Господа, кто уже озадачен вопросом хранения и обработки персональных данных в SAP исходя из требований закона "О персональных данных"? Ведь сейчас с выходом этого закона обработка ПД в SAP, грубо говоря, незаконна. Есть большое сомнение, что когда-нибудь SAP будет сертифицированной ФСТЭК системой. А отчитаться о мерах по защите ПД надо до 1.01.2008

Насколько я знаю - сап сертифицирован комиссией при президенте РФ на тему: Защита информации в системе силами самой системы,
не вижу проблем получить вышеуказанный сертификат, если его уже нет...

Да и вообще - я про сертификат ни слова там не нашел. В законе этом

Конечно, если будет так, то все значительно упростится.
Но, а пока получается защита ПД должна быть организована согласно СТР-К (на основании ФЗ "Об информации, информационных технологиях и о защите информации" и "О персональных данных"), и думаю, проблематично выполнить эти требования в больших организациях. А SAP , как минимум должен поддерживать гостовкую криптографию

По поводу сертификации:
п. 1 ст. 7 закона "О ПД": 1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных”. Обеспечить конфиденциальность - это значит, что используемая для хранения таких данных вычислительная система и её ПО должны быть сертифицированы под обработку и хранение конфиденциальных данных уполномоченными на то органами.

Cтатья только добавляет вопросов.
Похоже надо ждать когда ФСТЭК родит требования.

А кто знает как в крупных компаниях использующих SAP решили вопрос с выполнением закона о защите персональных данных? Особенно интересует вопрос, связанный с согласием работника на обработку его персональных данных в SAP. Не секрет, что для крупных проектов нанимается отдельная контора (или создается дочка), та в свою очередь привлекает на проект еще кого-то (на субподряде) ну и все это живет и меняется (с учетом наличия ежегодных тендеров). Консультантов на рынке много, да и базисников...
В Законе о защите ПД сказано, что работник должен дать согласие на обработку его персональных данных не абстрактно, а с указанием какая именно организация (оператор) будет обрабатывать его данные (+ адрес этой организации). Это получается со всех работников постоянно (как минимум раз в год) собирать согласия при смене оператора обработки персональных данных?
И еще вопросик требующий обсуждения - базисники (те кто имеют доступ с профилем SAP_ALL, или выполняют операции в SAP под DDIC) имеют доступ к персональным данным? Скорее всего, с формальной точки зрения - да, имеют. А можно этот доступ как-то ограничить, или это из области фантастики?

не только можно, но и нужно. никаких sap_all.
только это дорого.