Во многих странах СНГ: Россия, Молдова, Белоруссия, Украина, Грузия, а также Литве, Латвии, Эстонии вступил в силу закон о Защите Персональных Данных. Согласно закону операторам персональных данных (ПДн) требуется выполнить ряд организационных, правовых и технических мер. В последнее входит защита, внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям закона. Аудит это процесс мониторинга и контроля доступа к персональным данным, для того чтобы фиксировать кто, когда и какие именно данные смотрел или менял. Аудит доступа также позволяет определить случаи несанкционированного доступа к таким данным. В зависимости от страны (Россия, Молдова, Беларусь, Украина) этот закон указывает на продолжительность хранения результатов аудита безопасности в информационных системах до 2 лет а также уровень защиты журналов аудита. В Европейских странах данный закон обозначается аббревиатурой GDPR и имеет схожие положения в части аудита доступа в персональным данным.
Аудит доступа к персональным данным
Если у вас небольшая компания и все персональные данные (ПД) хранятся в документах типа MS Office DOC, XLS, или в системе 1C Бухгалтерия, то для выполнения аудита доступа к ПДн можно использовать программу StaffCounter.
Перечень событий, регистрируемых системой мониторинга StaffCounter:
- Регистрация попыток входа пользователя в систему/выхода из системы по следующим параметрам:
дата и время попытки входа/выхода; идентификатор пользователя; результат попытки входа/выхода – успешная или безуспешная. - Регистрация попытки запуска/завершения рабочей сессии прикладных программ и приложений, предназначенных для обработки персональных данных, регистрация изменения прав доступа пользователя и статуса объектов доступа по следующим параметрам: дата и время попытки запуска; наименование/идентификатор приложения или процесса; идентификатор пользователя; результат попытки запуска – успешная или безуспешная.
- Регистрация попыток получения доступа (выполнения операций) к приложениям и процессам, предназначенным для обработки персональных данных, по следующим параметрам: дата и время попытки получения доступа (выполнения операции); наименование (идентификатор) приложения или процесса; идентификатор пользователя; спецификация защищаемого ресурса (идентификатор, логическое имя, имя файла, номер и т.п.); вид запрашиваемой операции (чтение, запись, удаление и т.п.); результат попытки получения доступа (выполнения операции) – успешная или безуспешная.
- Регистрация изменения прав доступа (полномочий) пользователя и статуса объектов доступа по следующим параметрам: дата и время изменения полномочий; идентификатор администратора, осуществившего изменения; идентификатор пользователя и его новые полномочия или спецификация объекта доступа и его новый статус.
- Регистрация выхода из системы информации, содержащей персональные данные (электронного документа, данных и т.д.), регистрация изменения прав доступа субъектов и статус объектов доступа по следующим параметрам: дата и время выдачи; наименование информации и пути доступа к ней;спецификация оборудования (устройства) выдачи информации (логическое имя); идентификатор пользователя, запросившего информацию; объем выданного документа (количество страниц, листов, копий) и результат выдачи (успешный, безуспешный).
Какие события пока поддерживаются не полностью:
- Регистрация изменения прав доступа пользователя и статуса объектов доступа: не относиться с системам Баз Данных типа MySQL.
- Осуществляется регистрация попыток получения доступа (выполнения операций) к приложениям и процессам, предназначенным для обработки персональных данных: не относиться с системам Баз Данных типа MySQL.
- Осуществляется регистрация выхода из системы информации, содержащей персональные данные: не относиться к сайтам с программам с функцией завершения сессии доступа.
Хранение журналов аудита доступа в StaffCounter
По умолчанию StaffCounter хранит журнал активности компьютера 1 или 3 месяца, туда входят в том числе и события которые составляют аудита доступа к ПД. Опционально можно настроить доставку этих данных в любую почтовую систему в виде ZIP архива который защищен паролем, отдельно для каждого компьютера или сотрудника или всего отдела. А также настроить получение регулярных отчетов которые будут содержать анализ результатов аудита для выявления необычной или подозрительной деятельности по использованию ПД, либо случаев несанкционированного доступа.
О программе StaffCounter
StaffCounter – Полностью автоматизированная система, благодаря которой вы можете не только контролировать деятельность ваших сотрудников за компьютером, но и измерять их продуктивность. StaffCounter выполняет постоянный мониторинг компьютеров и записывает детальный журнал активности оператора ПК Windows, Mac, Linux, Android который также содержит события для аудита доступа к персональным данным.
Вы можете бесплатно попробовать StaffCounter в своей компании для мониторинга 5-ти компьютеров в течении одного месяца.