1s ochrana osobních údajů UPP

Na stránkách časopisu jsme opakovaně psali o nutnosti přijmout organizační opatření v souladu s federálním zákonem č. 152-FZ ze dne 27. července 2006 „O osobních údajích“. Od 1. ledna 2011 nabude tento zákon plnou účinnost a v souladu s tím budou organizacím přiděleny další povinnosti k zajištění ochrany osobních údajů. Mezi nimi je potřeba sledovat absenci nedeklarovaných schopností softwaru pro bezpečnost informací. V navrhovaném článku I.A. Baymakova (metodika 1C) odpoví na nejčastější dotazy uživatelů softwarových produktů 1C.

Do 1. ledna 2011, kdy vstoupí v platnost datum „O osobních údajích“ (dále jen spolkový zákon č. 152-FZ), již mnoho času nezbývá. Stále více provozovatelů osobních údajů, což jsou téměř všechny organizace a podnikatelé, plánuje a provádí soubor činností, aby vyhovělo požadavkům tohoto zákona a nařízení.

1) Jaké regulační právní akty stanoví certifikaci?
2) Kdo a kdy potřebuje certifikovaný software používat?
3) Kdo může certifikovat software?
4) Stačí k zajištění ochrany osobních údajů používání certifikovaného programu?

Certifikace programů za účelem souladu s legislativou o ochraně osobních údajů

Do 1. ledna 2011, dne plného účinnosti federálního zákona ze dne 27. července 2006 č. 152-FZ „o osobních údajích“ (dále jen spolkový zákon č. 152-FZ) nezbývá mnoho času. ). Stále více provozovatelů osobních údajů, což jsou téměř všechny organizace a podnikatelé, plánuje a provádí soubor činností, aby vyhovělo požadavkům tohoto zákona a nařízení.

Uživatelé softwarových produktů 1C se zajímají o to, zda je softwarový produkt, který používají, certifikovaný. V tomto článku na tuto otázku odpovíme, ale nejprve se pokusíme na problém podívat trochu hlouběji a zvážit následující otázky:

Dne 29. května 2014 se v Moskvě konala přednáška v 1C:Lecture Hall (Moskva, Seleznevskaya St., 34). Naši čtenáři, kteří se přednášky nemohli zúčastnit, zaslali své dotazy v rámci stejnojmenné online konference. Během akce Yuri Kontemirov, vedoucí oddělení pro ochranu práv subjektů osobních údajů Roskomnadzor, a Irina Baimakova, expertka z 1C, odpovídali na otázky týkající se ochrany osobních údajů a také analyzovali hlavní chyby zjištěné Roskomnadzorem během akce. kontrolní činnosti.

Uživatel kot : 1C:Enterprise 8.2z pro malé a střední podniky. Medicína, státní zaměstnanci, armáda...? Pro koho a k čemu je tato platforma potřebná? V uživatelském režimu by to mělo být pohřbeno pod přístupovými právy. Z připojení třetí strany pomocí DBMS?

Už 4 roky tuším, že jde o jednoduché čerpání peněz podobné „problému Y2K“. Když jsi přišel, spustil na počítači program, ten něco udělal, řekl jsi, že je vše v pořádku a dostal jsi zaplaceno.

Irina Baimaková : Požadavky federálního zákona „O osobních údajích“ se vztahují na všechny provozovatele osobních údajů, tzn. jakékoli organizace, ve kterých dochází ke zpracování osobních údajů. Ano, požadavky na ochranu osobních údajů se mohou v závislosti na kategorii údajů a jejich objemu výrazně lišit.

: Co je na verzi 8.2z tak zvláštního? Proč jsou v něm osobní údaje chráněny a co je z hlediska ochrany osobních údajů v jiných verzích osmi programů špatně?

Irina Baimaková : ZPK "1C:Enterprise, verze 8.2z" - certifikovaná verze technologické platformy 1C:Enterprise 8.2. Mezi certifikovanou verzí a běžnou verzí nejsou žádné funkční rozdíly. Vylepšení provedená s ohledem na požadavky ruského FSTEC byla implementována v běžné i certifikované verzi technologické platformy.

Použití ZPC „1C:Enterprise, verze 8.2z“ vám umožňuje splnit požadavek stanovený v článku 2 článku 19 federálního zákona „o osobních údajích“ týkající se povinného používání nástrojů zabezpečení informací, které prošly hodnocením souladu v ve vztahu k osobním údajům zpracovávaným pomocí softwarových produktů 1C.

Neregistrovaný uživatel : Opravdu si nedovedu představit, jak se program může stát všelékem v oblasti ochrany osobních údajů. Ale co ten notoricky známý lidský faktor? V programu přece pracují lidé.

Irina Baimaková : V tomto případě nemůžeme říci, že program je všelékem. Zabezpečený softwarový balík „1C:Enterprise, verze 8.2z“ je jedním ze „stavebních kamenů“, které vám umožní vybudovat systém zabezpečení informací a zajistit soulad s požadavky aktuální legislativy Ruské federace v oblasti osobních údajů. ochrana.

Neregistrovaný uživatel : Vyskytly se nějaké případy úniku dat chráněných 1s?

Irina Baimaková : Taková data nemám.

Neregistrovaný uživatel : Nese 1C nějakou odpovědnost za ztrátu a únik dat?

Irina Baimaková : Odpovědnost za ztrátu dat nese provozovatel osobních údajů.

Neregistrovaný uživatel : Kdo potřebuje používat ZPK "1C:Enterprise, 8.2z"? Co je součástí dodávky ZPK?

Irina Baimaková

Sada ZPK "1C:Enterprise, verze 8.2z" obsahuje distribuční sadu technologické platformy, formulář a dokumentaci.

Neregistrovaný uživatel : Jaké další softwarové produkty lze použít k ochraně osobních údajů?

Irina Baimaková : Na trhu existuje značné množství nástrojů pro bezpečnost informací. Potřeba použití konkrétního produktu závisí na zjištěných aktuálních hrozbách a požadavcích na ochranu osobních údajů konkrétního provozovatele.

Neregistrovaný uživatel : Jaká hlavní potenciální nebezpečí vidíte pro osobní údaje? Co přesně ochrana zaručuje nebo vylučuje?

Jurij Kontemirov : Hlavním nebezpečím je únik a nelegální šíření osobních údajů, které může mít pro člověka negativní důsledky a zásah do jeho osobního života. Skutečnou ochranu osobních údajů je možné zaručit pouze integrovaným přístupem k organizaci informační bezpečnosti se zvláštním zřetelem na „lidský“ faktor.

Neregistrovaný uživatel : Setkávají se podle vás malé firmy často s úniky účetních dat?

Jurij Kontemirov : Bohužel o tomto problému nemám žádné informace.

Neregistrovaný uživatel : Proč se „1C:Enterprise 8.2z“ nazývá bezpečný? Jaký je jeho zásadní rozdíl od ostatních produktů?

Irina Baimaková : V tomto případě je „chráněno“ jméno, tzn. testováno zkušební laboratoří na nepřítomnost nedeklarovaných schopností a shodu s dalšími požadavky stanovenými FSTEC Ruska.

ZPK "1C:Enterprise, verze 8.2z" je speciální produkt splňující požadavky současné legislativy o osobních údajích organizací a podnikatelů používajících softwarové produkty 1C.

Uživatel Kaufen : Organizace zakoupila ZPK "1C:Enterprise 8.2z". Jaké jsou hlavní rozdíly mezi platformou a 1C:Enterprise 8.2, kromě přítomnosti certifikátu FSTEC? Setkal se někdo s takovou platformou?

Hlavním rozdílem je, že certifikovaná verze byla testována zkušebnou a potvrzuje shodu s požadavky uvedenými v certifikátu a obsahuje také kontrolní součty uvedené ve formuláři ZPK „1C:Enterprise, verze 8.2z“.

Neregistrovaný uživatel : Jsme rozpočtová instituce. Existuje modifikace ZPK "1C:Enterprise 8.2z" speciálně pro státní zaměstnance a kolik stojí podporovaná verze?

Irina Baimaková : ZPK „1C:Enterprise, verze 8.2z“ je certifikovaná verze technologické platformy 1C:Enterprise 8.2, kterou lze použít s libovolnými standardními konfiguracemi, včetně pro rozpočtové instituce (například „1C: Platy a zaměstnanci vlády instituce", " 1C: Účetnictví státní instituce").

Postup prodeje a aktualizace ZPK 1C: Enterprise verze 8.2z" je definován v informačním dopise společnosti 1C č. 12891. Najdete jej na následujícím odkazu - http://1c.ru/news/info.jsp ?id=12891

Neregistrovaný uživatel : Oznámení o přednášce a online konferenci hovoří o hlavních chybách zjištěných Roskomnadzorem při provádění kontrolní činnosti. Zajímalo by mě o tom více, jaké chyby oddělení nejčastěji zjišťuje?

Jurij Kontemirov : Nejtypičtější porušení zákona zjištěná během kontrolních akcí Roskomnadzoru se odrážejí ve výročních zprávách zveřejněných na webových stránkách agentury.

Neregistrovaný uživatel : Řekněte nám prosím o certifikaci ZPK „1C:Enterprise, verze 8.2z“.

Irina Baimaková : Otázky týkající se účelů, postupu, výsledků certifikace prováděné společností 1C jsou podrobně diskutovány a prezentovány na webových stránkách buh.ru, včetně článku „Certifikace programů za účelem souladu s právními předpisy o ochraně osobních údajů údaje“ o primární certifikaci v roce 2010 a v článku „Ochrana osobních údajů – od roku 2011 do roku 2013 nebo dvouleté změny“ o certifikaci provedené v roce 2013 a obnově certifikátu.

Neregistrovaný uživatel : Jsou podle Vás potřeba nová opatření k zamezení úniku osobních údajů a zvýšení úrovně jejich ochrany? V případě potřeby jaké?

Jurij Kontemirov : Aby se zabránilo úniku osobních údajů, je důležitý rozumný integrovaný přístup a zvláštní pozornost by měla být věnována „lidskému“ faktoru.

Neregistrovaný uživatel : Má smysl pro jednotlivé podnikatele a malé firmy používat podobné softwarové produkty?

Irina Baimaková : V souladu s pod. 3 bod 2 článku 19 federálního zákona ze dne 27. července 2006 č. 152-FZ „O osobních údajích“ je jedním z opatření použití prostředků zabezpečení informací, které prošly postupem posuzování shody v souladu se zavedeným postupem. k zajištění bezpečnosti osobních údajů při jejich zpracování.

Podle požadavků nařízení vlády č. 1119 ze dne 1. listopadu 2012 je používání nástrojů informační bezpečnosti, které prošly postupem pro posouzení souladu s požadavky legislativy Ruské federace v oblasti informační bezpečnosti, povinné, když použití těchto prostředků je nezbytné k neutralizaci současných hrozeb. Je tak možné určit potřebu nebo nedostatek potřeby používat nástroje zabezpečení informací, které prošly hodnocením shody, včetně ZPK „1C:Enterprise, verze 8.2z“ na základě modelu hrozby.

Použití ZPK "1C:Enterprise, verze 8.2z" vám umožňuje za nejnižší cenu splnit požadavky současné legislativy popsané výše, stejně jako řadu požadavků stanovených nařízením Federální služby pro technickou a exportní kontrolu. Ruska ze dne 18. února 2013 č. 21.

Neregistrovaný uživatel : Jaké nepříznivé důsledky může mít únik dat? Například pro jednotlivé podnikatele bez zaměstnanců.

Irina Baimaková : Hlavním nebezpečím je únik a nelegální šíření osobních údajů, které může mít pro člověka negativní důsledky a zásah do jeho osobního života.

Pokud jednotlivý podnikatel nemá zaměstnance, a tudíž nezpracovává osobní údaje zaměstnanců ani jiných fyzických osob, pak lze v tomto případě jen stěží předpokládat možný únik osobních údajů.

Podle federálního zákona ze dne 27. června 2006 č. 152-FZ „O osobních údajích“ jsou téměř všechny informace o jednotlivci osobními údaji a jakákoli organizace nebo jednotlivý podnikatel vlastnící tyto informace se stává provozovatelem osobních údajů. Přestože definitivní nabytí účinnosti tohoto zákona bylo odloženo na rok 2011, řada požadavků musí být splněna již nyní. Co zákon vyžaduje od provozovatelů a jak jsou programy „1C: Platy a personální management 8“ a „1C: Platy a personál rozpočtové instituce 8“* připraveny tak, aby tyto požadavky splnily, rozeberou v tomto článku metodici společnost „1C“.

Poznámka:
* Mechanismus je dostupný v konfiguracích „Platy a personální management“ 2.5.19 a „Platy a personál rozpočtové instituce“ 1.0.8 při použití platformy 1C:Enterprise verze 8.2.10

Přístup

osobní informace;
informace o majetku;
informace o příjmech.

Správa osobních údajů

Jak to funguje?

Přístup A Přístup odepřen

stůl ,

Informace o osobních údajích.

Zpracování osobních údajů v „platových“ konfiguracích „1C:Enterprise 8“

Dle stanov je míra ochrany údajů závislá na třídě informačního systému, která je zase dána počtem subjektů (v našem případě fyzických osob), počtem organizací a specifiky osobních údajů* . Sada konfiguračních nástrojů je schopna zajistit ochranu osobních údajů v souladu s požadavky spolkového zákona č. 152-FZ ze dne 27. června 2006 (dále jen spolkový zákon č. 152-FZ) pro informační systémy tříd 3 a 2, které zahrnují většinu systémů našich uživatelů.

Co nabízíme uživatelům k „ochraně“?

Pro ochranu osobních údajů v informačních systémech třídy 3 je nutné evidovat události autentizace (přihlášení) a odmítnutí autentizace, které jsou standardně povoleny. Pro splnění požadavků federálního zákona č. 152-FZ pro informační systémy třídy 2 je mimo jiné nutné evidovat události přístupu a odepření přístupu ke konkrétním osobním údajům. Jinými slovy, musíte „umět“ odpovědět na otázky „Kdo, kdy získal přístup k Ivanovovu platu?“ a „Kdo se jej pokusil získat a kdy, ale nemohl“ (kvůli omezeným právům)?

Nová verze 8.2.10 platformy 1C:Enterprise 8 přidala funkce, které tento problém řeší. Jmenovitě: registrace událostí přístupu a odepření přístupu k datům a v souladu s tím zobrazení informací o registrovaných událostech s přesností na datová pole.

Musíte pochopit, že registrace události Přístup poměrně náročné na zdroje. A přestože předběžná měření výkonu naznačují, že nedojde k žádnému znatelnému prodloužení doby provedených operací uživatelem, ale protože výsledek požadavku na chráněná data bude zaznamenán spolu se záznamem události, velikost protokolu se výrazně zvětší . Na základě toho:

na jedné straně je povinna zajistit dodržování zákonných požadavků – chránit všechny oblasti osobních údajů;
na druhou stranu je nutné minimalizovat ztráty produktivity.

Vývojáři aplikačního řešení stojí před úkolem zajistit flexibilní konfiguraci režimu souladu s požadavky federálního zákona č. 152-FZ. Ve standardních řešeních je flexibilita konfigurace dosažena prostřednictvím:

zvýraznění oblastí osobních údajů;
správa „podrobností“ registrace události.

Co bylo provedeno v „platových“ konfiguracích?

Údaje, které spadají pod definici „osobního“, jsou tedy rozděleny do čtyř oblastí:

osobní informace;
informace o vzdělání a kompetencích;
informace o majetku;
informace o příjmech.

Uživatel (administrátor informačního systému) je vyzván k nastavení datových oblastí, pro které se budou zaznamenávat události přístupu a odepření přístupu (viz obr. 1).

Rýže. 1. Formulář pro nastavení režimu ochrany osobních údajů.

To vůbec neznamená, že částečným „umožněním“ registrace akcí „částečně“ splňujeme požadavky zákona. Nejpravděpodobnějším scénářem se jen zdá, že přístup k datovým oblastem, jako jsou například informace o příjmech, je v rukou velmi omezeného okruhu lidí a není třeba podrobně zaznamenávat každou jednotlivou událost. V tomto případě lze datovou oblast „vypnout“ a snížit tak zátěž systému.

Evidence seznamu osob při přístupu k datům určuje „podrobnost“ informací o akci. Toto nastavení určuje, zda deník dešifruje „čí mzda byla přečtena“ nebo zda bude indikovat: „mzda byla přečtena“ bez dekódování záznamů.

Všechny události jsou zaznamenány v registračním deníku, ale nové události si můžete prohlédnout pohodlnou formou „odpovědí na otázky“ ve formuláři Správa osobních údajů(viz obr. 2). Formulář vybírá: pevnou množinu typů událostí, zároveň se promítne seznam objektů a předmětová data pro události přístupu a odepření přístupu. Díky výběru podle předmětu je vlastně možné získat odpověď na otázku: "Kdo četl data Ivanova? Petrov? Sidorov?"

Rýže. 2. Formulář pro správu osobních údajů.

Další nastavení souvisí se zajištěním důvěrnosti informací o příjmech. Je nutné vyloučit možnost zaměstnanců vidět výši platů svých kolegů. To se může stát při výplatě mezd pomocí registračních pokladen. Nastavení Omezte počet zaměstnanců při tisku výplatních pásek zakazuje vytváření tištěného formuláře pro mzdové listy obsahující více než jednoho zaměstnance. V tomto případě by výplata mezd měla být provedena pomocí výdajového pokladního příkazu.

Zákon zmiňuje povinnost provozovatele v řadě případů osobní údaje na žádost subjektu zlikvidovat. Zaměstnavatel je tak na žádost fyzické osoby povinen vymazat: údaje o jejím příjmu, daňové identifikační číslo, číslo pojištění Penzijního fondu a další údaje, které je zaměstnavatel povinen uchovávat ze zákona. S ohledem na specifika platových konfigurací bylo rozhodnuto zničit pouze ty osobní údaje, které nepodléhají povinnému ukládání. Předpokládá se, že zničení údajů může být provedeno například na žádost uchazeče, který poskytl své informace ve fázi náboru, ale následně se nestal zaměstnancem.

Likvidaci informací provádí pouze uživatel s plnými právy v nové podobě Správa osobních údajů(stejné místo, kde se prohlížejí události) - viz obr. 2. Při zničení jsou hodnoty chráněných polí nahrazeny prázdnými hodnotami, jinými slovy, pole jsou vymazána a referenční integrita databáze je zachována.

Jak to funguje?

Nyní pár slov o tom, jak nakonfigurovat registraci nových událostí Přístup A Přístup odepřen. Metody objektů platformy, které nastavují použití registrace událostí, vyžadují jako parametry: název tabulky databáze, pole přístupových polí (chráněná data), pole registračních polí (tj. obsahujících informace o subjektu). Například:

stůl Registr kalkulací Základní časové rozlišení zaměstnanců organizací,
přístupová pole: Indikátor1, Indikátor2, Indikátor3, Indikátor4, Indikátor5, Indikátor6, Výsledek;
registrační pole: Zaměstnanec, Jednotlivec.

Samozřejmě existuje mnoho tabulek obsahujících osobní údaje v „platových“ konfiguracích. Informace o nich jsou shrnuty v tabulce hodnot, která má odpovídající sloupce: TableName, AccessFields, RegistrationFields. Každý řádek této tabulky hodnot obsahuje informace o jeho příslušnosti ke konkrétní datové oblasti (jedné ze čtyř), což vytváří shodu mezi daty a nastavením režimu ochrany dat. Když povolíte nastavení pro datovou oblast, nastaví se na použití protokolování událostí pro databázové tabulky, které do této oblasti patří. Tabulka hodnot byla převedena do formátu XML a je dodávána jako taková jako součást konfigurace v rozložení binárních dat Informace o osobních údajích.

Je důležité si uvědomit, že s pomocí příležitosti, která se objevila v platformě, můžete vyřešit nejen toto, ale i další problémy kontroly přístupu k datům.

Není to tak dávno, co v naší zemi vstoupil v platnost federální zákon „O osobních údajích“ č. 152-FZ ze dne 26. července 2006. Mnoho společností, které pracují s daty svých zaměstnanců nebo s daty svých klientů, se potýká s problémem souladu svých Informačních systémů osobních údajů (PDIS) s požadavky právních předpisů a regulačních orgánů (FSTEK, FSB, Roskomnadzor). Za porušení zákona v souladu s článkem 24 skutečně platí: „Osoby, které se provinily porušením požadavků tohoto federálního zákona, nesou občanskoprávní, trestní, správní, disciplinární a jinou odpovědnost stanovenou právními předpisy Ruské federace.“

Vztahuje se 152-FZ na moji organizaci?

Manažeři společností často říkají: „Ano, víme, že zákon vstoupil v platnost, ale nejsme Provozovatelem údajů, nepracujeme s pasovými a finančními údaji fyzických osob, pracujeme pouze s údaji klientů našich právnických osob. .“ Ale i když nemáte jednotlivé klienty, zpracováváte údaje svých zaměstnanců, jejichž pasová data jsou uložena například v programu 1C. Jak jsou tyto informace chráněny?

Co je nutné k dodržení zákona

Pro uvedení ISPD do souladu s požadavky 152-FZ musí organizace provést řadu činností: - průzkum organizace na téma práce s osobními údaji; - klasifikace ISPDn; - vývoj modelu hrozeb pro porušení zabezpečení dat; - tvorba požadavků na zajištění bezpečnosti osobních údajů; - návrh systému ochrany údajů; - zavedení systému ochrany údajů; - osvědčení nebo prohlášení o shodě s ISPD.

Řešení: Chráněno 1Cz na dedikovaném serveru

V návaznosti na trendy na trhu a zvýšený zájem firem o ochranu osobních údajů nabízí Office24 ve spolupráci se společností Altex-soft novou službu, která nám umožňuje vyřešit řadu problémů souvisejících s uvedením ISPD do souladu s požadavky federálního zákona. č. 152 „O osobních údajích“.

Nabízíme k pronájmu bezpečný softwarový a hardwarový komplex, včetně "1C:Enterprise 8.2z", postavený pomocí certifikovaného softwaru, který splňuje požadavky FSTEC Ruska a federálního zákona "O osobních údajích" č. 152-FZ ze dne 26. července, 2006. Navrhovaný Systém je navržen pro zpracování osobních údajů Provozovatelem pomocí automatizačních nástrojů a softwaru 1C a Microsoft a v Systému může fungovat jakákoliv konfigurace 1C. Systém je vytvořen a konfigurován na serverových zařízeních společnosti Office24 pomocí softwaru Microsoft certifikovaného společností Altex-Soft CJSC.

Složení služby a souboru dokumentů

Při uzavírání Smlouvy o výstavbě a údržbě systému naše společnost nainstaluje a nakonfiguruje serverovou infrastrukturu a vygeneruje soubor dokumentů potvrzujících soulad softwaru a jeho nastavení s požadavky regulačních orgánů.

Sada dokumentů obsahuje zejména formuláře pro certifikovaný software Microsoft a 1C, označené bezpečnostními značkami a kopie certifikátů shody FSTEC Ruska.

Balíček služeb a dokumentů obsahuje:

Pronájem certifikovaného operačního systému Windows Server 2008 R2 Standard
Pronájem certifikovaného Microsoft SQL Server 2008 Standard DBMS
Instalace a konfigurace certifikované platformy 1C:Enterprise 8.2z (zakoupené zákazníkem od našeho partnera)
Základní technická podpora a údržba serveru a na něm nainstalovaného softwaru
Původní formulář pro „Secure softwarový balíček 1C:Enterprise verze 8.2z“*
Kopie certifikátu shody pro zabezpečený softwarový balíček 1C:Enterprise verze 8.2z"
Kopie certifikátu shody pro operační systém Microsoft Windows Server 2008 R2 v edicích Standard, Enterprise a Datacenter
Kopie licence k používání certifikovaného operačního systému Microsoft Windows Server 2008 R2 v edicích Standard, Enterprise a Datacenter
Kopie formuláře pro operační systém Microsoft Windows Server 2008 R2 Standard Edition
Kopie certifikátu shody pro DBMS Microsoft SQL Server 2008 Standard Edition a Enterprise Edition
Kopie licence k užívání certifikovaného DBMS Microsoft SQL Server 2008 Standard Edition a Enterprise Edition
Kopie formuláře na Microsoft SQL Server 2008 Standard Edition a Enterprise Edition DBMS
Kopie certifikátu o shodě pro příjem certifikovaných aktualizací pro operační systém Microsoft Windows Server 2008 R2 v edicích Standard, Enterprise a Datacenter

*Bezpečný softwarový balíček „1C:Enterprise 8.2z“ (x86-32) obsahuje certifikovanou verzi technologické platformy „1C:Enterprise 8.2“ a sadu dokumentace, včetně formuláře pro vaši společnost.

Účtování osobních údajů je důležitou součástí práce každé organizace. Ať už jde o velký podnik nebo malou organizaci, všichni vedou evidenci klientů, dodavatelů a především svých zaměstnanců, přičemž zohledňují a uchovávají osobní údaje každého z nich. Organizace tak přebírá závazek za důvěrnost a bezpečnost informací, které jí byly poskytnuty.

Federální zákon č. 152-FZ ze dne 27. července 2006 „O osobních údajích“ stanoví úroveň odpovědnosti organizací v předpisech. Výše uvedený zákon uvádí: „osoby, které se provinily porušením požadavků tohoto federálního zákona, nesou občanskoprávní, trestní, správní, disciplinární a jinou odpovědnost stanovenou právními předpisy Ruské federace“.

K 1. lednu 2011 doznal tento zákon některých změn. Byl pozměněn a objevilo se několik nových ustanovení. Podle jednoho z hlavních ustanovení tohoto zákona musí všichni uživatelé programů 1C uvést všechny informační systémy osobních údajů, které byly vytvořeny před 1. lednem 2010, do souladu s požadavky tohoto federálního zákona.

Od začátku loňského roku se také výrazně zvýšily sankce od provozovatelů, kteří se dopustí porušení při zpracování osobních údajů. Informační systémy společností jsou pravidelně kontrolovány příslušnými regulačními orgány. V případě zjištění porušení, zejména toho, že zabezpečení osobních údajů není stoprocentní, společnost sankcím neunikne.

Jak posílit bezpečnost? Existuje odpověď.

Nejprve si zkusme přijít na to, s jakými potížemi se mohou firmy setkat při ukládání osobních údajů zaměstnanců a klientů.

Takže první věc. Na základě právních norem učiníme první kroky k ochraně osobních údajů a provedeme řadu technických, organizačních a administrativních opatření. S ohledem na úroveň rozvoje informačního systému, zabezpečení přístupu k němu pro uživatele i třetí strany vybudujeme individuální bezpečnostní komplex.

Druhý. Pravděpodobně budete muset získat certifikaci pro váš software pro zabezpečení dat (pokud již certifikován není). Řekneme vám, zda autorizovaní provozovatelé provádějí certifikaci (například FSTEC). Software je podroben hloubkovému výzkumu s rozsáhlou komplexní analýzou, od výkonného kódu až po zdrojový kód programů. Je analyzována úroveň kontroly nedeklarovaných funkcí softwaru.

Bez ohledu na to, jak složitě a těžkopádně může vše výše uvedené znít, existuje několik dalších důležitých faktorů, které ovlivňují úspěšné fungování jakékoli organizace. Jste povinni či nikoli certifikovat svůj software? Vše závisí na třídě informačního systému pro zpracování osobních údajů. Celkem existují čtyři třídy systémů. Certifikace je vyžadována pouze pro první třídu, zda je potřeba pro druhou a třetí třídu, určí odborný operátor. Informační systém čtvrté třídy nevyžaduje certifikaci.

Hlavním rozdílem první třídy je dostupnost informací o rase a národnosti, politických názorech a náboženském přesvědčení, zdravotním stavu nebo intimním životě. Druhým případem, kdy lze vaši IP zařadit do první třídy, je ukládání informací o více než sto tisících klientech a zaměstnancích. Pokud uchováváte osobní údaje zaměstnanců, případně informace o nemocenské, pak váš systém patří do první třídy!

Buďte plně připraveni!

Co bych měl dělat? Můžete se pokusit udělat vše sami, zásobit se zběsilou trpělivostí, ponořit se do legislativní džungle a hrdinně se jí probít. Pečlivě studujte právní a technické termíny. A pokud budete úspěšní, pochopíte, co nyní s vaším informačním systémem dělat. V této záležitosti bude mnoho jemností a otázek. Co například dělat, když systém neprojde certifikací, urychleně jej změníte nebo jej opustíte? Jaký druh softwaru by měl být certifikován a jaké jsou „nedeklarované softwarové schopnosti“? Točí se vám hlava, ale stále nemáte odpovědi na vaše naléhavé otázky?...

Zkusme pomoci. Takže nedeklarované schopnosti? To znamená, že je možné „stáhnout“ informace z vašeho softwaru způsobem, který není uveden v jeho dokumentaci.

Software používaný k ukládání osobních údajů vašich klientů a zaměstnanců podléhá certifikaci. Pokud používáte Excel nebo Word, pak tyto programy certifikujte. Pokud používáte specializovaný software, nechte si jej certifikovat.

Ale pokud používáte programy 1C: ukládejte osobní údaje, veďte záznamy o informacích v programu na platformě 1C:Enterprise – můžeme vás uklidnit, vše je s vámi v pořádku!

Neproniknutelná ochrana od 1C!

Společnost 1C nenechává své klienty v klidu s problémy vznikajícími v důsledku inovací v legislativě. Společnost 1C nedávno vydala nový produkt – zabezpečený softwarový balíček „1C:Enterprise, verze 8.2z“ na ochranu informací před neoprávněným přístupem k informacím. Tento produkt úspěšně prošel certifikací FSTEC Ruska. Zabezpečený softwarový balíček (SCP) „1C:Enterprise, verze 8.2z“ je schválen jako univerzální software s vestavěnými prostředky na ochranu informací před neoprávněným přístupem (NSD) k informacím, které neobsahují informace představující státní tajemství.

Co není méně důležité! Každá kopie PPC má svůj vlastní certifikát. A počet chráněných softwarových systémů, které jsou v prodeji, je omezený. Vzhledem k tomu, že omezený počet komplexů prošel certifikací.

Chráněný softwarový balík se skládá z:

přímá distribuce certifikované platformy;

formulář s kontrolním součtem;

registrační karta chráněného produktu;

Specifikace;

popis aplikace;

zkušební dokumentace;

popis programu;

kopii certifikátu FSTEC Ruska (plus nálepku FSTEC).

Instalace zabezpečeného softwarového balíčku ve společnosti vám tedy umožňuje používat při vytváření osobních datový informační systém libovolné třídy. Dodatečná certifikace aplikačních řešení nebude vyžadována, protože platforma je certifikována. Nebudou vyžadovány ani samostatné uživatelské licence (klíče).

Kromě toho ZPK "1C:Enterprise, verze 8.2z" podporuje speciální režim kompatibility s verzemi 8.0 a 8.1. To umožňuje použití s konfiguracemi vyvinutými pro verze 8.0 a 8.1 bez provádění změn v konfiguracích samotných. V tomto režimu lze aplikační řešení vyvinutá na platformě 1C:Enterprise verze 8.0 a 8.1 používat s platformou verze 8.2 bez dalšího zpracování.

100% podpora

Jste uživatelem 1C a klientem Centra komplexního rozvoje podnikání společnosti 1C-Business Architect? Máte dvojnásobné štěstí!

Instalaci certifikovaného bezpečnostního systému „1C:Enterprise, verze 8.2z“ provede vysoce kvalifikovaný odborník. Práce budou provedeny ve vysokém standardu a v rámci nabízených volných hodin (2 hodiny u 32bitové verze a 4 hodiny u 64bitové verze).

Pokud chcete svá data dále chránit, naši specialisté vám pomohou vybrat a nainstalovat vhodný software.

Pracujete v produktové řadě 1C:Enterprise 7.7, která není kompatibilní se softwarem 1C:Enterprise, verze 8.2z? Nenech se tím trápit. Naši specialisté mají bohaté zkušenosti s převodem klientů ze „7“ na „8“!

Jsme připraveni vám přijít na pomoc! Bez ohledu na objem a složitost úkolů! Ať už se jedná o celou škálu prací od správné organizace bezpečných komunikačních linek, pracovních stanic, serveroven až po vypracování potřebných náplní práce, včetně vhodných školení pro zaměstnance vaší společnosti, kteří pracují s osobními informacemi.

Specialisté z 1C-Business Architect Center for Comprehensive Business Development vám rádi poskytnou informace a technickou podporu.