Вернуться на все новости от 2 ноября 2009 г.

"Галактика" персональных данных

Корпорация "Галактика" объявила о том, что средства защиты данных, встроенные в ее систему "Галактика ERP", прошли сертификацию во ФСТЭК и могут быть использованы для защиты персональных данных. Сертифицировано два модуля: "Права доступа", который занимается управлением доступа пользователей, и "Журнализация", с помощью которого фиксируются все события, происходящие в базе данных.

Корпорация Галактика объявила о том, что средства защиты данных, встроенные в ее систему Галактика ERP, прошли сертификацию во ФСТЭК и могут быть использованы для защиты персональных данных. Сертифицировано два модуля: Права доступа, который занимается управлением доступа пользователей, и Журнализация, с помощью которого фиксируются все события, происходящие в базе данных. Эти модули обеспечивают идентификацию пользователей, рабочих станций и защищаемых ресурсов, а также регистрируют вход пользователей, операции доступа к данным и действия администратора.

Новую особенность своей ERP-системы Галактика продвигает посредством серии семинаров для клиентов. В них принимают участие не только специалисты самой Галактики, но и ее партнеры по недавно образованному центру компетенции в области персональных данных -- компании Миктера, ИнфоТехноПроект и Ай-Теко. На этих семинарах разбираются не столько средства защиты, сколько процедуры, которые необходимо выполнить для приведения информационной системы в соответствие с требованиями ФЗ-152.

Сейчас, за два месяца до начала массовых проверок Роскомнадзора, по словам Олега Кузьмина, директора департамента информационной безопасности и защиты коммерческой тайны компании Ай-Теко, можно успеть только документально подготовиться к проверкам. Это уже немало, поскольку вначале проверяющие Роскомнадзора будут проводить только документальную проверку, без выезда на территорию проверяемой организации. А если в документации не будет найдено нарушений, то выездная проверка вообще может не проводиться. Набор необходимых документов к тому же не очень велик и в основном связан с определением персональных данных, инструментов их обработки и средств защиты.

По мнению Натальи Самойловой, юрисконсультанта компании ИнфоТехноПроект, в информационных системах оставить нужно только те персональные данные, хранение и передачу которых требуют регулирующие органы. Например, если Пенсионный фонд требует сведения об инвалидности, то эти персональные данные нужно хранить, установив для этого цель исполнение требований регуляторов. Если же явных требований регуляторов на предоставление определенных типов персональных данных нет, то такие данные лучше не собирать и не хранить.

Те системы, которые невозможно избавить от персональных данных, нужно классифицировать в соответствии с правилами, сформулированными в совместном приказе Мининформсвязи, ФСБ и Роскомнадзора. Затем нужно проверить, является ли ваша система типовой, которую нужно защищать в соответствии с типовыми требованиями ФСТЭК, а все остальные - специальные, для которых формируется набор угроз, модель нарушителя и профиль защиты, то есть набор защитных механизмов, позволяющих отразить все угрозы. Вполне возможно, что для защиты специальных систем будет достаточно минимального набора продуктов: антивируса и межсетевого экрана, которые, как правило, уже установлены практически на каждом предприятии.

Для тех компаний, которые хотят основательно подготовиться к проверкам Роскомнадзора, Ай-Теко предлагает услугу по имитации проверки. Сотрудники компании приходят на предприятие и проводят все действия так, как это делали бы реальные проверяющие. По результатам мероприятия проводятся консультации с сотрудниками, участвующими в проверке, с подробным обсуждением ошибок и промахов, допущенных в процессе проверки. Такая услуга позволит подготовить сотрудников к проверкам, а также выявить уязвимые места пакета документов. По заверениям Кузьмина, стоить такая услуга будет недорого.