Защита персональных данных 1с. Что мы предлагаем пользователям для "защиты"

Вступивший в силу Федеральный закон №152 «О персональных данных» обязал все предприятия обзавестись информационными системами для обработки и хранения этих данных или привести уже существующие системы в соответствие с требованиями закона.

Не все компании понимают, что они так или иначе связаны с обработкой персональной информации. Даже если вы не работаете с паспортными или финансовыми данными ваших клиентов, то всё равно храните информацию о сотрудниках. Закон предусматривает и этот случай: необходимо организовать защиту персональных данных в «1С:Предприятие» и «1С:Бухгалтерия».

Сделать это самостоятельно очень сложно. Понадобится:

• Получить согласие на обработку персональных данных в 1С.
• Выстроить информационную систему защиты информации.
• Доказать её эффективность, то есть пройти проверки вышестоящих инстанций.
• Регулярно обновлять и поддерживать систему в рабочем состоянии, что требует вложений времени, средств и сил.

Недорогое решение проблемы хранения персональных данных

Компания Smart Office предлагает недорогое и удобное решение по защите персональных данных в документообороте 1С – защищённый виртуальный сервер с установленной 1С в облаке.

Преимущества такого решения очевидны:

1. Вы освобождаете себя от необходимости самостоятельно настраивать информационную систему для хранения и обработки персональных данных в 1С. Мы передаём в ваше ведение полностью готовую схему, соответствующую требованиям Федерального закона №152.
2. Вы получаете виртуальный, хорошо защищённый сервер с установленной 1С. Доступ к ней осуществляется через облако, поэтому вам не придётся дополнительно приобретать это ПО для каждого компьютера.
3. Мы предоставляем компетентную помощь в установке и настройке серверной инфраструктуры. Также вы получаете квалифицированную техническую поддержку.

Воспользуйтесь нашей услугой и занимайтесь обработкой персональных данных в 1С, не боясь нарушить закон. Оформите заказ через сайт или по телефону.

Проблема защиты персональных данных постоянно усугубляется проникновением технических средств обработки и передачи информации во все сферы нашей жизни. Особо актуальна данная проблема для частных и государственных организаций, активно применяющих системы финансового и кадрового учета.

Федеральный закон № 152-ФЗ регулирует отношения, связанные с обработкой персональных данных, осуществляемой операторами персональных данных, с использованием или без использования средств автоматизации.

Согласно 152-му закону под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации субъекту персональных данных (физическому лицу). В частности: ФИО, год, месяц, дата рождения, адрес, семейное и социально-имущественное положение, образование, профессия и доходы.

В нашей стране самыми популярными системами бухгалтерского и кадрового учета, ведения продаж, CRM процессов являются продукты компании "1С", такие как: "1С:Предприятие", "1С:Бухгалтерия", "1С:Зарплата и управление персоналом", "1С:Зарплата и кадры бюджетного учреждения" и т.д.

Файловые базы данных продуктов 1С легко доступны для всех пользователей и как следствие любой пользователь, имеющий право работать в 1С, может скопировать все данные и таким образом подвести организацию под нарушение 152-ФЗ.

Даже если продукт 1С, настроен для работы с базами данных, расположенными в SQL-сервере (Microsoft SQL Server или PostgreSQL), есть опасность кражи персональных данных через экспорт информации во внешние файлы и последующее их копирование на мобильные носители (USB-диски, флешки, карты памяти), в сетевое облачно хранилище, либо отправку по электронной почте, Скайпу или Telegram.

Кроме того, не стоит забывать о возможности "снимать скриншоты" (делать снимки экранов) и переносить данные из 1С в сторонний файл через буфер обмена. Это один из самых распространенных способов кражи конфиденциальных данных из информационных систем.

DeviceLock DLP позволяет предотвращать утечки данных в момент, когда пользователь копирует конфиденциальную информацию между документами и приложениями через буфер обмена (клипборд). Гибко настраиваемые политики DeviceLock DLP, выборочно блокируют и протоколируют операции передачи данных через буфер обмена между приложениями (например, из "1С:Зарплата и кадры бюджетного учреждения" в MS Excel). DeviceLock DLP селективно блокирует снимки экрана ("скриншоты"), как для отдельных пользователей, так и для различных приложений.

DeviceLock DLP позволяет выборочно разрешать и запрещать доступ к определенным типам файлов (в частности, к файловым базам данных 1С) в момент попытки их копирования на внешние устройства или отправки по сети.

DeviceLock DLP это эффективное решение для защиты персональных данных , хранящихся в системе 1С от утечки.

Не так давно в нашей стране вступил в силу ФЗ «О персональных данных» №152-ФЗ от 26.07.2006. Многие компании, работающие с данными своих сотрудников или с данными своих клиентов, озаботились проблемой соответствия своих Информационных систем персональных данных (ИСПДн) требованиям закона и контролирующих органов (ФСТЭК, ФСБ, Роскомнадзор). Ведь за нарушение закона в соответствии со статьей 24: «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность».

Касается ли 152-ФЗ моей организации

Зачастую руководители компаний говорят: «Да, мы знаем что закон вступил в силу, но мы не являемся Оператором данных, мы не работаем с паспортными и финансовыми данными физических лиц, мы работаем только с данными наших клиентов юридических лиц». Но, даже если у вас нет клиентов физических лиц, вы обрабатываете данные своих сотрудников, паспортные данные которых хранятся, например, в программе 1С. Как защищена эта информация?

Что требуется для выполнения закона

Для того чтобы привести ИСПДн в соответствие с требованиями 152-ФЗ, организации необходимо выполнить ряд мероприятий: - обследование организации на предмет работы с персональными данными; - классификацию ИСПДн; - разработку модели угроз нарушения безопасности данных; - формирование требований по обеспечению безопасности ПДн; - проектирование системы защиты данных; - внедрение системы защиты данных; - аттестацию или декларирование соответствия ИСПДн.

Решение: Защищенная 1Сz на выделенном сервере

Следуя тенденциям рынка и возросшему интересу компаний к защите персональных данных, Офис24, в партнерстве компанией «Алтэкс-софт», предлагает новую услугу, позволяющую закрыть ряд вопросов связанных с приведением ИСПДн в соответствие требованиям Федерального закона № 152 «О персональных данных».

Мы предлагаем в аренду защищённый программно-аппаратный комплекс, включающий в себя "1С:Предприятие 8.2z", построенный с использованием сертифицированного программного обеспечения, отвечающего требованиям ФСТЭК России и ФЗ «О персональных данных» №152-ФЗ от 26.07.2006. Предлагаемая Система предназначена для обработки персональных данных Оператором с использованием средств автоматизации и программного обеспечения 1С и Microsoft, причем работать в Системе могут любые конфигурации 1С. Система создается и настраивается на серверных мощностях компании «Офис24», с использованием программного обеспечения Microsoft, прошедшего сертфикацию в ЗАО «Алтэкс-софт».

Состав услуги и комплект документов

При заключении Договора на построение и обслуживание системы, наша компания занимается установкой и настройкой серверной инфраструктуры, осуществляет формирование комплекта документов, подтверждающих соответствие программного обеспечения и его настроек требованиям контролирующих органов.

В комплект документов, в частности, входят Формуляры на сертифицированное программное обеспечение Microsoft и 1С, промаркированные защитными знаками и копии сертификатов соответствия ФСТЭК России.

В пакет услуг и документов входит:

• Аренда сертифицированной операционной системы Windows Server 2008 R2 Standard
• Аренда сертифицированной СУБД Microsoft SQL Server 2008 Standard
• Установка и настройка сертифицированной платформы 1С:Предприятие 8.2z (преобретается Заказчиком у нашего партнера)
• Базовая техническая поддержка и сопровождение сервера и установленного на нем ПО
• Оригинал Формуляра на «Защищенный программный комплекс 1С:Предприятие версия 8.2z»*
• Копия Сертификата Соответствия для Защищенного программного комплекса 1С:Предприятие версия 8.2z»
• Копия Сертификата Соответствия для операционной системы Microsoft Windows Server 2008 R2 в редакциях Standard, Enterprise и Datacenter
• Копия Лицензии на использование сертифицированной операционной системы Microsoft Windows Server 2008 R2 в редакциях Standard, Enterprise и Datacenter
• Копия Формуляра на операционную систему Microsoft Windows Server 2008 R2 Standard Edition
• Копия Сертификата Соответствия для СУБД Microsoft SQL Server 2008 Standard Edition и Enterprise Edition
• Копия Лицензии на использование сертифицированной СУБД Microsoft SQL Server 2008 Standard Edition и Enterprise Edition
• Копия Формуляра на СУБД Microsoft SQL Server 2008 Standard Edition и Enterprise Edition
• Копия Сертификата Соответствия для получения сертифицированных обновлений для операционной системы Microsoft Windows Server 2008 R2 в редакциях Standard, Enterprise и Datacenter

*Защищенный программный комплекс «1С:Предприятие 8.2z» (x86-32) содержит сертифицированную версию технологической платформы «1С:Предприятие 8.2» и комплект документации, включая Формуляр на вашу компанию.

С 1 июля 2017 года существенно ужесточена ответственность за нарушения при взаимодействии с персональными данными физических лиц. Это следует из положений Федерального закона от 07.02.2017 № 13-ФЗ). Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Как подготовится к изменениям? Увеличатся ли штрафы? Кто будет выявляться нарушения в обработке персональных данных? Давайте разбираться.

Персональные данные: особая информация

Персональные данные работников – это любая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных»).

У работодателя (организации или ИП) персональные данные работников, чаще всего, обобщаются в их личных карточках и личных делах. При этом почти каждый менеджер отела кадров или HR-специалист знает, что персональные данные допускается получать только лично от работников. Если персональные сведения возможно получить только от третьих лиц, то российское законодательство обязывает уведомить об этом работника и получить от него письменное согласие (пункт 3 части 1 статьи 86 Трудового кодекса РФ).

Работодатели не вправе получать и обрабатывать персональные данные, которые не относятся напрямую к трудовой деятельности человека. То есть, собирать сведения, допустим, о вероисповедании сотрудников – нельзя. Ведь такая информация представляет из себя личную или семейную тайну и никак не может быть связана с выполнением трудовых обязанностей (пункт 4 части 1 статьи 86 Трудового кодекса РФ).

Получив персональные данные, работодатель в силу требований законодательства обязан их не распространять и не раскрывать третьим лицам без согласия работника (ст. 7 Федерального закона от 27 июля 2006 № 152-ФЗ).

Под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных) – пункт 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ. Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д.

Как работодатель обязан защищать персональные данные

В целях защиты и ограничения доступа к персональным данным работодатель должен обеспечить качественную и современную систему их защиты. Как именно это сделать? Этот вопрос решает каждый работодатель самостоятельно. При этом порядок получения, обработки, передачи и хранения персональных данных должен быть закреплен в локальном акте организации, допустим в Положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 № 152-ФЗ).

Также у работодателя должен быть официально назначен работник, который отвечает за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Им может быть, например, работник отдела кадров, которые взаимодействует с личными делами, получает согласия работников на обработку, ведет карточки сотрудников и т.д.

Проверки работодателя по вопросам обработки им персональных данных проводят подразделения Роскомнадзора. Приказом Минкомсвязи России от 14.11.2011 № 312 утвержден Административный регламент исполнения Роскомнадзором функций по осуществлению государственного контроля (надзора).

Какая ответственность применяется к работодателям

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27 июля 2006 № 152-ФЗ). Разберем каждую из этих видов ответственности.

Дисциплинарная ответственность

К дисциплинарной ответственности за нарушения при работе с персональными данными можно привлечь к ответственности работников, которые в силу трудовых отношений обязаны соблюдать правила работы с личными данными, но нарушили их (ст. 192 ТК РФ). То есть, привлечь к ответственности можно, к примеру, менеджера отдела кадров, которому поручена соответствующая работа. За дисциплинарный проступок сбора, обработки и хранения персональных данных работодатель может наказать своего работника, применив к нему одно из следующих взысканий (ч.1 ст. 192 ТК РФ):

• замечание;
• выговор;
• увольнение.

Материальная ответственность

Материальная ответственность работника может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ). Предположим, что ответственный работник отдела кадров допустил грубое нарушение – распространил персональные данные сотрудников в сети Интернет. Работники, узнав об этом, подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию – 50 000 рублей каждому». В такой ситуации работодатель имеет возможность возложить на виновного сотрудника отдела кадров ограниченную материальную ответственность в пределах его среднего месячного заработка (ст. 241 ТК РФ). Взыскание причиненного ущерба можно осуществить по распоряжению руководителя не позднее одного месяца со дня окончательного установления размера причиненного сотрудником ущерба. Если месячный срок истек, то взыскать ущерб придется через суд. Такой порядок предусмотрен в статье 248 Трудового кодекса РФ.

Читайте также Время отдыха за сверхурочную работу

При полной материальной ответственности сотрудник должен будет полностью возместить организации всю сумму ущерба, возникшего в связи с нарушениями в сфере персональных данных (ст. 242 и 243 ТК РФ). Однако, как правило, на работников, ответственных за обработку персональных данных полную материальную ответственность не возлагают.

Дисциплинарную и материальную ответственность работодатель (к примеру, коммерческая организация) применяет исключительно по своему усмотрению. Государственные контролирующие органы (в том числе., Роскомнадзор) в этом процессе участия не принимают.

Административная ответственность

За нарушение порядка сбора, хранения, использования или распространения персональных данных работодателя и должностных лиц контролирующие органы могут привлечь к административной ответственности в виде штрафов, которые могут составлять:

• для должностных лиц (например, генерального директора, главного бухгалтера, кадровика или индивидуального предпринимателя): от 500 до 1000 рублей;
• для организации: от 5000 до 10 000 рублей.

Отдельный (самостоятельный) штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 рублей. Такие меры ответственности описаны в статьях 13.11 и 13.14 Кодекса РФ об административных правонарушениях.

Уголовная ответственность

Уголовная ответственность для директора, главного бухгалтера или начальника отдела кадров компании или другого лица, ответственного за работу с персональными данными, может наступить за незаконные действия:

• сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
• распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.

За такие нарушения в части обращения с персональными данными допускаются следующие меры уголовной ответственности:

• штраф до 200 000 рублей (или в размере доходов осужденного за период до 18 месяцев);
• обязательные работы на срок до 360 часов;
• исправительные работы на срок до одного года;
• принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
• арест на срок до четырех месяцев;
• лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются жестче:

• штрафом от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
• лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
• принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
• арестом на срок от четырех до шести месяцев;
• лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет (статья 137 Уголовного кодекса РФ).

Что изменится с 1 июля 2017 года

Федеральный закон от 07.02. 2017 № 13-ФЗ расширил перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов. Этот закон вступает в силу с 1 июля 2017 года. Сразу скажем, что административная ответственность в сфере персональных данных существенно ужесточена. При этом важно следующее: вместо единственного вида административной ответственности, описанного в статье 13.11 КоАП РФ, появится семь. Таким образом, за различные нарушения работодателей в сфере персональных данных можно будет применять разные штрафы. Если нарушение по разным составам выявят несколько, то, соответственно, количество штрафов может увеличиваться. Поясним новые составы правонарушений более детально.

Нарушение 1: обработка персональных данных в «иных» целях

С 1 июля 2017 года обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных – самостоятельные виды административного нарушения (ч. 1 ст. 13.11 КоАП РФ). Приведем пример: организация-работодатель собирает персональные данные работников и передает эти данные сторонним компаниям в рекламных целях (передаются ФИО, телефоны, регионы проживания, уровень дохода). Потом рекламные фирмы начинают рассылать работникам на телефон, e-mail и домашние адреса различный спам и рекламные предложения. Если в таких действиях работодателя не будет выявлено уголовного состава преступления, то можно будет применить административную ответственность. С 1 июля 2017 года административное наказание может быть следующим:

• или предупреждение;
• или штрафы.

Нарушение 2: обработка персональных данных без согласия

Обработка персональных данных работодателем, по общему правилу, возможна только с письменного согласия работников. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):

• ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
• наименование или ФИО и адрес работодателя (оператора), получающего согласие сотрудника;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие;
• наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
• срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
• подпись работника.

С 1 июля 2017 года обработка персональных данных без согласия работника в письменной форме, либо если письменное согласие не содержит обозначенных выше сведений – это самостоятельное административное нарушение, предусмотренное в части 2 статьи 13.11 КоАП РФ. За него возможны штрафные санкции:

Нарушение 3: доступ к политике по обработке персональных данных

Оператор персональных данных (например, работодатель или интернет-сайт) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных в Интернете (например, через сайт), обязан опубликовать в Интернете документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу. Это предусмотрено пунктом 2 статьи 18.1 Закона от 27 июля 2006 г. № 152-ФЗ.

С выполнением этой обязанности на практике сталкиваются многие пользователи сети Интернет. Так, например, когда вы оставляете какую-либо заявку на сайтах и указываете свои ФИО и e-mail, то можете обратить внимание на ссылку на подобные документы: «Политика обработки персональных данных», «Положение об обработке персональных данных» и т.п. Однако стоит признать, что некоторые сайты этим пренебрегают и никакой ссылки не приводят. И получается, что человек оставляет заявку на сайте, не знает, в каких целях сайт собирает персональные данные.

Некоторые работодатели также на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить форму «О себе». В таких случаях интернет-сайт также должен обеспечить доступ к «Политике обработке персональных данных».

С 1 июля 2017 года в части 3 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения – невыполнение оператором обязанности по публикации или предоставлению неограниченного доступа к документу с политикой по обработке персональных данных или сведениями по их защите. Ответственность по этой статье может выглядеть как предупреждение или административные штрафы:

Нарушение 4: сокрытие информации

Субъект персональных данных (то есть, физическое лицо, кому принадлежат эти данные) имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей (ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ):

1. подтверждение факта обработки персональных данных оператором;
2. правовые основания и цели обработки персональных данных;
3. цели и применяемые оператором способы обработки персональных данных;
4. наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6. сроки обработки персональных данных, в том числе сроки их хранения;
7. порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10. иные сведения, предусмотренные Федеральным законом или другими федеральными законами.

В соответствии с Федеральным законом от 23.12.2010 № 359-ФЗ к 1 июля 2011 года необходимо привести информационные системы персональных данных в соответствии с требованиями Федерального закона от 26.06.2007 № 152-ФЗ "О персональных данных". Предлагаем вашему вниманию ответы на актуальные вопросы по этой теме.

В соответствии с данным Приказом различают средства защиты информации от несанкционированного доступа (система разграничения доступа к информации, антивирусная защита, межсетевые экраны, средства блокирования устройств ввода-вывода информации, криптографические средства и т. п.) и средства защиты информации от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров на линии связи; установка активных систем зашумления и т. д.)

Комплекс необходимых мероприятий по защите прав субъектов персональных данных, в том числе выбор средств защиты информации определяется оператором ПДн на основании результатов проведенной классификации информационной системы персональных данных (далее - ИСПДн) исходя из объема обрабатываемых персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.

В целях соблюдения требований законодательства о защите персональных данных (с учетом требований Приказа ФСТЭК России от 05.02.2010 № 58) были осуществлены специальные доработки технологической платформы «1С:Предприятие 8.2», в том числе в подсистеме управления доступом и подсистеме регистрации и учета. Начиная с версии 8.2.10, реализованы следующие возможности:

1) регистрация аутентификации и отказа в аутентификации (реализовано в версии 8.2.9);

2) регистрация изменений прав пользователей позволяет определить, когда какие роли назначались пользователю;

3) регистрация фактов отказа в доступе. Регистрируются все факты отказа в доступе пользователю. Например, для поиска массовых попыток обращения к недоступным для пользователя ресурсам;

4) регистрация доступа к защищаемым ресурсам:
- разработчик включает регистрацию для доступа к определенным полям по определенным объектам метаданных;
- разработчик описывает какую ключевую информацию необходимо включать в события журнала регистрации для поиска событий;
- система реализует отражение всех фактов доступа к указанной информации (например, сотрудника, к данным которого выполнялось обращение);
- система предоставляет возможность отбора зарегистрированных событий по метаданным и данным. Например, поиск всех обращений к защищаемым данным по конкретному физическому лицу.

С учетом сделанных доработок с целью соблюдения действующего законодательства в области защиты персональных данных создан защищенный программный комплекс «1С:Предприятие, версия 8.2z», который представляет собой сертифицированный релиз технологической платформы «1С:Предприятие 8.2».

Использование ЗПК «1С:Предприятие, 8.2z» позволяет соблюсти требования законодательства в части защиты ПДн, предусмотренные пунктом 5 Положения об обеспечении безопасности ПДн при их обработке в ИСПДн, утвержденного Постановлением Правительства РФ № 781, а также требования, предусмотренные Приказом ФСТЭК России от 05.02.2010 № 58 для ИСПДн 1 класса при многопользовательском режиме пользования и разных правах доступа в части подсистем управления доступом (идентификация и проверка подлинности пользователя), регистрации и учета (например, регистрация входа (выхода) субъекта доступа в систему), обеспечения целостности (напр., обеспечение целостности средств защиты с помощью контрольных сумм).

Говорить о том, что с применением ЗПК «1С:Предприятие, версия 8.2z» реализованы все требования, предусмотренные Приказом ФСТЭК России от 05.02.2010 № 58 , нельзя. Ряд обязательных мер относится к организационно-распорядительным (например, наличие средств восстановления системы защиты ПДн, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности должно быть обеспечено администратором сети, физическая охрана и учет защищаемых носителей информации - не имеет отношение к ЗПК и т. д.) Иные требования, предусмотренные Федеральным законом № 152-ФЗ и приказом ФСТЭК России № 58, должны быть соблюдены реализацией иных мер (антивирусные программы, межсетевое экраны и т. п.).

Платформа 8.2z обеспечивает все те же возможности, что и 1С:Предприятие 8.2, в том числе поддерживает работу с СУБД: MS SQL, PostgreSQL, DB2 Oracle.

Фирмой «1С» была проведена сертификация ЗПК «1С:Предприятие 8.2z» на соответствие требованиям руководящих документов:

• «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) - по 5 классу защищенности;
• «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (Гостехкомиссия России, 1999) - по 4 уровню контроля.

По результатам проведенной сертификации ЗПК «1С:Предприяти, 8.2z» признан программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну. Также подтверждена возможность использования ЗПК для защиты информации в информационных системах ПДн до 1 класса включительно.

Согласно условиям проведенной сертификации какие либо специальные требования к конфигурациям («Бухгалтерия предприятия», «Зарплата и управление предприятием» и т. п.) не предъявлены. Действующим законодательством в части защиты ПДН также не предусмотрены требования к ПО, не являющемуся средством защиты информации. В связи с вышеизложенным ЗПК «1С:Предприятие 8.2» может быть использован с любыми конфигурациями, разработанными на платформе 8.2.

Пунктом 2.12 Положения, утвержденного Приказом ФСТЭК России от 05.02.2010 № 58 , предусмотрено, что ПО средств защиты информации, применяемое в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей, при этом пунктом 7 данного приказа определено, что необходимо применять ПО средств защиты информации, соответствующее 4 уровню контроля отсутствия недекларированных возможностей. Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).

С учетом изложенного, обязательное применение СЗИ с проведенным контролем отсутствия недекларированных возможностей предусмотрено только для ИСПДн 1 класса. Таким образом, ЗПК «1С:Предприятие, 8.2z» может быть использован для организации защиты ПДн в ИСПДн любого класса.

Порядок продажи ЗПК «1С:Предприятие, версия 8.2z» определен в инфописьме от 29.12.2010 № 12891.

ЗПК «1С:Предприятие, версия 8.2z» может использоваться как для файл-серверного, так и клиент-серверного режима работы.

К продаже предлагается два варианта защищенного программного комплекса. Отличие между двумя продуктами в дистрибутивах программных продуктов, входящих в комплект поставки. ЗПК «1С:Предприятие, версия 8.2z» (Х86-32) предназначен для локальных компьютеров и 32-х разрядных серверов.

ЗПК «1С:Предприятие, версия 8.2z» (x86-64) предназначен для 64-разрядного сервера. При этом следует учитывать, что данный вариант комплекса содержит дистрибутивы обоих продуктов.

Комплект поставки ЗПК включает:

• непосредственно дистрибутив сертифицированной платформы;
• формуляр с голографической наклейкой ФСТЭК и контрольной суммой;
• спецификацию;
• описание применения;
• описание программы;
• копию сертификата ФСТЭК.

Документом, подлежащим систематическому заполнению оператором ПДн, является формуляр. Именно в формуляре подлежит делать записи об установке, результатах периодических проверок целостности ЗПК «1С:Предприятие, 8.2z», а также при установке вновь выходящих сертифицированных релизов.

С целью проведения сертификации вновь выходящих релизов заключен договор инспекционного контроля. В соответствии с условиями договора предусматривается ежеквартальное проведение инспекционного контроля с выдачей заключения о распространении действия сертификата на соответствующую новую версию с указанием ее контрольной суммы.

Деятельность по обслуживанию программных продуктов, не являющихся средствами защиты информации (в том числе конфигурации, разработанные на платформе «1С:Предприятие»), не относятся к деятельности по технической защите конфиденциальной информации.

Для осуществления работ по настройке управления ЗПК «1С:Предприятие, 8.2z», а также проведения комплекса работ по технической защите информации, рекомендуется привлекать организации, имеющие лицензии ФСТЭК России.

Для оказания услуг по защите ПДн, включающих мероприятия по технической защите, необходимо наличие соответствующей лицензии ФСТЭК России.

Если организация ограничивается организационно-распрорядительными документами, то лицензии на техническую защиту конфиденциальной информации не нужна.

Также необходимо помнить, что каких-либо специальных лицензий на осуществление деятельности по защите персональных данных действующим законодательством не предусмотрены.

Действующие нормативные правовые акты в области защиты ПДн не содержат каких либо ограничений в части разработки необходимой внутренней документации собственными силами оператора ПДн. Исключения составляют лишь работы по формированию модели угроз. В соответствии с руководящими документами ФСТЭК России модель угроз должна быть составлена экспертами. Вместе с тем в настоящее время имеется неопределенность в признании того или иного специалиста - экспертом.

Доступ представителей третьих организаций (аудиторов, программистов, обслуживающих ПО и т. п.) к ПДн должен быть жестко регламентирован внутренними документами оператора ПДн. Порядок обеспечения безопасности ПДн определяется организационными мерами, в том числе условиями договоров. В случае, если имеется необходимость в рамках выполнения договора между двумя юридическими лицами предоставлять доступ к персональным данным оператора или их передавать, то, обговаривая условия такого договора, следует определять условия соблюдения конфиденциальности при организации работы с ПДн и предусматривать мероприятия по защите персональных данных (например, определять условия хранения, допуск лиц и т.п.) Может быть рекомендовано заключение договора о конфиденциальности с заказчиками, а также соглашения о неразглашении сведений персонального характера с работниками исполнителя. Кроме того порядок предоставления данных и передачи ПДн и доступа третьих лиц в необходимых случаях должен быть определен в Положении о защите ПДн.