Как привести СЭД в соответствие с требованиями 152-ФЗ?
Снова близится к концу время, отпущенное операторам персональных данных на приведение своих информационных систем в соответствие с требования закона о персональных данных. В частности, операторам необходимо задуматься о безопасности систем электронного документооборота, которые они используют, и их соответствии требованиям закона.
Ключевым здесь является этап классификации ИСПДн. Именно по результатам этого этапа определяются требования к защите обрабатываемых персональных данных, тот объем работ, который предстоит провести, и средств, которые придется затратить на приведение ИСПДн компании в соответствие с требованиями закона. В зависимости от характера обработки персональных данных может потребоваться регистрация в качестве оператора персональных данных, быть присвоен более высокий или низкий класс системы, выполнение отдельных работ и требований по защите персональных данных может оказаться обязательным. В частности, от этого будут зависеть требования, предъявляемые к используемым техническим средствам, в нашем случае – используемому программному продукту СЭД.
Любая СЭД, которая имеет в своем составе справочники сотрудников предприятия и контрагентов, содержит и персональные данные
Предприятие может проводить эти работы самостоятельно (за исключением аттестации, для которой требуется специальная лицензия) или привлечь внешних консультантов. В любом случае полезно понимать иерархию документов, регулирующих и методически обеспечивающих вопрос о защите персональных данных.
Требования к программным продуктам СЭД
Итак, мы в общих чертах разобрались с тем, что должно сделать предприятие со своими ИСПДн, чтобы привести их в соответствие с требованиями закона. Предъявляются ли к СЭД, как программному продукту (компоненту СЭД (ИСПДн) заказчика) какие-либо требования в связи с 152-ФЗ?
Иерархия документов по защите персональных данных, 2010
Увеличить
Источник: DocsVision, "Сертифицированные информационные системы", 2010
Это зависит, во-первых, от результатов обследования и классификации ИСПДн: в зависимости от них может потребоваться применение сертифицированных средств защиты информации от несанкционированного доступа (СЗИ НСД) и/или средств криптографической защиты информации (СКЗИ). Во-вторых, от устройства СЭД (как программного продукта, так и автоматизированной системы предприятия): СЭД предприятия может использовать как внешние, так и встроенные средства защиты. Ввиду функциональных и технологических особенностей программных продуктов СЭД, как правило, собственные СЗИ НСД встроены в них, а СКЗИ используются внешние.
Таким образом, чтобы провести аттестацию СЭД, от приобретаемого программного продукта СЭД может потребоваться сертификат на встроенные в него средства защиты информации. На что именно и какого уровня, зависит от класса ИСПДн, к которой отнесена СЭД.
Пример сертификации программного продукта СЭД
Одним из самых распространенных в России программных продуктов для организации электронного документооборота является система управления документами и бизнес-процессами DocsVision. Она используется в сотнях средних и крупных организаций и предприятий самых разных видов деятельности. В системе всегда уделялось большое внимание вопросам защиты информации от несанкционированного доступа. В частности, реализовано мандатное и дискреционное управление доступом, а на базе этого – динамическое контекстно-ролевое управление доступом, без чего СЭД не может быть активно задействована в бизнес-процессах. Осознавая свою ответственность перед пользователями, и идя навстречу их ожиданиям, разработчик системы – компания DocsVision провела сертификацию своего продукта на соответствие требованиям документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации". Это дает основания для заключения о соответствии требованиям закона о защите персональных данных.
В соответствии с сертификатом ФСТЭК комплекс DocsVision 4.5 является программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, и может использоваться при создании информационных систем персональных данных до второго класса включительно.
Заказчикам важно учесть, что сертификат, свидетельствующий о качестве средств защиты информации, встроенных в DocsVision, выдается на конкретную сборку ПО системы. Поэтому необходима процедура, гарантирующая соответствие сборки, используемой в решении заказчика и сертификата. Копия сертификата, приложенная к лицензии на версию 4.5 системы, не имеет юридического смысла в процессе аттестации решения. Также необходимо иметь ввиду, что для аттестации необходимо приобрести сертифицированный экземпляр продукта. Поэтому сертификация проведена по схеме "сертифицированное производство". Производителем сертифицированных экземпляров DocsVision, согласно документу, является компания "Сертифицированные информационные системы", выпускающая на российском рынке также сертифицированные версии продуктов Microsoft и других известных разработчиков. Поставка будет осуществляться в форме "пакетов сертификации", включающих верифицированный дистрибутив и комплект документов по сертификации экземпляра с голографическими знаками соответствия ФСТЭК России. Сертификация по схеме "сертифицированное производство" подразумевает также, что все обновления, содержащие исправление ошибок в продукте также будут оперативно поставляться в сертифицированном виде.
Короткая ссылка на материал: //cnews.ru/link/a2366