Корпорация "Галактика" объявила о том, что средства защиты данных, встроенные в ее систему "Галактика ERP", прошли сертификацию во ФСТЭК и могут быть использованы для защиты персональных данных. Сертифицировано два модуля: "Права доступа", который занимается управлением доступа пользователей, и "Журнализация", с помощью которого фиксируются все события, происходящие в базе данных. Эти модули обеспечивают идентификацию пользователей, рабочих станций и защищаемых ресурсов, а также регистрируют вход пользователей, операции доступа к данным и действия администратора.
Новую особенность своей ERP-системы "Галактика" продвигает посредством серии семинаров для клиентов. В них принимают участие не только специалисты самой "Галактики", но и ее партнеры по недавно образованному центру компетенции в области персональных данных -- компании "Миктера", "ИнфоТехноПроект" и "Ай-Теко". На этих семинарах разбираются не столько средства защиты, сколько процедуры, которые необходимо выполнить для приведения информационной системы в соответствие с требованиями ФЗ-152.
Сейчас, за два месяца до начала массовых проверок Роскомнадзора, по словам Олега Кузьмина, директора департамента информационной безопасности и защиты коммерческой тайны компании "Ай-Теко", можно успеть только документально подготовиться к проверкам. Это уже немало, поскольку вначале проверяющие Роскомнадзора будут проводить только документальную проверку, без выезда на территорию проверяемой организации. А если в документации не будет найдено нарушений, то выездная проверка вообще может не проводиться. Набор необходимых документов к тому же не очень велик и в основном связан с определением персональных данных, инструментов их обработки и средств защиты.
По мнению Натальи Самойловой - юриста компании "ИнфоТехноПроект", организациям не следует "по привычке" собирать избыточную информацию о человеке, например, при приеме его на работу. В информационных системах стоит обрабатывать только те персональные данные, которые действительно необходимы для осуществления деятельност. Согласие на обработку персональных данных сотрудников необходимо лишь в случаях, если такая обработка осуществляется в целях, не предусмотренных Трудовым кодексом Российской Федерации. Например, если Пенсионный фонд требует предоставление сведений об инвалидности сотрудников, организации вправе обрабатывать эти персональные данные без их согласия, установив для этого цель «обеспечение соблюдения законов и иных нормативных правовых актов».
Те системы, которые невозможно избавить от персональных данных, нужно классифицировать в соответствии с правилами, сформулированными в совместном приказе Мининформсвязи, ФСБ и Роскомнадзора. Затем нужно проверить, является ли ваша система типовой, которую нужно защищать в соответствии с типовыми требованиями ФСТЭК, а все остальные - специальные, для которых формируется набор угроз, модель нарушителя и профиль защиты, то есть набор защитных механизмов, позволяющих отразить все угрозы. Вполне возможно, что для защиты специальных систем будет достаточно минимального набора продуктов: антивируса и межсетевого экрана, которые, как правило, уже установлены практически на каждом предприятии.
Для тех компаний, которые хотят основательно подготовиться к проверкам Роскомнадзора, "Ай-Теко" предлагает услугу по имитации проверки. Сотрудники компании приходят на предприятие и проводят все действия так, как это делали бы реальные проверяющие. По результатам мероприятия проводятся консультации с сотрудниками, участвующими в проверке, с подробным обсуждением ошибок и промахов, допущенных в процессе проверки. Такая услуга позволит подготовить сотрудников к проверкам, а также выявить уязвимые места пакета документов. По заверениям Кузьмина, стоить такая услуга будет недорого.