Приложения Oracle и защита персональных данных

eskiz В последнее время снова участились вопросы, связанные с приложениями Oracle и защитой хранимых в них персональных данных.

К сожалению, многие эксперты по защите информации не совсем верно представляют о чем идет речь и в большинстве случаев беседы сводятся к тому, что ВАШЕ ПРИЛОЖЕНИЕ ДОЛЖНО БЫТЬ СЕРТИФИЦИРОВАНО и готовы истово доказывать, что это так. Можно до бесконечности дискутировать на эту тему и спорить до потери пульса, но давайте постараемся спокойно и трезво разобраться с данным вопросом.

Основным регулятором, занимающимся сертификацией является ФСТЭК. Весьма полезной будет следующая ссылка на «Государственный реестр сертифицированных средств защиты информации Системы сертификации средств защиты информации по требованиям безопасности информации». Предлагаю прочитать внимательно, как данная ссылка озаглавлена! Реестр СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ!!! Уважаемые эксперты по безопасности, когда Вы консультируете своих работодателей и заказчиков Ваших услуг, принимайте пожалуйста к сведению, что ФСТЭК сертифицирует средства защиты информации (далее СЗИ), а не бизнес-системы. Бизнес-системы выполняют бизнес задачи, а средства защиты информации должны обеспечивать безопасную работу этих бизнес-систем. Для меня, по крайней мере, это звучит логично.

Резонный вопрос, который может возникнуть после ознакомления с Реестром ФСТЭК. Как же так? Вы говорите, что сертифицируют СЗИ, а вот в реестре есть информационные системы, прошедшие сертификацию. Да, это действительно так. Есть примеры того, что целые информационные системы сертифицированы как СЗИ. С одной стороны замечательно, но есть и другая сторона. Любое обновление и модификация подобной системы автоматически приводит к ситуации, когда требуется ее пересертификация. Я с большим трудом могу представить себе бизнес-систему, в логику которой не вносятся изменения, она не дополняется аналитическими отчетами, в ней не регистрируются новые объекты и т.д. Если ничего из перечисленного не требуется, то наверное да, можно целиком сертифицировать всю систему.

Опять же по закону ФЗ-152 от оператора персональных данных нигде не требуется сертифицировать свою систему, а лишь рекомендуется использовать СЗИ и СКЗИ.

До некоторого времени операторов пугали необходимостью аттестации информационной системы, то теперь и аттестация как таковая не требуется, а возможна проверка (в соответствии с Планом проведения плановых проверок и контроля обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, который составляется на каждый год и доступен на сайте ФСТЭК). Многие конторы, которые собирались поживиться на оказании «услуг» по аттестации приуныли, т.к. теперь их услуги не окажутся востребованы в полном объеме. Если проверка выявит несоответствие, то появится предписание с замечаниями, которые нужно устранить. В худшем случае, будет предписание и копеечный штраф. Кошмарить и мочить в сортире при этом никого не будут.

Итак. Возвращаемся к бизнес-приложениям компании Oracle. Все осталось неизменным. Oracle CIS продолжает работы по сертификации своих СЗИ. На сегодняшний день, в качестве средств защиты информации, которые могут быть использованы совместно со всеми основными бизнес-приложениями Oracle (E-Business Suite, Siebel CRM, JD Edwards, People Soft, Fusion Applications и т.д) и обеспечить выполнение закона ФЗ-152, сертифицированы ФСТЭК:

1) Oracle Database 11G — сертификат N1849, выдан до 25.05.2012 — обеспечение защиты ПДн до 2 класса включительно;

2) Oracle Identity Access Management Suite 11G — сертификат N2238, выдан до 23.12.2013 — обеспечение защиты ПДн до 1 класса включительно.

Oracle CIS также сертифицировал Oracle IRM и Oracle SSO, которые можно дополнительно использовать для защиты персональных данных.

Хотелось бы подчеркнуть тот факт, что архитектура большинства бизнес-приложений Oracle позволяет осуществлять встраивание сторонних средств защиты и криптозащиты информации, в том числе и Российских производителей. Примеры подобных реализаций уже имеются, как в государственном секторе, так и в коммерческом.

В очередной раз хотелось бы напомнить, что выполнение требований закона ФЗ-152 связано не только с техническими мерами в отношении информационных систем, но и требует выполнения некоторых организационных формальностей. Как минимум с сотрудниками организации следует заключить соглашение по обработке персональных данных, которое необходимо оформить либо в виде дополнения к трудовому договору, либо в качестве заявления/согласия на подобную обработку. Формулировка может быть любая. Проще всего вставить фразу,

«даю свое согласие на обработку моих персональных данных в необходимом объеме и в соответствии с федеральным законом 152-ФЗ«.

Либо подробно описывая, какие возможные действия будут производиться с персональными данными. Как например во фрагменте следующего заявления.

pdn1

Каталог приложений Oracle

oracle-logo

Каталог бизнес-приложений Oracle теперь доступен не только в виде помпезного бумажного фолианта, тираж которого не такой большой, но и в формате pdf.

Познакомиться с последними материалами можно по следующей ссылке:

БИБЛИОТЕКА БИЗНЕС-ПРИЛОЖЕНИЙ ORACLE НА РУССКОМ ЯЗЫКЕ

JD Edwards RoadShow в Москве (отчет)

jde_logo

19 ноября прошло достаточно своеобразное мероприятие, посвященное JD Edwards. Впервые в истории нас посетили столпы JDE. Надеюсь, что те, кто имел вопросы, сумел найти или получить ответы из первых уст.

Основной посыл все тот-же. Продукт JDE развивается, выходят новые версии, функционал дополняется, инвестиции продолжаются. Наглядно был продемонстрирован симбиоз JDE и Fusion (как и что будет друг друга дополнять и расширять).

На мероприятии также было анонсировано создание независимого русскоязычного комьюнити JD Edwards (RUOUG/JDE). Правда размещено оно почему-то на площадке партнера Oracle ФОРС. Все желающие приглашаются для общения и развития данного сообщества. JDE на нашем рынке еще не так известен и популярен, поэтому я, как обычно, призываю «держаться вместе».

Наверное не лишим было бы упомянуть про англоязычное сообщество (JDELIST), которое существует уже многие годы.

JD Edwards Roadshow в Москве

19.11.2010 в отеле «Катерина» в Москве (Шлюзовая наб., дом 6) пройдет интересное мероприятие, посвященное JD Edwards.

Основные докладчики: Джон Шифф, Вице президент Oracle JD Edwards, который расскажет о стратегии развития системы, а также Хартмут Визе с докладом о новых возможностях и индустриальных решениях в JD Edwards E1 v.9.

ССЫЛКА НА ПОДРОБНОСТИ И РЕГИСТРАЦИЮ

JD Edwards E1 — немного про лицензирование

jde_logo

Принимая во внимание, что JD Edwards Enterprise One может работать на разных базах данных (Oracle DB, MS SQL Server, IBM DB2) и использовать разнообразные сервера приложений (Oracle Application Server, Weblogic, IBM Websphere), возникает вопрос, что же в действительности покупается при покупке лицензий на тот или иной функциональный модуль JD Edwards? Ответ на этот вопрос — приобретается только лицензия на этот модуль =)

Далее возможны варианты, которые и рассмотрим ниже. Нас будет интересовать раздел прайс-листа JD Edwards «Tools & Technology».

Теперь возможные варианты:

1. У Вас уже имеются лицензии на базу данных. При этом не имеет значения, кто производитель этой СУБД. В этом случае необходимо пролицензировать Core Tools and Infrastructure.

2. Если у Вас имеются лицензии на сервер приложений (в том числе и сторонних производителей), но отсутствуют лицензии на базу данных, то следует пролицензироваться по строке Technology Foundation.

3. Если у Вас нет ничего, то все необходимое будет закрыто по ценам из строки Oracle Technology Foundation for JD Edwards EnterpriseOne.

Все лицензии на пользователя приложения.