1с упп защита персональных данных

На страницах журнала мы уже неоднократно писали о необходимости проведения организационных мер в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных". С 1 января 2011 года этот закон вступит в полную силу, и, соответственно, на организации будут возложены дополнительные обязанности по обеспечению защиты персональных данных. Среди них - необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации. В предлагаемой статье И.А. Баймакова (методист фирмы "1С") ответит на наиболее часто возникающие у пользователей программных продуктов фирмы "1С" вопросы.

До 1 января 2011 года - даты вступления в полную силу "О персональных данных" (далее - Федеральный закон № 152-ФЗ) осталось не так много времени. Все больше операторов персональных данных, которыми являются практически все организации и предприниматели, планируют и проводят комплекс мероприятий во исполнение требований данного закона и нормативных правовых актов.

1) Какими нормативными правовыми актами предусмотрено проведение сертификации?
2) Кому и когда необходимо использовать сертифицированное программное обеспечение?
3) Кем может быть проведена сертификация программного обеспечения?
4) Достаточно ли использования сертифицированной программы для обеспечения защиты персональных данных?

Сертификация программ с целью соответствия законодательству по защите персональных данных

До 1 января 2011 года - даты вступления в полную силу Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ) осталось не так много времени. Все больше операторов персональных данных, которыми являются практически все организации и предприниматели, планируют и проводят комплекс мероприятий во исполнение требований данного закона и нормативных правовых актов.

Пользователей программных продуктов фирмы "1С" интересует, сертифицирован ли используемый ими программный продукт. В рамках данной статьи мы ответим на этот вопрос, но вначале попробуем взглянуть на проблему несколько глубже и рассмотрим следующие вопросы:

29 мая 2014 года в Москве в «1С:Лектории» (Москва, ул. Селезневская, 34) состоялась лекция . Наши читатели, которые не могли посетить лекцию, присылали свои вопросы в рамках одноименной интернет-конференции. В ходе мероприятия Юрий Контемиров, начальник управления по защите прав субъектов персональных данных Роскомнадзора и Ирина Баймакова, эксперт фирмы «1С» ответили на вопросы о защите персональных данных, а также проанализировали основные ошибки, выявляемые Роскомнадзором в ходе осуществления контрольных мероприятий.

Пользователь kot : 1С:Предприятие 8.2z для малых и средних предприятий. Медицина, Бюджетники, Военные...? Для кого и чего нужна эта платформа? В пользовательском режиме это должно зарываться правами доступа. От стороннего подключения средствами СУБД?

Уже как 4 года гадаю, что это простая выкачка денег по аналогии "проблемы 2000 года". Когда приходил, запускал на компьтере программку, она что-то делала, ты говорил что все нормально и тебе платили.

Ирина Баймакова : Требования Федерального закона "О персональных данных" касаются любых операторов персональных данных, т.е. любых организаций в которых обрабатываются персональные данные. Да, действительно, требования по защите ПДн в зависимости от категории данных и их объема могут существенно различаться.

: Что такого особенного в версия 8.2z? Почему именно в ней персональные данные защищены и что не так в плане защиты персональных данных в других версиях восьмерочных программ?

Ирина Баймакова : ЗПК "1С:Предприятие, версия 8.2z" - сертифицированная версия технологической платформы 1С:Предприятие 8.2. Функциональных отличий между сертифицированной версией и обычной нет. Доработки, сделанные с учетом требований ФСТЭК России, реализованы как обычной, так и сертифицированной версии технологической платформы.

Использование ЗПК "1С:Предприятие, версия 8.2z" позволяет выполнить требование, предусмотренное статьей п. 2 статьи 19 Федерального закона "О персональных данных" в части обязательности применения средств защиты информации, прошедших оценку соответствия, в отношении персональных данных, обрабатываемых с использованием программных продуктов 1С.

Незарегистрированный пользователь : Не очень представляю, как программа может стать панацеей в области защиты персональных данных. А как же пресловутый человеческий фактор? Ведь в программе работают люди.

Ирина Баймакова : В данном случае нельзя говорить, что программа является панацеей. Защищенный программный комплекс "1С:Предприятие, версия 8.2z" - один из "кирпичиков", который позволяет выстроить систему защиты информации и обеспечить соблюдение требований действующего законодательства РФ в области защиты персональных данных.

Незарегистрированный пользователь : Бывали ли случаи утечки данных защищенных 1с?

Ирина Баймакова : Такие данные у меня отсутствуют.

Незарегистрированный пользователь : Несет ли какую либо ответственность 1С за утрату данных и их утечку?

Ирина Баймакова : Ответственность за утрату данных возложена на оператора персональных данных.

Незарегистрированный пользователь : Кому необходимо применять ЗПК «1С:Предприятие, 8.2z»? Что входит в комплект поставки ЗПК?

Ирина Баймакова

В комплект ЗПК "1С:Предпрятие, версия 8.2z" входят дистрибутив технологической платформы, формуляр, документация.

Незарегистрированный пользователь : Какие другие программные продукты можно использовать с целью защиты персональных данных?

Ирина Баймакова : На рынке представлено значительное количество средств защиты информации. Необходимость применения того или иного продукта зависит от выявленных актуальных угроз и требований по защите персональных данных у конкретного оператора.

Незарегистрированный пользователь : Какие главные потенциальные опасности Вы видите для персональных данных? Что именно гарантирует или исключает защита?

Юрий Контемиров : Основной опасностью является утечка и незаконное распространение персональных данных, что может повлечь негативные последствия для человека, вторжение в его личную жизнь. Гарантировать действительную защиту ПДн можно только при комплексном подходе к организации защиты информации, уделяя особое внимание "человеческому" фактору.

Незарегистрированный пользователь : Как Вы считаете, часто ли малые компании сталкиваются с утечкой бухгалтерских данных?

Юрий Контемиров : Информация по данному вопросу, к сожалению, у меня отсутствует.

Незарегистрированный пользователь : А почему "1С:Предприятие 8.2z" называется защищенным? В чем его принципиальное отличие от других продуктов?

Ирина Баймакова : В данном случае "защищенный" - это название, т.е. проверенный испытательной лабораторией на отсутствие недекларированных возможностей и соблюдение иных требований, определенных ФСТЭК России.

ЗПК "1С:Предприятие, версия 8.2z" - это специальный продукт для обеспечения требований действующего законодательства о персональных данных организациями и предпринимателями, применяющими программные продукты 1С.

Пользователь Kaufen : Организация закупила ЗПК "1С:Предприятие 8.2z". В чем основные отличия платформы от 1С:Предприятие 8.2, кроме наличия сертификата ФСТЭК? Кто-то сталкивался с такой платформой?

Ирина Баймакова : ЗПК "1С:Предприятие, версия 8.2z" - сертифицированной версия технологической платформы 1С:Предприятие 8.2. Функциональных отличий между сертифицированной версией и обычной нет.

Основным отличием является, то что сертифицированный релиз проверен испытательной лабораторией и подтверждает соответствие приведенным в сертификате требованиями, а также содержит контрольные суммы, приведенные в формуляре ЗПК "1С:Предприятие, версия 8.2z".

Незарегистрированный пользователь : У нас бюджетное учреждение. Есть ли модификация ЗПК "1С:Предприятие 8,2z" специально для бюджетников и сколько стоит версия с сопровождением?

Ирина Баймакова : ЗПК "1С:Предприятие, версия 8.2z" - сертифицированная версия технологической платформы 1С:Предприятие 8.2, которая может быть использована с любыми типовыми конфигурациями, в том числе для бюджетных учреждений (напр. "1С:Зарплата и кадры государственного учреждения", "1С:Бухгалтерия государственного учреждения").

Порядок продажи и обновления ЗПК 1С:Предприятие версия 8.2z" определен в инфописьме фирмы 1С № 12891. Ознакомиться можно по следующей ссылке -http://1c.ru/news/info.jsp?id=12891

Незарегистрированный пользователь : В анонсе лекции и интернет-конференции говорится про основные ошибки, выявляемые Роскомнадзором в ходе осуществления контрольных мероприятий. Хотелось бы узнать об этом подробнее, какие ошибки чаще всего выявляет ведомство?

Юрий Контемиров : Наиболее типичные нарушения законодательства, выявляемые в ходе контрольных действий Роскомнадзора, отражаются в ежегодных отчетах, публикуемых на сайте ведомства.

Незарегистрированный пользователь : Расскажите, пожалуйста, о сертификации ЗПК «1С:Предприятие, версия 8.2z».

Ирина Баймакова : Вопросы о целях, порядке, результатах сертификации, проведенной фирмой "1С", подробно рассмотрены и изложены на сайте buh.ru, в том числе в статье "Сертификация программ с целью соответствия законодательству по защите персональных данных" о первичной сертификации 2010 года и в статье "Защита персональных данных - из 2011 в 2013 или изменения длиной в два года" о сертификации, проведенной в 2013 году и продлении сертификата.

Незарегистрированный пользователь : Нужны ли, на ваш взгляд, новые меры для предотвращения утечки персональных данных и повышения уровня их защиты? Если нужны, то какие?

Юрий Контемиров : Для предотвращения утечек персональных данных важен разумный комплексный подход и особое внимание должно быть уделено "человеческому" фактору.

Незарегистрированный пользователь : Есть ли смысл пользоваться ИП и малым предприятиям подобными программными продуктами?

Ирина Баймакова : В соответствии с подп. 3 п. 2 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации является одной из мер по обеспечению безопасности персональных данных при их обработке.

Согласно требованиям Постановления Правительства от 01.11.2012 № 1119 использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации обязательно, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. Таким образом, определить необходимость или отсутствие необходимости применения средств защиты информации, прошедших оценку соответствия, в том числе ЗПК "1С:Предприятия, версия 8.2z" можно на основании модели угроз.

Применение ЗПК "1С:Предприятие, версия 8.2z" позволяет выполнить с наименьшими затратами требования действующего законодательства, описанные выше, а также ряд требований, предусмотренных Приказом ФСТЭК России от 18.02.2013 № 21.

Незарегистрированный пользователь : Какие неблагоприятные последствия может иметь утечка данных? Например, для ИП без наемных работников.

Ирина Баймакова : Основной опасностью является утечка и незаконное распространение персональных данных, что может повлечь негативные последствия для человека, вторжение в его личную жизнь.

Если у ИП нет наемных работников, а, соответственно, не осуществляется обработка ПДн ни работников, ни иных физических лиц, то в данном случае предполагать возможную утечки ПДн вряд ли возможно.

Согласно Федеральному закону от 27.06.2006 № 152-ФЗ "О персональных данных" практически любая информация о физическом лице является персональными данными, а любая организация или индивидуальный предприниматель, обладающие этой информацией, становятся операторами персональных данных. Хотя окончательное вступление в силу названного закона перенесено на 2011 год, ряд требований необходимо соблюдать уже сейчас. О том, что от операторов требует закон, и как к этим требованиям подготовлены программы "1С:Зарплата и Управление Персоналом 8" и "1С:Зарплата и кадры бюджетного учреждения 8"* и пойдет речь в настоящей статье методистов фирмы "1С".

Примечание:
* Механизм доступен в конфигурациях "Зарплата и управление персоналом" 2.5.19 и "Зарплата и кадры бюджетного учреждения" 1.0.8 при использовании платформы "1С:Предприятие" версии 8.2.10

Доступ

личные сведения;
сведения об имуществе;
сведения о доходах.

Управление персональными данными

Как это работает?

Доступ и Отказ в доступе

таблица ,

СведенияОПерсональныхДанных .

Обработка персональных данных в "зарплатных" конфигурациях "1С:Предприятия 8"

Согласно подзаконным актам степень защиты данных зависит от класса информационной системы, который в свою очередь определяется количеством субъектов (в нашем случае физических лиц), количеством организаций и спецификой персональных данных*. Инструментарий конфигураций способен обеспечить защиту персональных данных в соответствии с требованиями Федерального закона от 27.06.2006 № 152-ФЗ (далее - Федеральный закон № 152-ФЗ) к информационным системам классов 3 и 2, в которые и входят большинство систем наших пользователей.

Что мы предлагаем пользователям для "защиты"?

Для защиты персональных данных в информационных системах класса 3 необходимо фиксировать события аутентификации (входа в систему) и отказа от аутентификации, которые по умолчанию включены. Для соответствия требованиям Федерального закона № 152-ФЗ к информационным системам класса 2 необходимо в числе прочего регистрировать события доступа и отказа в доступе к конкретным персональным данным. Иначе говоря, нужно "уметь" ответить на вопросs "Кто, когда, получил доступ к зарплате Иванова?", и "Кто и когда его получить пытался, но не смог" (из-за ограничения прав)?".

В новой версии 8.2.10 платформы "1С:Предприятие 8" добавлены возможности, которые решают эту задачу. А именно: регистрация событий доступа и отказа в доступе к данным и, соответственно, просмотр сведений о зарегистрированных событиях с точностью до полей данных.

Нужно понимать, что регистрация события Доступ довольно ресурсоемкая. И хотя предварительные замеры производительности позволяют утверждать, что не будет заметного пользователю увеличения времени выполняемых операций, однако поскольку результат запроса к защищаемым данным будет фиксироваться вместе с записью о событии, размер журнала регистрации существенно увеличится. Исходя из этого:

с одной стороны, требуется обеспечить соответствие требованиям закону - защитить все области персональных данных;
с другой стороны, необходимо минимизировать потери производительности.

Перед разработчиками прикладного решения встает задача - обеспечить гибкую настройку режима соответствия требованиям Федерального закона № 152-ФЗ. В типовых решениях гибкость настройки достигается за счет:

выделения областей персональных данных;
управления "детальностью" регистрации событий.

Что сделано в "зарплатных" конфигурациях?

Итак, данные, подпадающие под определение "персональные", разбиваются на четыре области:

личные сведения;
сведения об образовании и компетенциях;
сведения об имуществе;
сведения о доходах.

Пользователю (администратору информационной системы) предлагается установить области данных, для которых будет выполняться регистрация событий доступа и отказа в доступе (см. рис. 1).

Рис. 1. Форма настройки режима защиты персональных данных.

Это вовсе не означает, что частично "включив" регистрацию событий, мы "частично" выполняем требования закона. Просто наиболее вероятным кажется сценарий, при котором доступ к таким областям данных, как сведения о доходах, например, находится в руках у очень ограниченного круга лиц и детально регистрировать каждое отдельное событие нет необходимости. В этом случае область данных можно "отключить" и снизить нагрузку на систему.

Регистрация списка лиц при доступе к данным определяет "детальность" сведений о событии. От этой настройки зависит, будет ли в журнале расшифровано "чья именно зарплата была прочитана" или будет указано: "была прочитана зарплата" без расшифровки по записям.

Все события фиксируются в журнале регистрации, но просмотреть новые события в удобной форме "ответов на вопросы" можно в форме Управление персональными данными (см. рис. 2). В форму отбираются: фиксированный набор видов событий, одновременно отражается список объектов и данных субъектов для событий доступа и отказ в доступе. Благодаря отбору по субъекту фактически появляется возможность получить ответ на вопрос: "Кто читал данные Иванова? Петрова? Сидорова?"

Рис. 2. Форма Управление персональными данными.

Еще одна настройка связана с обеспечением конфиденциальности сведений о доходах. Необходимо исключить возможность сотрудников видеть сумму зарплаты коллег. Это может произойти при выплате зарплаты по кассовым ведомостям. Настройка Ограничивать количество сотрудников при печати платежных ведомостей запрещает формирование печатной формы для платежных ведомостей, содержащих больше одного сотрудника. Выплату зарплаты в таком случае следует оформлять при помощи расходного кассового ордера.

В законе упоминается обязанность оператора в ряде случаев уничтожить персональные данные по запросу субъекта. Таким образом, по заявлению физического лица работодатель обязан удалить: данные о его доходах, ИНН, страховой номер ПФР и другие сведения, хранить которые работодателя обязывает законодательство. Учитывая специфику зарплатных конфигураций, принято решение выполнять уничтожение только тех персональных данных, которые не подлежат обязательному хранению. Предполагается, что уничтожение данных может быть выполнено, например, по требованию кандидата, который предоставлял свои сведения на этапе подбора персонала, но в последствии так и не стал сотрудником.

Уничтожение сведений выполняется только пользователем с полными правами в новой форме Управление персональными данными (той же, где и производится просмотр событий) - см. рис. 2. При уничтожении выполняется замена значений защищаемых полей пустыми значениями, иначе говоря, очистка полей, а ссылочная целостность базы данных сохраняется.

Как это работает?

Теперь несколько слов о том, как обеспечивается настройка регистрации новых событий Доступ и Отказ в доступе . Методы объектов платформы, выполняющие установку использования регистрации событий, требуют в качестве параметров: имя таблицы информационной базы, массив полей доступа (защищаемые данные), массив полей регистрации (то есть содержащих сведения о субъекте). Например:

таблица РегистрРасчета.ОсновныеНачисленияРаботниковОрганизаций ,
поля доступа: Показатель1, Показатель2, Показатель3, Показатель4, Показатель5, Показатель6, Результат;
поля регистрации: Сотрудник, Физлицо.

Разумеется, таблиц, в которых содержатся персональные данные, в "зарплатных" конфигурациях немало. Информация о них сведена в таблицу значений, имеющую соответствующие колонки: ИмяТаблицы, ПоляДоступа, ПоляРегистрации. В каждой строке этой таблицы значений содержится информация о ее принадлежности к определенной области данных (одной из четырех), что устанавливает соответствие между данными и настройками режима защиты данных. При включении настройки для области данных выполняется установка использования регистрации событий для таблиц БД, принадлежащих этой области. Таблица значений преобразована в формат XML и в таком виде поставляется в составе конфигурации в макете двоичных данных СведенияОПерсональныхДанных .

Важно отметить, что с помощью появившейся в платформе возможности можно решать далеко не только эту, но и другие задачи контроля доступа к данным.

Не так давно в нашей стране вступил в силу ФЗ «О персональных данных» №152-ФЗ от 26.07.2006. Многие компании, работающие с данными своих сотрудников или с данными своих клиентов, озаботились проблемой соответствия своих Информационных систем персональных данных (ИСПДн) требованиям закона и контролирующих органов (ФСТЭК, ФСБ, Роскомнадзор). Ведь за нарушение закона в соответствии со статьей 24: «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность».

Касается ли 152-ФЗ моей организации

Зачастую руководители компаний говорят: «Да, мы знаем что закон вступил в силу, но мы не являемся Оператором данных, мы не работаем с паспортными и финансовыми данными физических лиц, мы работаем только с данными наших клиентов юридических лиц». Но, даже если у вас нет клиентов физических лиц, вы обрабатываете данные своих сотрудников, паспортные данные которых хранятся, например, в программе 1С. Как защищена эта информация?

Что требуется для выполнения закона

Для того чтобы привести ИСПДн в соответствие с требованиями 152-ФЗ, организации необходимо выполнить ряд мероприятий: - обследование организации на предмет работы с персональными данными; - классификацию ИСПДн; - разработку модели угроз нарушения безопасности данных; - формирование требований по обеспечению безопасности ПДн; - проектирование системы защиты данных; - внедрение системы защиты данных; - аттестацию или декларирование соответствия ИСПДн.

Решение: Защищенная 1Сz на выделенном сервере

Следуя тенденциям рынка и возросшему интересу компаний к защите персональных данных, Офис24, в партнерстве компанией «Алтэкс-софт», предлагает новую услугу, позволяющую закрыть ряд вопросов связанных с приведением ИСПДн в соответствие требованиям Федерального закона № 152 «О персональных данных».

Мы предлагаем в аренду защищённый программно-аппаратный комплекс, включающий в себя "1С:Предприятие 8.2z", построенный с использованием сертифицированного программного обеспечения, отвечающего требованиям ФСТЭК России и ФЗ «О персональных данных» №152-ФЗ от 26.07.2006. Предлагаемая Система предназначена для обработки персональных данных Оператором с использованием средств автоматизации и программного обеспечения 1С и Microsoft, причем работать в Системе могут любые конфигурации 1С. Система создается и настраивается на серверных мощностях компании «Офис24», с использованием программного обеспечения Microsoft, прошедшего сертфикацию в ЗАО «Алтэкс-софт».

Состав услуги и комплект документов

При заключении Договора на построение и обслуживание системы, наша компания занимается установкой и настройкой серверной инфраструктуры, осуществляет формирование комплекта документов, подтверждающих соответствие программного обеспечения и его настроек требованиям контролирующих органов.

В комплект документов, в частности, входят Формуляры на сертифицированное программное обеспечение Microsoft и 1С, промаркированные защитными знаками и копии сертификатов соответствия ФСТЭК России.

В пакет услуг и документов входит:

Аренда сертифицированной операционной системы Windows Server 2008 R2 Standard
Аренда сертифицированной СУБД Microsoft SQL Server 2008 Standard
Установка и настройка сертифицированной платформы 1С:Предприятие 8.2z (преобретается Заказчиком у нашего партнера)
Базовая техническая поддержка и сопровождение сервера и установленного на нем ПО
Оригинал Формуляра на «Защищенный программный комплекс 1С:Предприятие версия 8.2z»*
Копия Сертификата Соответствия для Защищенного программного комплекса 1С:Предприятие версия 8.2z»
Копия Сертификата Соответствия для операционной системы Microsoft Windows Server 2008 R2 в редакциях Standard, Enterprise и Datacenter
Копия Лицензии на использование сертифицированной операционной системы Microsoft Windows Server 2008 R2 в редакциях Standard, Enterprise и Datacenter
Копия Формуляра на операционную систему Microsoft Windows Server 2008 R2 Standard Edition
Копия Сертификата Соответствия для СУБД Microsoft SQL Server 2008 Standard Edition и Enterprise Edition
Копия Лицензии на использование сертифицированной СУБД Microsoft SQL Server 2008 Standard Edition и Enterprise Edition
Копия Формуляра на СУБД Microsoft SQL Server 2008 Standard Edition и Enterprise Edition
Копия Сертификата Соответствия для получения сертифицированных обновлений для операционной системы Microsoft Windows Server 2008 R2 в редакциях Standard, Enterprise и Datacenter

*Защищенный программный комплекс «1С:Предприятие 8.2z» (x86-32) содержит сертифицированную версию технологической платформы «1С:Предприятие 8.2» и комплект документации, включая Формуляр на вашу компанию.

Учет персональных данных – важная составляющая в работе каждой организации. Будь то крупное предприятие или маленькая организация, все они ведут учет клиентов, поставщиков, и в первую очередь своих сотрудников, учитывая и сохраняя персональные данные каждого из них. Таким образом, организация возлагает на себя обязательство за конфиденциальность и сохранность предоставленной ей информации.

Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» закрепляет уровень ответственности организаций нормативными актами. В вышеуказанном законе прописано: «лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность».

1 января 2011 года данный закон претерпел некоторые изменения. В него внесены поправки, появилось несколько новых положений. Согласно одного из основных положений данного закона, все пользователи программ «1С» должны привести в соответствие с требованиями настоящего Федерального закона все информационные системы персональных данных, которые были созданы до 1 января 2010 года.

С начала прошлого года значительно возросли и взыскания с операторов, допускающих нарушения при обработке персональных данных. Информационные системы компаний регулярно подвергаются проверке со стороны соответствующих контролирующих органов власти. В случае обнаружения нарушений, в частности, что сохранность персональных данных не стопроцентная, компании не миновать штрафных санкций.

Как усилить безопасность? Ответ есть.

Для начала попытаемся разобраться, какие трудности могут возникнуть у компаний, сохраняющих персональные данные сотрудников и клиентов.

Итак, первое. Отталкиваясь от норм законодательства, сделаем первые шаги по защите персональных данных, и выполним ряд технических и организационно-распорядительных мероприятий. С учетом уровня развития информационной системы, защищенности доступа к ней пользователей, а также третьих лиц, выстроим индивидуальный комплекс безопасности.

Второе. Вероятно, вам придется пройти сертификацию вашего программного обеспечения (ПО), которое является средством защиты данных (в том случае, если оно еще не сертифицировано). Подскажем, проводят сертификацию уполномоченные операторы (к примеру, ФСТЭК). Программное обеспечение подвергается глубокому исследованию с широким всесторонним анализом, от исполнительного кода до исходных текстов программ. Анализируется уровень контроля не декларированных возможностей ПО.

Как бы сложно и громоздко ни звучало все вышеперечисленное, есть еще несколько важных факторов, влияющих на успешную работу любой организации. Обязаны вы или нет сертифицировать свое программное обеспечение? Все зависит и от класса информационной системы по обработке персональных данных. Всего существует четыре класса систем. Обязательна сертификация только для первого класса, нужна ли она для второго и третьего класса – это определяет специалист-оператор. Информационная система четвертого класса не требует сертификации.

Главное отличие первого класса – наличие сведений о расовой и национальной принадлежности, о политических взглядах и религиозных убеждений, о состоянии здоровья или интимой жизни. Второй случай по которому вашу ИС возможно причислить к первому классу – это хранение сведений более чем о ста тысячах клиентов и сотрудников. Если вы храните анкетные данные сотрудников, или информацию о больничных листах – то ваша система относится к первому классу!

Быть во всеоружии!

Как быть? Можно попробовать сделать все самостоятельно, запастись неистовым терпением, погрузиться в законодательные дебри и героически через них пробираться. Кропотливо изучать юридические и технические термины. И в случае удачи вы поймете, что же теперь делать со своей информационной системой. Тонкостей и вопросов в этом деле будет немало. Например, что делать, если система не проходит сертификацию, срочно менять ее, или оставить? Какое именно программное обеспечение сертифицировать и что такое «не декларированные возможности программного обеспечения»? Голова кругом, а ответов на волнующие вопросы все еще нет?..

Попробуем помочь. Итак, не декларированные возможности? Это означает, что есть возможность «скачать» информацию из вашего программного обеспечения способом, не указанным в его документации.

Сертификации подвергается программное обеспечение, используемое для хранения персональных данных ваших клиентов и сотрудников. Пользуетесь Excel или Word – значит сертифицируйте данные программы. Если вы используете специализированное обеспечение – подвергайте сертификации его.

Но если вы пользуетесь программами «1С»: храните персональные данные, ведете учет информации в программе на платформе «1С:Предприятие» - можем вас успокоить, у вас все в порядке!

Непробиваемая защита от «1С»!

Фирма «1С» не оставляет своих клиентов наедине с проблемами, возникающими из-за нововведений в законодательстве. Совсем недавно компания «1С» выпустила новый продукт – защищенный программный комплекс «1С:Предприятие, версия 8.2z» для защиты информации от несанкционированного доступа к информации. Данный продукт успешно прошел сертификацию ФСТЭК России. Защищенный программный комплекс (ЗПК) «1С:Предприятие, версия 8.2z» утвержден программным средством общего назначения со встроенными средствами защиты информации от несанкционированного доступа (НСД) к информации, не содержащей сведения, составляющие государственную тайну.

Что немаловажно! Каждый экземпляр ЗПК имеет собственный сертификат. И количество защищенных программных комплексов, которые есть в продаже, ограничено. Так как сертификацию прошло ограниченное количество комплексов.

Защищенный программный комплекс состоит из:

непосредственно дистрибутив сертифицированной платформы;

формуляр с контрольной суммой;

регистрационная карточка защищенного продукта;

спецификация;

описание применения;

тестовая документация;

описание программы;

копия сертификата ФСТЭК России (плюс – наклейка ФСТЭК).

Итак, установка защищенного программного комплекса в компании, позволяет использовать все конфигурации работающие на платформе «1С:Предприятие 8.2» (например, «1С:Зарплата и Управление персоналом 8», «1С:Управление производственным предприятием 8» и др.), при создании информационной системы персональных данных любого класса. Дополнительной сертификации прикладных решений не потребуется, поскольку сертифицирована платформа. Не потребуются и отдельные пользовательские лицензии (ключи).

К тому же, ЗПК «1С:Предприятие, версия 8.2z» поддерживает специальный режим совместимости с версиями 8.0 и 8.1. Это позволяет использовать ее с конфигурациями, разработанными для версий 8.0 и 8.1, без внесения изменений в сами конфигурации. В данном режиме прикладные решения, разработанные на платформе «1С:Предприятие» версий 8.0 и 8.1, можно использовать с платформой версии 8.2 без дополнительной переработки.

Поддержка на 100%

Вы пользователь «1С» и клиент Центра комплексного развития бизнеса компании «1С-Архитектор бизнеса»? Вам повезло вдвойне!

Установку сертифицированного ЗПК «1С:Предприятие, версия 8.2z» произведет у вас высококвалифицированный специалист. Работа будет выполнена качественно и в рамках предлагаемых бесплатных часов (2 часа для 32-разрядной версии и 4 часа для 64-разрядной версии).

При желании дополнительно защитить ваши данные, специалисты помогут вам подобрать и установить соответствующее программное обеспечение.

Вы работаете в линейке продуктов «1С:Предприятие 7.7», несовместимых с ЗПК «1С:Предприятие, версия 8.2z»? Пусть вас это не беспокоит. Наши специалисты обладают немалым опытом по переводу клиентов с «7» на «8»!

Мы готовы прийти к вам на помощь! Вне зависимости от объема и сложности поставленных задач! Будь то полный комплекс работ от правильной организации защищенных линий связи, рабочих мест, серверного помещения и до разработки необходимых должностных инструкций, в том числе соответствующего обучения сотрудников вашего предприятия, которые работают с персональной информацией.

Специалисты Центра комплексного развития бизнеса «1С-Архитектора бизнеса» будут рады оказать вам информационную и техническую поддержку.