Landocs.ru
МЫ ДАЁМ 100% ГАРАНТИЮ НА ПРЕДОСТАВЛЕНИЕ ЧЕСТНОЙ СТОИМОСТИ ПРОЕКТА ВНЕДРЕНИЯ СИСТЕМЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА ДО ПОДПИСАНИЯ ДОГОВОРА И ГАРАНТИЮ НА ВНЕДРЕННУЮ СЭД В ТЕЧЕНИЕ 12 МЕСЯЦЕВ!

Сертификация ФСТЭК

ПРОБЛЕМА

Все государственные и негосударственные организации, работающие с так называемой «информацией, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» попадают под соответствующие требования Федерального закон от 27 июля 2006 г. N 152-ФЗ О персональных данных.

В соответствии с приказом ФСТЭК России от 18.02.2013 N 21 существует комплекс обязательных мер по защите персональных данных определяемых в соответствии с классификацией ПДН (Приказ ФСТЭК России от 11 февраля 2013 г. N 17).

Для проверки соответствия программного обеспечения этим требованиям требуются процедуры сертификации.

Сертификации только системы электронного документооборота недостаточно, поскольку ECM платформа LanDocs – это аппаратно-программный комплекс и рассматривается ФСТЭК как информационная система хранения и обработки персональных данных (ИС ПДН), включающая в себя:

·      Серверные компоненты (оборудование и ПО);

·      Клиентские рабочие места (оборудование и ПО);

·      Сетевая составляющая (ЛВЛ, Интернет и т.д.).

Для комплексного соответствия требованиям ФСТЭК необходима общая аттестация информационной системы.

Ниже приведены выдержки из законодательных и регулирующих документов, из которых в совокупности следует необходимость применения сертифицированных средств защиты информации:

·  В Федеральном законе 149 (ФЗ) ст.14 п.8 сказано о том, что «…технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании».

·  В ФЗ 184 «О техническом регулировании» в ст.4. «федеральные органы исполнительной власти наделены правом издавать в сфере технического регулирования акты обязательного характера, в случаях, установленных статьей 5».

·  Статья 5 ФЗ 184 касается, в том числе, и продукции, используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации к информации ограниченного доступа (в том числе «служебная информация госорганов»)

·  Уполномоченным органом, наделенным правом устанавливать обязательные требования по защите информации, в соотв. со ст.15 ФЗ 149 является ФСТЭК России.

·  В частности, в нормативном документе СТР-К (Специальные требования по защите конфиденциальной информации) ФСТЭК России утверждается:

o    п.2.3. «Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования».

o    п. 2.16. «Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации средства защиты информации. Порядок сертификации определяется законодательством Российской Федерации».

o    п.2.17. «Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии нормативными документами ФСТЭК России и требованиями настоящего документа».

     Закон РФ N 5485-1 от 21 июля 1993 г. («Закон о государственной тайне») определяет средства защиты информации, как «составную часть информационных систем или продуктов».

Лица, виновные в нарушении требований закона "О персональных данных", несут гражданскую, уголовную, административную и дисциплинарную ответственность, предусмотренную законодательством Российской Федерации.

Согласно законодательству, за обработку персональных данных в случаях, не предусмотренных российским законодательством, либо обработку данных, несовместимую с целями сбора подобной информации, предусмотрено наказание в виде предупреждения или штрафа от 1 тыс. руб. до 3 тыс. руб. для обычных граждан, от 5 тыс. руб. до 10 тыс. руб. для должностных лиц и от 30 тыс. руб. до 50 тыс. для юрлиц.

Обработка личной информации без согласия пользователя будет наказываться штрафом от 3 тыс. руб. до 5 тыс. руб. для граждан, от 10 тыс. руб. до 20 тыс. руб. для должностных лиц, от 15 тысяч до 75 тысяч рублей для юрлиц.

За невыполнение государственным или муниципальным оператором требований по обезличиванию сведений предусмотрен штраф в размере от 3 тыс. руб. до 6 тыс. руб.

За отказ оператора сообщить пользователю об обработке его личных данных предусматривается либо штраф в размере от 1 тыс. руб. до 2 тыс. руб. для граждан, от 4 тыс. руб. до 6 тыс. руб. для должностных лиц, от 10 тыс. руб. до 15 тыс. руб. для индивидуальных предпринимателей и от 20 тыс. руб. до 40 тыс. руб. для юрлиц.

Имеет ли СЭД отношение к проблеме обеспечения защиты персональных данных?

В законе есть определение: "Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация". Таким образом, имея в своем составе справочники сотрудников предприятия и контрагентов можно сказать с уверенностью – любая система электронного документооборота содержит персональные данные. Ситуация усугубляется, если организация ориентирована на работу с физическими лицами, и вовлечена в сферу их обслуживания. Это в первую очередь органы государственной власти (особенно тех уровней, где ведется непосредственная работа с населением), организации, работающие с обращениями граждан, медицинские и образовательные учреждения, сфера обслуживания, телекоммуникационные компании, кредитные организации, а также многие другие. Кроме структурированных справочников, являющихся вспомогательным элементом, в СЭД хранятся и обрабатываются документы, что является ее основным назначением. В документах тоже может содержаться информация, относящаяся к категории персональных данных: анкеты, характеристики, персональные дела, истории болезней и т.д.

Таким образом следует признать, что СЭД на базе ECM-платформы LanDocs имеет непосредственное отношение к проблеме обеспечения защиты персональных данных.

РЕШЕНИЕ

Для соответствия законодательству РФ в части защиты ПДН необходимо провести сертификационные испытания LanDocs, в ходе которых происходит передача дистрибутивов, исходных кодов, средств разработки с целью дальнейшего анализа, на предмет уязвимостей и отсутствия не декларируемых возможностей в испытуемом ПО. Таким образом, необходимо привлекать компанию разработчика LanDocs для прохождения сертификации.

Процесс сертификации – это комплекс организационно-технических мероприятий, включающий в себя:

123.jpg


В рамках проекта сертификации специалисты департамента систем управления документами ЗАО «ЛАНИТ» совместно с испытательной лабораторией предоставляют:

1.      Проект технического задания на необходимые дополнительные настройки LanDocs
2.      Проект документа Технические условия
3.      Копию решения ФСТЭК о сертификационных испытаниях LanDocs
4.      Техническое заключение Испытательной лаборатории
5.      Экспертное заключение назначенного ФСТЭК РФ органа по сертификации
6.      Сертификат ФСТЭК РФ
7.      Сертифицированный дистрибутив LANDOCS с голограммой и формуляром поставки

Для определения сроков и стоимости проекта сертификации оставьте заявку



ОФОРМИТЬ ЗАЯВКУ НА РАСЧЁТ СТОИМОСТИ: