понедельник, 22 августа 2011 г.

Внедрение корпоративных систем и персональные данные

В соответствии с ФЗ №152 "О персональных данных" все вновь внедряемые информационные системы должны соответствовать требованиям закона. Кроме этого, обязанность по обеспечению безопасности персональных данных лежит на операторе.
У меня возник вопрос такого плана. Вот компания решила внедрить какую либо информационную систему. Например, SAP. В этой системе будут обрабатываться персональные данные и об этом известно интегратору или производителю (например, система SAP HR). Так вот должны ли интеграторы/производители продавать систему изначально соответствующую требованиям ФЗ №152 или они продают то что есть, а оператор должен при покупке выдвинуть требования к системе для обеспечения соответствия ФЗ №152?

Мне многие говорят, что оператор должен выдвинуть требования. А интегратор/производитель их реализовать. 

Однако мне кажется, что это не совсем правильно. Ведь закон есть, он утвержден и все знают о нем (и интеграторы и производители). Если я, по каким то причинам, не выдвинул отдельные требования по соответствию ФЗ №152, то мне внедрят заведомо неправильный продукт. Т.е. он заведомо не соответствует ФЗ №152. И у меня будут проблемы при проверках. Но  тогда как то странно, на мой взгляд. 
Когда Вы покупаете, скажем автомобиль, он соответствует требованиям российских законов. И Вы не задумываетесь о том, правильно ли у него стоят фары, того ли цвета фонари и т.д.. Вы рассчитываете, что раз Вы купили его у официального дилера, то все в порядке. И при прохождении ТО претензий со стороны ГИБДД (государства) не будет. 
Почему же с программным обеспечением такого нет? Было бы логично продавать ПО соответствующее всем требованиям российского законодательства. Даже если заказчик по какой то причине не указал специально об этом. 

Тот же SAP на сайте ФСТЭК указан. У него есть сертификат, но нет никаких гарантий, что его внедрят так, чтобы были выполнены требования ФЗ №152. Или может быть мне неправильные интеграторы попадались?

3 комментария:

  1. >Мне многие говорят, что оператор должен выдвинуть требования. А интегратор/производитель их реализовать

    Не факт, что в каждой SAP будет обрабатываться информация ограниченного распространения (к которой относятся и ПДн) - т.ч. заказчик действительно должен указать их наличие во внедряемой системе

    >Или может быть мне неправильные интеграторы попадались?

    Есть тонкость, что системы в защищенном исполнении должен поставлять лицензиат ФСТЭК (лицензия на деятельность по ТЗКИ) т.ч. кроме сертификата еще и лицензии должны быть у интегратора, а это уже сужает круг...

    ОтветитьУдалить
  2. Согласен, что ПДн есть не в каждой системе. Но ведь есть системы заведомо работающие с ПДн. Так почему бы их сразу не сделать правильными, вне зависимости от заказчика. А то получается мне внедрили ИС. Потом ко мне пришел регулятор и говорит "Э-э-э батенька, да у Вас тут ПДн не защищено. Ай-ай-ай." Ведь как это не прискорбно, многие не осознают что у них и где. Хотя конечно не знание закона не освобождает от ответственности, но тем не менее....

    У меня есть случай. Компания решила внедрить SAP. А вопросами защиты ПДн ИТшники не озаботились. И спросить не удосужились. А на вопрос, как у Вас с защитой ПДн сказали "А никак! Требований в компании нет. Соответственно, мы интегратору никаких требований не выдвигали. Давайте требования, будем думать. Только это уже будет не наш бюджет (проекта), а бюджет безопасности. И защищать его мы уже не будем. Нам главное систему внедрить". Вот такая забавная ситуация....

    ОтветитьУдалить
  3. Ну, я полагаю, что тут дело вот в чем: 1) требования по обработке и защите ПДн в ИСПДн периодически меняются (новая версия 152-ФЗ, неконкретные и порой противоречивые требования и комментарии регуляторов), что создает риск "ненужности и избыточности" внедренных (с затратами денег и трудочасов персонала) механизмов обеспечения защиты и контроля; 2) многие Операторы ИСПДн сейчас выбрали стратегию "ожидания" (установления четких требований по ПДн и появления практики наказаний регуляторами), поэтому не считают необходимым тратить дополнительные деньги на "защищенные и проверенные ИС"

    ОтветитьУдалить