Снова близится к концу время, отпущенное операторам персональных данных на приведение своих информационных систем в соответствие с требования закона о персональных данных. В частности, операторам необходимо задуматься о безопасности систем электронного документооборота, которые они используют, и их соответствии требованиям закона.
В конце прошлого года срок вступления в силу требований закона о защите персональных данных перенесли на год. Операторы персональных данных, которые не были готовы привести информационные системы персональных данных (ИСПДн) в соответствие с требованиями закона, перестали было волноваться. Однако теперь, когда осталось полгода до окончания отсрочки, рассчитывать еще на одну не приходится. И снова организации, работающие с персональными данными, озабочены: соответствуют ли их информационные системы требованиям закона? Рассмотрим этот вопрос в аспекте систем электронного документооборота (СЭД), хотя многие положения будут применимы и к другим видам информационных систем.
СЭД и проблема обеспечения защиты персональных данных
Во-первых, зададимся вопросом: имеет ли СЭД отношение к проблеме обеспечения защиты персональных данных? В законе есть определение: «Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». Любая СЭД, которая имеет в своем составе справочники сотрудников предприятия и контрагентов, содержит и персональные данные.
Ситуация усугубляется, если предприятие ориентировано на работу с физическими лицами, и СЭД вовлечена в сферу их обслуживания. Это в первую очередь органы государственной власти (особенно тех уровней, где ведется непосредственная работа с населением), организации, работающие с обращениями граждан, медицинские и образовательные учреждения, сфера обслуживания, телекоммуникационные компании, кредитные организации, а также многие другие. Кроме структурированных справочников, являющихся вспомогательным элементом, в СЭД хранятся и обрабатываются документы, что является ее основным назначением. В документах тоже может содержаться информация, относящаяся к категории персональных данных: анкеты, характеристики, персональные дела, истории болезней и т.д. То есть следует признать, что СЭД, как правило, имеет непосредственное отношение к проблеме обеспечения защиты персональных данных.
Что должно соответствовать требованиям 152-ФЗ?
Сегодня мало кто разрабатывает собственную СЭД «с нуля». На рынке представлено достаточно много тиражируемых программных продуктов этого класса, производимых независимыми разработчиками, и заказчики выбирают продукт, наиболее удовлетворяющий требованиям предприятия. Сейчас заказчики часто спрашивают у производителей, удовлетворяет ли их СЭД требованиям закона о персональных данных, рассчитывая таким образом решить проблему соответствия своей ИСПДн требованиям закона. Однако следует понимать, что СЭД, как тиражный программный продукт, не является той ИСПДн, о которой идет речь в законе «О персональных данных». Обратимся опять к определениям, данным в законе: «Информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств». Таким образом, ИСПДн (в данном случае, СЭД) заказчика — это нечто гораздо большее, чем программный продукт, используемый в ее составе. Если говорить в терминах ГОСТ по информационным технологиям, то ИСПДн — это автоматизированная система, а СЭД как программный продукт — это часть комплекса технических средств, средство вычислительной техники. Закон требует приведения в соответствие требованиям именно ИСПДн заказчика, как оператора персональных данных. И никакой документ о соответствии программного продукта СЭД каким-либо требованиям не решит этой проблемы.
Этапы работ по приведению СЭД (ИСПДн) в соответствие с требованиями 152-ФЗ
Итак, мы разобрались, что предприятие-пользователь СЭД (ИСПДн) должно начать с себя, для того чтобы соответствовать требованиям закона. Мы в данном случае говорим «СЭД», подразумевая, что она может являться одной из ИСПДн предприятия, или ее частью. Однако, персональные данные могут обрабатываться и в других автоматизированных системах, и тогда все сказанное здесь применимо и к ним. Для того чтобы привести свои ИСПДн в соответствие с требованиями 152-ФЗ, предприятию необходимо выполнить следующие этапы работ: обследование предприятия на предмет работы с персональными данными; классификацию ИСПДн; разработку модели угроз нарушения безопасности данных; формирование требований по обеспечению безопасности ПДн; проектирование системы защиты данных; внедрение системы защиты данных; аттестацию или декларирование соответствия ИСПДн. Ключевым здесь является этап классификации ИСПДн. Именно по результатам этого этапа определяются требования к защите обрабатываемых персональных данных, тот объем работ, который предстоит провести, и средств, которые придется затратить на приведение ИСПДн компании в соответствие с требованиями закона. В зависимости от характера обработки персональных данных может потребоваться регистрация в качестве оператора персональных данных, быть присвоен более высокий или низкий класс системы, выполнение отдельных работ и требований по защите персональных данных может оказаться обязательным. В частности, от этого будут зависеть требования, предъявляемые к используемым техническим средствам, в нашем случае — используемому программному продукту СЭД.
Любая СЭД, которая имеет в своем составе справочники сотрудников предприятия и контрагентов, содержит и персональные данные
Предприятие может проводить эти работы самостоятельно (за исключением аттестации, для которой требуется специальная лицензия) или привлечь внешних консультантов. В любом случае полезно понимать иерархию документов, регулирующих и методически обеспечивающих вопрос о защите персональных данных.
Требования к программным продуктам СЭД
Итак, мы в общих чертах разобрались с тем, что должно сделать предприятие со своими ИСПДн, чтобы привести их в соответствие с требованиями закона. Предъявляются ли к СЭД, как программному продукту (компоненту СЭД (ИСПДн) заказчика) какие-либо требования в связи с 152-ФЗ?
Это зависит, во-первых, от результатов обследования и классификации ИСПДн: в зависимости от них может потребоваться применение сертифицированных средств защиты информации от несанкционированного доступа (СЗИ НСД) и/или средств криптографической защиты информации (СКЗИ). Во-вторых, от устройства СЭД (как программного продукта, так и автоматизированной системы предприятия): СЭД предприятия может использовать как внешние, так и встроенные средства защиты. Ввиду функциональных и технологических особенностей программных продуктов СЭД, как правило, собственные СЗИ НСД встроены в них, а СКЗИ используются внешние. Таким образом, чтобы провести аттестацию СЭД, от приобретаемого программного продукта СЭД может потребоваться сертификат на встроенные в него средства защиты информации. На что именно и какого уровня, зависит от класса ИСПДн, к которой отнесена СЭД.
Пример сертификации программного продукта СЭД
Одним из самых распространенных в России программных продуктов для организации электронного документооборота является система управления документами и бизнес-процессами DocsVision. Она используется в сотнях средних и крупных организаций и предприятий самых разных видов деятельности. В системе всегда уделялось большое внимание вопросам защиты информации от несанкционированного доступа. В частности, реализовано мандатное и дискреционное управление доступом, а на базе этого — динамическое контекстно-ролевое управление доступом, без чего СЭД не может быть активно задействована в бизнес-процессах. Осознавая свою ответственность перед пользователями, и идя навстречу их ожиданиям, разработчик системы — компания DocsVision провела сертификацию своего продукта на соответствие требованиям документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Это дает основания для заключения о соответствии требованиям закона о защите персональных данных. В соответствии с сертификатом ФСТЭК комплекс DocsVision 4.5 является программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, и может использоваться при создании информационных систем персональных данных до второго класса включительно. Заказчикам важно учесть, что сертификат, свидетельствующий о качестве средств защиты информации, встроенных в DocsVision, выдается на конкретную сборку ПО системы. Поэтому необходима процедура, гарантирующая соответствие сборки, используемой в решении заказчика и сертификата. Копия сертификата, приложенная к лицензии на версию 4.5 системы, не имеет юридического смысла в процессе аттестации решения. Также необходимо иметь ввиду, что для аттестации необходимо приобрести сертифицированный экземпляр продукта. Поэтому сертификация проведена по схеме «сертифицированное производство». Производителем сертифицированных экземпляров DocsVision, согласно документу, является компания «Сертифицированные информационные системы», выпускающая на российском рынке также сертифицированные версии продуктов Microsoft и других известных разработчиков. Поставка будет осуществляться в форме «пакетов сертификации», включающих верифицированный дистрибутив и комплект документов по сертификации экземпляра с голографическими знаками соответствия ФСТЭК России. Сертификация по схеме «сертифицированное производство» подразумевает также, что все обновления, содержащие исправление ошибок в продукте также будут оперативно поставляться в сертифицированном виде.
Источник: CNews
Теги: ЗПДн