АС ПБиОТ и закон о персональных данных

Хранимая информация

АС ПБиОТ хранит следующие, минимально необходимые для работы персональные данные:
I. Основные данные (импортируются из кадровой системы):

  1. Фамилия, Имя, Отчество, дата рождения, пол.
  2. Дата поступления на работу.
  3. Должность/профессия,  дата начала работы в данной должности/профессии.
  4. Подразделение, в котором работает человек
  5. Электронная почта (только для тех, кто является пользователями системы).

II. Необязательные данные (могут не вводится)

  1. Тип работника (ИТР, рабочий, служащий, руководитель).
  2. Табельный номер.
  3. Образование.
  4. Семейное положение.
  5. Размеры одежды, обуви, противогаза и т.п. – для учета СИЗ.

III. Дополнительные данные (накапливаются в самой системе в процессе работы, если данную информацию вводят  отвечающие за нее специалисты Заказчика):

  1.  Полученные инструктажи.
  2. Аттестации.
  3. Стажировки.
  4. Обучение.
  5. Информация о различных нарушениях, штрафах и т.п.
  6. Выданные средства индивидуальной защиты (СИЗ).
  7.  Микротравмы.
  8. Несчастные случаи.
  9. Профессиональные заболевания.
  10. Медосмотры и их результаты.
  11. Техническая работа:
    1. Обслуживание (ответственность) за те или иные технические устройства
    2. Информация о выполнении/невыполнении различных мероприятий
    3. Участие в авариях/инцидентах
    4. Участие в различных проверках (например проверка требований ОТ) и комиссиях (например, комиссия по аттестации)

Замечания:

  1. Хранение и обработка дополнительных данных (раздел III) включена в базовую функциональность системы, но: а) может быть отключена, б) может не использоваться специалистами Заказчика.
  2. Наиболее критической является информация п. 18-20, однако, специалистами заказчика может использоваться (вносится в систему и обрабатываться) только минимально необходимая информация (например, заключение медкомиссии: Противопоказания выявлены/не выявлены).  При необходимости, в процессе настройки (на этапе внедрения) могут быть закрыты от ввода данные в отдельные поля (например, диагноз по результатам медосмотра).

 

Класс информационной системы.

В соответствии с методическими указаниями ФСТЭК класс АС ПБиОТ, как Информационной Системы Персональных Данных (ИСПДн) будет К2. Определяется на основании категории и объема (при количестве хранимой информации о сотрудниках от 1 до 100 тыс)  - см. Приложение 1)

класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных

Для данного класса предусмотрены требования, описанные, например, здесь: http://www.wikisec.ru/index.php?title=%D0%A2%D1%80%D0%B5%D0%B1%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F_%D0%BA_3_%D0%BA%D0%BB%D0%B0%D1%81%D1%81%D1%83_%D0%98%D0%A1%D0%9F%D0%94%D0%BD
Хотя формально класс системы для АС ПБиОТ определяется как К2, реально он должен быть К3.
Однако,
АСПБиОТ  соответствует требованиям К2:

  1. Присутствует подсистема управления доступом (многопользовательский доступ).
  2. Присутствует подсистема регистрации и учета (регистрация входа/выхода пользователя из системы), а также других действий пользователей.
  3. Подсистема обеспечения целостности программного средства реализуется средствами операционной системы (Linux) – контрольные суммы.

Кроме того:

  1. Система поставляется с открытыми кодами, что позволяет проверить ее на отсутствии недокументированных возможностей.
  2. Средства восстановления системы обеспечиваются настройкой средств регулярного резервного копирования.
  3. Ограничение физического доступа обеспечивается обычными организационно-техническими средствами Заказчика
  4. Безопасность сетевого соединения обеспечивается Заказчиком. При необходимости мы оказываем необходимые консультации.
  5. В системе может быть настроено шифрование трафика между сервером и рабочими местами пользователей.