защиты (СЗИ) информации не ниже классов 4 НДВ ( недекларированные возможности) и 2 ОУД ( оценочный уровень доверия). Средства защиты информации системы Галактика ERP будут сертифицированы по данным классам с получением соответствующих сертификатов ФСТЭК к октябрю 2009 года, причем для всех вариантов СУБД – Pervasive, MS SQL Server и Oracle. В настоящее время по данному направлению идут активные работы. Передача сертифицированных экземпляров системы Галактика ERP нашим заказчикам будет проводиться в рамках абонентского обслуживания без дополнительной оплаты.
Проведение аттестации информационной системы предприятия по классу К3 не требует привлечения сторонних организаций для испытаний и проводится путем выполнения соответствующих мероприятий и самодекларирования приказом по предприятию. При этом мероприятия должны проводиться в соответствии с разработанной ФСТЭК методологией. Документы по методологии заказываются в ФСТЭК каждым предприятием-заказчиком самостоятельно. Более того, они не подлежат тиражированию и имеют гриф ДСП, соответственно корпорация Галактика не имеет права их копировать и передавать своим заказчикам.

Для некоторых заказчиков ( сотовых операторов, учреждений здравоохранения и пр.), хранящих в своих информационных системах сведения о лицах, не имеющих трудовых договоров с предприятием, сведения о заболеваниях необходима аттестация информационной системы предприятия по классу К2 или даже К1.
Такая аттестация требует существенных затрат для заказчика.
Например, для аттестации информационной системы заказчика по классу К2 необходимы:
1) покупка комплекса сертифицированных средств защиты (СЗИ) системы Галактика ERP по классам 4 НДВ и 5 СВТ, причем такой комплекс у нас только для СУБД MS SQL Server (для других СУБД готовы разработать и сертифицировать на договорной основе);
2) привлечение для испытаний сторонней организации;
3) постоянные затраты на поддержание системы безопасности в соответствии с принятыми регламентами;
4) применение дополнительных средств защиты информации ( в том числе комплекс СЗИ Галактики ERP), что приведет к дополнительным накладным расходам и как следствие к потере производительности информационной системы предприятия.
По п. 1) дополнительно сообщаю, что на сайте ФСТЭК недавно появилось подтверждение о том, что сертифицированные экземпляры СЗИ системы Галактика ERP могут быть применены для защиты персональных данных в ИСПДн (информационных системах персональных данных) по классу К2.

http://www.fstec.ru/_razd/_serto.htm см. п.п. 1208 и 1899.
В последнем пункте дописано о защите персональных данных.

Комплекс средств защиты информации от несанкционированного доступа пользователей к базе данных (ГАМР.00009-01), встроенный в изделие "Интегрированная сетевая комплексная программа автоматизации деятельности фирмы (корпорации) "Галактика", версия 8.1 по 4 уровню НДВ и по 5 классу СВТ (может использоваться для защиты информации в ИСПДн до 2 класса включительно)

Управление разработки
Ответить