К сожалению, многие эксперты по защите информации не совсем верно представляют о чем идет речь и в большинстве случаев беседы сводятся к тому, что ВАШЕ ПРИЛОЖЕНИЕ ДОЛЖНО БЫТЬ СЕРТИФИЦИРОВАНО и готовы истово доказывать, что это так. Можно до бесконечности дискутировать на эту тему и спорить до потери пульса, но давайте постараемся спокойно и трезво разобраться с данным вопросом.

Основным регулятором, занимающимся сертификацией является ФСТЭК. Весьма полезной будет следующая ссылка на “Государственный реестр сертифицированных средств защиты информации Системы сертификации средств защиты информации по требованиям безопасности информации”. Предлагаю прочитать внимательно, как данная ссылка озаглавлена! Реестр СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ!!! Уважаемые эксперты по безопасности, когда Вы консультируете своих работодателей и заказчиков Ваших услуг, принимайте пожалуйста к сведению, что ФСТЭК сертифицирует средства защиты информации (далее СЗИ), а не бизнес-системы. Бизнес-системы выполняют бизнес задачи, а средства защиты информации должны обеспечивать безопасную работу этих бизнес-систем. Для меня, по крайней мере, это звучит логично.

Резонный вопрос, который может возникнуть после ознакомления с Реестром ФСТЭК. Как же так? Вы говорите, что сертифицируют СЗИ, а вот в реестре есть информационные системы, прошедшие сертификацию. Да, это действительно так. Есть примеры того, что целые информационные системы сертифицированы как СЗИ. С одной стороны замечательно, но есть и другая сторона. Любое обновление и модификация подобной системы автоматически приводит к ситуации, когда требуется ее пересертификация. Я с большим трудом могу представить себе бизнес-систему, в логику которой не вносятся изменения, она не дополняется аналитическими отчетами, в ней не регистрируются новые объекты и т.д. Если ничего из перечисленного не требуется, то наверное да, можно целиком сертифицировать всю систему.

Опять же по закону ФЗ-152 от оператора персональных данных нигде не требуется сертифицировать свою систему, а лишь рекомендуется использовать СЗИ и СКЗИ.

До некоторого времени операторов пугали необходимостью аттестации информационной системы, то теперь и аттестация как таковая не требуется, а возможна проверка (в соответствии с Планом проведения плановых проверок и контроля обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, который составляется на каждый год и доступен на сайте ФСТЭК). Многие конторы, которые собирались поживиться на оказании “услуг” по аттестации приуныли, т.к. теперь их услуги не окажутся востребованы в полном объеме. Если проверка выявит несоответствие, то появится предписание с замечаниями, которые нужно устранить. В худшем случае, будет предписание и копеечный штраф. Кошмарить и мочить в сортире при этом никого не будут.

Итак. Возвращаемся к бизнес-приложениям компании Oracle. Все осталось неизменным. Oracle CIS продолжает работы по сертификации своих СЗИ. На сегодняшний день, в качестве средств защиты информации, которые могут быть использованы совместно со всеми основными бизнес-приложениями Oracle (E-Business Suite, Siebel CRM, JD Edwards, People Soft, Fusion Applications и т.д) и обеспечить выполнение закона ФЗ-152, сертифицированы ФСТЭК:

1) Oracle Database 11G – сертификат N1849, выдан до 25.05.2012 – обеспечение защиты ПДн до 2 класса включительно;

2) Oracle Identity Access Management Suite 11G – сертификат N2238, выдан до 23.12.2013 – обеспечение защиты ПДн до 1 класса включительно.

Oracle CIS также сертифицировал Oracle IRM и Oracle SSO, которые можно дополнительно использовать для защиты персональных данных.

Хотелось бы подчеркнуть тот факт, что архитектура большинства бизнес-приложений Oracle позволяет осуществлять встраивание сторонних средств защиты и криптозащиты информации, в том числе и Российских производителей. Примеры подобных реализаций уже имеются, как в государственном секторе, так и в коммерческом.

В очередной раз хотелось бы напомнить, что выполнение требований закона ФЗ-152 связано не только с техническими мерами в отношении информационных систем, но и требует выполнения некоторых организационных формальностей. Как минимум с сотрудниками организации следует заключить соглашение по обработке персональных данных, которое необходимо оформить либо в виде дополнения к трудовому договору, либо в качестве заявления/согласия на подобную обработку. Формулировка может быть любая. Проще всего вставить фразу,

“даю свое согласие на обработку моих персональных данных в необходимом объеме и в соответствии с федеральным законом 152-ФЗ“.

Либо подробно описывая, какие возможные действия будут производиться с персональными данными. Как например во фрагменте следующего заявления.

Ведет Клуб Юлия Григорьева, которая знает про управление персоналом очень и очень многое. Был период, когда Юлия была HR-директором Oracle CIS, а сейчас является главным экспертом по HCM (Human Capital Management).

От себя могу добавить, что мероприятия, которые она организует, всегда проходят в очень теплой, непринужденной и дружественной обстановке. В заседаниях Клуба принимают участие представители подразделений HR компаний, названия которых у всех на слуху.

HR Club Oracle возобновляет свою работу!

Это интересно нам, потому что мы хотим знать ваши потребности в вопросах автоматизации кадрового менеджмента, хотим знать, насколько наши возможности соотносятся с вашими потребностями, хотим поделиться с вами опытом использования решений Oracle Управление персоналом в России и за рубежом.

Это может быть интересно вам, потому что на заседаниях Клуба вы узнаете, что реально может наша система, как именно она может решить задачи вашей организации, какие сложности и какие положительные перспективы вас ждут.

Главное в работе нашего Клуба – мы в среде единомышленников сможем обменяться опытом, открыто высказать свои соображения, установить деловые контакты!

К работе Клуба приглашаются руководители департаментов персонала, руководители проектов, HR-директора, CIO, заместители CIO.

Для получения дополнительной информации просьба обращаться к Юлии Григорьевой
julia.grigorieva (at) oracle.com

Для R12.1.3 теперь доступна документация как в формате PDF, так и в HTML. Обновленную библиотеку можно лицезреть ЗДЕСЬ.

Новость вторая:

В Oracle E-Business Suite R12.2 нас ожидает появление Oracle WebLogic 11G. Комментарии от разработчиков можно посмотреть ТУТ.

Каталог бизнес-приложений Oracle теперь доступен не только в виде помпезного бумажного фолианта, тираж которого не такой большой, но и в формате pdf.

Познакомиться с последними материалами можно по следующей ссылке:

БИБЛИОТЕКА БИЗНЕС-ПРИЛОЖЕНИЙ ORACLE НА РУССКОМ ЯЗЫКЕ

Я рад данному событию, потому как формат мероприятий OracleDay может быть был более массовый, насыщенный и зрелищный, но собирать в один день адептов технологий Oracle и людей, интересующихся бизнес-решениями и бизнес-приложениями, не совсем продуктивно. Пусть будет OracleDay, Oracle TechDay и Oracle AppsForum. Голосую, чтобы было как можно больше всевозможных мероприятий, а не одно в год.

Официальный ресурс мероприятия и регистрация на него находятся ЗДЕСЬ.

Мы же, авторы этого блога, на данном мероприятии готовы предложить следующее:

Во-первых: отдельную сессию по решениям Oracle MDM, которую будет вести Вячеслав Александров. Называется она “Централизованное управление мастер-данными”. Время проведения с 12:30 до 14:00. Приходите, будет несколько интересных и актуальных докладов по данной тематике.

Во-вторых, я, Владимир Коханов, выступлю в секции “Государственный сектор” с докладом про Oracle Policy Automation (решение по управлению регламентами для государственных организаций). В рамках подобных мероприятий, про линейку продуктов Oracle Oplicy Automation, доклад будет делаться впервые. Время выступления c 15:40 до 16:00.

Ждем Вас и Ваших коллег на деловом многоотраслевом форуме Oracle AppsForum 2011, который состоится 7 апреля 2011 года в гостинице Рэдиссон САС Славянская (Москва, Площадь Европы, 2).

Корпорация Oracle предлагает на рынке великое множество приложений в которых могут обрабатываться конфиденциальные данные, в том числе и набившие оскомину в последние два года, ПДн (персональные данные).

Так или иначе задается один и тот-же вопрос. Сертифицировано то или иное приложение или нет. Для России ответ на сегодняшний день – НЕТ. При этом необходимо дать некоторые комментарии относительно сказанного НЕТ. Если обратиться к нашему законодательству в данной области, можно почерпнуть для себя, что для защиты персональных данных следует использовать СЗИ (средства защиты информации), а для данных определенных классов – СКЗИ (средства криптозащиты информации). Исходя из данных требований, Oracle в РФ приняло решение сертифицировать некоторые из своих продуктов как средства защиты информации. С учетом, что большинство бизнес-приложений Oracle использует в качестве хранилища данных СУБД Oracle, последняя и была сертифицирована в ФСТЭК как средство защиты информации, обеспечивающее защиту персональных данных до 2-ого класса включительно (Сертификат соответствия №1849 от 25.05.2009 – действителен до 25.05.2012). Таким образом, используя СУБД Oracle 11G в работе своих бизнес-приложений, можно выполнить все требования по защите персональных данных в информационных системах до 2-ого класса включительно.

Резонный вопрос, а что делать с 1-ым классом персональных данных? До последнего времени рекомендовалось использовать сторонние средства защиты информации, прошедшие соответствующую сертификацию. Некоторые из таких средств уже хорошо зарекомендовали себя при работе (например с E-Business Suite) и успешно эксплуатируются. Основное – архитектура большинства бизнес-приложений Oracle позволяет осуществлять встраивание сторонних СЗИ и СКЗИ, тем самым предоставляя свободу выбора владельцам информационных систем в вопросе, чем и как защищать свою информацию.

Возвращаясь к защите ПДн 1-ой категории, хочу привести ссылку на статью, размещенную в блоге экспертов по безопасности Oracle о сертификации Oracle Identity & Access Management Suite 11g. Данный программный продукт теперь может быть использован как средство защиты от НСД в автоматизированных системах класса 1Г и ПДн до 1 класса!!!

Подводя некоторый итог. На сегодняшний день обеспечить защиту персональных данных любых классов в бизнес-приложениях Oracle, можно как средствами защиты информации корпорации Oracle (СУБД Oracle для защиты ПДн до 2-ого класса и/или Oracle Identity & Access Management Suite для 1-ого класса), так и применяя СЗИ и СКЗИ сторонних производителей.

Нас ждет много нового в Новом Году (как минимум, Oracle Fusion Applications) =)

От своих небывалых щедрот высылаю праздничную открытку (она с музыкой и анимацией. Нужно только на нее нажать) =)

Хочу пожелать Вам, чтобы Ваши приложения так-же гармонично дополняли друг друга и работали как единый слаженный механизм.

Увидимся на просторах этого тихого блога в будущем году!

ПОДРОБНОСТИ

- Товарищи, у меня проблема! Помогите!!!
- А ты свободный человек и пользуешься свободным софтом?
- Да-да-ДА!
- Ну, тогда СВОБОДЕН!

Очередной камень в движуху opensource – кипеш последних дней о том, как ФБР внедряло свои “бекдоры” в openBSD. Если коротко, то у Большого Брата после внедрения своих “закладок” появилась возможность контролировать защищенные VPN-соединения. Иными словами, безболезненно пасти граждан, использующих систему openBSD. После успешного внедрения своего кода, в проект openBSD прекратились вливания определенных сумм спонсорских денег.

Уже давно считаю opensource проекты палкой о двух концах. С одной стороны вроде как пососать дают, а другой могут и в задницу поиметь. Вот кто контролирует качество и содержание открытого кода? Энтузиасты? Профессионалы? Люди в погонах? Кто что охраняет, тот то и имеет.

Рассуждения наших отечественных красноглазиков о национальной операционной системе уже вызывают не только ухмылку, а скорее гомерический хохот. Бу-Га-Га. Причем изначально заявляется, что мы не будем изобретать велосипед, а возьмем свободно-распространяемый дистрибутив, доточим его до национального и будем использовать везде (в госорганах как минимум). Только где гарантии, что это не сито и не бомба замедленного действия?

Какой выход? Либо делать полностью свое, либо исключать доступ к критически важной информации (или сетям) на физическом уровне. Да, если система дырявая, то засланный казачок сможет ее подоить. Но одно дело заслать подготовленного казачка и совсем другое, удаленно черпать представляющую интерес информацию.