Да, мне тоже интересно, плз, ссылки в студию.

Так ведь "ДСП".
Узнаете, когда ваших клиентов придут наказывать.

Документы ФСТЭК с грифом ДСП, необходимо заказывать во ФСТЭКе. Перечень: http://www.rsoc.ru/main/directions/874/934.shtml .
Летом должна появиться открытая (или частично открытая) вторая редакция.
ФСБшные открыты: http://www.rsoc.ru/.cmsc/upload/docs/20 ... 1410o1.doc, http://www.rsoc.ru/.cmsc/upload/documen ... 1535n8.doc

По существующим версиям требований безопасность должна обеспечиваться внешними СЗИ. Так что от SAP на сегодняшний день, ИМХО, должен соответствовать требованиям Постановления N 781 от 17 ноября 2007 "Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" в части доступа к ПД: позволять определять полномочия пользователей по доступу к ПД, вести журнал обращений пользователей к ПД, позволять приостанавливать\блокировать обработку части ПД.

вот не уверена насчёт журнала

Можно на уровне базиса. + Банально запуск отчетов на стороне HR. Из того, что прочитал - сап вроде всему удовлетворяет (ДСП не запрашивал). Но всякую муть, связанную с ИБ придется долго и печально прописывать.
Повеяло хранением цветных копиров в сейфах, которое было в 90х.
PS. Оказывается, это хранение только вчера отменили
http://www.securitylab.ru/news/379762.php

Постановление 781:

15. Запросы пользователей информационной системы на получение
персональных данных, включая лиц, указанных в пункте 14 настоящего
Положения, а также факты предоставления персональных данных по этим
запросам регистрируются автоматизированными средствами информационной
системы в электронном журнале обращений. Содержание электронного журнала
обращений периодически проверяется соответствующими должностными лицами
(работниками) оператора или уполномоченного лица.

Кто-нибудь в курсе, SAP как-нибудь пытается решать проблему соответствия требованиям законодательства по персональным данным? времени осталось немного, а проблем куча
по анализу получается, что большинство систем релизованных на SAP будут относиться к К3-К2 классам, к которым у ФСТЭка к подсистеме управления доступом есть такие требования:
- должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
- должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;
- должна осуществляться регистрация входа (выхода) субъекта доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения ИСПДн. В параметрах регистрации указываются дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;
и т.д.
дело в том, что средства аутентификации и разделения доступа самого SAPа при этом использоваться не могут, так как SAP - не сертифицирован во ФСТЭК как средство защиты. Какими сторонними средствами защиты информации решать - не понятно Представленные на рынке СЗИ в основном направлены на защиту определенных файлов на ПЭВМ.
есть еще такой момент, SAP - иностранный продукт, а ФСТЭК сертифицирует продукты иностранных компаний поэкземплярно. Т.е. на конкретную компанию, конкретное количество мест. Для остальных такой сертификат не считается.

у кого нибудь есть мысли по этому поводу?

фигасеа кто-нибудь уже обращался? надо ли нам начинать волноваться или уже поздно, хм

Процесс сертификации в САП в настоящее время активизирован и им занимается выделенный менеджер. На вопрос о датах дан ответ, что будут приложены все усилия сделать все в срок.
Ускорить процесс могут только обращения клиентов в САП. Можно направлять письма-запросы прямо на имя генерального директора, потому что этот вопрос не является ни вопросом консалтинга, ни вопросом разработки или развития продукта, а решается на глобальном уровне.

А что даст сертификат полученный SAP? Он только будет говорить, что Представительство SAP AG в РФ имеет право обрабатывать конфиденциальную информацию указанного уровня секретности с использованием аттестованного ПО в определенный аттестатом период, точнее сертифицируются встроенные механизмы защиты информации от НСД. А т.к. средство иностранное, то сертификат будет распространяться только на количество экземпляров, сертифицированных SAPом. Остальные в пролете. И как быть с версиями? Появилась новая и опять на сертификацию? Не говоря о том что SAP-вские продукты - это фактически конструктор и стабильного состояния не бывает.

Официальная возможность обойти сертификацию есть, но пока неизвестно, кто-нибудь уже прошел через эту процедуру или нет? В Государственном реестре СЗИ (http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls) появилась сноска: "* При необходимости применения в информационных системах обработки персональных данных средств защиты информации от несанкционированного доступа и средств межсетевого экранирования, у которых отсутствует сертификация на соответствие требованиям руководящего документа «Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (1999 г.), оператором по согласованию с ФСТЭК России может приниматься решение о применении указанных средств защиты информации в информационных системах обработки персональных данных".

Если я ничего не путаю, есть разные схемы сертификации. В том числе по количеству экземпляров (которое может исчисляться миллионами), сериями и партиями. Насколько я видела в реестре (ссылку Вы и присылали), на разное иностранное ПО есть сертификаты по схеме Серия. Возьмите, хотя бы пресловутый Windows NT или MS Office. Что касается "конструктора", точто также идет сертификация "патчей" (SP, EhP и тд и тп). Если я где-то не права, прошу меня поправить.

Сертифицируют и серией, Вы правы. При сертификации серии, в соответствии с законодательством, проверяется каждый экземпляр сертифицированного продукта на его идентичность экземпляру, прошедшему сертификацию, с выдачей соответствующих документов и ведется поэкземплярный учет каждой копии сертифицированного продукта. Каждый экземпляр сертифицированного продукта имеет пакет документов государственного образца о том, что данный продукт является сертифицированным, включая голографический знак соответствия ФСТЭК с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.
Получается, что у Вас будет сертифицированный продукт SAP только в том случае, если Вы купили продукт из серии сертифицированной SAPом или сертифицировали Сами.
По патчам: сертифицированные ФСТЭКом продукты Microsoft получают обновления не напрямую из Microsoft, а из специальных доверенных источников. Обновления тоже являются сертифицированными.

кто-нибудь уже сертифицировался? Это же касается и внедряющихся сейчас систем

кто-нибудь решал уже вопрос, вести ли данные о состоянии здоровья работников (например, инвалидность) в системе, реализованной на SAP (что повышает класс до К1, а расходы на защиту в несколько раз), или выносить подобные данные в другую систему, обезличинно, (что влечет за собой другие проблемы)?

Состоянием здоровья следует считать все, что содержит и раскрывает диагноз. Т.о. инвалидность - это не состояние здоровья, как и сведения в больничных листах (если не указан диагноз). Так что класс не повышается. SAP HR попадает в К2 из-за доп.сведений о субъекте.