Аудит доступа к персональным данным

Во многих странах СНГ: Россия, Молдова, Белоруссия, Украина, Грузия, а также Литве, Латвии, Эстонии вступил в силу закон о Защите Персональных Данных. Согласно закону операторам персональных данных (ПДн) требуется выполнить ряд организационных, правовых и технических мер. В последнее входит защита, внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям закона. Аудит это процесс мониторинга и контроля доступа к персональным данным, для того чтобы фиксировать кто, когда и какие именно данные смотрел или менял. Аудит доступа также позволяет определить случаи несанкционированного доступа к таким данным. В зависимости от страны (Россия, Молдова, Беларусь, Украина) этот закон указывает на продолжительность хранения результатов аудита безопасности в информационных системах до 2 лет а также уровень защиты журналов аудита. В Европейских странах данный закон обозначается аббревиатурой GDPR и имеет схожие положения в части аудита доступа в персональным данным.

Аудит доступа к персональным данным

Если у вас небольшая компания и все персональные данные (ПД) хранятся в документах типа MS Office DOC, XLS, или в системе 1C Бухгалтерия, то для выполнения аудита доступа к ПДн можно использовать программу StaffCounter.

Перечень событий, регистрируемых системой мониторинга StaffCounter:

1. Регистрация попыток входа пользователя в систему/выхода из системы по следующим параметрам:
   дата и время попытки входа/выхода; идентификатор пользователя; результат попытки входа/выхода – успешная или безуспешная.
2. Регистрация попытки запуска/завершения рабочей сессии прикладных программ и приложений, предназначенных для обработки персональных данных, регистрация изменения прав доступа пользователя и статуса объектов доступа по следующим параметрам:  дата и время попытки запуска; наименование/идентификатор приложения или процесса; идентификатор пользователя; результат попытки запуска – успешная или безуспешная.
3. Регистрация попыток получения доступа (выполнения операций) к приложениям и процессам, предназначенным для обработки персональных данных, по следующим параметрам: дата и время попытки получения доступа (выполнения операции);  наименование (идентификатор) приложения или процесса;  идентификатор пользователя; спецификация защищаемого ресурса (идентификатор, логическое имя, имя файла, номер и т.п.); вид запрашиваемой операции (чтение, запись, удаление и т.п.); результат попытки получения доступа (выполнения операции) – успешная или безуспешная.
4. Регистрация изменения прав доступа (полномочий) пользователя и статуса объектов доступа по следующим параметрам: дата и время изменения полномочий; идентификатор администратора, осуществившего изменения;  идентификатор пользователя и его новые полномочия или спецификация объекта доступа и его новый статус.
5. Регистрация выхода из системы информации, содержащей персональные данные (электронного документа, данных и т.д.), регистрация изменения прав доступа субъектов и статус объектов доступа по следующим параметрам: дата и время выдачи; наименование информации и пути доступа к ней;спецификация оборудования (устройства) выдачи информации (логическое имя); идентификатор пользователя, запросившего информацию; объем выданного документа (количество страниц, листов, копий) и результат выдачи (успешный, безуспешный).

Какие события пока поддерживаются не полностью:

1. Регистрация изменения прав доступа пользователя и статуса объектов доступа: не относиться с системам Баз Данных типа MySQL.
2. Осуществляется регистрация попыток получения доступа (выполнения операций) к приложениям и процессам, предназначенным для обработки персональных данных: не относиться с системам Баз Данных типа MySQL.
3. Осуществляется регистрация выхода из системы информации, содержащей персональные данные: не относиться к сайтам с программам с функцией завершения сессии доступа.

Хранение журналов аудита доступа в StaffCounter

По умолчанию StaffCounter хранит журнал активности компьютера 1 или 3 месяца, туда входят в том числе и события которые составляют аудита доступа к ПД. Опционально можно настроить доставку этих данных в любую почтовую систему в виде ZIP архива который защищен паролем, отдельно для каждого компьютера или сотрудника или всего отдела. А также настроить получение регулярных отчетов которые будут содержать анализ результатов аудита для выявления необычной или подозрительной деятельности по использованию ПД, либо случаев несанкционированного доступа.

О программе StaffCounter

StaffCounter – Полностью автоматизированная система, благодаря которой вы можете не только контролировать деятельность ваших сотрудников за компьютером, но и измерять их продуктивность. StaffCounter выполняет постоянный мониторинг компьютеров и записывает детальный журнал активности оператора ПК Windows, Mac, Linux, Android который также содержит события для аудита доступа к персональным данным.

Вы можете бесплатно попробовать StaffCounter в своей компании для мониторинга 5-ти компьютеров в течении одного месяца.

Попробовать бесплатно