На ресурсе ispdn.ru для меня, как человека бесконечно далекого (что уж там) от перипетий законотворчества, нашлась весьма интересная тема, актуализированная последними поправками к Федеральному Закону РФ "О персональных данных" (http://ispdn.ru/law/748/#text) принятыми 25 декабря сего года.
Можно посмотреть краткий FAQ по теме (ispdn.ru/basis/), чтение которого привело к следующим размышлениям.
Любая CRM система автоматически попадает под понятие "Информационной системы персональных данных", а организация, ее использующая, является "Оператором персональных данных".
Навскидку сделанная оценка возможностей и реальной практики использования Terrasoft CRM показывает, что данная информационная система вполне соответствует, согласно классификации, "Классу 1" или, как минимум, "Классу 2" (ispdn.ru/basis/522/#text), а потому она сама либо ее использование требует согласно ФЗ РФ обязательной сертификации на предмет безопасности и защищенности.
Уважаемые коллеги, хотелось бы услышать Ваши комментарии, размышления по данному вопросу...
Тема для меня несколько непривычная, "нетехническая", но тем не менее интересная. Также, как мне кажется, она предваряет многие будущие вопросы клиентов, находящихся на территории РФ как минимум.
Почитал, очень интересно. Задумка, в принципе, правильная - но итогом будет сруб денег на сертификацию.
Моя телефонная книга - 3 класса. А любая - соц. сеть или сайт с пользовательским наполнением - как минимум 2 класса.
Имхо, достаточно ответственности за потерю таких данных. Как бы ИС не защищали, все равно остается самое слабое звено - человек.
"Глова Сергей" написал: но итогом будет сруб денег на сертификацию
Причем, обычно требуется сертифицировать и любые изменения.
Мне кстати в связи со всем этим как то сразу вспомнился hardkey классической версии 2.8... :wink:
Пополнение госказны за счет сертификации это само собой, неприятно настораживает перспектива административной/уголовной ответственности за использование ИСПДн, не получившей сертификат... у нас же как, если бороться, так показательно, радикально. Вспоминаем нашумевшую историю небезызвестного директора школы с нелицензионным ПО...
И еще - как верно заметил Сергей, социальная сеть вполне может быть классифицирована как ИСПДн, интересно будет пронаблюдать за тенденциями в этом направлении. Хотя, в принципе, если при регистрации в подобной сети мне не дают гарантию сохранности/конфиденциальности, то предоставление туда личных данных и их обнародование - всецело моя проблема, значит внимательно читаем [вечно пролистываемое] соглашение.
"Владимир Соколов" написал:Причем, обычно требуется сертифицировать и любые изменения.
Строго говоря, хранимая процедура или триггер, прикрученный программистом в базу даже сертифицированной системы способна нарушить все требования безопасности, и в результате породить проблемы для ее создателя.
Сертификация проектных решений? :confused:
"Александр Кудряшов" написал:Сертификация проектных решений?
Требуются на работу 100500 хакеров для проверки требований безопасности очереди из 100500 программных решений :lol:
А Excel тоже надо будет сертифицировать?
Или наконец-то запретят в нем хранить информацию о клиентах? :)
"Владимир Соколов" написал:А Excel тоже надо будет сертифицировать?
Про Excel процитирую:
"Комплект офисного программного обеспечения, соответствует заданию по безопасности MS.OFFICE2007.ЗБ и имеет оценочный уровень доверия ОУД 1 (усиленный) по РД «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (ispdn.ru/szi)
Вопрос, на самом деле не так прост, как кажется.
Сертификации подлежат средства защиты информации, а наша система, как известно таковой не является, т.к. все задачи по правам доступа аутентификации и т.п. мы перекладываем на уровень БД. Таким образом мы можем сертифицироваться только совместно с БД, а точнее сертифицировать связку нашего продукта с сертифицированной БД.
Что такое сертифицированная СУБД - это конкретная сертифицированная версия на сертифицированном носителе, продающаяся отдельно и стоящая на порядок дороже обычного дистрибутива.
Информация из "сертификационного первоисточника":smile: :
- сегодня есть сертифицированная СУБД MS SQL 2000
- слово ORACLE в органах сертификации лучше не произносить, его в России с вероятность 99% никогда не сертифицируют (связано это с необходимостью предоставления исходных кодов, необходимостью доработки и т.п.)
Но, не смотря на все, что я написал выше, совместно с одной из основных организаций, занимающихся сертификацией мы работаем над сертификацией по 2-му классу. Как только будут результаты, мы конечно же сообщим об этом всем партнерам.
P.S. По последней информации, вот-вот будут уточнения к ФЗ 152, в которых должны быть четче выписаны требования по сертификации.
"Попов Александр" написал:Но, не смотря на все, что я написал выше, совместно с одной из основных организаций, занимающихся сертификацией мы работаем над сертификацией по 2-му классу. Как только будут результаты, мы конечно же сообщим об этом всем партнерам.
вот главное, что хотелось услышать, спасибо!
"Попов Александр" написал:слово ORACLE
а вот тут вполне себе упоминается (http://www.npo-echelon.ru/products/index.php?ELEMENT_ID=1008):
Область доверия: ФСТЭК (ИСПДн К2) - Встроенные средства защиты информации от несанкционированного доступа системы управления базами данных Oracle Database 10g Release 2 (10.2.0.1.0) Enterprise/Standard Edition на программно-аппаратной платформе ОС Solaris/Sparc
Понятно, что речь идет о Solaris, но лиха беда начало.
За что взял, за то продал :smile:. Мне прямым текстом сказали, что сертифицировать связку с ORACLE можно даже не пытаться.
Слегка освежим и практически закроем тему ссылкой
Если кратко, цитата "...CRM система не реализует функций защиты информации, его сертификация на соответствие требованиям по безопасности информации не является обязательной"