Архітектура автоматизованої системи управління персоналом для силового відомства, що працює з персональними даними категорії підвищеного захисту і державною таємницею у частині особових справ.
Тип системи: відомча HRIS з підвищеними вимогами до захисту персональних даних. Клас АС — АС-2 з елементами АС-3 (у частині особових справ носіїв державної таємниці). Особливість — поєднання повсякденної кадрової діяльності з вузькими сегментами, які потребують грифу «таємно».
Силове відомство або структура безпеки потребує системи, що автоматизує повний кадровий цикл: облік особового складу, призначення, переміщення, навчання, атестація, відпустки, відрядження, грошове забезпечення, пенсійне забезпечення. Особливість — наявність окремої категорії осіб, чиї особові справи містять відомості, віднесені до державної таємниці (за Законом України «Про державну таємницю»).
Система має одночасно бути зручною для повсякденної роботи (тисячі операцій кадрового діловодства на день) і забезпечувати жорсткий режим обмеженого доступу до критично чутливих сегментів даних.
Базовий пакет: Закон України «Про захист персональних даних», Закон України «Про державну таємницю», Положення про порядок здійснення криптографічного захисту інформації, НД ТЗІ 2.5-004-99. Окремо — внутрішні відомчі нормативи, що визначають порядок поводження з конкретними сегментами даних.
Один логічний застосунок, але дані фізично розділені на щонайменше три класи: загальнодоступний (внутрішньовідомчий), персональні дані стандартного режиму, відомості з обмеженим доступом. Доступ до кожного сегменту — за окремою формою допуску.
Право бачити запис не означає право бачити всі його поля. Наприклад: кадровий офіцер бачить фіо, посаду, дату народження, але не бачить адреси проживання та контактів родичів — для цього потрібна окрема форма допуску. Це реалізується через прикладні політики, що оцінюють кожне поле незалежно.
Будь-яка зміна у даних, що мають кадрово-юридичні наслідки (наказ про призначення, наказ про звільнення, занесення стягнення), підписується ЕЦП відповідальної особи. Незмінний журнал зберігає підписану історію.
Дві (або три) ізольовані інсталяції: повсякденна (для роботи з персональними даними), посилена (для роботи зі службовою інформацією), захищена (для роботи зі справами носіїв державної таємниці). Між контурами — однонаправлений обмін через шлюзи з контролем.
Робота з територіальними підрозділами — через шифровані канали з використанням засобів криптографічного захисту, сертифікованих Держспецзв’язку. На пристрої кінцевого користувача — обов’язкова двофакторна автентифікація з підтримкою токенів за ДСТУ 4145.
| Стандарт / норматив | Положення | Реалізація |
|---|---|---|
| ЗУ «Про ЗПД» | Захист персональних даних | Реалізовано |
| ЗУ «Про державну таємницю» | Робота з відомостями, віднесеними до ДТ | Реалізовано |
| НД ТЗІ 2.5-004-99 | Багатоконтурне розгортання АС-2/АС-3 | Реалізовано |
| GDPR Article 32 | Технічні заходи захисту | Реалізовано |
| NIST 800-53 SC-7 | Boundary protection | Реалізовано |
| NIST 800-207 | Zero Trust | Реалізовано |
Гранулярна авторизація на рівні полів — стандартна можливість платформи, налаштовується через конструктор форм без додаткового програмування. Багатоконтурне розгортання підтримується завдяки platform-agnostic архітектурі (одна платформа на MS SQL Server у внутрішньому контурі та на Oracle у захищеному). Платформа застосовується у реальних відомчих HR-системах національного масштабу.
Реалізація такої архітектури вимагає:
Інтеграція з зовнішніми реєстрами (ДРФО, реєстр виборців, реєстр платників ПДФО) — як правило, проходить окремий регламентний цикл і займає 3-6 місяців додатково.