Уважаемые коллеги!
Информирую вас о состоянии дел по проекту “Защита персональных данных в системе Галактика ERP”.
Для большинства наших заказчиков, использующих решения корпорации “Галактика” для управления персоналом, к 01.01.2010 необходимо аттестовать информационную систему предприятия ( а Галактика ERP является ее элементом) по самому “простому“ с точки зрения степени защищенности классу К3.
Для обеспечения этой задачи должны применяться сертифицированные программные средства защиты (СЗИ) информации не ниже классов 4 НДВ ( недекларированные возможности) и 2 ОУД ( оценочный уровень доверия). Средства защиты информации системы Галактика ERP будут сертифицированы по данным классам с получением соответствующих сертификатов ФСТЭК к октябрю 2009 года, причем для всех вариантов СУБД – Pervasive, MS SQL Server и Oracle. В настоящее время по данному направлению идут активные работы. Передача сертифицированных экземпляров системы Галактика ERP нашим заказчикам будет проводиться в рамках абонентского обслуживания без дополнительной оплаты.
Проведение аттестации информационной системы предприятия по классу К3 не требует привлечения сторонних организаций для испытаний и проводится путем выполнения соответствующих мероприятий и самодекларирования приказом по предприятию. При этом мероприятия должны проводиться в соответствии с разработанной ФСТЭК методологией. Документы по методологии заказываются в ФСТЭК каждым предприятием-заказчиком самостоятельно. Более того, они не подлежат тиражированию и имеют гриф ДСП, соответственно корпорация Галактика не имеет права их копировать и передавать своим заказчикам.
Для некоторых заказчиков ( сотовых операторов, учреждений здравоохранения и пр.), хранящих в своих информационных системах сведения о лицах, не имеющих трудовых договоров с предприятием, сведения о заболеваниях необходима аттестация информационной системы предприятия по классу К2 или даже К1.
Такая аттестация требует существенных затрат для заказчика.
Например, для аттестации информационной системы заказчика по классу К2 необходимы:
1) покупка комплекса сертифицированных средств защиты (СЗИ) системы Галактика ERP по классам 4 НДВ и 5 СВТ, причем такой комплекс у нас только для СУБД MS SQL Server (для других СУБД готовы разработать и сертифицировать на договорной основе);
2) привлечение для испытаний сторонней организации;
3) постоянные затраты на поддержание системы безопасности в соответствии с принятыми регламентами;
4) применение дополнительных средств защиты информации ( в том числе комплекс СЗИ Галактики ERP), что приведет к дополнительным накладным расходам и как следствие к потере производительности информационной системы предприятия.
По п. 1) дополнительно сообщаю, что на сайте ФСТЭК недавно появилось подтверждение о том, что сертифицированные экземпляры СЗИ системы Галактика ERP могут быть применены для защиты персональных данных в ИСПДн (информационных системах персональных данных) по классу К2.
http://www.fstec.ru/_razd/_serto.htm см. п.п. 1208 и 1899.
В последнем пункте дописано о защите персональных данных.
Комплекс средств защиты информации от несанкционированного доступа пользователей к базе данных (ГАМР.00009-01), встроенный в изделие "Интегрированная сетевая комплексная программа автоматизации деятельности фирмы (корпорации) "Галактика", версия 8.1 по 4 уровню НДВ и по 5 классу СВТ (может использоваться для защиты информации в ИСПДн до 2 класса включительно)
Управление разработки
О защите персональных данных
Модератор: ruslan