Все об АСУ ProCollege

Ввиду того, что очень многими клиентами и потенциальными клиентами задаются вопросы, касательно соответствия АСУ «ProCollege» требованиям Федерального закона №152-ФЗ от 27.06.2006 г. хотим внести ясность по вопросу необходимости и целесообразности сертификации систем автоматизации учебного процесса в целом, и системы «ProCollege», в частности, на соответствие требованиям Федеральной службы по техническому и экспортному контролю (ФСТЭК) в сфере защиты персональных данных.

Согласно Федерального закона №152-ФЗ от 27.06.2006г. «О персональных данных», ст.3, и Постановления Правительства РФ №781 от 17.11.2007г. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п.1. информационная система персональных данных (далее ИСПДн) включает в себя следующие компоненты:

1. Персональные данные (ПДн), содержащиеся в базах данных, как совокупность информации и ее источников, используемых в информационных системах;
2. Информационные технологии, как совокупность приемов, способов и методов применения средств вычислительной техники при обработке ПДн;
3. Технические средства, осуществляющие обработку ПДн, под которыми понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн;
4.  Программные средства (операционные системы, системы управления базами данных, прикладное программное обеспечение и т.п.);
5. Средства защиты информации (СЗИ);
6.  Вспомогательные технические средства и системы, к которым относятся средства и системы коммуникации, не предназначенные для обработки ПДн, но размещенные в помещениях, в которых расположены ИСПДн;

 Из вышеизложенного можно сделать вывод о том, что система автоматизации учебного процесса (далее по тексту АСУ), будучи прикладным программным обеспечением, является лишь одним из многих элементов ИСПДн и не является средством защиты информации, поэтому наличие у АСУ сертификата соответствия требованиям ФСТЭК не обеспечивает и не облегчает сертификацию ИСПДн в учебном заведении в целом.

В  соответствии с совместным приказом ФСТЭК №55, ФСБ №86, Минсвязи №20 от 13 февраля 2008 г. «Об утверждении порядка проведения классификации информационных    систем    персональных    данных»    выделяют 4 категории ПДн:

• Категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
• Категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
• Категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
• Категория 4 - обезличенные и (или) общедоступные персональные данные.

Также довольно редко встречаются информационные системы, в которых обрабатываются персональные данные категории 3. Это связано с тем, что для реальных задач автоматизации (в том числе учебного процесса) нужны не только данные, идентифицирующие субъекта (ФИО, паспортные данные), но и дополнительная информация о нем (например, сведения о зарплате ).

Наиболее часто встречаются информационные системы, в которых обрабатываются персональные данные категории 2. В частности, к таким системам относятся все АСУ.

Персональные данные категории 1 встречаются крайне редко, и зачастую только в учреждениях здравоохранения (не образовательных учреждениях).

В  соответствии с совместным приказом ФСТЭК №55, ФСБ №86, Минсвязи №20 от 13 февраля 2008г. выделяют несколько классов ИСПДн. При этом класс ИСПДн определяется на основании категории обрабатываемых ПДн и объема обрабатываемых ПДн в соответствии с таблицей приведенной ниже:

Из приведённой таблицы следует, что учебные заведения, использующие АСУ должны обеспечить ИСПДн второго класса (К2), т.к. категория обрабатываемых в АСУ ПДн не превышает второй, а их объём не превышает 100 000 носителей субъектов ПДн (физических лиц).

В  соответствии с приложением к Приказу Федеральной службы по техническому и экспортному контролю (ФСТЭК России) №58 от 5 февраля 2010г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»: 

• Для ИСПДн 1 класса (К1) применяется программное обеспечение средств защиты информации, соответствующее 4 уровню контроля отсутствия не декларированных возможностей. Таким образом, данные системы должны быть в обязательном порядке сертифицированы на наличие не декларированных возможностей.

• Для ИСПДн 2 класса (К2) данное требование (об обязательной сертификации на наличие не декларируемых возможностей) не применяется.

В  соответствии с тем же приказом (ФСТЭК России № 58 от 5 февраля 2010 г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных») для сертификации ИСПДн (в целом, а не отдельных элементов, перечисленных выше) до уровня К2 предъявляются следующие основные (полный перечень требований содержится в приложении к обозначенному выше документу) требования (для систем с многопользовательским режимом доступа с разными правами доступа):

• В распределенной ИСПДн должно применяться межсетевое экранирование (МЭ), при котором МЭ должно обеспечивать принятие решения по фильтрации для каждого сетевого пакета независимо, идентификацию и аутентификацию администратора МЭ при его локальных запросах на доступ, возможность для идентификации и аутентификации по идентификатору (коду) и паролю условно-постоянного действия, регистрацию входа (выхода) администратора МЭ в систему (из системы) либо загрузки и инициализации системы и ее программного останова и т.д.

• Должна обеспечиваться защита программного аппаратного комплекса от действий вредоносных программ — использование сертифицированного Антивирусного ПО.

• Должна осуществляться физическая охрана ИСПДн (устройств и носителей информации), предусматривающая контроль доступа в помещения ИСПДн посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилище носителей информации, особенно в нерабочее время.

Таким образом, опираясь на содержание Федерального закона №152-ФЗ от 27.06.2006 г., совместного приказа ФСТЭК №55, ФСБ №86, Минсвязи №20 от 13 февраля 2008 г., а также приказа Федеральной службы по техническому и экспортному контролю (ФСТЭК России) №58 от 5 февраля 2010г. можно заключить, что АСУ, будучи компонентом ИСПДн второго класса (К2) не требует обязательной сертификации на наличие не декларированных возможностей при условии хранения в ней ПДн не выше категории 2. Из этого можно также заключить, что наличие у системы автоматизации учебного процесса сертификата ФСТЭК, подтверждающего отсутствие не декларированных возможностей никоим образом не влияет на процесс сертификации ИСПДн в учебном заведении на соответствие требованиям Федерального закона №152-ФЗ от 27.06.2006 г.

Подводя итог проведённому анализу нормативных документов, сведём все сделанные выше выводы в таблицу: