Защита персональных данных

Компания СКБ Контур всегда уделяла особое внимание защищенности своих программных решений и их соответствию требованиям безопасности информации. Поэтому при разработке программ «Контур-Персонал», «Контур-Персонал Медицина» и «Контур-Персонал Госслужба» были изначально учтены все требования, предъявляемые к защите информации конфиденциального характера, в том числе персональных данных, обрабатываемых с помощью данных программных продуктов.

Функциональные возможности программного продукта «Контур-Персонал»

Ограничение доступа к персональным данным, обрабатываемым в системе

До начала работы с программными продуктами для всех пользователей в системе заводятся уникальные учетные записи. Для всех учетных записей задаются пароли (к паролям предъявляются требования сложности).

Таким образом, осуществляется учет лиц, допущенных к обработке персональных данных, а доступ к данным возможен только для авторизованных пользователей при введении имени пользователя и сложного пароля.

Разграничение доступа пользователей к персональным данным, обрабатываемым в системе

В наших программных продуктах есть возможность разграничения доступа пользователей к разным категориям обрабатываемых персональных данных.

Принцип назначения прав заключается в том, что пользователю либо группе пользователей даются права доступа к определенным объектам.

Например, можно создать группу пользователей, которые могут работать только со штатным расписанием, видеть карточки сотрудников (фамилию, имя, отчество, исполняемые должности, оплату труда), но эти пользователи не будут иметь прав на редактирование личной информации в карточке сотрудника, кроме информации по исполняемой должности и видам начислений и удержаний.

Обеспечение целостности программных продуктов

Для исключения подмены исполняемых файлов и файлов библиотек либо встраивания в них вредоносного ПО, в наших программных продуктах предусмотрен контроль целостности (неизменности) таких файлов при каждом запуске. В случае выявления нарушения целостности ключевых файлов пользователь уведомляется об этом для принятия дальнейших мер, доступ к программе разрешается только администратору. Имеется также возможность автоматического восстановления измененных файлов.

Регистрация событий в журнале безопасности

В целях своевременного выявления нарушений при обработке персональных данных предусмотрена регистрация всех событий, связанных с доступом к персональным данным.

Все регистрируемые события заносятся в журналы регистрации. В них, в частности, фиксируются следующие события:

  • успешный либо неуспешный вход пользователя в систему;
  • факты обращения пользователей к персональным данным;
  • запросы пользователей на получение персональных данных;
  • вывод на печать документов, содержащих персональных данные.

Для обеспечения возможности анализа зафиксированных событий доступны поиск, фильтр событий, а также возможность экспорта журналов регистрации.

Обезличенное хранение персональных данных

В качестве дополнительной меры защиты персональных данных от несанкционированного доступа, в наших продуктах применяется обезличивание персональных данных при хранении. Данная мера реализована на уровне проектирования специальной структуры базы данных, использующейся в наших продуктах.

Резервное копирование

Для предотвращения случайного или умышленного повреждения или удаления базы персональных данных в наших программных продуктах предусмотрена возможность создания резервной копии этих баз данных с возможностью восстановления. При этом возможна настройка периодичности создания резервных копий. 

Необходимость сертификации

Ранее действовали следующие документы ФСТЭК (на данный момент утратившие силу):

  • «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», утвержденные заместителем директора ФСТЭК от 15 февраля 2008 года;
  • «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные заместителем директора ФСТЭК от 15 февраля 2008 года.

Данные документы предъявляли весьма жесткие требования к защите информационных систем персональных данных. Часть информационных систем кадрового и бухгалтерского учета попадали под действие данных требований, и для их выполнения была необходима сертификация прикладных программных продуктов. По этой причине ряд производителей учетного программного обеспечения в то время начали процедуру сертификации своих продуктов. Однако, в связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» по решению ФСТЭК с 15 марта 2010 года данные документы прекратили действие, а требования по сертификации прикладного ПО были снижены.

В каких случаях сейчас необходимо использование сертифицированных программных продуктов кадрового учета? Когда необходимо выполнить требования пунктов 4.2 и 4.3 Приложения к Положению «О методах и способах защиты информации в информационных системах персональных данных», утвержденного Приказом директора ФСТЭК от 5.02.2010г. №58, в которых описаны требования к информационным системам персональных данных класса К1 при многопользовательском режиме обработки информации. Следовательно, сейчас необходимость сертификации прикладного программного продукта возникает ТОЛЬКО в случае использования его в информационных системах класса К1.

Исходя из того, что обрабатываются персональные данные сотрудников организации, а также учитывая состав обрабатываемых персональных данных (отсутствуют специальные категории), в соответствии с «Порядком проведения классификации информационных систем персональных данных», утвержденным совместным приказом ФСБ, ФСТЭК и Минкомсвязи России от 13 февраля 2008 г. № 55/86/20, получаем, что информационные системы персональных данных кадровых служб имеют класс не выше К3 (в очень редких случаях К2). Если же информационной системе кадровой службы присвоен класс К1, то значит в информационной системе обрабатываются персональные данные, избыточные относительно целей обработки, либо классификация информационной системы проведена неверно.

Таким образом, сертификация прикладного ПО для кадрового учета не требуется, более того, может создавать определенные ограничения и неудобства для пользователей.

В частности, сертифицированные программные продукты имеют ряд ограничений:

  • сертифицируются отдельные экземпляры или ограниченная партия ПО;
  • сертификат выдается только на конкретную версию/платформу ПО;
  • сертификат действует не более 3-х лет.

Также возникает ряд неудобств для пользователей сертифицированных программных продуктов:

  • сертифицированная версия программного обеспечения стоит дороже, чем несертифицированная, ведь в ее стоимость включены затраты на сертификацию;
  • при этом сертифицированная версия может быть менее функциональная, либо просто не самая актуальная;
  • при переходе на новую версию ПО сертификат становится недействительным;
  • процедура сертификации существенно увеличивает время выпуска обновлений, что может быть критично в случае обновлений безопасности;
  • необходимо устанавливать ТОЛЬКО сертифицированные обновления, полученные из определенного источника;
  • при этом вводится плата за подписку на сертифицированные обновления;
  • возникает необходимость применения дополнительных организационных мер по учету и сопровождению сертифицированного ПО.

Таким образом, использование сертифицированных программных продуктов создает дополнительные затраты, увеличивает совокупную стоимость владения программным обеспечением, хотя при этом само по себе не решает всех проблем с защитой персональных данных.

Дополнительные средства защиты

Для приведения информационных систем в соответствие с требованиями законодательства и нормативных документов-регуляторов необходимо в первую очередь разработать комплект внутренней организационно-распорядительной документации по защите персональных данных. Независимо от того, с использованием какого программного обеспечения (имеющего сертификат или нет) ведется обработка персональных данных, необходимо использовать дополнительные сертифицированные средства защиты информации от несанкционированного доступа (например, SecretNet, Страж NT, БлокХост и т п.) для защиты информации на уровне операционной системы.

В зависимости от структуры ваших информационных систем, технологии обработки персональных данных, наличия выхода в сеть Интернет также может потребоваться использование таких дополнительных средств защиты, как антивирусное программное обеспечение, средства межсетевого экранирования, обнаружения вторжений, анализа защищенности и т д.

Если у вас возникнут трудности с приведением своих информационных систем персональных данных в соответствие с требованиями нормативно-методических документов по защите персональных данных, то вы можете обратиться в Отдел информационной безопасности СКБ Контур, специалисты которого окажут квалифицированную помощь и консультацию.

Вы всё ещё думаете? Просто попробуйте.

Заполните, пожалуйста, все поля.

Предложение, замечание, просьба или вопрос.